DISPARIDAD EN LOS SISTEMAS OPERATIVOS
Expertos en seguridad indican que al Gobierno le urge ser más agresivo para evitar ciberataques
Para el experto en ciberseguridad Vicente De Hoyos, el ataque al sistema operador Professional Account Management (PAM), que maneja el sistema de AutoExpreso, fue algo que bien se pudo evitar. Es la disparidad y la falta de cohesión del Gobierno lo que podría explicar la alta vulnerabilidad de los sistemas, especuló.
“Cada uno (de los departamento) está aparte. Entonces, el de allá no sabe lo que está pasando acá. (Eso) afecta al Gobierno mucho”, analizó. “A mí lo que me extraña (es) con todo el dinero que se malgasta aquí en el Gobierno seguimos siendo víctimas. ¿Por qué?”, cuestionó.
En el caso del ciberataque a PAM, De Hoyos recalcó que “se supone que debe haber alguien que esté haciendo la gobernanza sobre este operador”, exigiendo reportes mensuales de posibles ataques, lo que minimizaría la vulnerabilidad de los sistemas.
Los sistemas operativos del gobierno aún no cumplen en su totalidad con las políticas establecidas por la Orden Administrativa 2021-001 emitida por la oficina Puerto Rico Innovation and Technology Service (PRITS), a pesar de que se cumplió un año de su vigencia, coincidieron la directora ejecutiva interina de la agencia, Nannette Martínez, y el principal oficial de ciberseguridad del Gobierno de Puerto Rico, Ngai Oliveras.
“El Gobierno como tal estableció las políticas, que no existían, que dan unas direccon trices claras a las agencias y a los terceros que dan servicio a las agencias del Gobierno de Puerto Rico. Eso establece unos controles y las mejores prácticas que PRITS estableció para el Gobierno. Eso se implementó. Estamos en proceso ahora de ‘enforce’ esa política a nivel de agencia”, aseguró Oliveras a Primera Hora.
“Estamos haciendo unos avalúos de madurez de ciberseguridad en cada agencia y ahí entonces sabemos cómo está esa agencia a nivel de ciberseguridad para clasificarlos a ese nivel y establecer un plan de mitigación para subirlo al próximo nivel”, agregó.
Ambos funcionarios acordaron también la falta de sinergia entre las agencias gubernamentales para proteger los sistemas de manera óptima. Resaltaron la necesidad de que todos esos sistemas “estén en servidores y máquinas del Gobierno”. Indican que solo de ese modo, “podemos tener algún tipo de visibilidad y asegurarnos que los controles de seguridad están implementados”, indicó Martínez.
“Con eso no vamos a estar completamente protegidos, pero nos pone en una mejor posición”, atestiguó Oliveras.
La falta de personal y de fondos recurrentes es un escollo mayúsculo que impide que se monitoreen todos los sistemas de una manera más eficaz, coincidieron.
La Junta de Supervisión Fiscal asignó unos $11 millones a la agencia, fondos que no son fijos.
“Nosotros estamos en proceso de llevar ese mensaje, que Puerto Rico necesita un fondo recurrente significativo para ciberseguridad”, reiteró Oliveras al señalar que son cientos de agencias de Gobierno, cientos de miles de dispositivos y cientos de cuentas gubernamentales que se deben velar “24/7 los 365 días”.
PRITS ha solicitado cerca de $10 millones de fondos federales y la colaboración de Multi-State Information Sharing and Analysis Center (MS-ISAC), un esfuerzo voluntario y colaborativo designado por el Departamento de Seguridad Nacional de los Estados Unidos, para que, más allá de los servicios gratuitos que recibe, pueda establecer una colaboración con el fin de aumentar a un 50% el nivel de seguridad de los sistemas de Gobierno y filtrar los miles de alertas que se reciben.
El contrato de PAM está vigente desde el 2018. Edwin González Montalvo, director ejecutivo de la Autoridad de Carreteras y Transportación (ACT), explicó a este diario que la compañía fue contratada “para la transición hacia un operador nuevo, que es el compromiso que tenemos en esta administración, de traer un sistema, nuevo, robusto y confiable”.
La cantidad de dinero que el Gobierno ha incurrido en contratar a PAM fluctúa entre $17 millones a $20 millones al año, según González Montalvo, ya que se hacen “casi un millón de transacciones al día”.
“
Mientras dejemos todo en manos de terceros, se demora más el proceso de que nos avisen, de remediación” NANNETTE MARTÍNEZ CDIRECTORA EJECUTIVA
INTERINA PRITS