Ley de Ciberseguridad del Estado Libre Asociado de Puerto Rico (Ley Núm. 40 de 18 de Enero de 2024)
“Ley de Ciberseguridad del Estado Libre Asociado de Puerto Rico”
Ley Núm. 40 de 18 de Enero de 2024
Para crear la “Ley de Ciberseguridad del Estado Libre Asociado de Puerto Rico”; establecer como principio de política pública que proveer seguridad a los datos gubernamentales es esencial para apoyar los procesos de innovación y el fomentar desarrollo y crecimiento económico sostenible de todos los sectores en Puerto Rico; crear el cargo del Principal Oficial de Seguridad Cibernética (Chief Information Security Officer) bajo la oficina del Puerto Rico Innovation and Technology Service (“PRITS”) y establecer sus facultades y deberes, a los fines de garantizar la ejecución de la política pública establecida en esta Ley; establecer la obligación de las Agencias de colaborar con la PRITS y con el Principal Oficial de Seguridad de Información; crear la Oficina para la Evaluación de Incidentes Cibernéticos adscrita a la PRITS; ordenar a PRITS a adoptar y promulgar en todas las agencias reglamentación de conformidad con lo establecido en esta Ley; establecer relaciones patrono-empleados sobre el uso de sus sistemas; y para otros fines relacionados.
EXPOSICIÓN DE MOTIVOS
Contrario a lo que se puede pensar, la ciberseguridad ha existido desde la creación del Internet, la única diferencia es que en los últimos quizás 24 a 36 meses hay un incremento dramático en la cantidad de ataques, de estrategias de infiltración y accesos no autorizados a los sistemas de información que comprometen la seguridad y el comercio del país por el secuestro, robo o manipulación de la información.
La ciberseguridad se inscribe dentro del concepto más amplio de la seguridad de la información, cuyo objetivo es proteger la información de sistemas que se encuentran interconectados. Existen también otros conceptos relacionados a la ciberseguridad, como pueden ser el cibercrimen, las ciberamenazas o el ciberespacio, cuya característica principal y común reside en la existencia de estos en la red.
El Foro Económico Mundial y la Organización de las Naciones Unidas (ONU) han señalado al cibercrimen entre los principales riesgos para la humanidad, junto a los desastres naturales y el cambio climático, y en poco tiempo, la pandemia del COVID-19 ha exacerbado los riesgos virtuales para todas las industrias.
La crisis propiciada a principios del año 2020 por la pandemia del COVID-19 ha puesto en relieve la dependencia a una infraestructura vital que, para la gran mayoría de los ciudadanos, resulta invisible o su existencia pasa prácticamente desapercibida. La vida diaria gira alrededor de actividades cada vez más digitalizadas y, por consiguiente, más sensibles a amenazas cibernéticas. Cadenas de suministro de alimentos, transporte, pagos y transacciones financieras, actividades educativas, trámites gubernamentales, servicios de emergencia, y hasta el suministro de agua y energía, entre un sinnúmero de actividades, operan en la actualidad a través de tecnologías digitales.
La pandemia de COVID-19 ayudó a reflexionar sobre el progreso en la expansión el uso de las tecnologías de la información y la comunicación, la conectividad a Internet y la ciberseguridad en Puerto Rico. La mayor dependencia del ciberespacio durante la crisis subraya la necesidad de extraer lecciones para lo que se espera en la transformación continua de la sociedad y economía, y en garantizar la ciberseguridad a nivel nacional.
En un sentido más general, en la última década los ataques cibernéticos han aumentado en frecuencia y complejidad. El bajo costo y el riesgo mínimo que conllevan estos delitos han sido factores clave en su crecimiento. Con el simple uso de una computadora y el acceso a Internet los cibercriminales pueden causar daños enormes mientras permanecen relativamente anónimos.
Tanto las personas como las instituciones están expuestas a la incertidumbre y la impredecible naturaleza del delito cibernético. Por lo tanto, es imprescindible abordar estas amenazas. Los esfuerzos para hacerlo deben ser de naturaleza multidimensional, porque se requiere una variedad de factores para construir una sociedad resiliente. Las políticas y los marcos legales deben ajustarse y todas las partes interesadas de la sociedad civil, así como los sectores público y privado, deben trabajar para crear una cultura de ciber conciencia y capacitar a profesionales calificados para construir una estrategia de ciberseguridad; por lo tanto, es un esfuerzo continuo y complejo.
El crecimiento en el número de ataques cibernéticos ha suscitado un mayor interés por la seguridad cibernética a nivel mundial. Para presentar un ejemplo simple, la búsqueda de la palabra ciberseguridad en línea, en uno de los search engines más conocidos, de marzo de 2016 a junio de 2019, aumentó de 20 a 100. En otras palabras, el interés por saber más sobre ciberseguridad se ha vuelto popular entre los usuarios de Internet. Casualmente, los usuarios que indagan sobre ciberseguridad tienden a buscar cursos y oportunidades de capacitación en el campo. Es decir: más personas están conscientes de la importancia de la ciberseguridad e investigan formas de mejorar sus conocimientos.
Las políticas de ciberseguridad son fundamentales para salvaguardar los derechos de los ciudadanos en el ámbito digital, tales como la privacidad, la propiedad, así como para aumentar la confianza de los ciudadanos en las tecnologías digitales, y que estos puedan sentirse cómodos accediendo a dichas tecnologías. El crimen en línea ya supone, aproximadamente, la mitad de todos los delitos contra la propiedad que tienen lugar en el mundo. A nivel agregado, las cifras adquieren aún mayor magnitud pues los daños económicos de los ataques cibernéticos podrían sobrepasar el 1% del Producto Interno Bruto en algunos países. En el caso de los ataques a la infraestructura crítica, esta cifra podría alcanzar hasta el 6% del GDB.
El daño generado por fuentes internas puede ser difícil de detectar porque estas amenazas abarcan una amplia gama de comportamientos y motivos. Una amenaza podría provenir de un empleado descontento que intenta interrumpir las operaciones, un integrante del personal que busca ganar dinero extra vendiendo datos o un colaborador bien intencionado que simplemente pasa por alto una política de seguridad de la empresa para ahorrar tiempo.
Puerto Rico aún no está suficientemente preparado para enfrentar los ataques cibernéticos que se producen. El país sufrió más de 926 millones de intentos de ciberataques en 2021 y para mediados del 2022 ya sumaban sobre 12.4 millones de ataques confirmados. No obstante, identificar un peligro cibernético es tan sólo el primer paso. Tomar medidas contra las amenazas y crímenes del ciberespacio es un reto aún mayor para el país. La realidad es que los recursos son limitados para investigar los delitos que se cometen en el ciberespacio. Más aún, para lograr que dichos delitos resulten en juicio es todavía un reto mayor. Parte del problema comienza muchas
veces en la propia ley: en un tercio de los países (incluyendo a Puerto Rico) no existe un marco legal sobre los delitos informáticos.
El 1 de febrero de 2021 se formalizó en Puerto Rico la oficina de Seguridad Cibernética del Gobierno con la contratación del Principal Oficial de Seguridad Cibernética (CISO). Esta oficina tiene le encomienda de proveer servicios centralizados de ciberseguridad para el Gobierno mediante acuerdos de colaboración con agencias federales y proveedores externos de servicios y de proteger y fortalecer la seguridad de los sistemas de información y los datos del Gobierno mediante controles, monitoreo y respuestas ágiles en cuanto a incidentes de ciberseguridad.
Contar con profesionales más capacitados se ha vuelto fundamental para diseñar e implementar las políticas y medidas de seguridad cibernética que son necesarias para garantizar la resiliencia del país frente a ciberataques cada vez más sofisticados y complejos.
Desde el punto de vista de ciberseguridad, se reconoce erróneamente que el tema de la ciberseguridad está en manos solo de expertos y tal vez en el sentido técnico más elevado sí. Sin embargo, la ciberseguridad es un tema crucial que debe estar bajo la responsabilidad de todos los ejecutivos y gerenciales y debe incluirse como requisito de educación para todos los usuarios de sistemas y tecnologías, como computadoras y dispositivos móviles. Cuidando que las aplicaciones que tienen en sus dispositivos móviles no sean aplicaciones que pueden llegar a extraer información sobre todo cuando están relacionadas íntimamente al trabajo, Google Drive, Dropbox o One Drive, por mencionar algunas aplicaciones.
El desarrollo de una estrategia abarcadora de seguridad cibernética otorga a un país un enfoque más integral que permite comprender y atender mejor los desafíos de la seguridad...
Para continuar leyendo
Solicita tu prueba