La Administración de Servicios Generales adiestra a sus empleados en ciberseguridad como otro mecanismo para evitar ataques

El ciberataque mediante ransomware a los sistemas de servicio al cliente de la Autoridad de Acueductos y Alcantarillados (AAA) ejecutado en la mañana del lunes, 13 de marzo, es apenas el incidente más reciente que muestra el alto interés de los cibercriminales en agencias y dependencias del gobierno. Custodios no solo de información privilegiada de clientes, empleados y documentos importantes, las agencias gubernamentales también operan infraestructura crítica como agua potable, energía eléctrica y servicios de salud cuya operación ininterrumpida es vital para una población. Aunque la creación, en el 2019, del Servicio de Innovación y Tecnología de Puerto Rico (PRITS) ha ayudado a aumentar la seguridad en la infraestructura informática del gobierno, no todas las agencias han tomado la protección de sus sistemas con la seriedad que amerita. Sin embargo, según Johnny Nieves de Jesús, Principal Oficial de Informática (CIO) de la Administración de Servicios Generales (ASG), la agencia no solo encaró el reto de resguardar su infraestructura contra ciberataques, sino que también apostó a reforzar la primera línea de defensa contra ciberataques: empleados que entienden la necesidad de ser precavidos y que son adiestrados dos veces al año sobre las mejores prácticas para evitar ser víctimas de ciberpiratas. “El proceso de modernización de la infraestructura de protección comenzó en el 2019 con la adquisición de equipo especializado. Hasta el 2018, todo (lo que se manejaba) era en papel, pero la digitalización de las agencias de gobierno nos lleva a reforzar la seguridad de las redes de informática. Ciertamente nos encontramos a diario con nuevos retos, pues esto (los ciberataques) no va a parar, pero además del equipo adquirido, también apostamos a adiestrar a nuestros empleados sobre ciberseguridad”, resaltó Nieves de Jesús en entrevista con El Nuevo Día. Sobre el aspecto de equipo especializado, Nieves de Jesús dijo que adquirieron firewalls y equipo de monitoreo y detección del gigante de ciberseguridad estadounidense Fortinet, incluyendo el sistema FortiGate, FortiEDR y FortiClient, a un costo de $100,000. El CIO de ASG resaltó que este equipo le permite aplicar políticas de uso a nivel global y que ofrece protección tanto a las computadoras dentro de la oficina central como a los dispositivos móviles como celulares y computadoras portátiles que se conectan desde el exterior. Para Nieves de Jesús, la protección de la infraestructura de ASG es de vital importancia, pues la agencia maneja y alberga las subastas y compras de productos y servicios del gobierno de Puerto Rico. En esencia, ASG maneja una “mina de oro” de datos como información de licitadores (servicio que fue objeto de un ataque exitoso en el 2017), el registro único de profesionales, la base de datos J.E.D.I que almacena las compras y subastas y al que las demás agencias se conectan. “En ASG tenemos que tomar todos esos procedimientos (de ciberseguridad detallados por PRITS) y convertirlos en realidad. Nadie va a llegar a un nivel de poder detener todos los ataques, pues esto cambia todos los días (con la aparición de nuevos vectores de ataque y/o variantes de malware). Además de nuestro personal de ciberseguridad, también contamos con empresas expertas en ciberseguridad (como GM Sectec)”, subrayó Nieves de Jesús. Pese a todas las mejoras realizadas, Nieves de Jesús está consciente de que en cualquier momento ASG puede ser víctima de un ciberataque, como ocurrió en la AAA. “Nadie está exento de esto (ciberataques). Es triste porque somos (AAA y ASG) somos Gobierno y eso afecta la imagen del gobierno ante la ciudadanía, pero sé que van a poder resolver el problema. Por eso es que siempre tenemos que estar pendientes, monitoreando”, añadió. “Nuestros equipos detectan intentos de ataques todos los días. Esto es algo que nunca acabará y todos tenemos que poner nuestro granito de arena. Por eso es que adiestramos constantemente a nuestro personal interno”, enfatizó. Los empleados de ASG reciben adiestramientos cada seis meses sobre ciberseguridad y las maneras de evitar caer en intentos de phishing, catphishing, engaños mediante aplicaciones de mensajería instantánea y otros vectores, todos provistos por la empresa KnowBe4. Y luego del adiestramiento, los empleados completan pruebas prácticas. Del mismo modo, ASG realiza pruebas de penetración de sus redes en las que también evalúan y mejoran la respuesta del personal a un incidente de ciberseguridad. “Estamos constantemente en una campaña de adiestramientos al personal. Nos ha ido muy bien adiestrando al personal para que estén pendientes. Nosotros, por ejemplo, no permitimos que los empleados utilicen pen drives (almacenaje mediante conexiones USB) en sus computadoras para evitar la entrada de malware localmente. Los usuarios son el primer filtro, y por eso tenemos que adiestrarlos, para que estén preparados”, sostuvo Nieves de Jesús.