CIBERSEGURIDAD DE LAS OBRAS HIDRÁULICAS

Ciberseguridad Tabla de contenidos Enlaces rápidos:

• • Incidentes de ciberseguridad que afectan a la industria del agua
  • Respuesta a un incidente de ciberseguridad
  • Evaluación de la ciberseguridad
  • Implementación de controles de ciberseguridad
  • Recursos adicionales de ciberseguridad

La Oficina de Agua Potable recomienda encarecidamente a las empresas hidráulicas que evalúen sus prácticas de ciberseguridad e implementen controles de ciberseguridad adecuados a las tecnologías que utilizan.  Para una empresa hidráulica nueva en ciberseguridad, la simple implementación de prácticas básicas de ciberseguridad puede reducir en gran medida su exposición a ataques cibernéticos que pueden amenazar su sistema de agua, software de facturación/financiero u otros sistemas críticos.  Algunos ejemplos de prácticas básicas de ciberseguridad son el uso de software antivirus y malware, la actualización periódica del software, el establecimiento de contraseñas seguras, la utilización de la autenticación multifactor, la realización de copias de seguridad de los datos con regularidad, la realización de formación en materia de ciberseguridad y la protección de las redes inalámbricas.  Para garantizar la implementación de prácticas de ciberseguridad, las obras hidráulicas deben designar un líder de ciberseguridad para la organización.

Incidentes de ciberseguridad que afectan a la industria del agua

• Incidentes cibernéticos que involucran el software Cityworks

  La EPA emite esta alerta para informar a los propietarios y operadores de sistemas de agua y aguas residuales sobre incidentes cibernéticos que involucran al software Cityworks. La plataforma Cityworks (propiedad de Trimble) es ampliamente utilizada por municipios estatales, locales, tribales y territoriales, incluidos los sistemas de agua y aguas residuales.  Lea más sobre esta alerta aquí.

Respuesta a un incidente de ciberseguridad

Si una empresa de abastecimiento de agua experimenta un incidente de ciberseguridad, ODW recomienda que la empresa de abastecimiento de agua DOE lo siguiente:

• Informe al Equipo de Inteligencia Cibernética del Centro de Fusión de Virginia sobre el incidente a través de su Formulario de Incidente Cibernético. El Código de Virginia exige que los organismos públicos informen de los incidentes cibernéticos al Centro de Fusión de Virginia.

• Comuníquese con la oficina regional de ODW para informarles sobre el incidente. La información de contacto está disponible aquí.
• Informar a la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) del incidente a través de su Sistema de Reporte de Incidentes.

Es posible que Waterworks desee utilizar la Hoja informativa de informes de incidentes cibernéticos de la EPA para ayudar en sus esfuerzos por informar incidentes cibernéticos al gobierno federal.

Evaluación de la ciberseguridad

Las empresas hidráulicas deben evaluar de forma rutinaria sus medidas de ciberseguridad existentes para determinar dónde se necesitan controles adicionales para abordar las vulnerabilidades.  También se debe realizar una evaluación de ciberseguridad cuando se implementan nuevos sistemas de control de supervisión y adquisición de datos (SCADA), software de facturación/financiero u otras tecnologías que están sujetas a ataques cibernéticos y son críticas para las obras hidráulicas.

Para las obras hidráulicas que deseen realizar una autoevaluación de ciberseguridad, la Asociación Estadounidense de Obras Hidráulicas (AWWA) ha desarrollado una herramienta de evaluación para evaluar cómo las empresas de servicios públicos están utilizando diversas tecnologías y generar una lista personalizada y priorizada de controles que son más aplicables a las aplicaciones tecnológicas de las empresas de servicios públicos.  La AWWA también ha desarrollado una Guía de Sistemas Pequeños para ayudar a las pequeñas empresas rurales de servicios públicos a mejorar sus prácticas de ciberseguridad.  Puede encontrar más información sobre los recursos de ciberseguridad de AWWA en https://www.awwa.org/Resources-Tools/Resource-Topics/Risk-Resilience/Cybersecurity-Guidance

Para las obras hidráulicas que buscan asistencia para realizar una evaluación de seguridad cibernética, la Agencia de Protección Ambiental de EE. UU. (EPA) ofrece evaluaciones de seguridad cibernética gratuitas para las obras hidráulicas a través de su Programa de Evaluación de Ciberseguridad del Sector del Agua.  Este programa llevará a cabo una evaluación de seguridad cibernética utilizando la lista de verificación de la EPA en su guía sobre la evaluación de la seguridad cibernética en las encuestas sanitarias de PWS, y desarrollará un plan de mitigación de riesgos que identifique los controles de seguridad cibernética recomendados.  Para obtener esta asistencia de la EPA, complete el formulario de solicitud del Programa de Evaluación de Ciberseguridad del Sector del Agua de la EPA aquí.

Otros recursos

• Herramienta de Evaluación de Ciberseguridad del Agua y Plan de Mitigación de Riesgos de la USEPA - Este formulario de 33preguntas está diseñado para ser completado por personas moderadamente conocedoras de la informática sin experiencia en IT. Además de servir como una evaluación de seguridad cibernética dirigida a elementos que la EPA considera prioritarios, esta herramienta también ayuda al desarrollo de planes de mitigación de riesgos para abordar las brechas identificadas por la evaluación.
• CIS RAM v2.1 para CIS Critical Security Controls v8 y NIST Cybersecurity Framework v1.1 son herramientas de evaluación adicionales utilizadas por la industria de la ciberseguridad con aplicaciones más allá de los sistemas de agua potable. Estas herramientas requieren un grado mucho mayor de experiencia en tecnología de la información que la Herramienta de Evaluación AWWA o la Herramienta de Evaluación de Ciberseguridad del Agua y el Plan de Mitigación de Riesgos de la USEPA.
• EPA - Ciberseguridad de la EPA para el sector del agua | Agencia de Protección Ambiental de EE. UU.
• Ciberseguridad y orientación de AWWA | Asociación Americana de Obras Hidráulicas (awwa.org)
• Página de inicio de CISA | CISA - Alertas y Avisos de Ciberseguridad de CISA
• Herramientas WaterISAC | AguaISAC
• Ciberseguridad del NIST | NIST
• Laboratorio Nacional de Idaho Protección de Infraestructuras Críticas - Laboratorio Nacional de Idaho (inl.gov)
• MS-ISAC - MS-ISAC (cisecurity.org)Adicional Enlaces

Implementación de controles de ciberseguridad

Recursos adicionales de ciberseguridad

Lista de verificación de acción ante incidentes de la EPA : la EPA proporciona una lista de verificación de acciones para prepararse para un incidente cibernético, para responder a un incidente cibernético y para recuperarse de un incidente cibernético.

Guía de participación del sector de agua y aguas residuales del Virginia Fusion Center - Guía y recursos de ciberseguridad para el sector del agua y las aguas residuales