Español 
English (UK) 
Русский 
العربية 
日本語 
한국어 
Magyar 
Türkçe 
Čeština 
Svenska 
Português 
Ελληνικά 
Suomi 
Nederlands 
Română 
Italiano 
Français 
Polski 
Українська 
Deutsch 
简体中文 
Slovenčina 
3 Steps Government Policymakers Can Take to Reduce Critical Infrastructure Cyber Attacks">
Recommendation: Establecer un registro de riesgos interinstitucional para identificar la exposición en todos los sistemas públicos conectados, y luego alinear las políticas para mejorar la protección y simplificar los servicios gestionados.
Acción 1: Construir y rastrear un circuito unificado de intercambio de información entre agencias y socios privados para identificar múltiples riesgos, incluyendo delitos y exposición de datos sensibles.
Acción 2: Implemente un enfoque de protección basado en productos y servicios gestionados, anclado en políticas que le permitan realizar un seguimiento de los costes y beneficios en todos los sistemas de cara al público.
Acción 3: Actualizar las políticas internas y de adquisición con controles estandarizados, exigir a las agencias que informen de los riesgos e incidentes en curso y, a continuación, aplicar la información general para fundamentar los presupuestos y las actualizaciones de los programas de las propias agencias.
Marco práctico para la protección de datos en infraestructuras críticas
Implementar un programa de protección de datos específico para redes de servicios clave, aplicando una clasificación formal de los datos y una supervisión continua para hacer frente a los riesgos crecientes y combatir las intrusiones persistentes.
Comprenda el panorama de amenazas mediante el mapeo de activos, flujos de datos y recorridos de usuarios en el ciberespacio. De acuerdo con CISA, alinee el diseño de controles con aquellos que operan, confían o dependen de estas redes, y mantenga la continuidad aplicando la segmentación y el acceso con privilegios mínimos.
Adopte un enfoque de defensa en profundidad: identifique los datos que requieren protección, cifre los datos en reposo y en tránsito, y gestione las claves a través de procesos específicos. Aproveche la autenticación multifactor (MFA), los controles de acceso precisos y las revisiones de acceso trimestrales, manteniendo al mismo tiempo una postura sólida en los bordes de la red y los endpoints, incluidos los servicios de salud y otros proveedores.
Establezca rituales claros de gestión y notificación de incidentes: defina los manuales de operaciones, realice ejercicios teóricos trimestralmente e informe de los incidentes a las entidades pertinentes con prontitud para reducir el tiempo de permanencia y evitar compromisos secundarios. Mantenga una supervisión 24/7 y una contención rápida para la actividad del ciberespacio en tiempo real.
| Control area | Propósito | Propietario / entidad responsable | Métricas |
|---|---|---|---|
| Clasificación y etiquetado de datos | Identificar datos confidenciales y aplicar normas de manejo | Gobernanza de TI / Datos | Precisión > 95%; revisiones trimestrales |
| Gestión de identidades y accesos (MFA, RBAC) | Limitar quién puede acceder a datos confidenciales | Equipo de IAM | MFA para administradores; principio de privilegio mínimo; auditorías de acceso anuales |
| Segmentación de red / Confianza cero | Contener brechas y controlar el movimiento lateral | Arquitectura de seguridad | cobertura de microsegmentación > 90%; simular brechas trimestralmente |
| Monitorización y registro | Detecte incidentes rápidamente y rastree actividades | Centro de Operaciones de Seguridad | Cobertura 24/7; MTTD < 15 minutos; retención de registros 90 días |
| Copias de seguridad y recuperación | Mantener la continuidad y la recuperabilidad | Equipo de respaldo y resiliencia | copias de seguridad diarias; RPO de 4 horas; RTO de 8 horas |
| Intercambio de inteligencia sobre amenazas | Comprender los patrones e indicadores emergentes de selección de objetivos | Inteligencia sobre amenazas / enlace gubernamental | informes mensuales; compartir indicadores con entidades |
Establecer una base de referencia de protección de datos basada en el riesgo para redes OT e IT
Si bien existe urgencia, implementar esta línea base es difícil pero necesario. Una única línea base para toda la organización consolida los inventarios de activos de OT e IT y los flujos de datos en una sola vista. Este hecho informa la estrategia de un gerente para proteger los datos vitales y reducir la exposición en los sectores de energía e industria. La línea base debe ser factible y viable de desarrollar en un plazo de 60 días, con un orden de prioridad claro para las categorías de datos y los flujos. El plan ayuda a los gerentes a comprender los puntos de exposición y el valor de la protección de datos.
La dirección de la agencia debe encargar un estándar nacional que generalice una base de referencia basada en el riesgo para las redes conectadas y la fuerza laboral. El marco debe ser medible, estar alineado con el cumplimiento normativo existente y actualizarse trimestralmente para reflejar incidentes reales y amenazas crecientes. Los delitos digitales han aumentado considerablemente, lo que subraya la necesidad de una base de referencia formal. La identificación de los activos de alto valor y los flujos de datos debe ser completada por los propietarios identificados, con la capacidad de trasladar rápidamente las acciones de remediación al plan de ejecución. Esto garantiza que los riesgos que se han identificado se capturen en la base de referencia.
Las acciones clave incluyen: identificar los activos y los flujos de datos para cerrar las brechas; mover la segmentación entre OT e IT donde sea factible; hacer cumplir el acceso con privilegios mínimos para los gerentes e ingenieros; exigir MFA para las cuentas de administrador; cifrar los datos confidenciales en reposo y en tránsito; implementar un ciclo de parches y firmware de 30 días para los elementos de alto riesgo; realizar ejercicios trimestrales para probar la respuesta; establecer un manual de respuesta a incidentes. Este movimiento disminuye la exposición y hace que la organización sea más resistente contra los atacantes.
Para medir el progreso, adopte un panel de control basado en hechos: el porcentaje de dispositivos conectados con firmware actual, el porcentaje de flujos de datos clasificados, el tiempo de contención para incidentes y el tiempo medio de recuperación. Los incidentes reales del año pasado muestran una creciente actividad de amenazas en toda la red, especialmente donde la concienciación de la fuerza laboral es débil. Cuando los controles rebotan entre sitios sin alineación, la contención se vuelve más lenta. Una tendencia general muestra que las organizaciones con una línea de base clara enfrentan menos brechas y una recuperación más rápida en comparación con sus pares en la industria. Este patrón confirma que la gobernanza y la rutina de la línea de base son cruciales.
Supervisar y verificar continuamente los controles identificados; la comisión puede exigir auditorías trimestrales, con un conjunto de datos nacional para comparar el rendimiento en todo el sector. En la práctica, una red bien gestionada y conectada avanza hacia una postura resiliente incluso cuando se enfrenta a agentes de amenazas sofisticados. En general, la línea de base es vital para una gestión de riesgos coherente y ayuda a la fuerza laboral a comprender el papel de la protección de datos en el trabajo diario.
Exigir el cifrado, la gestión de claves y la minimización de datos en los sistemas críticos
Requerir el cifrado por defecto de los datos en reposo y en tránsito, desplegar la gestión centralizada de claves e implementar la minimización automatizada de datos en los activos esenciales para prevenir la pérdida de datos y limitar la exposición.
-
Cifrado y gestión de claves en los activos esenciales:
- Cifre los datos en reposo y en tránsito de forma predeterminada, utilizando módulos criptográficos validados por FIPS; centralice el material clave en un módulo de seguridad de hardware (HSM) o KMS en la nube con rotación automatizada y controles de acceso estrictos. Separe las funciones para que ningún rol pueda acceder a los datos y controlar las claves; aplique registros de auditoría inmutables para respaldar los análisis de incidentes. Incluya el depósito de claves cuando sea necesario para evitar la pérdida y permitir la recuperación. Aproveche su pila de tecnología para automatizar la aplicación en todos los repositorios y comunicaciones; Krishnan señala que el control centralizado y la validación periódica de las implementaciones criptográficas fortalecen la resiliencia y ayudan a identificar las debilidades que los hackers pueden explotar.
-
Minimización de datos y flujos de datos controlados:
- Documentar algunos tipos de datos recopilados y justificar su necesidad para la prestación del servicio; clasificar los datos y aplicar límites de retención; anonimizar o seudonimizar cuando sea factible; automatizar la purga de registros obsoletos después de periodos definidos. Limitar el intercambio a los socios necesarios dentro de la cadena de suministro y exigir el cifrado en tránsito para las transferencias; mantener los datos de los sujetos al mínimo requerido, y adaptar las políticas de manejo a las necesidades de los sectores de la salud y otros. Demostrar la importancia para las economías y aprovechar este enfoque para cumplir algunos objetivos de política, al tiempo que se reduce la exposición.
-
Gobernanza, supervisión y respuesta ante incidentes:
- Establecer una comisión interinstitucional para definir las funciones y la rendición de cuentas; alinear la aplicación de la ley con las políticas en todas las economías y sectores, incluidos otros; integrar la inteligencia sobre las crecientes amenazas y los objetivos de los piratas informáticos; garantizar la gobernanza en el ciberespacio y en la salud y otros servicios esenciales; mantener el ritmo de los riesgos cambiantes y liderar el camino con manuales de ejercicios y simulacros de incidentes. Recopilar las acciones emprendidas y aplicar las lecciones aprendidas para subsanar las deficiencias de manera oportuna, demostrando el valor de un liderazgo más sólido.
Aplique el acceso de confianza cero para el mantenimiento remoto y las conexiones de proveedores
Adopte un modelo de acceso de confianza cero para el mantenimiento remoto y las conexiones de proveedores, que requiera credenciales de corta duración, comprobaciones de la postura del dispositivo y verificación continua de la sesión para cada interacción. Este enfoque refuerza la resiliencia empresarial al garantizar identidades auténticas, acceso controlado y actividad auditable en todos los sistemas.
- Verificación de identidad y dispositivos: Imponer la autenticación basada en certificados y MFA para cada proveedor y técnico; integrar con un único proveedor de identidad; requerir comprobaciones continuas del estado de los dispositivos inscritos y enrutar los registros a un almacén de datos centralizado; las políticas deben revisarse periódicamente para confirmar la alineación con el apetito de riesgo y las expectativas de cada rol.
- Alcance del acceso y mínimo privilegio: Asignar cada tarea del proveedor a un portafolio definido de sistemas; aplicar control de acceso basado en roles y sesiones con límite de tiempo; restringir los comandos y la exposición de datos a lo estrictamente necesario; esto reduce el impacto significativo al tiempo que preserva la agilidad para las necesidades del negocio.
- Conexiones mediadas y control de sesión: todo acceso remoto a los sistemas centrales debe pasar por una puerta de enlace segura o un host de salto con TLS mutuo; bloquear las conexiones directas de los proveedores; aplicar límites de sesión granulares y la terminación automática cuando se complete la tarea; realizar un seguimiento de las acciones en un registro inmutable.
- Monitoreo, seguimiento de datos y auditoría: Permita el monitoreo continuo de las sesiones; rastree los movimientos de datos y los cambios de configuración; mantenga un desglose auditable de las acciones para las revisiones; establezca alertas casi en tiempo real para el comportamiento anómalo; asegúrese de que los datos informen actualmente las decisiones de riesgo.
- Gestión del ciclo de vida, la salud y el desarrollo de tecnología: Mantener un inventario actualizado de activos y carteras de proveedores; exigir que los cambios de los proyectos en desarrollo se prueben en un entorno controlado antes de su implementación en sistemas de soporte vital; supervisar el estado del sistema y automatizar la corrección siempre que sea factible.
- Gobernanza, supervisión y mejora continua: Alinear con las prioridades del negocio; la supervisión de los equipos de IT del municipio y de las agencias debe formar parte de la revisión de las políticas; mejorar continuamente las técnicas y las políticas; realizar un seguimiento de las métricas de rendimiento y de la importancia de estos controles para la cartera tecnológica más amplia; este marco debería ayudar a que esta cartera siga siendo resistente a medida que crece.
Segmentar las redes e implementar la monitorización continua con alertas en tiempo real
Implemente una topología segmentada en su red regional e implemente alertas continuas en tiempo real en una consola centralizada y gestionada. Este enfoque conducirá a una menor exposición al mantener los servicios en zonas aisladas y aplicar controles de acceso dinámicos. Utilice un único panel de gestión para coordinar las alertas, los cambios de política y los manuales de respuesta, para que su equipo pueda actuar con rapidez.
Comience con un mapa regional de dónde residen sus activos e identifique dónde los servicios son de acceso público. En cada región, mapee la exposición y la importancia de los activos. Para cada zona, asigne un proveedor de confianza e implemente controles estrictos. Incluya inteligencia sobre amenazas para agudizar la detección y monitorear los indicadores de patrones de hechos recientes desde la última elección. Mantenga un gran cúmulo de incidentes y lecciones aprendidas para adaptarse rápidamente.
Garantizar que los servicios permanezcan conectados a través de límites controlados: denominados microsegmentación y marcos de confianza cero; implementar acceso con energía limitada. Utilizar una pila de seguridad gestionada que admita notificaciones en tiempo real, automatización para la contención y un plan para los cambios continuos. El objetivo es evitar que un solo ataque se propague a través de muchas regiones y servicios, en caso de fallos de contención.
Desde una perspectiva nacional, alinéese con un plan que cubra la planificación vital en torno a la cadena de suministro, el riesgo de los proveedores y la defensa durante los períodos de alta tensión, como las elecciones. Los equipos de seguridad se han estado centrando en la inteligencia, y deberían seguir liderando con la inteligencia, y adaptar las tácticas al panorama de amenazas donde los hackers están atacando actualmente los activos. Céntrese en el hecho de que la mayoría de las intrusiones comienzan con servicios expuestos y configuraciones débiles; cierre esas brechas primero.
Para cuantificar el progreso, supervise los niveles de exposición, el tiempo de detección y el tiempo de contención. Utilice paneles regionales y continúe perfeccionando las tácticas basándose en la inteligencia y los hechos. Mantenga una gran cantidad de manuales probados desde los primeros días, incluyendo aportaciones de Dell y otros proveedores. Prepárese para el próximo ataque y ajuste la segmentación en consecuencia. En todo el mundo, la adopción de estas prácticas mantiene la energía y los servicios conectados.
Cree manuales de respuesta a incidentes, copias de seguridad de datos y recuperación con simulacros
Identificar los activos que más importan en las operaciones específicas de la región y nombrar un responsable para áreas temáticas como datos, redes y sistemas de salud. Crear un equipo de agencias dedicado para ejecutar la respuesta a incidentes, la copia de seguridad de datos y las actividades de recuperación, con una estrategia que sea comprensible para las diferentes unidades de la organización. Este enfoque ayuda a los gobiernos a establecer normas y acciones específicas para que el programa pueda combatir las amenazas cuando surgen. Los procedimientos justos para evitar sobrecargar a los equipos.
Cree un manual de estrategias de respaldo de datos que cubra el alcance, la cadencia, el cifrado, las copias fuera del sitio y las comprobaciones de integridad. Elija un producto con control de versiones y aislamiento air-gap; pruebe la restauración mensualmente y documente los resultados en un repositorio central para la revisión de seguridad. Programe copias de seguridad automatizadas para que se ejecuten por completo, con alertas cuando falle una prueba de restauración, y comprenda el estado de cada nivel de datos.
Desarrolle un manual de recuperación con objetivos claros de RTO y RPO para los servicios esenciales. Trace un mapa de las dependencias de la red e identifique las secuencias clave de recuperación, priorizando diferentes unidades organizativas y regiones. Utilice procedimientos estandarizados para garantizar que los pasos de recuperación sean repetibles, escalables y estén alineados con los estándares y las políticas de la agencia. Capacite a los equipos para que comprendan cómo ejecutar el plan durante un simulacro y documenten las deficiencias.
Programa de simulacros: simulacros teóricos, intrusiones simuladas y ejercicios prácticos de restauración. Programar cuándo realizar los simulacros; involucrar a las partes interesadas de gobiernos, regiones y organizaciones. Utilizar una puntuación objetiva para el tiempo de detección y contención, el tiempo de restauración y la integridad de los datos; plasmar las lecciones aprendidas en un informe sucinto de conclusiones y actualizar los manuales en consecuencia.
Gobernanza y mejora: mantener un catálogo vivo de problemas y mejoras; mantener el cúmulo de aprendizajes de incidentes accesible a todos, garantizando que se aborden los temas de protección de datos y seguridad. Alinear con las normas y la focalización del riesgo; medir los indicadores de salud, como el tiempo medio de identificación, el tiempo de comprensión y el tiempo de recuperación; esto garantiza la resiliencia a escala en toda la región.