La Oficina para la Evaluación de Incidentes Cibernéticos, adscrita a la Oficina de Innovación y Servicios de Tecnología (PRITS), en colaboración con la Oficina del Inspector General (OIG) ofrecieron una charla titulada “Ciberseguridad y la Ley Núm. 40-2024: Aplicabilidad y Responsabilidades” dirigida a los principales oficiales de informática del Gobierno.
Sobre 120 profesionales participaron del taller donde se discutió la política pública de potenciar las capacidades y los esfuerzos para impedir, detectar, prevenir, proteger y responder a las amenazas cibernéticas.
“Diálogos como este, directo con los oficiales y gerentes de sistemas de información, logra que PRITS conozca de primera mano las necesidades y preocupaciones que nos ayudan a priorizar qué necesitamos atender para lograr la implementación de estándares como lo es la Ley 40-2024”, manifestó el principal ejecutivo de Innovación e Información del Gobierno de Puerto Rico (CIIO), Antonio Ramos Guardiola
Durante la charla donde se abundó sobre la protección de los datos, confidencialidad, integridad y disponibilidad de la información, el principal oficial de Seguridad Cibernética del Gobierno de Puerto Rico (CISO), Poincaré Díaz Peña, enfatizó que “las herramientas ofrecidas ayudarán a toda agencia, en colaboración con PRITS, a reforzar sus programas de ciberseguridad. Esto con miras a potenciar los diferentes proyectos de innovación en seguridad cibernética que PRITS está encaminando”.
En el evento, participó además la agente especial del FBI en Ciberseguridad, Stephanie Audette y el asesor de Ciberseguridad de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA, por sus siglas en inglés), N’gai Oliveras como parte de la colaboración establecida y el trabajo en conjunto entre las autoridades estatales y federales.
Tras la aprobación de la Ley 40-2024, la Oficina para la Evaluación de Incidentes Cibernéticos (OEIC) de PRITS, tiene la responsabilidad de gestionar el Plan de Respuesta de Incidentes Cibernéticos; definir los procesos para el monitoreo 24/7; identificar, responder y administrar los riesgos y eventos, irregularidades de seguridad o infracciones que comprometen los activos por uso indebido y el acceso o divulgación no autorizados; realizar evaluaciones trimestrales del riesgo en las agencias y establecer controles para la prevención de ataques cibernéticos.
Además, debe abordar los procedimientos y prácticas seguras en los planes e informes de manejo; apoyar a las agencias en la investigación, mitigación y resolución de incidentes de seguridad, incluyendo colaboración con agencias locales y federales; desarrollar y promulgar métricas sobre los incidentes y establecer protocolos de ransomware y de contingencia.
“Ciertamente esta nueva ley nos faculta para poder implementar de manera eficaz las medidas de detección y mitigación necesarias para disminuir los riesgos y minimizar las probabilidades de sufrir un ataque cibernético. Definitivamente nos encontramos en una mejor posición, y mediante estas actividades de divulgación, los oficiales de informática de las agencias estarán más familiarizados con nuestras políticas y cumplimiento”, finalizó Díaz Peña.
