Puerto Rico necesita un director de ciberseguridad en propiedad

Comparto ensayo publicado en El Nuevo Día el 15 de febrero sobre la ciberseguridad en Puerto Rico.  Aquí la entrevista a Luis Arocho y este servidor en Jugando Pelota Dura.

Mucho se habla sobre un ciberataque en los sistemas de Retiro que afectó cuentas de la Compañía de Turismo, PRIDCO, la Autoridad de Carreteras y la Compañía de Comercio y Exportación. Esto ocurrió mediante un ‘phising attack’ según fue identificado, y tuvo que atravesar la seguridad del firewall cyberoam, la del AIX (un proceso de “hardening” para robustecer el sistema) y la de Oracle.  Me consta que se había realizado una prueba de penetración a mediados del 2017. Pero uno está tan seguro como su punto más débil – el 66% del ‘malware’ que entra a una organización ocurre mediante un email infectado abierto por algún empleado y se propaga por toda la red de dicha agencia. 

Paradójicamente, poco se habla de la seguridad cibernética hasta que ocurre una situación catastrófica que hace noticia.  Apenas cuando iniciaba la administración de Rosselló se registró un “ransomware attack” en Hacienda con un impacto de sobre $50 millones.

Es importante comprender que mantener la seguridad de una red es una función de altos niveles de complejidad.  Salvaguardar la misma requiere un compromiso tanto tecnológico, como procesal y educativo. Un estudio del National Association of State CIO’s (NASCIO) revela que los 50 Estados tienen un CISO en propiedad (Chief Information Security Officer) y el 50% de ellos tienen un presupuesto fijo asignado.  Un 40% de los CISO se reúnen mensualmente con su respectivo gobernador sobre temas de seguridad cibernética. Se revisan riesgos y amenazas con el liderato más alto del estado. Como dice Doug Robinson el Director de NASCIO, “you will be breached if you haven’t been already.”  

Las sofisticaciones de los ataques y el nivel de vulnerabilidad es tal que hay que reconocer que nos vamos a exponer a alguna falla en algún momento, la clave está en el nivel de respuesta.  Para responder a estas amenazas, es necesario tener personal capacitado así como presupuesto y recursos tecnológicos asignado para ello. ¿Cómo estamos sobre este particular? Es importante educar en el tema digital.

En Puerto Rico no hay un CISO en propiedad, menos aún una oficina central de ciberseguridad capaz de asistir al resto de las agencias.  El reclutamiento de personal técnico en la Oficina de Gerencia y Presupuesto ha ido en declive desde mediados del 2014. Se han ido los jefes de Infraestructura y Ciberseguridad, dos salidas en Data Center (uno de ellos el único especialista en manejo de presupuesto) y dos en Gobierno Electrónico. Para contrarrestar la pérdida de personal han subcontratado, delegando las habilidades críticas en consultoras y proveedores.

La inversión en tecnología tiene que considerarse un servicio esencial para el Gobierno, su estructura y funcionamiento deben financiarse por completo en presupuestos recurrentes para cubrir tanto al personal como la infraestructura mediante subvenciones sujetas a niveles de servicio asequibles.  Todos los costos de mantenimiento y soporte deben ser administrados centralmente por esta entidad y proporcionalmente; el monto principal no debería ser licenciamiento a terceros (actualmente pagamos más de 25 millones anuales en licenciamiento a Microsoft). En Puerto Rico se legisló la creación de PRITS, la misma busca transformar los servicios del gobierno para servir a los ciudadanos efectivamente en la era digital. Ahora falta dotarla de los recursos para llevar a cabo su misión.  La ciberseguridad en nuestra era no es negociable, ni un asunto ligero, debe tener una partida fija asignada y un director en propiedad.