Nota de la editora: ¿quieres estar al día con lo que sucede en la legislatura? Te invitamos a registrarte en nuestro boletín.
Por la Lcda. Sheila Marie Cruz-Rodríguez (Ferraiuoli LLC)
Este 21 de enero de 2024, el Gobernador firmó la Ley Núm. 40 de 2024, también conocida como la Ley de Ciberseguridad del Estado Libre Asociado de Puerto Rico (“Ley de Ciberseguridad”), la cual impone una serie de condiciones de seguridad significativas, aplicables no tan solo en la esfera pública, sino también a las empresas privadas que trabajan con el gobierno y/o reciben fondos públicos.
¿Qué es la Ley de Ciberseguridad?
La Ley de Ciberseguridad establece como política pública proveer seguridad a los datos gubernamentales, crea el cargo del Principal Oficial de Seguridad Cibernética (por sus siglas en inglés, “CISO”) bajo la oficina del Puerto Rico Innovation and Technology Service (“PRITS”) y crea la Oficina para la Evaluación de Incidentes Cibernéticos adscrita a PRITS, estableciendo un marco integral para garantizar la seguridad cibernética en el gobierno de Puerto Rico (“Gobierno”), abordando aspectos como el control de acceso, la protección de datos, la prevención de amenazas y la colaboración con proveedores de servicios.
Finalmente, la Ley de Ciberseguridad establece sanciones ante su incumplimiento y faculta a PRITS para adoptar regulaciones necesarias para cumplir con la política pública establecida. Esta Ley de Ciberseguridad comenzó a regir inmediatamente después de su aprobación. Sin embargo, el Gobierno tendrá un periodo de seis (6) meses para finalizar todos los trámites necesarios para cumplir con lo establecido en esta Ley.
Aplicabilidad
Las disposiciones de esta Ley son aplicables a la Rama Ejecutiva, a cualquier persona natural o jurídica que haga negocios o tenga contratos con el Gobierno, personas privadas que desempeñan funciones y servicios públicos (solamente con respecto a las funciones y servicios públicos desempeñados), a todo ejercicio de administración pública o privada en el que se hubieren dedicado o invertido fondos o recursos públicos (directa o indirectamente), o sobre la cual se hubiere ejercido la autoridad de cualquier servidor público, en cuanto a los datos que se generan como producto de tales actividades.
En otras palabras, entidades privadas que rindan servicios al Gobierno como contratistas, empresas privadas involucradas en la prestación de servicios públicos, proveedores de atención médica que reciben fondos públicos o participan de programas de salud auspiciados por el gobierno, instituciones educativas que reciban algún tipo de financiamiento gubernamental entre otras estarían cubiertas bajo la Ley de Ciberseguridad.
¿Qué requiere la Ley de Ciberseguridad?
La Ley de Ciberseguridad detalla exhaustivamente los estándares y principios mínimos que deben cumplir tanto las agencias gubernamentales como sus proveedores de servicios contratados en Puerto Rico y demás entidades a las cuales esta ley le es aplicable.
Los elementos principales que establece la Ley de Ciberseguridad son los siguientes:
- Control del tráfico en Internet y política de seguridad: Establecer mecanismos para detener el tráfico inapropiado en Internet y una política de seguridad para impedir el acceso a sitios web con contenido inadecuado, como contenido pornográfico, malware, phishing y otras amenazas.
- Capas de control para la confidencialidad, integridad y autorización: Establecer mecanismos de control en capas para reforzar la confidencialidad, integridad y autorización de la información.
- Políticas de uso apropiado y control de acceso: Establecer políticas de uso apropiado de equipos y sistemas de información, reforzadas con controles administrativos y técnicos, así como mecanismos de control para acceder a la red de información.
- Cifrado y controles técnicos: Exige el uso de cifrados basados en las mejores recomendaciones del National Institute of Standards and Technology (“NIST”) para la confidencialidad e integridad de la información. Además, se deben establecer controles técnicos para hacer cumplir estas políticas.
- Conexiones remotas a través de redes privadas virtuales (“VPN”): Se establece que las conexiones remotas al Gobierno se realicen únicamente a través de VPN u otros programas de red privada virtual contratados exclusivamente para uso oficial.
- Desarrollo de programas y aplicaciones seguras: Cualquier desarrollo de programas o aplicaciones debe cumplir con los estándares y principios mínimos de seguridad antes de su implementación.
- Seguridad en pagos con tarjeta de crédito: Las agencias que acepten pagos con tarjeta de crédito deben cumplir con las mejores prácticas y estándares de seguridad de datos de la industria de tarjetas de pago. En caso de que el servicio se provea por un tercero este debe proporcionar a la agencia un informe de cumplimiento con los estándares de PCI-DSS o la mejor práctica antes de que la agencia pueda contratar.
- Autenticación multifactorial (“MFA”) y clasificación de datos: Se requiere el uso de MFA para todo usuario, especialmente después de clasificar los datos según su criticidad.
- Retención de información: Los contratos con proveedores de servicios deberán incluir medidas para salvaguardar activos sensibles. Entre estas los proveedores de servicio deberán cumplir con la Ley Federal de Administración de Seguridad de la Información y mantener no menos de (tres) 3 años de información, la cual deben estar en posición de producir electrónicamente en no menos de dos (2) días desde que se le requiera.
- Reporte de incidentes y evaluaciones mensuales: Proveedores de servicios deben compartir mensualmente con PRITS información sobre amenazas, el número incidentes reportados, acciones de respuesta y remediación inmediata, y evaluaciones de seguridad. Incidentes de seguridad o incidentes potenciales que puedan poner en riesgo los datos, productos de software, firmware, o los servicios Confidenciales del Gobierno o de cualquier persona deben ser notificados por los proveedores de servicio en un término no mayor de cuarenta y ocho (48) horas a PRITS y a la agencia contratante.
- Certificaciones y seguridad de proveedores: Cuando los servicios requieran que información sensible de los ciudadanos resida en sus sistemas o los servicios estén relacionados a Ciberseguridad, los proveedores de servicios deben contar con certificaciones de seguridad válidas, cumplir con las mejores prácticas y cumplir con todas las leyes, reglas y estándares aplicables.
- Detección de programas no deseados: Se instalarán controles automáticos para la detección de programas no deseados que puedan afectar la seguridad de la información.
- Uso estricto de sistemas de Tecnología de Información (“TI”) del Gobierno: Los sistemas de TI del Gobierno deben utilizarse solo para asuntos gubernamentales autorizados, con acceso basado en roles y privilegios mínimos.
- Protección de instalaciones y activos: Se establecen medidas, como el control de acceso, para alojar instalaciones y activos de procesamiento de información en áreas seguras y protegidas.
- Encriptación de información confidencial: La información confidencial debe estar encriptada en todo momento (tanto en tránsito como en reposo).
- Educación continua y planes de resguardo: Se exige un programa de educación continua en Ciberseguridad, así como planes de resguardo y recuperación de datos para asegurar la continuidad de las operaciones.
- Colaboración con PRITS antes de contratar: Las agencias deben consultar con PRITS antes de realizar contratos con proveedores de servicios y enviar dichos contratos a PRITS para evaluación.
- Multas por incumplimiento: PRITS puede imponer multas en caso de incumplimiento de estos estándares y principios de Ciberseguridad.
¿Qué ocurre si el agente privado no cumple con la Ley de Ciberseguridad?
A la luz de la Ley de Ciberseguridad PRITS tiene la autoridad para imponer multas por el incumplimiento de los principios de Ciberseguridad según lo establecido en ésta.
En el caso de agencia que se encuentren en incumplimiento, la multa diaria por incidente puede oscilar entre cincuenta (50) y cien (100) dólares. En casos de obstrucción, negligencia, mala fe, temeridad o negativa caprichosa en el manejo o reporte de un Ciberataque, la multa puede ser de mil (1,000) a cinco mil (5,000) dólares por cada violación.
En el caso de proveedores de servicios, se aplicarán sanciones monetarias hasta el monto contratado, además de otras penalidades. Cualquier incumplimiento con la Ley de Ciberseguridad conlleva un proceso de reeducación y capacitación coordinado por PRITS en colaboración con la Oficina de Ética Gubernamental. Además, cuando medie obstrucción, negligencia, mala fe, temeridad o negativa caprichosa en el manejo o reporte de un Ciberataque, ni ese Proveedor de servicios o cualquier entidad que tenga un número significante de la misma gente podrá ser contratado por una agencia o contratista del Gobierno, ni como subcontratista por un periodo de cinco (5) años.
¿Cuál debe ser el próximo paso de las empresas privadas que trabajan con el Gobierno?
Cualquier entidad que entienda puede estar cubierta por la nueva Ley de Ciberseguridad como primeros pasos debe:
- Revisar cuidadosamente una copia completa de la nueva Ley de Ciberseguridad y los requisitos específicos que se aplican a su caso particular.
- Realizar una evaluación interna para determinar el grado de cumplimiento actual con los requisitos de la nueva Ley de Ciberseguridad e identificar cualquier brecha de cumplimiento existente.
- Identificar y designar a individuos o equipos responsables del cumplimiento de la Ley de Ciberseguridad dentro de la entidad. Estos pueden incluir responsables de cumplimiento, equipos legales y otros expertos pertinentes.
- Crear un plan detallado que establezca las acciones específicas que la entidad tomará para cumplir con los requisitos de la nueva Ley de Ciberseguridad.
Es menester señalar que los pasos específicos a seguir pueden variar según la naturaleza exacta de cada empresa y los requisitos específicos que apliquen a la entidad en cuestión. En vista de lo anterior se recomienda asesoramiento legal especializado para garantizar un cumplimiento completo y efectivo.