La ciberseguridad no es un problema nuevo para los servicios públicos. Recibió la atención en 2021, cuando el Presidente Biden se comprometió a reforzar la ciberseguridad de nuestra nación, concretamente reforzando nuestras infraestructuras críticas. La Ley de Inversión en Infraestructuras y Empleo incluye unos 1.900 millones de dólares para ciberseguridad. Aproximadamente la mitad de esos fondos se destinan al Programa de Subvenciones Cibernéticas Estatales, Locales, Tribales y Territoriales, administrado por la Agencia de Ciberseguridad y Seguridad de las Infraestructuras durante los próximos cuatro años. La ciberseguridad, en particular para las infraestructuras críticas, es una cuestión que requiere una atención constante a medida que la tecnología evoluciona y aumenta la automatización. Mantenerse al día de las exigencias tecnológicas puede resultar difícil para las pequeñas empresas de suministro de agua. Sin embargo, los riesgos de no estar al día en ciberseguridad son importantes. Los sistemas de control y adquisición de datos (SCADA) y los portales de facturación en línea son ejemplos de automatización de la que dependen los servicios públicos y de vulnerabilidades. Las empresas de servicios públicos pueden tomar algunas medidas para contribuir a la ciberseguridad.
Las empresas de servicios públicos deben realizar un inventario de activos. No se pueden asegurar los activos si la empresa de servicios públicos no conoce los activos y la información que proporcionan. Debe identificarse una base de datos de inventario de activos que enumere dispositivos, datos, personal, etc. Realizar y mantener un inventario actualizado es clave para comprender qué vulnerabilidades existen y ayudar a descubrir dispositivos y conexiones no autorizados a la red de la empresa de servicios públicos.
Tras realizar el inventario, la empresa de servicios públicos debe completar una evaluación de riesgos para identificar y priorizar las vulnerabilidades de seguridad. Las Evaluaciones de Riesgos y Resiliencia son obligatorias como parte de la Ley de Infraestructura del Agua de Estados Unidos (AWIA). La herramienta de orientación sobre ciberseguridad de la Asociación Americana de Obras Hidráulicas (AWWA ) y la Guía para la realización de evaluaciones de riesgos del Instituto Nacional de Ciencia y Tecnología (NIST ) son recursos recomendados para la realización de evaluaciones de riesgos. La empresa de servicios públicos puede priorizar adecuadamente sus iniciativas de ciberseguridad completando la evaluación de riesgos.
Tras la evaluación, pueden aplicarse diversas medidas de seguridad para reducir sus vulnerabilidades en materia de ciberseguridad. Un medio eficaz de mejorar la seguridad es minimizar la exposición del sistema de control (por ejemplo, SCADA). Esto puede hacerse limitando las vías entre el sistema de control, el sistema de tecnología de la información (TI) e Internet. Estas conexiones representan un punto explotable que hay que eliminar o vigilar atentamente. La segmentación del sistema puede protegerlo del tráfico no deseado utilizando cortafuegos y zonas desmilitarizadas (DMZ) entre el sistema de control y el resto.
Imponer controles de acceso adecuados a los usuarios también ayuda a mejorar la ciberseguridad. Dé acceso sólo a los usuarios autorizados y proporcione únicamente los permisos necesarios para la función o tarea. Un ejemplo de limitación del acceso al sistema es dar a un operario acceso al SCADA pero no al sistema de facturación del agua porque el trabajo del operario no implica la facturación del agua. El acceso limitado facilita la detección y limitación de actividades sospechosas en el sistema.
Las buenas prácticas en materia de contraseñas son esenciales. El NIST recomienda contraseñas más largas y fáciles de recordar que contraseñas más complejas que requieran caracteres especiales. Las contraseñas por defecto deben cambiarse inmediatamente, y cada usuario debe tener una contraseña única. Deben activarse otras funciones de seguridad, como el bloqueo del usuario tras demasiados intentos de contraseña. La autenticación multifactor reduce el riesgo de robo de credenciales. Por último, es vital eliminar el acceso de antiguos empleados/contratistas al sistema/sitio.
Una de las formas más accesibles de mejorar la ciberseguridad es limitar el acceso físico al sistema. Dé acceso al sitio sólo a las personas que lo necesiten. Utilice tarjetas de identificación y otras medidas de seguridad, como cámaras y sistemas de alarma, para proteger los activos físicos. También deben utilizarse barreras no técnicas, como vallas. Es fundamental formar a los empleados para que estén atentos a los intrusos que intentan acceder. Asegúrese siempre de que el equipo está bien sujeto. No es seguro dejar los ordenadores portátiles utilizados para el acceso remoto al sistema en vehículos abiertos. Si hay que dejar objetos, como ordenadores portátiles, en un vehículo, guárdelos fuera de la vista en un vehículo cerrado con llave.
Desarrollar políticas adecuadas para los dispositivos remotos. Investigue adecuadamente las políticas de “Traiga su propio dispositivo” porque representan un riesgo de seguridad único. Conciencie a los empleados de los peligros de conectarse a redes WiFi públicas. Estas conexiones no están aseguradas. Inculque una cultura de ciberseguridad en su organización, para que todas las partes sean conscientes de las amenazas a la ciberseguridad.
Por último, cuente con un plan de respuesta de ciberseguridad en caso de infracción. La opción de contratar un seguro de ciberseguridad existe y puede ser algo que las empresas de servicios públicos deban considerar. Tenga una copia de seguridad del sistema, almacenada fuera del sistema y, preferiblemente, sin conexión. Planifique cómo seguirá funcionando el sistema con sólo una funcionalidad parcial y tome medidas para mitigar los riesgos con antelación.
