Nota de la editora: ¿quieres estar al día con lo que sucede en la legislatura? Te invitamos a registrarte en nuestro boletín.

La ciberseguridad en el gobierno de Puerto Rico fue catalogada como una situación crítica por compañías asesoras que brindaron sus comentarios y sugerencias a la Comisión de Gobierno de la Cámara de Representantes para mejorar la infraestructura tecnológica en las agencias.

El representante Jesús Manuel Ortiz González, presidente de la Comisión de Gobierno, convocó una segunda vista pública bajo la Resolución de la Cámara 197, con el fin de evaluar este asunto en momentos en que ha sido expuesta la vulnerabilidad de los sistemas del gobierno, tras eventos de ciberataques ocurridos durante el pasado mes en las plataformas de AutoExpreso y la Universidad de Puerto Rico (UPR).

"La ciberseguridad de Puerto Rico se encuentra en una situación crítica. No es tan malo como debe sonar, porque hay recursos y herramientas disponibles", expresó el socio director de la empresa NYC Cyber Law Group, Paul McCulloch.

En un memorial explicativo, el arquitecto en sistemas de información recopiló algunos titulares de noticias desde los pasados tres años hasta el presente que informan sobre ciberataques ocurridos tanto en agencias, como en bancos y hospitales en Puerto Rico.

Ante estos eventos, aseguró que la infraestructura del gobierno aún está "exponencialmente" vulnerable a más ciberataques que se encuentran en espera.

"Cuando uno lee estos titulares, también debe tener en cuenta que estos son los incidentes que han llegado a las noticias. Hay muchos otros incidentes que no llegan a los periódicos por una serie de razones, incluidos los que se han resuelto tras bastidores, o aquellos en los que el daño es tan grave que es de interés público no revelarlos", puntualizó McCulloch.

El experto indicó que, para garantizar una base sólida de ciberseguridad en Puerto Rico, el gobierno debe adoptar el marco regulatorio del Instituto Nacional de Estándares y Tecnología (NIST, en inglés) del Departamento de Comercio de Estados Unidos.

Asimismo, detalló que se deben implementar herramientas para compartir información; crear un portal de informes de incidentes de ciberseguridad; establecer mecanismos de consulta; y disponer que los reguladores de ciberseguridad tienen la capacidad de imponer multas u otras sanciones en instancias de negligencia.

"Poder hacer disponible al país un gobierno de futuro; un gobierno con la mayor cantidad de procesos digitales que puedan hacerle los procesos a la gente más fáciles, más económicos y eficientes, no es posible si no tenemos un sistema robusto de seguridad que proteja no solo los sistemas del gobierno, sino toda la información y los datos pertenecientes a los ciudadanos", manifestó, por su parte, el representante Ortiz González.

Mientras tanto, los fundadores de las compañías Bartizan Security y Sentinel Education enfatizaron que, para prevenir futuros crímenes cibernéticos, es necesario considerar la meritocracia y gobernanza por parte de las personas que ocupan posiciones encargadas de proteger la infraestructura cibernética del gobierno.

El objetivo, según esbozaron en un memorial explicativo, debe estar fundamentado despolitizar la posición de oficial principal de información (CIO, en inglés) y en seleccionar a personas competentes para mantener una infraestructura segura.

"Tenemos que preguntarnos más a menudo a quién vamos a poner en esta posición (funcionario de ciberseguridad). Requiere una persona profesional, y no es alguien que podemos encontrar en LinkedIn fácilmente", opinó Jorge Andújar, fundador de Sentinel Education y cofundador de Bartizan.