Loading
BLOG | CIBERSEGURIDAD

Ciberseguridad para infraestructura crítica

Cómo puede hacer su parte para proteger los activos y servicios de infraestructura crítica
Un hombre con casco, teléfono y portapapeles arrodillado cerca de una vía de tren.

La Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) define la infraestructura crítica como los sistemas y servicios esenciales que constituyen la base de la sociedad estadounidense. Son tan vitales para nuestro país que, si se incapacitaran o destruyeran, habría consecuencias desastrosas para la salud pública, la seguridad y la seguridad económica.

Nuestra infraestructura crítica incluye autopistas, puentes y túneles de conexión, ferrocarriles, servicios públicos como agua y electricidad, suministro de alimentos, infraestructura de atención médica, edificios y servicios relacionados, según el Departamento de Seguridad Nacional (DHS). Nuestra supervivencia económica y nuestra vida diaria dependen de estos sistemas vitales.

La CISA se creó para reducir las vulnerabilidades de ciberseguridad e infraestructura crítica en EE. UU. La organización trabaja con empresas, comunidades y gobiernos para reforzar las defensas del país en sectores clave, haciéndolos más resilientes frente a las amenazas cibernéticas y físicas. 

Enfoque en la protección de la infraestructura crítica de nuestra nación

En la primera mitad de 2021, el presidente Biden firmó una orden ejecutiva con el objetivo de mejorar y modernizar la postura de ciberseguridad de nuestro país, especialmente en las industrias de infraestructura crítica.

Las entidades del sector público y privado se enfrentan a una actividad cibernética alarmantemente sofisticada y maliciosa, junto con un gran aumento de ataques menos complejos como el phishing que también pueden ser devastadores si no se detectan.

La hoja informativa de la Casa Blanca sobre la orden ejecutiva afirma: “Gran parte de nuestra infraestructura crítica nacional es propiedad y está operada por el sector privado, y esas empresas del sector privado toman su propia determinación respecto a las inversiones en ciberseguridad. Animamos a las empresas del sector privado a seguir el ejemplo del gobierno federal y a tomar medidas ambiciosas para aumentar y alinear las inversiones en ciberseguridad con el objetivo de minimizar los incidentes futuros”.

Algunas de las formas en que la orden ejecutiva fortalecerá la ciberseguridad de la infraestructura crítica de nuestra nación incluyen:

  • Exigir a los proveedores que compartan información sobre brechas que puedan afectar las redes gubernamentales.
  • Establecer una Junta de Revisión de Seguridad de Ciberseguridad para analizar los incidentes cibernéticos y hacer recomendaciones concretas para mejorar.
  • Crear un manual estandarizado para la respuesta a incidentes cibernéticos para que los departamentos federales puedan tomar medidas uniformes para identificar y mitigar una amenaza. El manual también proporcionará al sector privado una plantilla para sus esfuerzos de respuesta.

Pasos para la protección de la ciberseguridad de la infraestructura crítica

La firma de analistas ARC Advisory Group revisó recientemente los requisitos para proteger los sistemas OT críticos. Su informe posterior incluyó las siguientes recomendaciones principales para las empresas industriales:

  • Revise las estrategias de ciberseguridad de OT para confirmar que se cubren los aspectos básicos y que su organización puede hacer frente a ataques sofisticados. Por ejemplo, ¿con qué frecuencia se evalúan los inventarios de la base instalada? ¿Qué sistemas de detección, mitigación y respaldo/recuperación se han diseñado?
  • ¿Se ofrece capacitación en concientización cibernética a todos los empleados? ¿Qué medidas de seguridad física o de productos se han implementado a nivel de controladores y dispositivos?
  • Confirme que los esfuerzos de transformación digital incluyan una seguridad adecuada desde el principio para reducir los riesgos relacionados con los dispositivos de Internet de las cosas (IoT), los servicios en la nube, los trabajadores remotos, las cadenas de suministro y los sistemas de terceros. Considere recurrir a terceros para cubrir las carencias de conocimientos en ciberseguridad. El talento en ciberseguridad es escaso en todo el mundo. Es imperativo implementar soluciones de seguridad de infraestructura eficaces de forma rápida y precisa, y las empresas de consultoría con esta experiencia pueden proporcionar conocimientos profundos, ahorrando una enorme cantidad de esfuerzos y costos desperdiciados.

Es necesario cerrar las brechas de ciberseguridad en las industrias de infraestructura crítica y muchas organizaciones públicas y privadas deben abordar estos problemas con urgencia.

Fondos de subvención disponibles

El Congreso aprobó una ley de infraestructura bipartidista por valor de USD 1,000,000,000,000 en noviembre de 2021. Parte de la ley de infraestructura proporcionará miles de millones de dólares en fondos a la CISA, a la EPA y a la Agencia Federal para el Manejo de Emergencias (FEMA). Todos los fondos se utilizarán para servicios y subvenciones que ayuden a proteger los servicios de infraestructura crítica del país, incluso a nivel estatal y local.

Por ejemplo, hay disposiciones para ayudar a las redes eléctricas y a los sistemas de agua/aguas residuales a fortalecer sus defensas contra el ransomware y otros ciberataques. Las subvenciones también respaldan los pasos necesarios en la presentación de un plan de ciberseguridad aprobado, como la realización de evaluaciones de vulnerabilidades, análisis de malware o detección de amenazas.

Para ser elegible para una subvención, se debe presentar un plan de ciberseguridad al DHS para su evaluación, detallando las capacidades técnicas y los protocolos para detectar y responder a los ciberataques. El plan debería cumplir con ciertos estándares de línea base. (Se proporcionará más información cuando se publique). Los protocolos de evaluación y planificación de ciberseguridad de Rockwell Automation, basados en el marco de NIST para una ciberseguridad eficaz con las categorías de Identificar, Proteger, Detectar, Responder y Recuperar, serían una forma lógica de comenzar.

Ciberseguridad de la infraestructura crítica: una responsabilidad cívica

Está claro que tanto los gobiernos como las entidades privadas deben reducir el riesgo de ciberseguridad en las operaciones de infraestructura crítica. El único obstáculo es la demora en la acción.

Rockwell Automation se compromete a ayudar a las industrias de infraestructura crítica a obtener fondos de subvención a través de la Ley de Inversión en Infraestructura y Empleos. Obtenga más información sobre los pasos que puede dar hoy mismo para estar preparado para solicitarla.

 

Este blog  fue publicado originalmente por Cyber Defense Magazine.

 

Publicado 11 de agosto de 2022

Loading
Kamil Karmali
Kamil Karmali
Global Commercial Manager, Cybersecurity, Rockwell Automation
Kamil Karmali serves as the Global Commercial Manager for the Rockwell Automation Global Services organization. He has more than 15 years of experience in cross-functional team leadership, sales management, talent development and executive consulting in industrial IoT and manufacturing technology.
Suscribirse

Suscríbase a Rockwell Automation y reciba las últimas noticias, liderazgo intelectual e información directamente en su bandeja de entrada.

Suscribirse
Recomendado para usted
Loading
El contenido de este sitio ha sido traducido mediante inteligencia artificial (IA) sin revisión humana o ediciones. El contenido podría contener errores o inexactitudes, y se proporciona “tal cual” sin ninguna garantía. El texto oficial es la versión en inglés del contenido.