Citizen Portal
Sign In

Comité de transición exige detalles sobre ciberseguridad de Sesco Digital tras corte de Autoexpreso

Comité de Transición · November 23, 2024

Get AI-powered insights, summaries, and transcripts

Subscribe
AI-Generated Content: All content on this page was generated by AI to highlight key points from the meeting. For complete details and context, we recommend watching the full video. so we can fix them.

Summary

Miembros del comité preguntaron si Sesco Digital cumple modelos de madurez (DoD) y la Ley 40 de PR, solicitaron pruebas de penetración y documentación sobre el incidente de Autoexpreso de abril de 2022; el operador dijo que los datos no se comprometieron y que la infraestructura se ha robustecido.

El comité de transición reanudó su sesión y dedicó el turno principal a interrogar al panel de transportación sobre la seguridad de Sesco Digital y la operación del peaje Autoexpreso. La doctora experta en ciberseguridad preguntó si las herramientas se han sometido a modelos de madurez como el Cyber Security Maturity Model del Departamento de Defensa y al cumplimiento exigido por la Ley 40 de ciberseguridad de Puerto Rico.

El representante del operador confirmó que "es el mismo operador" y sostuvo que tras el incidente se actuó de inmediato y que "los datos no se vieron comprometidos en ningún momento". La doctora respondió que, en su evaluación, la falta de servicio en abril de 2022 se extendió más de dos semanas: "No fue inmediato, se tardó más de dos semanas", dijo, y pidió claridad sobre el alcance de las correcciones realizadas.

Miembros del comité solicitaron documentación sobre pruebas de penetración, métricas de seguridad y evidencia que permita evaluar la elegibilidad para seguros cibernéticos. El Co-presidente señaló que, para acceder a pólizas, los sistemas suelen requerir evaluaciones externas (ataques controlados) que generen un puntaje de seguridad; pidió que esa información sea provista si existe.

El representante del operador añadió que el FBI participó en la respuesta y que la infraestructura ha sido reforzada —incluyendo la renovación de pórticos— y ofreció que un experto técnico (identificado en la sesión como Pritz) aporte más detalles en una comparecencia futura. La doctora también preguntó si las herramientas digitales cumplen con los requisitos de accesibilidad de la Americans with Disabilities Act (ADA), dado que Sesco Digital sirve como puerta de entrada a servicios ciudadanos.

El comité dejó como próximos pasos la solicitud formal de: (1) resultados de pruebas de penetración o auditorías externas, (2) documentación que detalle las mejoras de infraestructura y (3) pruebas o certificaciones de accesibilidad para las interfaces públicas. El panel acordó presentar información adicional en una sesión posterior.