Ciberseguridad Tabla de contenidos Enlaces rápidos:
La Oficina de Agua Potable recomienda encarecidamente a las empresas hidráulicas que evalúen sus prácticas de ciberseguridad e implementen controles de ciberseguridad adecuados a las tecnologías que utilizan. Para una empresa hidráulica nueva en ciberseguridad, la simple implementación de prácticas básicas de ciberseguridad puede reducir en gran medida su exposición a ataques cibernéticos que pueden amenazar su sistema de agua, software de facturación/financiero u otros sistemas críticos. Algunos ejemplos de prácticas básicas de ciberseguridad son el uso de software antivirus y malware, la actualización periódica del software, el establecimiento de contraseñas seguras, la utilización de la autenticación multifactor, la realización de copias de seguridad de los datos con regularidad, la realización de formación en materia de ciberseguridad y la protección de las redes inalámbricas. Para garantizar la implementación de prácticas de ciberseguridad, las obras hidráulicas deben designar un líder de ciberseguridad para la organización.
Respuesta a un incidente de ciberseguridad
Si una planta de tratamiento de agua sufre un incidente de ciberseguridad, ODW recomienda que la planta haga lo siguiente:
- Informe al Equipo de Inteligencia Cibernética del Centro de Fusión de Virginia sobre el incidente a través de su Formulario de Incidente Cibernético. El Código de Virginia exige que los organismos públicos informen de los incidentes cibernéticos al Centro de Fusión de Virginia.
- Comuníquese con la oficina regional de ODW para informarles sobre el incidente. La información de contacto está disponible aquí.
- Informar a la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) del incidente a través de su Sistema de Reporte de Incidentes.
Es posible que Waterworks desee utilizar la Hoja informativa de informes de incidentes cibernéticos de la EPA para ayudar en sus esfuerzos por informar incidentes cibernéticos al gobierno federal.
Evaluación de la ciberseguridad
Las empresas hidráulicas deben evaluar de forma rutinaria sus medidas de ciberseguridad existentes para determinar dónde se necesitan controles adicionales para abordar las vulnerabilidades. También se debe realizar una evaluación de ciberseguridad cuando se implementan nuevos sistemas de control de supervisión y adquisición de datos (SCADA), software de facturación/financiero u otras tecnologías que están sujetas a ataques cibernéticos y son críticas para las obras hidráulicas.
Para las obras hidráulicas que deseen realizar una autoevaluación de ciberseguridad, la Asociación Estadounidense de Obras Hidráulicas (AWWA) ha desarrollado una herramienta de evaluación para evaluar cómo las empresas de servicios públicos están utilizando diversas tecnologías y generar una lista personalizada y priorizada de controles que son más aplicables a las aplicaciones tecnológicas de las empresas de servicios públicos. La AWWA también ha desarrollado una Guía de Sistemas Pequeños para ayudar a las pequeñas empresas rurales de servicios públicos a mejorar sus prácticas de ciberseguridad. Puede encontrar más información sobre los recursos de ciberseguridad de AWWA en https://www.awwa.org/Resources-Tools/Resource-Topics/Risk-Resilience/Cybersecurity-Guidance
Para las obras hidráulicas que buscan asistencia para realizar una evaluación de seguridad cibernética, la Agencia de Protección Ambiental de EE. UU. (EPA) ofrece evaluaciones de seguridad cibernética gratuitas para las obras hidráulicas a través de su Programa de Evaluación de Ciberseguridad del Sector del Agua. Este programa llevará a cabo una evaluación de seguridad cibernética utilizando la lista de verificación de la EPA en su guía sobre la evaluación de la seguridad cibernética en las encuestas sanitarias de PWS, y desarrollará un plan de mitigación de riesgos que identifique los controles de seguridad cibernética recomendados. Para obtener esta asistencia de la EPA, complete el formulario de solicitud del Programa de Evaluación de Ciberseguridad del Sector del Agua de la EPA aquí.
Otros recursos
- Herramienta de Evaluación de Ciberseguridad del Agua y Plan de Mitigación de Riesgos de la USEPA - Este formulario de 33preguntas está diseñado para ser completado por personas moderadamente conocedoras de la informática sin experiencia en IT. Además de servir como una evaluación de seguridad cibernética dirigida a elementos que la EPA considera prioritarios, esta herramienta también ayuda al desarrollo de planes de mitigación de riesgos para abordar las brechas identificadas por la evaluación.
- CIS RAM v2.1 para CIS Critical Security Controls v8 y NIST Cybersecurity Framework v1.1 son herramientas de evaluación adicionales utilizadas por la industria de la ciberseguridad con aplicaciones más allá de los sistemas de agua potable. Estas herramientas requieren un grado mucho mayor de experiencia en tecnología de la información que la Herramienta de Evaluación AWWA o la Herramienta de Evaluación de Ciberseguridad del Agua y el Plan de Mitigación de Riesgos de la USEPA.
- EPA - Ciberseguridad de la EPA para el sector del agua | Agencia de Protección Ambiental de EE. UU.
- Ciberseguridad y orientación de AWWA | Asociación Americana de Obras Hidráulicas (awwa.org)
- Página de inicio de CISA | CISA - Alertas y Avisos de Ciberseguridad de CISA
- Herramientas WaterISAC | AguaISAC
- Ciberseguridad del NIST | NIST
- Laboratorio Nacional de Idaho Protección de Infraestructuras Críticas - Laboratorio Nacional de Idaho (inl.gov)
- MS-ISAC - MS-ISAC (cisecurity.org)
Implementación de controles de ciberseguridad
Financiamiento de subvenciones para gobiernos estatales, locales y territoriales: El Departamento de Seguridad Nacional (DHS), a través de su Programa de Subvenciones de Ciberseguridad Estatal y Local (SLCGP), proporciona fondos para que los gobiernos estatales, locales, tribales y territoriales aborden los riesgos y amenazas de ciberseguridad a los sistemas de información que son propiedad u operados por esas entidades. Esta subvención es gestionada en Virginia por la Virginia IT Agency (VITA), el Departamento de Manejo de Emergencias de Virginia (VDEM), y el Comité de Planeación de Ciberseguridad de Virginia (VCPC). Para obtener más información sobre esta subvención, visite https:\/\/www.vita.virginia.gov\/security\/cybersecurity-grants\/
Recursos adicionales de ciberseguridad
Lista de verificación de acción ante incidentes de la EPA : la EPA proporciona una lista de verificación de acciones para prepararse para un incidente cibernético, para responder a un incidente cibernético y para recuperarse de un incidente cibernético.
Guía de participación del sector de agua y aguas residuales del Virginia Fusion Center - Guía y recursos de ciberseguridad para el sector del agua y las aguas residuales
Resultados de la encuesta de ciberseguridad y gestión de emergencias
La Oficina de Agua Potable envió una encuesta sobre ciberseguridad y gestión de emergencias a todas las obras hidráulicas. Más de 660 obras hidráulicas respondieron. Los resultados clave de la encuesta se pueden encontrar aquí.