Evaluacion de la seguridad cibernetica
durante las mspecciones sanitarias del
sistema publico de agua

Oficina del Agua de la EPA (4608T)
EPA 817-B-23-001
Marzo de 2023


-------
Descargo de responsabilidad

La Division de Infraestructura del Agua y Resiliencia Cibernetica de la Oficina de Agua Subterranea y Agua
Potable reviso y aprobo este documento para su publicacion. Este documento no impone requisitos
legalmente vinculantes a ninguna de las partes. Ni el Gobierno de Estados Unidos ni ninguno de sus
empleados o contratistas otorgan ninguna garantia, expresa o implicita, ni asumen ninguna obligation o
responsabilidad legai por el uso por parte de terceros de cualquier informacion, producto o proceso
mencionado en este documento, ni representan que su uso por dicha parte no infrinja los derechos de
propiedad privada. La mencion de nombres o productos comerciales no constituye respaldo o
recomendacion para su uso.

Comentario publico

La Agencia de Proteccion Ambiental (EPA) de Estados Unidos invita al publico a comentar sobre las
secciones 4 a 8 y todos los apendices de este documento de lineamientos. La EPA planea revisar y
actualizar este documento segun sea necesario en funcion de los comentarios publicos y la nueva
informacion. Los comentarios sobre este documento deben dirigirse a wicrd-outreach@epa.QOv.


-------
Tabla de contenido

1.0 Antecedentes	4

1.1.	dCual es e! proposito de esta gufa?.......................................................................................... 4

1.2.	
-------
1.0 Antecedentes

1.1.	iCual es el proposito de esta guia?

Esta guia respalda la implementacion del memorandum de la Agenda de Proteccion Ambiental de
EE. UU., Abordar la seguridad cibernetica del sistema publico de agua (PWS) en las inspecciones
sanitarias o en procesos alternatives.1 Los pasos descritos en el memorandum promueven la mision de
la EPA de trabajar con los estados2 para proteger el agua potable limpia y segura. El memorandum aclara
que los estados deben evaluar la seguridad cibernetica de la tecnologia operativa3 utilizada por el sistema
publico de agua al realizar una inspeccion sanitaria del PWS o por medio de otros programas estatales.

En el memorandum y en esta guia, se explican varios enfoques para incluir la seguridad cibernetica en las
inspecciones sanitarias del PWS o en otros programas estatales. El objetivo de las inspecciones sanitarias
es garantizar que los estados identifiquen de manera eficaz las deficiencias significativas y que los PWS
luego las corrijan —entre estas, se incluyen las relacionadas con la seguridad cibernetica— que podrian
afectar el agua potable segura. La EPA ofrece asistencia tecnica significativa y apoyo a los estados en
esta tarea, asi como a los PWS para cerrar las brechas de la seguridad cibernetica.

Hoy en dia, los PWS son objetivos frecuentes de actividad cibernetica maliciosa,4 que tiene el mismo
potencial o incluso mayor de comprometer el tratamiento y la distribucion de agua potable segura que un
ataque fisico. Aclarar que la seguridad cibernetica debe evaluarse durante las inspecciones sanitarias u
otros programas estatales al revisar la tecnologia operativa que forma parte del equipo o la operacion de
un PWS ayudara a reducir las probabilidades de un ataque cibernetico exitoso en un PWS y mejorara la
recuperacion si se produce un incidente cibernetico.

1.2.	iQuien deberia usar esta guia?

En esta guia, encontrara informacion extraida del memorandum y material complementario opcional para
ayudar a los estados y a los PWS a abordar la seguridad cibernetica de la tecnologia operativa en las
inspecciones sanitarias del PWS. Para obtener informacion general sobre las inspecciones sanitarias del
PWS, incluida la legislacion subyacente, los componentes y la frecuencia de las inspecciones y los
materiales de referencia, consulte https://www.epa.aov/dwreainfo/sanitarv-survevs.

1	https://www.epa.aov/waterriskassessment/epa-cvbersecuritv-best-practices-water-sector

2	"Estado" o "estados" globalmente en este documento incluye las tribus, los territorios y las regiones de la EPA
donde tiene la autoridad de aplicacion principal para los sistemas publicos de agua.

3	El termino "tecnologia operativa" significa hardware y software que detecta o provoca un cambio a traves del
monitoreo o control directo de dispositivos fisicos, procesos y eventos en la empresa. Ley de Mejora de la
Ciberseguridad de Internet de las Cosas de 2020, 15 U.S.C., § 271 (3)(6) (Ley publica 116-207).

4	Alerta (AA21-287A), Ongoing Cyber Threats to U.S. Water and Wastewater Systems (Amenazas ciberneticas
continuas a los sistemas de agua y aguas residuales de EE. UU.l.https://www.cisa.aov/uscert/ncas/alerts/aa2l-287a

1


-------
La EPA pretende que esta guia ayude tanto a los estados como a los PWS. Especificamente, el personal
del estado involucrado en la planificacion, la realization o la revision de las inspecciones sanitarias del
PWS puede usar esta guia para aprender lo siguiente:

•	enfoques para evaluar la seguridad cibernetica en los PWS a fin de cumplir con los requisites de la
inspeccion sanitaria, incluidos los recursos que pueden ayudar a los estados con la evaluacion de la
seguridad cibernetica;

•	como identificar las brechas en la seguridad cibernetica de los PWS, incluidas las posibles
deficiencias significativas; y

•	acciones que los PWS pueden tomar para abordar las brechas de la seguridad cibernetica, incluidas
las deficiencias significativas si el estado las identifica.

Los PWS pueden usar esta guia para aprender lo siguiente:

•	como evaluar las practicas y los controles de seguridad cibernetica actuales del PWS para identificar
las brechas;

•	acciones de desarrollo de un plan de mitigacion de riesgos de seguridad cibernetica del PWS para
las brechas de seguridad cibernetica, incluidas las deficiencias significativas si el estado las
identifica; y

•	recursos que pueden ayudar a cerrar las brechas de seguridad cibernetica.

Nota: El memorandum y esta guia de apoyo se centran en la evaluacion y la mejora de la seguridad
cibernetica de la tecnologia operativa en los PWS a traves de inspecciones sanitarias o programas
alternatives del estado. No abarca todos los componentes necesarios para un programa integral de
seguridad cibernetica de infraestructura critica, como los roles potenciales del estado en la notificacion de
incidentes ciberneticos y la respuesta ante ellos.

2.0 cCual es el requisite para evaluar la seguridad cibernetica durante las inspecciones
sanitarias del PWS?

La definicion de una inspeccion sanitaria es "una revision en el sitio de la fuente de agua, las
instalaciones, el equipo, la operacion y el mantenimiento de un PWS con el fin de evaluar la idoneidad de
dicha fuente, instalaciones, equipo, operacion y mantenimiento para producir y distribuir agua potable
segura".5 De conformidad con los requisites reglamentarios pertinentes, los estados deben realizar
inspecciones sanitarias periodicas de los PWS.6 La EPA interpreta los requisites reglamentarios
relacionados con la realizacion de inspecciones sanitarias para exigir que cuando un PWS utilice
tecnologia operativa, como un sistema de control industrial (ICS), como parte del equipo o la operacion
de cualquier componente requerido7 de una inspeccion sanitaria, la inspeccion sanitaria de ese PWS

5 40 CFR § 141.2

5 40 CFR §§ 141.2, 142.16(b)(3), 142.16(o)(2).

7 40 CFR § 142.16(b)(3) y (o)(2) [los componentes requeridos figuran en el anexo]

2


-------
debe incluir una evaluacion de la idoneidad de la seguridad cibernetica de esa tecnologia operativa para
producir y distribuir agua potable segura.

Un sistema de control industrial es un sistema de informacion utilizado para controlar procesos
industrials como la fabrication, la gestion de productos, la produccion y la distribucion. Los ICS incluyen
sistemas de control de supervision y adquisicion de datos que se utilizan para controlar los activos
dispersos geograficamente, asi como los sistemas de control distribuido y los sistemas de control mas
pequenos que utilizan controladores logicos programables para monitorear los procesos localizados.8

En consecuencia, durante una inspeccion sanitaria de un PWS, los estados deben hacer lo siguiente para
cumplir con el requisito de realizar una inspeccion sanitaria:

(1)	Si el PWS usa un ICS u otra tecnologia operativa como parte del equipo o la operacion de cualquier
componente requerido de la inspeccion sanitaria, entonces el estado debe evaluar la idoneidad de la
seguridad cibernetica de esa tecnologia operativa para producir y distribuir agua potable segura.

(2)	Si el estado determina que una deficiencia en la seguridad cibernetica identificada
durante una inspeccion sanitaria es significativa, entonces el estado debe usar su
autoridad para exigir que el PWS aborde la deficiencia significativa.9

La EPA ha determinado que las deficiencias significativas incluyen, entre otros, "defectos en el
diseno, el funcionamiento o el mantenimiento, o una falla o funcionamiento defectuoso de las
fuentes, el tratamiento, el almacenamiento o el sistema de distribucion que el estado determina
que estan causando, o tienen potencial para causar, la introduction de contamination en el
agua suministrada a los consumidores".10 En cuanto a la seguridad cibernetica, las deficiencias
significativas deben incluir la ausencia de una practica o un control, o la presencia de una vulnerabilidad,
que tenga un alto riesgo de ser explotada, ya sea directa o indirectamente, para comprometer una
tecnologia operativa usada en el tratamiento o la distribucion de agua potable.

Como se describe en la seccion 3, los estados pueden cumplir con la obligacion de evaluar la seguridad
cibernetica a traves de diferentes enfoques realizados en el marco de sus programas de inspecciones
sanitarias. Alternativamente, pueden cumplir con este requisito utilizando un programa existente o
estableciendo uno nuevo fuera de las inspecciones sanitarias que no sea menos estricto que las
regulaciones federates e implique identificar y abordar las deficiencias significativas en las practicas de
seguridad cibernetica en el PWS.11

Centra de Recursos de Seguridad Informatica del NIST, https://csrc.nist.aov/alossarv/term/ics
= 40 CFR § 142.16(b)(l)-(3) y (o)(l)-(2)

» 40 CFR § 142.16(o)(2)(iv)

" De conformidad con la seccion 1413 de la SDWA (42 U.S.C. § 300g-2) no es necesario que los estados con
responsabilidad principal de hacer cumplir las normas (primacia) adopten regulaciones de agua potable identicas a las
regulaciones nacionales primarias de agua potable de la EPA. Mas bien, los estados con primacia deben adoptar
regulaciones de agua potable que no sean menos estrictas que las regulaciones nacionales primarias de agua potable
de la EPA, lo que significa que estos estados tienen cierto grado de flexibilidad para lograr y mantener la primacia.

3


-------
Los estados conservan la flexibilidad en las inspecciones sanitarias en cuanto a la forma en que evaluan
los PWS, identifican las deficiencias significativas y exigen que los PWS las aborden. Esta interpretation
se aplica a todos los estados, territorios y tribus que tienen jurisdiction sobre los PWS. Durante cualquier
periodo en el que un gobierno estatal, territorial o tribal no tenga la responsabilidad principal de hacer
cumplir las normas de conformidad con la seccion 1413 de la Ley de Agua Potable Segura (SDWA), el
termino "estado" significa el administrador regional de la EPA de EE. UU. Como se indico anteriormente,
el uso de "estado" en esta guia abarca esta definicion.

3.0 cQue enfoques pueden usar los estados para incluir la seguridad cibernetica en las
inspecciones sanitarias de los PWS?

La EPA reconoce que varios estados ya han establecido programas para evaluar las practicas de
seguridad cibernetica de los PWS y ayudar a los PWS a protegerse contra las amenazas ciberneticas.
Otros estados pueden tener menos capacidad para ayudar a las comunidades lo suficiente en la creacion
de protecciones contra las amenazas ciberneticas. Para dar cuenta de las diferencias entre los estados
en cuanto a su capacidad y competencia, la EPA brinda informacion sobre diferentes enfoques que los
estados podrian emplear para evaluar la seguridad cibernetica en los PWS. Ademas, los estados pueden
querer disponer de flexibilidad para usar diferentes enfoques segun las circunstancias de los PWS
individuales, asi como para pasar de un enfoque a otro a medida que la capacidad y la competencia
cambian con el tiempo.

3.1. Opcion 1: autoevaluacion del PWS o evaluacion de terceros de las practicas de seguridad cibernetica

Los estados que tengan o establezcan la autoridad requerida pueden exigir a los PWS que realicen una
autoevaluacion de las practicas de seguridad cibernetica con el fin de identificar las brechas de seguridad
cibernetica (es decir, la ausencia de practicas o controles de seguridad cibernetica recomendados o la
presencia de vulnerabilidades).

Opcion l.a. Autoevaluacion. Los PWS podrian realizar la evaluacion utilizando un metodo del Gobierno o
del sector privado aprobado por el estado, como los del Departamento de Seguridad Nacional (DHS), la
Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA),12 el Institute Nacional de Estandares
y Tecnologia (NIST),13 la American Water Works Association

12	CISA Cyber Resilience Review (Revision de resiiiencia cibernetica de la CISA),
https: //www.cisa .aov/uscert/resources/assessments

13	NIST Cybersecurity Framework (Marco de seguridad cibernetica), https://www.nist.aov/cvberframework

4


-------
(AWWA),14 la Organization Internacional de Normalizacion (ISO)15 y la Sociedad Internacional de
Automatizacion/Comision Electrotecnica Internacional (ISA/IEC).16 En la seccion 5 y el apendice A de esta
guia, la EPA ha proporcionado una lista de verificacion opcional que los PWS (o los estados) pueden usar
para realizar una evaluacion de las practicas y los controles de seguridad cibernetica recomendados.

Opcion l.b. Evaluacion de terceros. De forma alternativa, un PWS podria someterse a una
evaluacion de las practicas de seguridad cibernetica por parte de un tercero, como el Programa
de Evaluacion de la Seguridad Cibernetica del Sector del Agua de la EPA17 u otro proveedor de asistencia
tecnica del Gobierno o del sector privado aprobado por el estado. La EPA esta ampliando su capacidad
para ayudar a los estados y los PWS a realizar evaluaciones.

En virtud de las opciones l.a y l.b, la evaluacion de seguridad cibernetica para el PWS —ya sea una
autoevaluacion o una realizada por un tercero— debe completarse antes de la inspeccion sanitaria,
ponerse a disposicion de los inspectores sanitarios del estado y, luego, actualizarse para reflejar los
cambios en las practicas de seguridad cibernetica o la tecnologia operativa antes de las inspecciones
sanitarias posteriores. Durante la inspeccion sanitaria, el inspector del estado debe confirmar la
finalizacion de la evaluacion y determinar si las brechas de seguridad cibernetica identificadas son
deficiencias significativas. Como se describe en la seccion 7, esta guia proporciona ejemplos y
recomendaciones para que los estados consideren cuando identifiquen una deficiencia significativa de
seguridad cibernetica. Ademas, los estados y los PWS pueden solicitarle asistencia tecnica a la EPA una
vez que se identifiquen las brechas de seguridad cibernetica.

Los estados tambien pueden exigir a los PWS que desarrollen planes de mitigacion de riesgos de
seguimiento para abordar las brechas de seguridad cibernetica identificadas durante la evaluacion,
incluidas especificamente las deficiencias significativas que indique el estado. En el plan de mitigacion de
riesgos, se indicaran las acciones y los cronogramas de mitigacion planificados. El estado revisara el plan
de mitigacion de riesgos durante la inspeccion sanitaria, se asegurara de que el PWS este tomando las
medidas necesarias para abordar las deficiencias significativas designadas por el estado, y se ofrecera a
identificar recursos adicionales que los PWS podrian usar para abordar esas brechas.

Los PWS deben completar el plan de mitigacion de riesgos antes de su inspeccion sanitaria y actualizarlo,
segun sea necesario, antes de las inspecciones sanitarias posteriores. En esta guia, se incluyen las
acciones recomendadas para abordar las brechas de seguridad cibernetica, y la EPA ofrece una plantilla
para un plan de mitigacion

» AWWA, Cybersecurity Assessment Tool and Guidance (Herramienta y guia de evaluacion de la seguridad
cibernetica). https://www.awwa.org/Resources-Tools/Resource- Topics/Risk-Resilience/Cvbersecuritv-Guidance

15	ISO, 27001 Information Security Management (Gestion de la seguridad de la informacion de la ISO),
https://www.iso.org/isoiec-27001-information-securitv.html

16	ISA/IEC, 62443 series of standards (Serie de normas 62443 de la ISA/IEC). https: //www, isa .ora/standards-
and-publications/isa-standards/isa-iec- 62443-series-of-standards

17	EPA Water Sector Cybersecurity Evaluation Program (Programa de Evaluacion de la Seguridad Cibernetica del Sector
del Agua de la EPA), https://www.epa.aov/waterrislossessment/forrns/epas- water-sector-cvbersecuritv-evaluation-proaram

5


-------
de riesgos en https://www.epa.aov/waterriskassessment/epa-cvbersecuritv-best-practices-water- sector.
La plantilla incluye campos para que un PWS describa la accion de mitigacion planificada, la fecha de
finalizacion prevista, la parte responsable, el estado actual y las notas explicativas. Tambien esta
disponible la asistencia tecnica de la EPA para ayudar a los estados y PWS con respecto a las acciones y
los planes de mitigacion de los riesgos de seguridad cibernetica.

3.2	Opcion 2: evaluacion del estado de las practicas de seguridad cibernetica durante la inspeccion sanitaria

Los estados pueden optar por que los inspectores evaluen las practicas de seguridad cibernetica
directamente durante una inspeccion sanitaria de un PWS para identificar las brechas en la seguridad
cibernetica y determinar si alguna de esas deberia designarse como una deficiencia significativa. Este
enfoque es consistente con la forma en que los estados realizan inspecciones sanitarias de otros
componentes de las operaciones de los PWS. En funcion de esta opcion, el estado, en lugar del PWS o de
un tercero, realizaria la evaluacion de seguridad cibernetica y ordenaria al PWS que aborde cualquier
deficiencia significativa que identifique el estado. La capacitacion y la asistencia tecnica de la EPA para
evaluar la seguridad cibernetica en las inspecciones sanitarias de los PWS tambien estan disponibles para
ayudar a los estados que adoptan este enfoque.

3.3	Opcion 3: programa alternativo del estado para la seguridad cibernetica del sistema de agua

Varios estados tienen programas en funcion de los cuales los PWS evaluan las brechas de seguridad
cibernetica (que podrian llamarse brechas de seguridad, vulnerabilidades o su equivalente) en sus practicas
actuates que podrian afectar el agua potable segura y, posteriormente, implementan controles para abordar
esas brechas. Por ejemplo, una agencia de seguridad nacional del estado puede tener un programa de
seguridad cibernetica que cubra toda la infraestructura critica del estado. Otro ejemplo es una agencia de
gestion de emergencias del estado que realiza la evaluacion de seguridad cibernetica de los PWS en lugar de,
o en colaboracion con, la agencia del estado responsable del programa de supervision del PWS.

Los estados que actualmente tienen o desarrollan dichos programas pueden usarlos como alternativas a
la incorporacion de la seguridad cibernetica en las inspecciones sanitarias de los PWS. Los PWS que
prestan servicio a comunidades rurales con poblaciones de menos de 10 000 habitantes pueden recurrir a
proveedores de asistencia tecnica financiados por la division de Desarrollo Rural (RD) del Departamento
de Agricultura de EE. UU. (USDA). Es posible que estas comunidades ya tengan que cumplir requisites
respecto del analisis de seguridad cibernetica como parte de los terminos de un prestamo y de una
subvencion del sector de RD del USDA.

Para ser al menos tan estrictos como una inspeccion sanitaria, los inspectores del estado deben
asegurarse de que los programas alternatives del estado identifiquen efectivamente las brechas de
seguridad cibernetica (o equivalente) a traves de una evaluacion, y que los PWS aborden las deficiencias
significativas designadas por el estado. Ademas, la evaluacion de seguridad cibernetica realizada
conforme a un programa alternativo debe llevarse a cabo al menos con la misma frecuencia que la
inspeccion sanitaria requerida para el PWS (por lo general, 3 o 5 anos).

6


-------
ia

3.4. Cambios en el mantenimiento de registros e informes del estado

Debido a que el memorandum no cambia el Codigo de Regulaciones Federates, no requiere que los
estados revisen sus programas de primacia del estado aprobados.18 Si el estado aprueba a un agente que
no sea el estado para realizar el componente de seguridad cibernetica de una inspeccion sanitaria en un
PWS, como se describe en la opcion 1, debe tener una lista de los agentes aprobados.19 Los estados
deben incluir la seguridad cibernetica en su evaluacion anual del programa estatal para realizar
inspecciones sanitarias que ellos mismos presentan a la EPA.20 En cuanto a los sistemas de agua
subterranea, los estados deben tener los registros de los avisos escritos de las deficiencias significativas y
la confirmacion de que se ha corregido una deficiencia significativa.21 Los estados deben informar a la
EPA la fecha en que finalizo una accion correctiva en un sistema de agua subterranea.22 Los estados no
estan obligados a informar la deficiencia significativa en si a la EPA.

4.0 Soporte tecnico para la seguridad cibernetica en inspecciones sanitarias del PWS

Ademas de esta guia, la EPA brinda capacitacion y asistencia tecnica, como se describe a continuacion,
para ayudar a los estados y los PWS a abordar la seguridad cibernetica en las inspecciones sanitarias.
Aqui encontrara mas informacion sobre estos recursos, asi como material adicional, como preguntas
frecuentes, hojas informativas y listas de posibles programas de financiacion:
https://www.epa.aov/waterriskassessment/epa-cvbersecuritv-best-practices-water-sector. En la
seccion 4.3 a continuacion, figuran los recursos adicionales que pueden ayudar a los estados y PWS a
evaluar la seguridad cibernetica y abordar las deficiencias.

4.1. Capacitacion

En 2023, la EPA tiene pensado ofrecer capacitacion para los estados y los PWS sobre la evaluacion de la
seguridad cibernetica en las inspecciones sanitarias. Al igual que en esta guia, la capacitacion abordara los
enfoques para evaluar las practicas de seguridad cibernetica en los PWS, lo que incluye la identificacion de
las brechas y las posibles deficiencias significativas, las acciones que los PWS podrian seguir para cerrar las
brechas de seguridad cibernetica, la proteccion de la informacion, la asistencia tecnica disponible de la EPA
y otras organizaciones del sector publico y privado, y la potencial financiacion.

La capacitacion se impartira virtualmente y se dejaran a disposicion las grabaciones de estas. La
capacitacion especifica para los estados tambien se ofrecera en persona. Esta formacion especifica se
llevara a cabo por separado

18	40 CFR § 142.12

19	40 CFR § 142.14(a)(5)(ii)(F)

20	40 CFR § 142.15(C)(5)

21	40 CFR § 142.17(d)(i) y (iii)

22	40 CFR § 142.15(C)(7)(H)

7


-------
para los estados en cada region de la EPA. En cuanto a los PWS, la capacitacion se llevara a cabo a nivel
nacional. En todas las capacitaciones, la EPA hara todo lo que este a su alcance para garantizar la
aprobacion del estado de las unidades/los creditos de educacion continua (CEC/CEU).

4.1	Asistencia tecnica

La EPA ha establecido el Programa de Asistencia Tecnica en Seguridad Cibernetica para el Sector del Agua.
De conformidad con este programa, los estados y los PWS pueden enviar preguntas o solicitar una consulta con
un experto en la materia (SME) con respecto a la seguridad cibernetica en las inspecciones sanitarias de los PWS,
como identificar si una brecha de seguridad cibernetica es una deficiencia significativa o seleccionar las acciones
de mitigacion de riesgos apropiadas. La EPA sugiere que el SME responda dentro de los dos dias habiles. Toda la
asistencia sera a distancia (por telefono o por correo electronico segun corresponda). El servicio de asistencia
tecnica no sera una linea de emergencia para denunciar incidentes ciberneticos y no sera un recurso para la
respuesta a incidentes ciberneticos ni medidas de recuperacion (para estos asuntos, se dirigira a los usuarios al
contacto federal correspondiente). Acceda a este servicio de asistencia tecnica aqui:
https://wvw.epa.aov/waterrislossessment/forms/epas-water-sector-cvbersecuritv- evaluation-program.

El Programa de Evaluacion de la Seguridad Cibernetica del Sector del Agua de la EPA esta
disponible para evaluar las practicas de seguridad cibernetica en los PWS. La evaluacion se regira por la
lista de verificacion en el documento de orientacion Evaluating Cybersecurity in PWS Sanitary Surveys
(Evaluacion de la seguridad cibernetica en las inspecciones sanitarias de los PWS) (apendice A).
Luego de la evaluacion, el PWS recibira un informe con respuestas a las preguntas de la lista de
verificacion en el que se mostraran las brechas en la seguridad cibernetica, incluidas las posibles
deficiencias significativas. El PWS debe proporcionar este informe al estado para que lo revise durante la
inspeccion sanitaria, como se explica en la opcion 1 de la seccion 3 anterior. Para participar en este
programa, el PWS debe registrarse en https://www.epa.gov/waterriskassessment/forms/epas-water-
sector-cvbersecuritv- evaluation-program.

4.2	Recursos adicionales

A continuacion, se encuentran los recursos tecnicos y financieros adicionales que pueden ayudar a los
estados y a los PWS a evaluar la seguridad cibernetica durante las inspecciones sanitarias.

Recursos tecnicos

•	En la seccion 6 de esta guia, figuran los ejemplos de los metodos del sector privado y gubernamental,
ademas de los de la EPA, que pueden usarse para evaluar las practicas de seguridad cibernetica en los
PWS e identificar las acciones para abordar las brechas de seguridad cibernetica.

•	El Marco de seguridad cibernetica23 del NIST es un marco voluntario integral basado en
estandares, pautas y practicas existentes para reducir los riesgos ciberneticos

23 https: //www. n ist. aov/cvberframework

8


-------
en la infraestructura fundamental. El NIST ofrece orientacion y recursos para ayudar a los
propietarios y operadores de infraestructura critica a usar el Marco de seguridad
cibernetica para administrar sus riesgos ciberneticos.

•	La CISA del DHS es una fuente principal de recursos para la seguridad cibernetica de la
infraestructura critica. La CISA ofrece una amplia gama de herramientas, orientacion y servicios
para fortalecer la seguridad y la resiliencia de las instalaciones de infraestructura critica contra los
ataques ciberneticos.24 Por ejemplo, los productos de la CISA pueden ayudar a los PWS a
identificar vulnerabilidades de seguridad cibernetica, desarrollar estrategias proactivas de
mitigacion que reduzcan el riesgo de la seguridad cibernetica de la tecnologia operativa y tomar
medidas para contrarrestar las amenazas generalizadas como el ransomware.

•	Los asesores de seguridad cibernetica (CSA) de la CISA, que se encuentran en las diez oficinas
regionales de la CISA,25 ofrecen asistencia de seguridad cibernetica a los propietarios y los
operadores de la infraestructura critica y a los gobiernos estatales, locales, tribales y territoriales.
Los CSA se desempenan como enlaces con los programas ciberneticos de la CISA, junto con otros
recursos publicos y privados. Los CSA pueden ayudar con la preparacion cibernetica, las
evaluaciones y los recursos de proteccion, la asociacion en el desarrollo publico-privado, y la
coordinacion y el apoyo de incidentes ciberneticos.

•	El programa de RD del USDA, Circuit Rider, brinda asistencia tecnica, incluido el analisis de
seguridad cibernetica, a los sistemas de agua rurales que prestan servicio a 10 000 personas o
menos.26 Los responsables de los sistemas rurales de abastecimiento de agua tambien pueden
solicitar asistencia de la oficina local de Servicios Publicos Rurales del USDA o de la asociacion
estatal de la National Rural Water Association (NRWA). Circuit Rider brinda servicio en todos los
estados y territorios.

•	El Centra de analisis e intercambio de informacion (ISAC)27 sobre el Agua es una fuente de datos,
estudios de casos y analisis relacionados con las amenazas a la seguridad del agua, incluido el delito
cibernetico, y proporciona recursos para respaldar las iniciativas de respuesta, mitigacion y resiliencia.

•	El ISAC multiestatal respalda el intercambio de informacion para mejorar la seguridad cibernetica
general de los gobiernos estatales, locales, tribales y territoriales, ayuda con la respuesta y la
resolucion de los incidentes ciberneticos y emite avisos con informacion procesable para mejorar
la seguridad cibernetica.28

24	https: //www. cisa.aov/cvbersecuritv

25	https://www.cisa.aov/cisa-reaions

25 hhttps://www.rd.usda.aov/proarams-services/water-environmental-proarams/circuit-rider-proaram- technical-
assistance-rural-water-svstems

27	https: //www.waterisac.org/

28	https: //www. cisecuritv. ora/ms- isac

9


-------
•	Las asociaciones privadas del sector del agua, incluidas la AWWA29 y la NRWA30' ofrecen educacion,
orientacion y metodos sobre seguridad cibernetica para evaluar los riesgos de seguridad cibernetica y
priorizar las mejoras en seguridad cibernetica dirigidas especrficamente a los PWS.

Recursos financieros

•	La EPA administra el fondo de prestamos y las reservas del Fondo Rotatorio Estatal de Agua
Potable (DWSRF), que pueden usarse para apoyar programas del estado y comunidades con
controles de seguridad cibernetica.31

•	El Programa de Resiliencia y Sostenibilidad de la Infraestructura de Sistemas de Agua Potable Medianos
y Grandes de la EPA es un nuevo programa de subvenciones para sistemas publicos de agua que
prestan servicio a mas de 10 000 personas para apoyar proyectos que aumentan la resiliencia a los
peligros naturales, las vulnerabilidades de seguridad cibernetica o los eventos climaticos extremes.

•	Los Programas Medioambientales y de Agua del Servicio de Servicios Publicos Rurales
del USDA brindan prestamos, subvenciones y garantias de prestamos, asi como
asistencia tecnica, a los PWS en comunidades rurales de 10 000 personas o menos para
infraestructura y mejoras de infraestructura, lo cual incluye actualizaciones relacionadas
con la seguridad cibernetica.32

•	El Programa de Subsidios para Seguridad Cibernetica Estatal y Local del DHS,
administrado conjuntamente por la CISA y la Agencia Federal para el Manejo de
Emergencias (FEMA), ayuda a los gobiernos estatales, locales y territoriales de todo el
pais a abordar los riesgos y las amenazas de seguridad cibernetica que enfrentan los
sistemas de informacion que poseen o los que son operados en su beneficio.33'34

5.0 Lista de verificacion de seguridad cibernetica de la EPA para las inspecciones sanitarias
del sistema publico de agua

5.1. iCual es el proposito de esta lista de verificacion?

La lista de verificacion de la EPA (apendice A) proporciona un metodo para evaluar la seguridad
cibernetica de la tecnologia operativa, incluidas las redes de tecnologia de la informacion que estan
conectadas a la tecnologia operativa, en un PWS durante una inspeccion sanitaria. Las preguntas y las
acciones recomendadas para abordar las deficiencias que figuran en la lista de verificacion de la EPA se
extrajeron directamente de los Objetivos de rendimiento de la seguridad cibernetica intersectorial de
2022 de la CISA35

29	https://www.awwa.ora/Resources-Tools/Resource-Topics/Risk-Resilience/Cvbersecuritv-Guidance

30	https: //nrwa .ora/issues/cvbersecuritv/

31	https://www.epa.gov/sites/default/files/2019-10/documents/cvbersecuritv fact sheet final.pdf

32	https://www.rd.usda.aov/proarams-services/water-environmental-proarams

33	https: //www. cisa.aov/cvberarants

34	https://www.epa.gov/svstem/files/documents/2022-12/221121-SLCGP 508c.pdf

35	https://www.cisa.aov/cpa

10


-------
En esta lista de verificacion de la EPA, se redactaron los objetivos de rendimiento de la seguridad cibernetica
(CPG) en un formato de preguntas simplificado para facilitar su uso en la evaluacion de un PWS.

Las preguntas de la lista de verificacion de la EPA estan pensadas para identificar brechas de seguridad
cibernetica o vulnerabilidades potenciales en los controles y las practicas de seguridad cibernetica
actuales. Se alienta a los PWS a utilizar los recursos y la asistencia tecnica en las hojas informativas del
apendice B de esta guia para abordar las brechas y reducir el riesgo de que un ataque cibernetico pueda
comprometer sus operaciones.

Una respuesta negativa a una pregunta de la lista de verificacion no pretende, por si misma, indicar una
deficiencia significativa en un PWS. Las posibles deficiencias significativas se mencionan en la seccion 7
de esta guia. El estado es responsable de determinar si designa una brecha de seguridad cibernetica
como una deficiencia significativa. En general, los estados deben permitir que los PWS tengan tiempo
suficiente para corregir las brechas de seguridad cibernetica identificadas en las evaluaciones y solo
considerar emitir una deficiencia significativa cuando un PWS no logra corregir una vulnerabilidad critica.

5.2. Lista de verificacion

La lista de verificacion se encuentra en el apendice A.

6.0 Alternativas recomendadas a la lista de verificacion de la EPA

El uso de la Lista de verificacion de la EPA descrita en la seccion 5 y provista en el apendice A de esta
guia durante una inspeccion sanitaria es opcional. Alternativamente, la evaluacion de seguridad
cibernetica durante una inspeccion sanitaria de PWS se puede realizar con otros metodos de evaluacion
gubernamentales o del sector privado aprobados por el estado, como los de la CISA,36 el NIST,37 la
AWWA,38 la ISO,39 y la ISA/IEC.40

7.0 Posibles deficiencias significativas

Segun lo determinado por el estado,41 una deficiencia significativa durante una inspeccion sanitaria de
PWS es una deficiencia que hara que este implemente acciones de cumplimiento si no se corrige dentro
del plazo indicado.

35 CISA Cyber Resilience Review (Revision de resiiiencia cibernetica de la CISA),
https: //www.cisa .aov/uscert/resources/assessments

37	NIST Cybersecurity Framework (Marco de seguridad cibernetica), https: //www.nist.gov/cvberframework

38	AWWA, Cybersecurity Assessment Tool and Guidance (Herramienta y guia de evaluacion de la seguridad
cibernetica). https://www.awwa.ora/Resources-Tools/Resource- Topics/Risk-Resilience/Cvbersecuritv-Guidance

39	ISO, 27001 Information Security Management (Gestidn de la seguridad de la informacion 27001 de la ISO),
https://www.iso.ora/isoiec-27001-information-securitv.html

40	ISA/IEC 62443 series of standards (Serie de normas 62443 de la ISA/IEC). https://www.isa.org/standards-and-
publications/isa-standards/isa-iec- 62443-series-of-standards

41Incluye tribus, territorios y regiones de la EPA cuando se ejerce la autoridad principal de aplicacion de un sistema
publico de agua.

11


-------
En la seccion 2, se presenta la definicion reglamentaria de la EPA de deficiencia significativa y se aplica a
la seguridad cibernetica en el contexto de una inspeccion sanitaria de PWS (la ausencia de un control o
practica que tiene un alto riesgo de ser usada para comprometer un activo tecnologico operativo utilizado
en el tratamiento o la distribution de agua potable). A continuation, la EPA sugiere brechas especificas de
seguridad cibernetica de la Lista de verificacion que se encuentra en el apendice A para que los estados
las consideren como posibles deficiencias significativas. Para determinar estas brechas, la EPA considero
los siguientes factores:

•	alto riesgo y antecedentes de explotacion en el sector del agua u otros sectores de
infraestructura fundamental a traves de tacticas, tecnicas y procedimientos ampliamente
utilizados para ataques ciberneticos;

•	viabilidad tecnica para que la mayoria de los PWS las aborden sin gastos de capital significativos; y

•	plazo de implementacion a corto plazo para corregirlas.

Los estados conservan su autoridad y criterio actuales para determinar cuando una brecha de seguridad
cibernetica identificada durante una inspeccion sanitaria o un proceso alternativo equivalente debe
designarse como una deficiencia significativa. Los estados tambien aprueban las acciones y los plazos
para que los PWS aborden las deficiencias significativas. Como se indico anteriormente, los estados
pueden otorgar a los PWS el tiempo suficiente para abordar las brechas de seguridad cibernetica
identificadas en las evaluaciones y solo emitir una deficiencia significativa cuando un PWS no corrige una
vulnerabilidad critica.

Las posibles deficiencias significativas sugeridas a continuacion figuran con su numero correspondiente
de la Lista de verificacion de la EPA proporcionada en el apendice A, lo cual corresponde con los CPG

intersectoriales de 2022 de la CISA.42

Seguridad de cuentas

•	El PWS no cambia las contrasenas predeterminadas en los activos de tecnologia operativa (OT)
cuando es factible INI implementa controles de compensacion (p. ej., segmentacion o aislamiento
del activo, mayor monitoreo de eventos de seguridad) cuando no es factible cambiar la
contrasena predeterminada de los activos de OT. (Lista de verificacion/CPG 1.2)

•	El PWS no utiliza la autenticacion de multiples factores para el acceso remoto a las redes de OT.
(Lista de verificacion/CPG 1.3)

•	El PWS no exige una longitud minima para las contrasenas. (Lista de verificacion/CPG 1.4)

•	El PWS no revoca las credenciales de acceso a sus redes cuando un empleado se va o cuando un
usuario previamente autorizado ya no requiere acceso. (Lista de verificacion/CPG 1.7)

42 https://www.cisa.aov/cpa

12


-------
Seguridad de dispositivos

•	El PWS no mantiene un inventario actualizado de todos sus activos de OT (incluidos todos los
activos de tecnologia de la informacion [IT] conectados). (Lista de verificacion/CPG 2.3)

•	El PWS no conserva la documentacion de configuration de sus activos de OT y IT, (Lista de
verificacion/CPG 2.5)

Gobernanza y formation

•	El PWS no tiene una funcion, un puesto o un cargo designados que se encarguen de todas las
actividades de seguridad cibernetica de PWS. (Lista de verificacion/CPG 4.1)

•	El PWS no brinda capacitacion anual en seguridad cibernetica para todo el personal. (Lista de
verificacion/CPG 4.3)

Gestion de vulnerabilidades

•	El PWS no mitiga las vulnerabilidades conocidas mediante la instalacion de firmware y parches de
software en un plazo dependiente de los riesgos (primero los activos criticos o mas expuestos) NI
implementa controles de compensacion (p. ej., segmentacion o aislamiento del activo, mayor
monitoreo de eventos de seguridad) donde la aplicacion de parches no es factible. (Lista de
verificacion/CPG 5.1)

•	El PWS no ha eliminado todas las conexiones de activos de OT a la Internet publica, a menos que
se requiera explicitamente para las operaciones. (Lista de verificacion/CPG 5.5)

Cadena de suministro/terceros

•	El PWS no incluye requisites ni preguntas de seguridad cibernetica en sus documentos de
adquisicion de activos y servicios de OT, que luego se consultan para la seleccion de proveedores
(Lista de verificacion/CPG 6.1).

•	El PWS no estipula en sus documentos de adquisicion que los vendedores o proveedores de
servicios deban notificar a PWS sobre incidentes de seguridad y vulnerabilidades confirmadas de
manera oportuna. (Lista de verificacion/CPG 6.2/6.3).

Respuesta y recuperation

•	El PWS no tiene establecido un plan de respuesta a incidentes de seguridad cibernetica de OT.
(Lista de verificacion/CPG 7.2)

•	El PWS no realiza una copia de seguridad de todos los sistemas necesarios para las operaciones
(p. ej., configuraciones de red, logica del controlador logico programable [PLC], diagramas de
ingenieria) con regularidad. (Lista de verificacion/CPG 7.3)

•	El PWS no almacena las copias de seguridad por separado de los sistemas de origen. (Lista de
verificacion/CPG 7.3)

13


-------
• El PWS no conserva la documentacion actualizada (p. ej., diagramas) de las conexiones entre
todos los componentes de red de las redes de OT (es decir, arquitectura o topologia de la red).
(Lista de verificacion/CPG 7.4)

Las hojas informativas numeradas en esta guia (apendice B) tienen informacion que puede ayudar a los
PWS a resolver deficiencias significativas mediante la implementacion de los controles de seguridad
cibernetica descritos.

8.0 cComo deben los estados proteger la informacion confidencial sobre la seguridad
cibernetica de los PWS?

Es posible que sea necesario ocultar del publico la informacion sobre practicas y vulnerabilidades de
seguridad cibernetica especificas en los PWS debido a la posibilidad de que se use para facilitar una
intrusion cibernetica o un ataque en el PWS.

En algunos casos, las oficinas regionales de la EPA realizan inspecciones sanitarias como agencia de
primacia para un estado o area en particular (p. ej., Wyoming, el Distrito de Columbia, la mayoria de las
tribus indigenas). La EPA tambien puede realizar evaluaciones de seguridad cibernetica a traves del
Programa de Evaluacion de la Seguridad Cibernetica del Sector del Agua (consulte la seccion 3.1). La
Agencia planea hacer valer las exenciones aplicables de la Ley de Libertad de Informacion (FOIA) para
proteger las partes confidenciales de cualquier informe de inspeccion sanitaria o evaluacion de seguridad
cibernetica de PWS en poder de la EPA, incluidas las partes que se ocupan de las practicas de seguridad
cibernetica de un PWS si dicho informe se solicita de conformidad con la FOIA. Las exenciones aplicables
conforme a la FOIA para proteger dicha informacion pueden incluir la exencion 4 (informacion comercial
confidencial o CBI) y la exencion 7(f) (registros policiales cuya divulgacion podria razonablemente
esperarse que pusiera en peligro la vida o la seguridad fisica de cualquier individuo).

En cuanto a las inspecciones sanitarias realizadas por un gobierno estatal, tribal o territorial, las leyes aplicables
de la entidad gubernamental que posee el informe regiran la proteccion de la informacion confidencial de
seguridad cibernetica de la divulgacion publica. La mayoria de los estados han adoptado leyes de proteccion de
la informacion como la FOIA de conformidad con la ley estatal,43 y la EPA recomienda que los estados protejan
dicha informacion confidencial si se solicita en la medida permitida por la ley estatal. Los requisites del estado
para notificar a la EPA informacion relacionada con la evaluacion de la seguridad cibernetica en las inspecciones
sanitarias se analizan en la seccion 3.4 anterior.

En el apendice del memorandum, se incluyen recomendaciones para los estados sobre potenciales enfoques
para identificar y segregar la informacion de seguridad cibernetica en los informes de inspecciones sanitarias
que no debe divulgarse publicamente.

43AWWA, Protecting the Water Sector's Critical Infrastructure Information, Analysis of State Laws (Proteccion
de la informacion de la infraestructura critica del sector del agua; analisis de leyes estatales),
httPs://www.awwa.ora/Portals/0/AWWA/Government/ProtectinatheWaterSectorsCriticalInfrastructureInformati
on.pdf

14


-------
Por ejemplo, los estados a los que les preocupa su autoridad para proteger la informacion confidential
sobre seguridad cibernetica de la divulgation publica pueden tomar las siguientes medidas mientras se
respeta la ley estatal vigente:

•	Los inspectores sanitarios pueden dejar a los PWS las evaluaciones de las practicas de seguridad
cibernetica, la identificacion de brechas de seguridad cibernetica, los planes de mitigacion y otra
informacion confidencial. El estado no retendria esta informacion.

•	Los informes oficiales de los inspectores pod nan limitarse a confirmar que se realizo la evaluacion
de seguridad cibernetica, indicar si se identificaron brechas (incluidas las deficiencias
significativas), y plantear el cronograma de acciones correctivas si fuera necesario. La
informacion sobre brechas especificas y deficiencias significativas se dejari'a a los PWS (no se
incluiria en el informe del estado ni quedaria en poder de este). El inspector del estado revisaria
el progreso en la correccion de las deficiencias significativas durante los seguimientos virtuales o
en el sitio.

•	Cuando este permitido, los inspectores podrian tomar notas detalladas sobre las vulnerabilidades
de seguridad cibernetica del PWS y la informacion relacionada en documentos internos no
publicos que no esten sujetos a los requisites de divulgacion publica.

15


-------
APENDICE A: Lista de verificacion de seguridad
cibernetica de la EPA para las inspecciones
sanitarias del sistema publico de agua

1. Seguridad de cuentas. iAcaso el PWS hace lo siguiente?

1.1.	iDetecta y bloquea reiterados intentos fallidos de inicio de sesion?

Recomendacion: cuando sea tecnicamente factible, se debe notificar a los administradores
del sistema despues de una determinada cantidad de intentos de inicio de sesion fallidos
consecutivos en un corto tiempo. En ese momento, los futuros intentos de inicio de sesion
de la cuenta sospechosa deben bloquearse durante un tiempo determinado o hasta que un
administrador los vuelva a habilitar.

1.2.	iCambia las contrasenas predeterminadas?

Recomendacion: cuando sea factible, cambie todas las contrasenas predeterminadas del
fabricante o proveedor antes de poner en servicio el equipo o el software.

1.3.£Requiere	la autenticacion de multiples factores (MFA) siempre que sea posible pero como minimo
para acceder de forma remota a las redes de tecnologia operativa (OT) de PWS?

Recomendacion: implemente la MFA lo mas que se pueda en las redes de ITy de OT. Como
minimo, se debe implementar la MFA para el acceso remoto a la red de OT.

1.4.	iExige una longitud minima para las contrasenas?

Recomendacion: cuando sea posible, implemente un requisite de longitud minima para las
contrasenas. La implementacion puede ser a traves de una politico o controles
administrativos configurados en el sistema.

1.5.	iSepara las cuentas del usuario y las que tienen privileges (p. ej., administrador del sistema)?

Recomendacion: restrinja los privilegios del administrador del sistema para separar las cuentas de•
usuario solo para tareas administrativas y evalue los privilegios administrativos periodicamente
para asegurarse de que las personas que tienen estos privilegios aun los necesiten.

1.6.	
-------
1.7. 
-------
3.2.	iProtege los registros de seguridad contra el acceso no autorizado y la manipulation?

Recomendacion: almacene los registros de seguridad en un sistema central o en una base
de datos a la que solo puedan acceder los usuarios autorizados y autenticados.

3.3.	
-------
4.5. dOfrece oportunidades periodicas para fortalecer la comunicacion y la coordinacion entre el
personal de OT y IT, incluidos los proveedores?

Recomendacion: organice reuniones entre el personal de OT y IT para que todas las partes
comprendan mejor las necesidades de segurldad de la organizacidn y se fortalezcan las
relaciones laborales.

5.	Gestion de vulnerabilidades. lAcaso el PWS hace lo siguiente?

5.1.iColoca parches o mitiga de otro modo las vulnerabilidades conocidas dentro del plazo recomendado?

Recomendacion: identlflque y corrija las vulnerabilidades teniendo en cuenta los riesgos
(p. ej„ los activos fundamentales primero) lo mas rapido posible.

5.2.Este	numero de control se incluye aqui para que corresponda con los CPG de la CISA, pero no se
aplica a la mayoria de los PWS.

5.3.Este	numero de control se incluye aqui para que corresponda con los CPG de la CISA, pero no se
aplica a la mayoria de los PWS.

5.4.iSe asegura de que los activos conectados a la Internet publica no expongan servicios
explotables innecesarios (p. ej., protocolo de escritorio remoto)?

Recomendacion: elimine los puertos y servicios expuestos innecesarios en los activos de
cara al publico y reviselos periodicamente.

5.5	iElimina las conexiones entre sus activos de OT e Internet?

Recomendacion: elimine las conexiones de activos de OT a la Internet publica, a menos
que se requieran explicitamente para las operaciones.

5.6	Este numero de control se incluye aqui" para que corresponda con los CPG de CISA, pero no se
aplica a la mayoria de los PWS.

6.	Cadena de suministro/terceros. ^Acaso el PWS hace lo siguiente?

6.1. dlncluye la seguridad cibernetica como criterio de evaluacion para la adquisicion de activos y
servicios de OT?

Recomendacion: incluya la seguridad cibernetica como criterio de evaluacion en la
adquisicion de bienes y servicios.

6.2/6.3 dExige que todos los proveedores de OT y de servicios notifiquen al PWS sobre cualquier
incidente de seguridad o vulnerabilidad en un determinado plazo dependiente de los riesgos?

Pagina A-4


-------
Recomendacion: exija a los vendedores y los proveedores de servicios que notifiquen al
PWS sobre posibles incidentes de seguridady vulnerabilidades dentro de un plazo
estipulado indicado en los documentos y contratos de adquisicion.

7. Respuesta y recuperacion. iAcaso el PWS hace lo siguiente?

7.1.	iTiene un procedimiento escrito para reportar incidentes de seguridad cibernetica que indique el
medio (p. ej., Ilamada telefonica, envio por Internet) y el destinatario (p. ej., Buro Federal de
Investigaciones [FBI] u otras fuerzas del orden publico, la CISA, reguladores estatales,
WaterlSAC, un proveedor de seguros ciberneticos)?44

Recomendacion: documente el procedimiento a fin de informar incidentes de seguridad
cibernetica con prontitud para contribuir con la aplicacion de la ley recibir asistencia con
la respuesta y la recuperacion, y promover la conciencia del sector del agua sobre las
amenazas de seguridad cibernetica.

7.2.	iTiene un plan escrito de respuesta a incidentes de seguridad cibernetica (IR) para escenarios de
amenazas criticas (p. ej., desactivacion o manipulacion de sistemas de control de procesos,
perdida o robo de datos operativos o financieros, exposicion de informacion confidencial), que se
ponga en practica y se actualice con regularidad?

Recomendacion: desarrolle, ponga en practica y actualice un plan de IR para los incidentes
de seguridad cibernetica que podrian afectar las operaciones de PWS. Realice simulacros
para mejorar las respuestas a posibles incidentes ciberneticos.

7.3.	iHace una copia de seguridad de los sistemas necesarios para las operaciones (p. ej.,
configuraciones de red, logica del PLC, diagramas de ingenieria, registros de personal) con
regularidad, las almacena por separado de los sistemas de origen y las prueba periodicamente?

Recomendacion: realice copias de seguridad de los sistemas de OTy IT fundamentales de
PWS, guardelas de manera segura y por separado, y pruebelas.

7.4.	iConserva la documentacion actualizada que describe la topologia de la red (es decir, las
conexiones entre todos los componentes de la red) en las redes de OT y IT del PWS?

Recomendacion: conserve una documentacion completa y precisa de todas las topologias
de redes de ITy OT del PWS para facilitar la respuesta y la recuperacion ante incidentes.

44 De conformidad con la Ley de Informes de Incidentes Ciberneticos de Infraestructura Fundamental de
2022, la CISA establecera procedimientos que pueden aplicarse a los sistemas publicos de agua. Esta
recomendacion se revisara segun sea necesario cuando se publiquen esos procedimientos.

Pagina A-5


-------
8. Otro. lAcaso el PWS hace lo siguiente?

8.1.	dSegmentar las redes de OT y IT y denegar las conexiones a la red de OT de forma
predeterminada, a menos que se permita expli'citamente (p. ej., por direction IP y puerto)?

Recomendacion: requiem que las conexiones entre las redes de OTy ITpasen a troves de
un intermediario, como un cortafuegos, un servidor bastion, una caja de salto o una zona
desmilitarizada, que se monitorea y registra.

8.2.	iTiene una lista de amenazas y tacticas, tecnicas y procedimientos del adversario (UP) de
ataques ciberneticos relevantes para el PWS y tiene la capacidad de detectar instancias de
amenazas clave?

Recomendacion: reciba alertas de la CISA y mantenga la documentacion de los TTP
relevantes para el PWS.

8.3.	i.Usa controles de seguridad de correo electronico para reducir las amenazas comunes basadas
en correo electronico, como la suplantacion de identidad, el phishing y la intercepcion?

Recomendacion: asegurese de que los controles de seguridad del correo electronico esten
habilitados en toda la infraestructura de correo electronico corporativa.

Pagina A-6


-------
APENDICE B: Hojas informativas de la lista

de verification


-------
Seguridad de cuentas: deteccion de intentos de inicio de sesion
fallidos (automatizados)

COSTO: $$$$ IMPACTO: ALTO COMPLEJIDAD: BAJA

^1.1: iAcaso el PWS detecta y bloquea reiterados intentos fallidos de inicio de sesion? Recomendacion:^
cuando sea tecnicamente factible, se debe notificar a los administradores del sistema despues de una
determinada cantidad de intentos de inicio de sesion fallidos consecutivos en un corto tiempo. En ese
momento, los futuros intentos de inicio de sesion de la cuenta sospechosa deben bloquearse durante un
^tiempo determinado o hasta que un administrador los vuelva a habilitar.	^

cPor que es importante este control?

Una tecnica comun que utilizan los atacantes para entrar a los sistemas de OT y IT es intentar "adivinar"
el nombre de usuario y la contrasena de inicio de sesion. El ataque se puede lograr adivinando
manualmente la contrasena de una cuenta, usando una lista de contrasenas comunes o a la fuerza. Con
esta tecnica, un atacante utiliza un enfoque de prueba y error para adivinar sistematicamente las
credenciales de inicio de sesion. El atacante envia combinaciones de nombres de usuario y contrasenas,
generalmente utilizando una herramienta de descifrado de contrasenas automatizada y facilmente
disponible hasta que acierta. Bloquear a un atacante para que no siga tratando de adivinar las
credenciales despues de una determinada cantidad de intentos incorrectos puede detener este tipo de
ataques. Sin bloquear los intentos de inicio de sesion, este ataque puede seguir en curso hasta que el
atacante descifra la contrasena. Un descifrador de contrasenas puede ejecutarse durante horas, dias y
semanas y, finalmente, descifrar una contrasena a la fuerza, a menos que haya una politica que impida
que esto suceda.

Lineamientos adicionales

•	Configure los sistemas para que notifiquen automaticamente (p. ej., mediante una alerta generada
por computadora) a los equipos de seguridad o al administrador del sistema despues de un numero
especifico de intentos de inicio de sesion fallidos consecutivos en un breve periodo (p. ej., cinco
intentos fallidos en menos de 2 minutos).

•	Habilite los ajustes de bloqueo de cuenta en los sistemas correspondientes para evitar futuros
intentos de inicio de sesion de la cuenta sospechosa durante un tiempo minimo o hasta que el
administrador del sistema vuelva a habilitarla.

•	Registre y almacene la informacion de la alerta para su analisis. Use procedimientos de registro
solidos: en el registro, deben figurar el origen del suceso, la fecha, el nombre del usuario, la marca
de tiempo, las direcciones de origen, las direcciones de destino y cualquier otra informacion util que
pudiera ayudar en una investigacion forense.

Consejos de implementation

Segun la version de Windows que use un PWS, el administrador del sistema puede usar la politica de
seguridad local para restringir la cantidad de intentos de inicio de sesion. Para acceder a esta funcion,
escriba "Local Security Policy" (Politica de seguridad local) en el cuadro de busqueda del menu de Inicio y
haga clic en la aplicacion Politica de seguridad local. Una vez que se abra el panel del menu, haga clic en
Account Policies (Politicas de la cuenta) para configurar los intentos de inicio de sesion y la duracion del
bloqueo.

Pagina B-l // Seguridad de cuentas 1.1


-------
Si un PWS utiliza un dominio de Microsoft con muchos sistemas y cuentas de usuario conectados a un
solo dominio, puede administrar estos ajustes usando los objetos de directiva de grupo (GPO). El
administrador del sistema puede habilitar los ajustes de la politica de bloqueo de cuentas en la siguiente
ubicacion de la consola de administracion de politicas de grupo: Computer Configuration\Windows
Settings\Security Settings\Account Policies\Account Lockout Policy (Configuracion del equipo\Ajustes de
Windows\Ajustes de seguridad\Politicas de cuenta\Directiva de bloqueo de cuentas). En el enlace de
Referencia de los ajustes de la politica de seguridad de Microsoft Windows a continuacion, encontrara
mas detalles.

Cuando indique un umbral de bloqueo de inicio de sesion de la cuenta, asegurese de que se haya
configurado en un nivel adecuado en funcion de la importancia critica del sistema (generalmente entre
cinco y diez intentos). El nivel seleccionado debe proporcionar margen a los operadores hasta que
ingresen las credenciales correctas, pero debe ser lo suficientemente solido como para evitar la mayoria
de los ataques a la fuerza.

Recursos

NIST 800-53 (revision 5). Controles de seguridad y privacidad para sistemas de informacion
y organizaciones: Consulte la pagina 39, Intentos fallidos de inicio de sesion (control AC-7), para
obtener mas informacion. https://csrc.nist.aov/publications/detail/sp/800-53/rev-5/final

Punto de referencia de Microsoft Windows del Centra para la Seguridad en Internet (CIS): en

este documento, se describe como implementar las acciones preventivas en sistemas basados en
Microsoft Windows. La seccion donde se aborda la politica de bloqueo de cuentas comienza en la
pagina 50. La implementacion del seguimiento detallado se describe en la pagina 382.

https://www.cisecuritv.ora/benchmark/microsoft windows desktop

Referencia de los ajustes de la politica de seguridad de Microsoft Windows: en esta pagina, se
describe como configurar los ajustes de bloqueo de cuenta en los sistemas de Windows.

https://learn.microsoft.com/en- us/windows/security/threat-protection/security-policy-

settinas/account-lockout-threshold

Pagina B-2 // Seguridad de cuentas 1.1


-------
COSTO: $$$$ IMPACTO: ALTO COMPLEJIDAD: MEDIA

/ \
1.2: iAcaso el PWS cambia las contrasenas predeterminadas?

Recomendacion: cuando sea factible, cambie todas las contrasenas predeterminadas del fabricante o

proveedor antes de poner en servicio el equipo o el software.
\			/

cPor que es importante este control?

El hardware y el software listos para usar estan disenados para una facil instalacion y uso. Los ajustes
predeterminados de fabrica a menudo incluyen contrasenas simples documentadas publicamente.

Muchas veces, estas contrasenas predeterminadas son identicas (compartidas) en todos los sistemas de
un proveedor o en las lineas de productos. Por estos motivos, los PWS deben cambiar las contrasenas
predeterminadas despues de finalizadas la prueba, la instalacion y la configuracion iniciales. De lo
contrario, los atacantes pueden obtener facilmente contrasenas predeterminadas del manual del usuario
de un producto y usar estas credenciales para acceder a los sistemas, ya sea localmente o por Internet,
si el sistema de destino esta conectado.

Lineamientos adicionales

•	Desarrolle una politica o un proceso aplicado en toda la organizacion que exija cambiar las contrasenas
predeterminadas del proveedor o del fabricante en el hardware o software utilizado en el PWS.

•	Si bien cambiar las contrasenas predeterminadas en el OT existente de un PWS puede requerir la
ayuda de un proveedor o integrador calificado y puede no ser factible siempre, el PWS debe cambiar
las credenciales predeterminadas de todo el hardware o software recientemente implementados.

Consejos de implementation

Muchos activos vienen con un nombre de usuario y una contrasena predeterminados que se pueden
encontrar en la documentacion del producto y en las listas compiladas disponibles en Internet. Los PWS
deben revisar su inventario de activos existente e identificar cualquier activo que potencialmente podria
haber venido con contrasenas predeterminadas. Estos activos pueden incluir hardware de red (p. ej.,
conmutadores de red, puntos de acceso inalambrico, enrutadores de red); activos de comunicaciones
(p. ej., radios); activos de OT (p. ej., PLC e interfaz hombre-maquina [HMI]); y aplicaciones de software
en las que el fabricante o proveedor que instala la aplicacion en el PWS establece contrasenas
predeterminadas. El PWS debe revisar la documentacion de estos activos, incluidos los manuales de
instrucciones y las guias de configuracion (comunmente disponibles en el sitio web del proveedor), para
identificar cualquier nombre de usuario o contrasena predeterminados. Una vez que el PWS identifica
estas combinaciones de nombre de usuario y contrasena, el administrador del sistema debe intentar
iniciar sesion con estas credenciales y, si lo logra, averiguar si puede cambiarlas sin afectar las
operaciones del sistema. En los casos en que no sea factible cambiar las contrasenas predeterminadas,
implemente y documente los controles de seguridad de compensacion apropiados y supervise los
registros del trafico de red e intentos de inicio de sesion en esos activos.

Pagina B-3 // Seguridad de cuentas 1.2


-------
Recursos

NIST 800-53 (revision 5). Controles de seguridad y privacidad para sistemas de informacion
y organizaciones: proporciona un enfoque proactivo y sistemico a fin de desarrollar y poner a
disposition un conjunto integral de medidas de proteccion para todo tipo de plataformas informaticas.
Consulte el control IA-5 (pagina 138) para obtener mas informacion sobre la Gestion del
autenticador. https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final

Alerta de la CISA (TA13-175A): lanzada en 2016, esta alerta describe por que es importante cambiar
la contrasena predeterminada y brinda acciones de mitigacion.

https://www. cisa.aov/uscert/ncas/alerts/TA 13-

175A#:~:text=Attackers%20can%20easily%20identify%20and.to%20critical%20and%20importan
t%20svstems.

Pagina B-4 // Seguridad de cuentas 1.2


-------
Seguridad de cuentas: autenticacion de multiples factores (MFA)

COSTO: $$$$ IMPACTO: ALTO COMPLEJIDAD: MEDIA

s	;	\

1.3: iAcaso el PWS requiere la MFA siempre que sea posible pero como minimo para acceder de forma
remota a las redes de OT de PWS?

Recomendacion: implemente la MFA lo mas que se pueda en redes de OT y TV. Como minimo, se debe
^mplementar la MFA para el acceso remoto a la red de OT.	/

cPor que es importante este control?

La MFA, tambien llamada autenticacion de dos factores, requiere que el personal de PWS y otros usuarios
ingresen al menos dos tipos de credenciales independientes cuando inicien sesion en un sistema de PWS.
La MFA puede evitar que un atacante que obtenga una contrasena de usuario acceda a redes criticas de
PWS. Las credenciales pueden estar basadas en el conocimiento (como una contrasena o un PIN),
basadas en activos (como una tarjeta inteligente o un telefono movil) o biometricas (como las huellas
dactilares). Las credenciales deben provenir de dos categorias diferentes, por lo que ingresar dos
contrasenas diferentes no se consideraria una MFA.

Si bien es posible que la MFA no sea necesaria en todos los sistemas, proporciona un mayor nivel de
seguridad y debe usarse siempre que sea posible. El acceso de mayor riesgo, como la autenticacion de
usuarios o proveedores remotos, debe realizarse usando la MFA lo mas posible. Muchas aplicaciones de
acceso remoto y sistemas de red privada virtual (VPN) ofrecen esta capacidad o se pueden configurar
para ofrecerla usando una herramienta de terceros.

Lineamientos adicionales

•	Utilice la MFA para verificar la identidad de un usuario siempre que sea posible. Los metodos
comunes de la MFA incluyen datos biometricos, tarjetas inteligentes, activos de hardware habilitados
para la autenticacion rapida en linea (FIDO)/protocolo de cliente a autenticador (CTAP) o codigos de
acceso unicos enviados o generados por activos previamente registrados como un telefono movil.

•	Dentro de las redes de OT, habilite la MFA en todas las cuentas y los sistemas a los que el PWS
pueda acceder de forma remota, incluidas las cuentas de proveedores y de mantenimiento, las
cuentas de usuario, las estaciones de trabajo de ingenieria y las aplicaciones de HMI.

Consejos de implementation

Revise todas las actividades de acceso remoto, en particular a los sistemas de OT, e identifique si el PWS
puede habilitar la MFA en el software utilizado para el acceso. Hay varias aplicaciones que pueden ayudar
a habilitar la autenticacion de multiples factores en un PWS. Algunas de los mas populares incluyen
TeamViewer y Microsoft 365 para Windows. En la seccion de recursos a continuacion, encontrara los
enlaces de la configuracion.

Si el PWS no puede usar la MFA (como algunas cuentas de administrador del sistema, raiz o de servicio),
esas cuentas deben usar contrasenas que sean unicas para ese sistema y no se debe poder acceder a
ellas de forma remota siempre que sea posible.

Pagina B-5 // Seguridad de cuentas 1.3


-------
Recursos

NIST 800-53 (revision 5). Controles de seguridad y privacidad para sistemas de
information y organizaciones: consulte la pagina 132, Identificacion y autenticacion, para obtener
mas informacion sobre la MFA. https://csrc.nistaov/publications/detail/sp/800-53/rev-5/final

Referencia de autenticacion de multiples factores de Microsoft 365: en esta pagina, se
describe como configurar los ajustes de autenticacion de multiples factores en las cuentas de Microsoft
365. https://learn.microsoft.com/en-us/microsoft-365/admin/security-and-compliance/set-up-
multi- factor-authentication?view=o365-worldwide

Referencia de autenticacion de TeamViewer: en esta pagina, se describe como configurar los
ajustes de autenticacion de multiples factores en la plataforma TeamViewer.

https://communitv.teamviewer.com/Enalish/kb/articles/109255-enable-two-factor-
authentication-enforcement-on-company-members

Pagina B-611 Seguridad de cuentas 1.3


-------
Seguridad de cuentas: seguridad minima de la contrasena

COSTO: $$$$ IMPACTO: ALTO COMPLEJIDAD : BAJA

1.4: iAcaso el PWS requiere una longitud minima para las contrasenas?

Recomendacion: cuando sea posible, implemente un requisito de longitud minima para las contrasenas. La
implementacion puede ser a traves de una politica o controles administrativos configurados en el sistema.
V			

cPor que es importante este control?

El uso de contrasenas cortas en un PWS es un riesgo de seguridad significativo, ya que las contrasenas cumplen
un papel vital para evitar que los atacantes accedan a las cuentas de los usuarios. Los atacantes usan programas
para adivinar las contrasenas de los usuarios, y una contrasena mas larga y compleja les resulta mas dificil de
descifrar. La gestion completa de las contrasenas incluye determinar la longitud y la complejidad de la contrasena
(p. ej., usar letras mayusculas y minusculas) y garantizar que los usuarios sigan las practicas recomendadas sobre
la seguridad de las contrasenas (p. ej., no dejar notas adhesivas de recordatorio pegadas en los monitores).

Lineamientos adicionales

•	Cree una politica o configure controles administrativos que exijan una longitud minima de la
contrasena (se recomiendan 15 caracteres o mas) para todos los activos de OT y IT protegidos con
contrasena, segun sea posible.

•	En los casos en que las longitudes minimas de la contrasena no sean factibles, utilice controles de
seguridad de compensacion (p. ej., utilizar un inicio de sesion unico) y registre todos los intentos de
inicio de sesion. Ademas, si los activos informaticos no admiten contrasenas mas largas, prioricelos
para actualizarlos o reemplazarlos.

•	Utilice contrasenas mas largas o frases como contrasena (p. ej., "Iliketoeatapplesandbananas"
(megustacomermanzanasybananas).

Consejos de implementacion

Si un PWS no tiene actualmente un documento de politica que aborde los requisites de las contrasenas,
incluida la longitud minima y la complejidad, elabore uno y asegurese de compartirlo con todos los
empleados del PWS.

En el caso de los activos de OT y IT basados en Windows, segun la version de Windows, el administrador
del sistema puede usar la politica de seguridad local para establecer una longitud minima para las
contrasenas. Para acceder a esta funcion, escriba "Local Security Policy" (Politica de seguridad local) en el
cuadro de busqueda del menu de Inicio y haga clic en la aplicacion Politica de seguridad local. Una vez
que se abra el panel del menu, haga clic en Account Policies (Politicas de la cuenta) y luego en Password
Policy (Politica de contrasenas) para ajustar la longitud de la contrasena.

Si un PWS utiliza un dominio de Microsoft con muchos sistemas y las cuentas de usuario estan
conectadas a un solo dominio, puede administrar estos ajustes usando los objetos de directiva de grupo
(GPO). El administrador del sistema puede configurar la Politica de contrasenas en la siguiente ubicacion
en la consola de administracion de politicas de grupo: Computer Configuration\Windows Settings\Security
Settings\Account Policies\Password Policy (Configuracion del equipo\Ajustes de Windows\Ajustes de
seguridad\Politicas de cuenta\Politica de contrasenas). En el enlace de la Referencia de ajustes de la
politica de contrasenas de Microsoft Windows a continuacion, encontrara detalles adicionales.

Pagina B-7 // Seguridad de cuentas 1.4


-------
Seguridad de cuentas: seguridad minima de la contrasena

Para todas las demas contrasenas en activos no basados en Windows, el administrador debe revisar las
contrasenas existentes para asegurarse de que cumplan con la politica de contrasenas cuando sea
posible. Estos activos pueden incluir hardware de red (p. ej., conmutadores de red, puntos de acceso
inalambrico, enrutadores de red); activos de comunicaciones (p. ej., radios); activos de OT (p. ej., PLC y
HMI); y aplicaciones de software que utilizan contrasenas para autenticar a los usuarios.

Recursos

NIST 800-53 (revision 5). Controles de seguridad y privacidad para sistemas de informacion
y organizaciones: proporciona un enfoque proactivo y sistemico a fin de desarrollar y poner a
disposicion un conjunto integral de medidas de proteccion para todo tipo de plataformas informaticas.
Consulte el control AC-1 (pagina 39) para obtener mas informacion sobre Politica y procedimientos de
control de acceso. https://csrc.nist.aov/publications/detail/sp/800-53/rev-5/final

Lineamientos sobre las contrasenas del NIST: el NIST creo un video breve en el que explica la
proteccion con contrasena y brinda lineamientos sobre la implementacion de las mejores practicas.

https://www.nist.aov/video/password-auidance-nist-0

Guia de politica de contrasenas de control del CIS: el Centro para la Seguridad de Internet (CIS)
proporciona una explicacion detallada de como crear e implementar una politica de contrasenas; los
detalles sobre la longitud de la contrasena comienzan en la pagina 7.

https://www. cisecuritv. org/insights/white-papers/cis- password-policv-guide

Consejo de seguridad de la CISA (ST04-002): el Departamento de Seguridad Nacional de EE. UU.

ofrece consejos sobre contrasenas efectivas. https://www.cisa.aov/uscert/ncas/tips/ST04-002

Referencia de los ajustes de la politica de contrasenas de Microsoft Windows: En esta pagina,
se describe como configurar los ajustes de la politica de contrasenas en los sistemas de Windows.

Pagina B-8 // Seguridad de cuentas 1.4


-------
Seguridad de cuentas: Separacion de cuentas de usuario y con privilegios

COSTO: $$$$ IMPACTO: ALTO COMPLEJIDAD: BAJA

1.5: iAcaso el PWS separa las cuentas de usuario de las que tienen privilegios (p. ej., administrador del
sistema)? Recomendacion: restrinja los privilegios del administrador del sistema para separar las
cuentas del usuario solo para tareas administrativas y evalue los privilegios administrativos
^periodicamente para asegurarse de que las personas que tienen estos privilegios aun los necesiten.	/

cPor que es importante este control?

El uso indebido de los privilegios administrativos es un metodo principal para que los atacantes ingresen a
una red. En uno de esos metodos, se engana al usuario de una estacion de trabajo que inicio sesion
como administrador o a un usuario con privilegios para que abra un archivo adjunto de correo electronico
malicioso, descargue y abra un archivo de un sitio web malicioso, o simplemente navegue por un sitio
web que tenga contenido de un atacante que puede vulnerar automaticamente los navegadores. Si la
victima inicio sesion como administrador, el atacante puede usar este acceso para lanzar un ataque,
como implementar ransomware o instalar registradores de pulsaciones de teclas, analizadores de
protocolos y software de control remoto para encontrar contrasenas y otros datos confidenciales. Una
segunda tecnica comunmente utilizada por los atacantes es un ataque de elevacion de privilegios en el
que adivinan la contrasena del administrador del sistema. Si un PWS distribuye libre y ampliamente
contrasenas administrativas o las configura de manera identica a las contrasenas utilizadas en sistemas
menos criticos, al atacante le resulta mucho mas facil obtener el control total de un sistema.

Lineamientos adicionales

•	En un PWS, debe haber una lista o un inventario actualizados de todas las cuentas del administrador.

•	Asegurese de que todos los usuarios con acceso a cuentas administrativas utilicen una cuenta
exclusiva o secundaria para sus actividades administrativas. Esta cuenta solo debe usarse para
aquellas actividades administrativas y no para navegar por Internet, correo electronico o actividades
cotidianas similares.

•	Limite el acceso a las herramientas de secuencias de comandos (como Microsoft PowerShell y Python)
solo a los usuarios administrativos o de desarrollo que necesiten acceder a estas herramientas.

•	Configure sistemas para crear una entrada de registro y emitir una alerta cuando el PWS agregue o
elimine una cuenta de cualquier grupo que tenga privilegios administrativos. Haga lo mismo para
cualquier inicio de sesion fallido en una cuenta administrativa.

Consejos de implementation

Revise todas las cuentas de usuario de OT y IT para determinar cuales estan configuradas actualmente
como Usuario estandar o Administrador. En el caso de las cuentas que actualmente esten configuradas
como Administrador, revise si ese usuario necesita privilegios de administrador para sus funciones. De lo
contrario, el PWS deberia asignarle al usuario una cuenta de usuario estandar. Si necesita privilegios de
administrador, pero actualmente no tiene una cuenta de usuario estandar para las funciones diarias, el
PWS debe crear una cuenta de usuario estandar por separado para ese individuo para uso diario.

Pagina B-9 // Seguridad de cuentas 1.5


-------
Seguridad de cuentas: separation de cuentas de usuario y con privilegios

El PWS debe restringir el uso de la cuenta de administrador a aquellas personas que necesitan acceso con
privilegios y que solo se usen para funciones exclusivas.

En el caso de un PWS que use Windows, hay cinco formas de averiguar que tipo de cuenta tiene un
usuario (consulte los enlaces de Recursos a continuacion). Conocer el tipo de cuenta de cada usuario
permite al PWS determinar si es necesario cambiar el tipo de cuenta de un usuario a fin de permitir o
restringir privilegios adicionales para realizar tareas administrativas.

Un PWS tambien puede cambiar el nivel de una cuenta en un sistema operativo comun: vaya a Settings
(Ajustes) > Accounts (Cuentas) > Family & Other Users (Familia y otros usuarios), seleccione la cuenta
en cuestion, haga clic en Change Account Type (Cambiar tipo de cuenta) y seleccione Administrator
(Administrador) o Standard User (Usuario estandar).

Recursos

15 aspectos fundamentales de la seguridad cibernetica de WaterlSAC: en la pagina 15,
encontrara mas informacion sobre la separacion de cuentas.

https://www. waterisac.ora/svstem/files/articles/15 Cvbersecuritv Fundamentals

%28WaterlSA C%29.pdf

Norma del NIST 800-53. Politica y procedimientos de control de acceso, AC-1: en la

pagina 18, encontrara informacion sobre el control y la gestion de acceso.

https://csrc.nist.aov/publications/detail/sp/800-53/rev-5/final

Norma NIST 800-82. Guia para la seguridad del sistema de control industrial (ICS): En

la seccion 6.2.1.1, encontrara informacion adicional sobre el control de acceso basado en roles
para los sistemas de control de supervision y adquisicion de datos (SCADA).
https://nvlpubs.nist.aov/nistpubs/SpecialPublications/NIST.SP.800-82r2.pdf
Windows Central: identifica cinco formas de saber el tipo de cuenta de los usuarios dentro de
una red en Windows. https://www.windowscentral.com/how-determine-user-account- type-
windows-W#determine windows!0 account type settings

Pagina B-10 // Seguridad de cuentas 1.5


-------
Seguridad de cuentas: credenciales unicas

COSTO: $$$$ IMPACTO: MEDIA COMPLEJIDAD: MEDIA

^1.6: iAcaso el PWS requiere credenciales unicas y separadas para que los usuarios accedan a las redes ^
de OT y de U?

Recomendacion: requiera que un solo usuario tenga dos nombres de usuario y contrasenas diferentes;
un conjunto se utilizara para acceder a la red de IT y el otro para acceder a la red de OT. Esto reduce el
^riesgo de que un atacante pueda moverse entre ambas redes utilizando un solo inicio de sesion.	^

cPor que es importante este control?

El uso de nombres de usuario y contrasenas por separado para los usuarios de las redes de OT y IT es
una parte integral de una estrategia de la defensa profunda. Por lo general, si un atacante puede
determinar el inicio de sesion de un usuario en una red, utilizara esa misma informacion para intentar
acceder a otras cuentas o redes. Esta tecnica puede permitir que un atacante se mueva lateralmente en
un entorno operativo de PWS. Ademas, es posible que no genere ninguna alarma si el monitoreo del
sistema no reconoce la actividad como nueva en el entorno operativo y puede hacer que un PWS no
detecte el incidente de seguridad. Los delincuentes tambien pueden usar la funcion de recuperacion de
contrasena en una cuenta para acceder a cualquier otra que use la misma direccion de correo electronico.

Lineamientos adicionales

• Cuando sea factible, nunca permita que varios usuarios compartan un solo inicio de sesion o que un solo
usuario use el mismo inicio de sesion para las redes de OT y de IT.

Consejos de implementation

Desarrolle una politica que requiera que las personas usen cuentas separadas para OT y IT. Si el PWS
tiene un solo dominio de Windows que cubre los sistemas de OT y IT, evalue dividir ese dominio en dos
para evitar que los usuarios compartan cuentas entre los tipos de sistemas. Cuando los usuarios ya
tengan cuentas separadas para OT y IT, sugierales no usar la misma contrasena en estas cuentas.

Los dos sistemas operativos mas comunes son Microsoft Windows y Linux. Ambos sistemas permiten que
un administrador del sistema administre cuentas y credenciales de cuentas para cada usuario final. Como
se menciono anteriormente, la capacidad de separar las cuentas de los usuarios finales es fundamental en
cualquier estrategia de defensa profunda. En los recursos a continuacion, encontrara los detalles sobre
como administrar las cuentas de usuario de cada sistema.

Recursos

Mejora de la seguridad cibernetica del sistema de control industrial con estrategias de
defensa profundas: en la pagina 25, encontrara informacion de administracion de cuentas de la red de
OT. Nota: La CISA utiliza el termino sistema de control industrial (ICS) para referirse a una red de OT.

https://www.cisa.aov/uscert/sites/default/files/recommended practices/NCCIC ICS-
CERT Defense in Depth 2016 S508C.pdf

Pagina B-ll // Seguridad de cuentas 1.6


-------
Seguridad de cuentas: credenciales unicas

Administration de cuentas de usuario en Windows: proporciona mas informacion sobre como

administrar cuentas de usuario en Windows, https://learn.microsoft.com/en-us/windows-server-
essentials/manaae/manaae-user-accounts-in-windows-server-essentials

Administration de cuentas de usuario en Linux: proporciona mas informacion sobre como

administrar cuentas de usuario en Linux, https://www.makeuseof.com/user-manaaement-linux-
auide/

Pag Sua B-12 // Seguridad de cuentas 1.6


-------
Seguridad de cuentas: revocacion de las credenciales
de los empleados cesantes

COSTO: $$$$ IMPACTO: MEDIA COMPLEJIDAD: BAJA

1.7: iAcaso el PWS deshabilita inmediatamente el acceso a una cuenta o red cuando ya no se requiere
debido a que la persona se retiro, cambio de puesto, dejo de trabajar alii u otros factores?

Recomendacion: tome todas las medidas necesarias para cancelar el acceso a cuentas o redes ante un
cambio en el estado de una persona que hace que el acceso sea innecesario.

cPor que es importante este control?

Las cuentas inactivas pueden parecer inofensivas, pero presentan graves riesgos de seguridad cuando un
PWS no las desactiva o cuando no tienen limites de caducidad de la contrasena. Los atacantes pueden
usar estas cuentas, ya que el PWS posiblemente no se de cuenta de sus actividades. Ademas, los
empleados que abandonan el PWS aun podrian usar sus credenciales de inicio de sesion para acceder a
los recursos de la red, lo que puede ser particularmente riesgoso si el empleado se fue en circunstancias
dificiles.

Lineamientos adicionales

•	Cancele el acceso a cuentas o redes ante un cambio en el estado de un usuario que hace que el
acceso sea innecesario.

•	Revoque el acceso a los empleados, los proveedores, los contratistas y los consultores a los que se
despidieron y que renunciaron voluntariamente lo mas pronto posible.

•	Evalue la necesidad de acceso de los miembros del personal en caso de ascenso u otro cambio de
funcion dentro del PWS y elimine cualquier privilegio de acceso que ya no requieran para su nueva
funcion.

•	Establezca un procedimiento de desvinculacion con Recursos Humanos, los gerentes de Contratacion
y el personal de OT y U. En el procedimiento, se debe incluir un proceso de auditoria para identificar
las cuentas que el PWS debe desactivar y eliminar.

•	Deshabilite el acceso fisico y cibernetico de una persona a las instalaciones y a los sistemas de PWS
apenas la persona ya no necesite acceder a el los.

Consejos de implementation

Puede ser util desarrollar una lista de verificacion simple que el PWS pueda usar cuando una persona
abandone el PWS o pase a ocupar un nuevo puesto en PWS. En la lista de verificacion, se podrian incluir
puntos como la devolucion de cualquier equipo informatico proporcionado por PWS, como computadoras
portatiles, tabletas y telefonos inteligentes, asi como la eliminacion de las cuentas de usuario de la
persona o el cambio de privilegios en las cuentas del usuario segun sea necesario.

Recursos

15 aspectos fundamentales de la seguridad cibernetica de WaterlSAC: en la pagina 17, se
proporciona mas informacion sobre la revocacion de credenciales.

https://www. waterisac.ora/svstem/files/articles/15 Cvbersecuritv Fundamentals

%28WaterlSA C%29.pdf

Pagina B-13 // Seguridad de cuentas 1.7


-------
Seguridad de dispositivos: proceso de aprobacion de software

COSTO: $$$$ IMPACTO: ALTO COMPLEJIDAD: MEDIA

2.1: iAcaso el PWS requiere aprobacion antes de instalar o implementar un nuevo software?

Recomendacion: solo permita a los administradores instalar software nuevo en un activo emitido por
^ el PWS.	,

cPor que es importante este control?

Los usuarios pueden utilizar el software para realizar actividades comerciales normales o con fines maliciosos
destinados a danar el sistema informatico o la empresa. Un atacante puede ocultar el software malicioso como
un software normal con la intencion de enganar a un usuario para que lo instale, al publicitar funciones
legitimas sin revelar las funciones maliciosas o al imitar el estilo o la direccion web del portal de descarga de
un proveedor de confianza. Un atacante puede incluso comprometer el software de un proveedor legitimo a
traves de un ataque a la cadena de suministro (p. ej., el ataque a SolarWinds en 2020).

Si un empleado de PWS instala software malicioso de manera intencional o no, el PWS podria quedar
expuesto a las vulneraciones, las interrupciones o los danos del sistema. Permitir solo el software
aprobado en los activos de PWS, preferentemente que lo instale un administrador, permite que el PWS se
asegure de que el software este libre de codigo malicioso antes de la instalacion.

Lineamientos adicionales

•	Establezca controles para las computadoras proporcionadas por PWS y otros activos a fin de restringir
el software que los usuarios pueden instalar.

o Algunos ejemplos son la restriccion de privilegios administrativos (es decir, solo ciertas
personas designadas pueden instalar software en las computadoras de un PWS, como un
administrador del sistema) o solo permitir descargas de software aprobadas.

•	Implemente un proceso que requiera aprobacion antes de que los usuarios puedan instalar software
nuevo o versiones de software.

•	Elabore una lista de los riesgos del software permitido por PWS, incluida la especificacion de las
versiones aprobadas cuando sea tecnicamente factible.

Consejos de implementation

Un PWS puede administrar el software disponible para el personal a traves de un portal de descarga en
cada activo (p. ej., el Centra de Software de Windows) o, mas simple, desde una lista de software
aprobados. Para instalar un nuevo software, el empleado de PWS debe enviar una solicitud al personal de
OT/n o al administrador del sistema que justifique su necesidad operativa.

Recursos

GAO-22-104746. Respuesta federal a los incidentes de SolarWinds y Microsoft Exchange:

consulte la seccion Que encontro la GAO para obtener mas informacion sobre el ataque a la cadena de
suministro de SolarWinds en 2020. https://www.gao.gov/products/gao-22-104746

Pagina B-14 // Seguridad de dispositivos 2.1


-------
Seguridad de dispositivos: proceso de a probation de software

NIST 800-53 (revision 5). Controles de seguridad y privacidad para sistemas de informacion
y organizaciones: consulte el control CM-11 (pagina 112) para obtener mas informacion sobre el
software instalado por el usuario httDs://c$rc.nist.aov/Dubtications/detail/sp/800-53/rev-5/final
Microsoft Learn; guia para el usuario del Centro de software: consulte este recurso para obtener
mas informacion sobre como planificar y configurar el Centro de Software de Microsoft.
httos://learn.microsoft.com/en- us/mem/confiamar/aDDs/plan-deslan/plan-for-software-
center?source=recommendations

Pagina B-1511 Seguridad de dispositivos 2.1


-------
Seguridad de dispositivos: deshabilitar macros de forma predeterminada

COSTO: $$$$ IMPACTO: MEDIA COMPLEJIDAD: BAJA

2.2: iAcaso el PWS deshabilita las macros de Microsoft Office o un codigo incorporado similar de forma
predeterminada en todos los activos?

Recomendacion: deshabilite las macros incorporadas y el codigo ejecutable similar de forma
predeterminada en todos los activos.

cPor que es importante este control?

Las macros (es decir, el codigo incorporado) son instrucciones de software que se encuentran en otros
archivos, como los documentos de Microsoft Office Word o las hojas de calculo de Excel. Tener estas
macros en un archivo puede ser util para automatizar tareas repetitivas o actualizar datos de fuentes en
linea. Sin embargo, los atacantes suelen utilizar estas macros para ejecutar codigo malicioso, descargar
malware y virus o robar datos.

Un atacante puede entregar un archivo con macros maliciosas a un empleado de PWS como un archivo
adjunto de un correo electronico de phishing. Si el empleado descarga el archivo, la macro dentro de este
puede provocar que el sistema informatico del PWS quede expuesto a vulneraciones, interrupciones o
danos. Si se deshabilitan las macros de forma predeterminada, un PWS puede reducir el riesgo del codigo
ejecutable.

Lineamientos adicionales

• Cuando sea necesario para fines importantes, un PWS puede habilitar las macros en determinados
activos.

Consejos de implementation

Si bien un usuario puede cambiar este ajuste localmente en activos individuals, el PWS debe
implementarla en toda la organizacion a traves de una politica aplicada por el sistema.

El PWS debe tener una politica para que los usuarios autorizados envien una solicitud para habilitar las
macros. Esta solicitud debe justificar la necesidad operativa de habilitar las macros para que el personal
de OT/n pertinente o el administrador del sistema puedan tomar la decision de permitir o rechazar la
solicitud en funcion del potencial riesgo para las operaciones del PWS.

Recursos

NIST 800-53 (revision 5). Controles de seguridad y privacidad para sistemas de informacion
y organizaciones: consulte el control SC-18 (pagina 311) para obtener mas informacion sobre la gestion
de macros, denominado Codigo movil. https://csrc.nist.aov/publications/detail/sp/800-53/rev-5/final

Microsoft Learn. Bloqueo de la ejecucion de las macros en archivos de Office provenientes de
Internet: consulte este recurso para obtener informacion sobre como configurar Windows para bloquear
las macros de Internet.

https://learn.microsoft.com/en-us/deplovoffice/securitv/internet-macros-blocked#block-macros-
from-running- in - office- files-from -the-in tern et

Pagina B-16 // Seguridad de dispositivos 2.2


-------
Seguridad de dispositivos: inventario de activos

COSTO: $$$$ IMPACTO: ALTO COMPLEJIDAD: MEDIA

2.3: iAcaso el PWS mantiene un inventario actualizado de todos los activos de red de OT y n?

Recomendacion: haga una revision (no menos de una vez al mes) y un mantenimiento con regularidad
de la lista de todos los activos de OT y U con una direccion IP. Esto incluye equipos heredados (es decir,
vmas antiguos) y de terceros.	 ,

cPor que es importante este control?

Un PWS no puede proteger ni asegurar lo que no sabe que tiene. Tener un inventario preciso de los activos
tecnologicos de OT (p. ej., SCADA, PLC, HMI) y IT (p. ej., computadoras de oficina, conmutadores de red,
servidores) es una parte fundamental de la seguridad cibernetica del PWS. Una vez que el PWS sepa que
activos tiene, puede realizar las mejoras de seguridad cibernetica necesarias en las redes de OT y IT.

Un PWS necesita comprender que activos se encuentran en sus sistemas de SCADA, de comunicaciones y
comerciales. Tener un inventario preciso permitira que el PWS conozca mejor sus activos, lo ayudara a
encontrar las vulnerabilidades en estos y ayudara a los PWS a responder con mas facilidad a los ataques
ciberneticos.

Lineamientos adicionales

Sobre la base de la revision, actualice los registros obsoletos de los activos conocidos, agregue activos
previamente desconocidos al inventario y elimine los activos de la lista que el PWS ya no use.

Asegurese de que en la lista se identifiquen los activos fisicos y tambien incluya los detalles de estos,
lo que incluye como estan conectados, que datos comparten y quien en el PWS (o que proveedor)
trabaja con el activo.

Consejos de implementation

Hay varios metodos para identificar y hacer un inventario de los activos, y el mejor enfoque
probablemente sea una combinacion de inspeccion fisica, exploracion pasiva, exploracion activa y analisis
de configuracion (establecimiento). Es importante tener esta informacion a fin de prepararse para un
ataque cibernetico o responder a el; sin embargo, tambien es valiosa para un atacante, por lo que debe
protegerse como corresponde.

Identificar y elaborar un inventario de los activos es un primer paso importante que debe tomar un PWS
para conocer sus activos. Los PWS deben saber que activos tienen, como estan configurados (consulte la
hoja informativa 2.5) y como estan conectados esos activos (consulte la hoja informativa 7.4).

Recursos

NIST 800-53 (revision 5). Controles de seguridad y privacidad para sistemas de informacion y
organizaciones: Consulte el control CM-8 (pagina 107) para obtener mas informacion sobre el Inventario
de componentes del sistema. https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final

Pagina B-17 // Seguridad de dispositivos 2.3


-------
Seguridad de dispositivos: inventario de activos

Publication en el blog de seguridad del sistema de control industrial (ICS) del Institute SANS:
"Know Thyself

Better than the Adversary - ICS Asset Identification and Tracking" (Conozcase mas a usted
que el adversario: identification y seguimiento de activos del ICS): proporciona informacion

sobre identification y seguimiento de activos. https://www.sans.org/bloa/know-thvself- better-than-

the-adversarv-ics-asset-identification-and-trackina/

15 aspectos fundamentales de la seguridad cibernetica de WaterlSAC: consulte la seccion en la
pagina 7, Realizar inventarios de activos para obtener informacion adicional.

https://www.waterisac.Org/svstem/fUes/artides/l 5%20Cybersecuritv%20Fundamentals%20%28W
aterlSAC%29.pdf

Pagina B-1811 Seguridad de dispositivos 2.3


-------
Seguridad de dispositivos: prohibicion de la conexion de activos
no autorizados

COSTO: $$$$ IMPACTO: ALTO COMPLEJIDAD: ALTO

/ ; ;

2.4: iAcaso el PWS prohibe la conexion de hardware no autorizado (p. ej., dispositivos USB, unidades

extraibles, computadoras portatiles que llevan otras personas) a activos de OT y U?

Recomendacion: cuando sea factible, elimine, deshabilite o asegure los puertos fisicos (p. ej., los

^puertos USB en una computadora portatil) para evitar que se conecten activos no autorizados.	

cPor que es importante este control?

Aunque los ataques ciberneticos provenientes de Internet reciben la mayor parte de la atencion, incluso si
un PWS no conecta una red a Internet (por ejemplo, un espacio de aire), aun podria ser vulnerable a los
ataques de conexiones directas. Por ejemplo, si un empleado o proveedor utiliza una unidad de Bus
Universal en Serie (USB) o una computadora portatil de terceros fuera del PWS y luego la conecta a la red
del PWS, puede introducir malware en los sistemas de TV o de OT del PWS (ya sea intencionalmente o no).

La conexion de un activo USB malicioso a la red de PWS puede provocar vulneraciones, interrupciones o
danos en el sistema. El ejemplo mas conocido de un atacante que usa un USB para danar una planta
industrial es Stuxnet, el primer malware conocido publicamente disenado para atacar los sistemas de OT.
Solo permitir que los activos autorizados se conecten a las redes de PWS ayuda a evitar que los atacantes
ingresen o roben datos de esas redes.

Lineamientos adicionales

•	Deshabilite las funciones de ejecucion automatica que otorgan acceso automatico a las unidades
extraibles (p. ej., unidades USB) cuando la conecte a una computadora.

•	Permita el acceso a los puertos de conexion fisica en las computadoras solo a traves de excepciones
aprobadas.

Consejos de implementation

Los PWS pueden detener el uso de activos no autorizados mediante el uso de jaulas fisicas para cubrir los
puertos de la computadora, a traves de politicas administrativas (menos efectivas) o al deshabilitar los
permisos tecnicos usando una politica en toda la organizacion dentro de Microsoft Windows. Si un PWS
permite a los usuarios conectar activos externos a sus sistemas, debe verificarlos en busca de malware
antes de conectarlos. Los PWS generalmente pueden configurar el software antivirus para escanear
automaticamente las unidades externas como las USB cuando un usuario las inserta.

Si es necesario, establezca un proceso administrativo mediante el cual un usuario pueda solicitar una
excepcion al uso de un activo externo al justificar la necesidad operativa. El personal pertinente de OT/IT
o el administrador del sistema debera sopesar la necesidad operativa frente al posible riesgo de seguridad
para los sistemas informaticos del PWS.

A

J

Pagina B-19 // Seguridad de dispositivos 2.4


-------
Seguridad de dispositivos: prohibiciori de la conexion de activos no autorizados

Recursos

MITRE ATT&CK. Stuxnet: consulte Replicacion a traves de medios extraibles para obtener mas
informacion sobre la propagacion de Stuxnet. htips://attack.mitre. ora/software/S0603/

NIST 800-53 (revision 5). Controles de seguridad y privacidad para sistemas de information
y organizaciones: consulte el control MP-7 (pagina 176) y SC-41 (pagina 326) para obtener mas
informacion sobre el Uso de medios y el Acceso a dispositivos de E/S y a puertos..

https://csrc.nistaoy/publications/detail/so/SOO- 53/rev-5/finat

Microsoft Learn. Habilitacion y deshabilitacion de la ejecucion automatica: consulte la seccion
sobre Uso del registro para deshabilitar la ejecucion automatica a fin de obtener mas informacion,

https://ieam.microsoft.com/en- us/windows/win32/sheil/autoplav-rea#usina-the-reaistrv-to-
disable-autorun

Pagina B-2011 Seguridad de dispositivos 2.4


-------
Seguridad de dispositivos: configuraciones de dispositivos de documentos

COSTO: $$$$ IMPACTO: ALTO COMPLEJIDAD: MEDIA

/	;	;	v

2.5: iAcaso el PWS mantiene la documentacion actualizada que detalla la instalacion y los ajustes (es

decir, la configuracion) de los activos criticos de OT y U?

Recomendacion: conserve la documentacion precisa de la configuracion original y actual de los activos
^de OT y IT, incluida la version de software y de firmware.

cPor que es importante este control?

Si bien un PWS puede conocer los activos fisicos que existen en sus redes informaticas al realizar un
inventario de activos (consulte la hoja informativa 2.3), tambien es importante comprender la
configuracion (es decir, los ajustes) de sus activos. Los atacantes a menudo aprovechan las
vulnerabilidades (es decir, las debilidades) que solo existen en ciertas versiones o configuraciones del
software y el firmware utilizados para controlar los activos. Por lo tanto, un PWS debe conocer las
configuraciones de sus activos para saber si una vulnerabilidad recien encontrada podria usarse en un
ataque a la red.

Ademas, si un atacante cambia la configuracion de los activos, borra los ajustes o desactiva los activos,
la documentacion de configuracion bien mantenida permitira que el PWS detecte los cambios con mas
facilidad, restablezca los ajustes adecuados y mantenga o restaure las operaciones.

Lineamientos adicionales

• Revise y actualice la documentacion de la configuracion periodicamente.

Consejos de implementation

Para documentar completamente las configuraciones de los activos, incluya los siguientes detalles, segun
corresponda: propietario (p. ej., Departamento de Ingenieria), ubicacion fisica y de la red, proveedor,
tipo de activo, modelo, nombre del activo, versiones de firmware o de software, niveles de parches,
configuraciones de activos, servicios activos (es decir, procesos automatizados), protocolos de
comunicacion, direcciones de red (p. ej., IP y MAC), valor de los activos e importancia critica para las
operaciones de PWS.

Para ser eficiente, un PWS puede realizar una revision de la configuracion de sus activos al mismo tiempo
que el proceso de inventario de activos detallado en la hoja informativa 2.3 y el estudio de la red que
figura en la hoja informativa 7.4. La informacion de la configuracion es importante para prepararse para
un ataque cibernetico o responder a el; sin embargo, tambien es valiosa para un atacante, por lo que el
PWS deberia protegerla como corresponde.

Recursos

NIST 800-53 (revision 5). Controles de seguridad y privacidad para sistemas de informacion
y organizaciones: consulte la familia de controles CM-1 (pagina 96) y el control CM-6 (pagina 103)
para obtener mas informacion sobre Gestion de la configuracion y Parametros de los ajustes.

https://csrc.nist.aov/publications/detail/sp/800-53/rev-5/final

Pagina B-21 // Seguridad de dispositivos 2.5


-------
Seguridad de los datos: recopilacion de registros

COSTO: $$$$ IMPACTO: ALTO COMPLEJIDAD: MEDIA

3.1: iAcaso el PWS recopila los registros de seguridad (p. ej., acceso al sistema y a la red, deteccion de
malware) para usarlos tanto en la deteccion como en la investigacion de incidentes?

Recomendacion: recopile y almacene registros o datos de trafico de red para poder detectar ataques
ciberneticos e investigar actividades sospechosas.

V	J

cPor que es importante este control?

El registro es la recopilacion de datos sobre los sucesos que tienen lugar en los sistemas de OT o n" de un
PWS. Al responder a un ataque cibernetico, tener registros detallados ayudara al PWS y a otros
investigadores a determinar como y cuando un atacante pudo ingresar en sus sistemas, a que areas
accedio y si filtro datos confidenciales. Las revisiones periodicas de estos registros tambien pueden
permitirle al PWS detectar a un atacante antes de que pueda afectar los sistemas.

Lineamientos adicionales

•	Verifique los registros con regularidad tanto para verificar que esten completos como para asegurarse
de que se pueda encontrar toda la informacion necesaria en caso de un ataque cibernetico.

•	Si una fuente de registro (p. ej., el registro de eventos de Windows) no esta activa, notifique al
administrador del sistema o a la persona responsable de la seguridad del sistema.

•	Si los registros no estan disponibles para ciertos activos de OT, recopile informacion sobre el trafico
de la red y las comunicaciones hacia estos activos y desde ellos.

Consejos de implementation

Las fuentes de registros incluyen, entre otras, inicios de sesion en la red y registros de servidores, activos
de usuarios finales (p. ej., computadoras de escritorio y portatiles), equipos de red (p. ej., enrutadores y
conmutadores), aplicaciones/programas, sistemas de deteccion de intrusiones/sistemas de proteccion
contra intrusiones (IDS/IPS), cortafuegos, software antivirus, herramientas de prevencion de perdida de
datos (DLP) y redes privadas virtuales (VPN).

Si es posible, los PWS deben capturar, revisar y almacenar de forma segura los registros de todas estas
fuentes para referencia futura en caso de un ataque cibernetico. Como minimo, los PWS deben habilitar el
registro en servidores criticos, cortafuegos y herramientas de acceso remoto como las VPN. En los
manuales de configuracion de cualquier cortafuegos o herramienta de acceso remoto, deberia encontrar
instrucciones sobre como configurar y habilitar el registro para estos activos especificos.

En el caso de los sistemas basados en Windows, la aplicacion Visor de eventos de Windows le brinda al
PWS la capacidad de revisar manualmente los registros de seguridad de un activo individual. Para ver un
registro de seguridad de ejemplo en Windows, abra la aplicacion Visor de eventos. En el arbol de la
consola, expanda Windows Logs (Registros de Windows) y, luego, haga clic en Security (Seguridad). En el
panel de resultados, se mencionan los eventos de seguridad individuals. Para ver mas detalles sobre un
evento especifico, haga clic en el en el panel de resultados. El PWS puede recopilar eventos de Windows
de servidores y puntos de conexion (p. ej., computadoras de escritorio y portatiles) en un servidor central
para un analisis manual mas eficiente utilizando el Recopilador de eventos de Windows.

Pagina B-22 // Seguridad de los datos 3.1


-------
Seguridad de los datos: recopilacion de registros

Si bien el metodo es una mejora cori respecto a la revision de registros totalmente manual, no incluira
registros de activos y aplicaciones que no sean de Windows, lo que proporciona un panorama incompleto
de las operaciones del PWS.

Para abordar este problema, el PWS puede utilizar software de incorporation de registros y sistemas de
gestion de eventos de informacion de seguridad (SIEM) para recopilar registros de forma centralizada de
practicamente todas las fuentes, simplificar la revision de los registros y detectar los eventos de interes.
Ademas de tener todos los registros en un solo lugar, estas herramientas tambien pueden automatizar
muchos pasos del analisis de registros, lo que hace que el equipo de seguridad de PWS sea mas eficaz,
ademas de que permiten ahorrar tiempo en el proceso.

Recursos

NIST 800-53 (revision 5). Centrales de seguridad y privacidad para sistemas de informacion y
organizaciones: consulte el control AU-2 (pagina 66) para obtener mas informacion sobre Registro de
eventos. https://csrc.nist.aov/DubUcations/detoil/sp/800-53/rev-5/final

15 aspectos fundamentales de la seguridad cibernetica de WaterlSAC: consulte la pagina 31
para obtener mas informacion sobre Registro y auditoria,

https://www.waterisac.ora/svstem/fUes/articles/15%20Cvbersecuritv%20Fundamentals%20%28W
aterlSAC%29.odf

Microsoft Learn. Recopilador de eventos de Windows: consulte este recurso para obtener mas
informacion sobre como configurar el Recopilador de eventos de Windows.

Pagina B-23 // Seguridad de los datos 3.1


-------
Seguridad de los datos: almacenamiento seguro de los registros

COSTO: $$$$ IMPACTO: ALTO COMPLEJIDAD: BAJA

3.2: iAcaso el PWS protege los registros de seguridad contra el acceso no autorizado y la manipulation?

Recomendacion: almacene los registros de seguridad en un sistema central o en una base de datos a la

que solo puedan acceder los usuarios autorizados y autenticados.
V	y

cPor que es importante este control?

Una vez que el PWS recopile los registros de seguridad, debe almacenarlos y protegerlos. Este paso es
importante porque, si un atacante compromete un sistema, puede modificar o eliminar los registros para
destruir la evidencia y cubrir sus huellas.

Sin datos de registro confiables para rastrear lo que hace un atacante en un sistema informatico de PWS,
tanto detectar como responder a un ataque cibernetico se vuelven mucho mas dificiles. El administrador
del sistema no sabra a donde fue el atacante, que hizo o cuando lo hizo. Este paso ayuda a garantizar
que el PWS proteja sus registros de seguridad contra el acceso no autorizado y la manipulacion.

Lineamientos adicionales

•	Almacene los registros durante un determinado periodo que tenga en cuenta la politica de PWS, las
normas estatales (si las hubiere) y el riesgo cibernetico. Un periodo habitual de conservacion de
registros es de seis meses.

•	Asegurese de que los registros de seguridad sean parte de los procedimientos estandares de copia de
seguridad del PWS para que este pueda revisar los registros, incluso si la fuente ya no esta disponible.

Consejos de implementation

Se pueden almacenar los registros en un sistema o en una base de datos centrales utilizando los sistemas
de gestion de eventos e informacion de seguridad (SIEM), que se abordan mas detalladamente en la hoja
informativa 3.1. Ademas de facilitar la recopilacion y el analisis de registros, las herramientas de SIEM
tambien le permiten al administrador del sistema configurar los permisos de acceso por usuario, lo que se
conoce como control de acceso basado en roles (RBAC). Cuando almacene los registros en una ubicacion
central con una herramienta de SIEM o sin ella, asegurese de que cada usuario tenga una cuenta
individual para acceder al almacenamiento de registros (es decir, herramienta de SIEM, base de datos de
registros o servidor de registros).

Independientemente de como el PWS guarde los registros, debe hacer una copia de seguridad en una
unidad de almacenamiento secundaria de forma regular. Una frecuencia comun es a diario. Los requisites
y restricciones reglamentarios, operativos y tecnologicos suelen determinar durante cuanto tiempo se
guardaran los registros; sin embargo, es comun conservarlos durante seis meses. Por lo general, es
mejor guardar un registro durante un periodo mas largo que corto, ya que los encuestados tendran mas
evidencia que revisar al investigar un posible ciberataque.

Recursos

NIST 800-53 (revision 5). Controles de seguridad y privacidad para sistemas de informacion
y organizaciones: consulte la familia de controles AU y AU-9 (pagina 74) para obtener mas informacion
sobre Auditoria y responsabilidad y Proteccion de la informacion de auditoria.

https://csrc.nist.aov/publications/detail/sp/800-53/rev-5/final

Pagina B-24 // Seguridad de los datos 3.2


-------
Seguridad de los datos: almacenamiento seguro de los registros

15 aspectos fundamentales de la seguridad cibernetica de WaterlSAC: consulte la pagina 31
para obtener mas informacion sobre Registro y auditoria.

https://www.waterisac.ora/svstem/fLtes/artlctes/15%20CvbersecurLtv%20Fundamentals%20%28W
ater!SAC%29.pdf

Microsoft Learn. Configuracibn o personalization de la copia de seguridad del servidor:

consulte este recurso para obtener mas informacion sobre como configurar copias de seguridad para
unidades de almacenamiento de registros. https://tearn.microsoft.com/en-us/windows-server-
essentials/manaae/set-up-or-customize- server-backup

Pagina B-2511 Seguridad de los datos 3,2


-------
Seguridad de los datos: cifrado seguro y agil

COSTO: $$$$ IMPACTO: ALTO COMPLEJIDAD: MEDIA

3.3: iAcaso el PWS utiliza un cifrado eficaz para mantener la confidencialidad de los datos en transito?
Recomendacion: cuando envie datos e informacion, utilice los estandares de cifrado de seguridad de la
capa de transporte (TLS) o de la capa de sockets seguros (SSL).

V	_	J

cPor que es importante este control?

El cifrado es el proceso mediante el cual las computadoras convierten informacion (p. ej., archivos, trafico
de red) de texto simple que las personas pueden leer en un mensaje codificado que no pueden leer. Es
un paso importante, ya que los atacantes a menudo intentaran interceptar mensajes para alterar los
comandos de los activos de OT y robar contrasenas u otra informacion confidencial.

Si se usa un cifrado seguro al enviar informacion, incluso si los atacantes logran interceptar un mensaje,
no pod ran usar la informacion ya que no la pod ran leer. Este paso ayuda a mantener la privacidad (es
decir, el secreto) de la informacion confidencial y la integridad (es decir, la precision) de la informacion de
la OT y la IT.

Lineamientos adicionales

•	Para los sistemas informaticos de la OT, como SCADA, utilice el cifrado para las comunicaciones con
activos remotos o externos.

•	Actualice cualquier software de cifrado de datos inseguro u obsoleto.

Consejos de implementation

TLS y SSL son los protocolos de cifrado mas comunes que usan los sistemas para enviar informacion y
datos, y los PWS pueden configurar activos como computadoras de escritorio y servidores para enviar y
recibir mensajes cifrados usando uno de estos protocolos. El estandar TLS es una alternativa mas nueva y
segura que el SSL y, en general, es el estandar de cifrado que se prefiere si es factible. Un PWS debe
realizar una revision del protocolo de cifrado actual que utiliza, comparar este protocolo con los
estandares actuales y desarrollar un plan de mejora si es necesario y factible desde el punto de vista
operativo.

Los ajustes de configuracion para el cifrado pueden estar disponibles para una variedad de
comunicaciones, incluido el software de acceso remoto, el software HMI basado en la web, las
comunicaciones inalambricas (p. ej., wifi) y las comunicaciones por radio. Un PWS debe cifrar y proteger
con contrasena las comunicaciones inalambricas y evitar las redes wifi abiertas (es decir, sin contrasena).
Es probable que las redes privadas virtuales (VPN) para acceder de manera remota a los sistemas de los
PWS y los servicios en la nube para el almacenamiento remoto y el alojamiento de aplicaciones ofrezcan
esta funcion de manera predeterminada.

Dentro de Windows, el PWS puede habilitar el estandar TLS a traves del administrador de configuracion.
Si implementa TLS a traves del Administrador de configuracion de Windows, asegurese de comenzar con
los clientes/puntos finales (computadoras de escritorio y portatiles). Si comienza la implementacion a
nivel del servidor, puede cortar la comunicacion con los activos del cliente.

Pagina B-26 // Seguridad de los datos 3.3


-------
Seguridad de los datos: cifrado seguro y agil

Recursos

NIST 800-53 (revision 5). Controles de seguridad y privacidad para sistemas de
information y organizaciones: Consulte el control SC-8 (pagina 304) para obtener mas
informacion sobre Confidencialidad e integridad de la transmision.

httDs://csrc.nistaov/Dublications/detail/sp/800-53/rev-5/final

Guia de infraestructura basica de Microsoft: consulte los siguientes enlaces para obtener
instrucciones sobre como habilitar TLS 1.2 en clientes (p. ej., computadoras de escritorio y portatiles)
y servidores a traves del Administrador de configuracion de Windows.

https://learn.microsoft.com/en-us/mem/configmgr/core/plan- design/securitv/enable-tts-1-2-
clien t: h ttps://learn. microsoft, com/en - us/mem/confiamar/core/plan - desian/securitv/enable-
tls-1-2

Pagina B-27 // Seguridad de los datos 3.3


-------
Seguridad de los datos: datos confidenciales seguros

COSTO: $$$$ IMPACTO: ALTO COMPLEJIDAD: MEDIA

3.4: dAcaso el PWS utiliza un cifrado para mantener la privacidad de los datos confidenciales almacenados?

Recomendacion: no almacene datos confidenciales, incluidas las credenciales (es decir, nombres de usuario

y contrasenas) en texto sin formato.
V	/

cPor que es importante este control?

Consulte la hoja informativa 3.3 para conocer la importancia del cifrado general.

Este control es importante, ya que los atacantes a menudo intentan acceder a los sistemas informaticos y
las bases de datos para robar informacion confidencial e "inspeccionar" la red para un ataque futuro.
Ademas, muchos cibersecuestros de datos tambien incluyen intentos de extorsion en los que el atacante
roba los datos confidenciales de un PWS y amenaza con exponerlos en Internet si no se paga una
cantidad. Si el PWS cifra los datos, el atacante no podra usarlos si logra robarlos, ya que seran ilegibles.

Lineamientos adicionales

•	Solo permita el acceso a usuarios autorizados.

•	Actualice cualquier software de cifrado de datos inseguro u obsoleto.

Consejos de implementation

Un PWS puede cifrar los datos almacenados usando BitLocker para el cifrado de unidades de servidores y
clientes (computadoras de escritorio y portatiles), asi como con el cifrado de datos transparente (TDE)
para archivos de bases de datos. Un PWS puede cifrar y proteger con contrasena archivos confidenciales
individuales en Windows haciendo clic con el boton derecho en un archivo y seleccionando Properties
(Propiedades) -> Advanced (Avanzado) -> Encrypt contents to secure data (Cifrar contenido para
proteger datos). Es probable que los servicios en la nube para almacenamiento remoto y alojamiento de
aplicaciones ofrezcan esta funcion de manera predeterminada.

Para almacenar y utilizar las credenciales de forma segura, un PWS puede utilizar un software de gestion
de contrasenas (p. ej., LastPass, lPassword) u otro metodo de administracion de cuentas. El software de
gestion de contrasenas almacena de forma segura las credenciales, reduce la dificultad de recordar
contrasenas y simplifica el uso de contrasenas complejas.

Recursos

NIST 800-53 (revision 5). Controles de seguridad y privacidad para sistemas de informacion
y organizaciones: consulte el control SC-13 (pagina 308) y SC-28 (pagina 317) para obtener mas
informacion sobre Proteccion criptografica y Proteccion de informacion en reposo.

https://csrc.nist.aov/publications/detail/sp/800-53/rev-5/final

Pagina B-28 // Seguridad de los datos 3.4


-------
Seguridad de los datos: datos confidenciales seguros

Guia de infraestructura basica de Microsoft: consulte los siguientes enlaces para obtener
instrucciones sobre como cifrar los datos almacenados mediante el cifrado de unidades de BitLocker, el
cifrado de datos transparente (TDE) para bases de datos y el cifrado de archives individuales.

https://learn.microsoft.com/en- us/dynamics365/business-central/dev-itDro/security/transparent-

data-encryption;

https://learn.microsoft.com/en-us/windows/securitv/information-Drotection/bitlocker/bitlocker-
overview;

https://support.microsoft.com/en-us/windows/how-to-encrypt-a-file-n31805c-47b8-2e3e-a7Q5-
807e13c10da7

Pagirta B-2911 Seguridad de los datos 3.4


-------
Gobernanza y capacitacion: liderazgo en seguridad cibernetica organizacional

COSTO: $$$$ IMPACTO: ALTO COMPLEJIDAD: BAJA

4.1: iAcaso el PWS tiene un rol/puesto/cargo designado que sea responsable de la planificacion, la
dotacion de recursos y la ejecucion de las actividades de seguridad cibernetica dentro de si mismo?
Recomendacion: identifique una funcion, un puesto o un cargo responsable de la seguridad cibernetica
dentro del PWS. Quien lo desempene estara a cargo de todas las actividades de seguridad cibernetica de
PWS.

cPor que es importante este control?

Para prepararse y responder a las amenazas de seguridad cibernetica de manera eficaz en todo el PWS,
es esencial crear una estrategia vertical, que empiece con la asignacion de un lider de seguridad
cibernetica general. El PWS puede asociar la responsabilidad del lider con un puesto de trabajo actual. La
persona que ocupe el puesto de liderazgo debe ser responsable de la planificacion, la dotacion de
recursos y la supervision de la ejecucion de las actividades de seguridad cibernetica. El lider de seguridad
cibernetica puede realizar actividades tales como administrar operaciones de seguridad cibernetica a nivel
superior, brindar capacitacion de concientizacion a los empleados, planificar ejercicios (p. ej., ejercicios
de simulacion), solicitar y asegurar recursos presupuestarios para actividades de seguridad cibernetica,
como soporte de proveedores, e informar a la junta o area administrativa sobre las actividades de
seguridad cibernetica.

Lineamientos adicionales

•	Seleccione un puesto dentro del PWS para el rol/puesto/cargo designado como responsable de la
seguridad cibernetica general. Si es posible, la persona que desempene esta funcion no debe ser
tambien el administrador del sistema. Esta persona debe ser un empleado del PWS, y no un
proveedor o contratista, para que el PWS pueda responsabilizarlo por las funciones que realiza.

•	Establezca tareas y deberes claros para el lider de seguridad cibernetica y registrelos, como
agregandolos a una descripcion de puesto existente. Incluya diagramas y fotografias cuando sea
necesario.

•	Identifique a cualquier miembro del personal esencial que deba ayudar al lider de seguridad
cibernetica.

Consejos de implementation

La persona responsable como lider general de seguridad cibernetica no necesita ser un experto
cibernetico; sin embargo, seria util que tuviera cierto conocimiento de como funcionan los sistemas de OT
y n del PWS.

Asegurese de que el lider de seguridad cibernetica tenga suficientes oportunidades de capacitacion para
desempenar su funcion de manera eficaz. Incluya las funciones y las responsabilidades del individuo
como lider de seguridad cibernetica en sus revisiones de desempeno.

Pagina B-30 // Gobernanza y capacitacion 4.1


-------
Gobernanza y capacitacion: liderazgo en seguridad cibemetica organizacional

Recursos

15 aspectos fundamentales de la seguridad cibemetica de WaterlSAC: La pagina 25 brinda
informacion sobre como crear una cultura de seguridad cibemetica eri un PWS, incluida la participacion de
la administracion y la junta.

https://www.waterisac.ora/svstem/flles/articles/15%20Cvbersecuritv%20Fundamentals%20%28W
aterlSAC%29.odf

Marco de referenda de ia fuerza laborai para la seguridad cibemetica de la NICCS (marco
NICE): este recurso ayuda a los ernpleadores a desarrollar su fuerza laborai para la seguridad
cibemetica. Consulte el modulo Gestion de seguridad cibemetica. https://niccs.cisa.aov/workforce-

development/nice-framework/specialtv- areas/cvbersecuritv-manaaement

Cursos de herramientas ciberneticas basicas: este conjunto de herramientas presenta un grupo de
modulos disenados para dividir los fundamentos ciberneticos de la CISA en pasos manejables para un
lider de seguridad cibemetica.https://www.cisa.aov/Dublication/cvber-essentials-toolkits

Pagina B-3111 Gobernanza y capacitacion 4.1


-------
Gobernanza y capacitacion: liderazgo en seguridad cibernetica de OT

COSTO: $$$$ IMPACTO: ALTO COMPLEJIDAD: BAJA

4.2: iAcaso el PWS tiene un rol/puesto/cargo designado que sea responsable de la planificacion, la
dotacion de recursos y la ejecucion de las actividades de seguridad cibernetica especificas de la OT?
Recomendacion: identifique una funcion, un puesto o un cargo del PWS responsable de garantizar la
planificacion, la obtencion de recursos y la ejecucion de actividades de seguridad cibernetica especificas de OT.

v	y

cPor que es importante este control?

Ademas de un lider de seguridad cibernetica general (consulte la hoja informativa 4.1), los PWS deben
asignar un rol/puesto/cargo que se asigne como responsable de las actividades de seguridad cibernetica
especificas de la OT, debido a sus complejidades. La persona que desempene este rol, puesto o cargo de
lider de seguridad cibernetica de la OT debe poder supervisar y tener autoridad sobre toda la seguridad
cibernetica especifica de la OT y ser responsable de la planificacion, la dotacion de recursos y la ejecucion
de todas las actividades de seguridad cibernetica especificas de la OT.

Lineamientos adicionales

•	Seleccione un puesto dentro del PWS para el rol, puesto o cargo designado como responsable de la
seguridad cibernetica de la OT. Este lider de seguridad cibernetica de la OT podria desempenar el mismo rol,
puesto o cargo mencionado en el punto 4.1, un rol, puesto o cargo distinto en el PWS, un rol, puesto o
cargo a nivel municipal o del condado o un rol/, puesto o cargo que supervise un proveedor de OT
encargado de dar servicios de seguridad cibernetica. El lider de seguridad cibernetica de OT puede ser
diferente al administrador del sistema. El lider de seguridad cibernetica de la OT podria desempenar el
mismo rol, puesto o cargo responsable de las operaciones generales de la OT.

•	Establezca y registre tareas claras para el lider de seguridad cibernetica de la OT, como agregandolas
a la descripcion de un puesto existente. Incluya diagramas y fotografias cuando sea necesario.

•	Identifique a cualquier miembro del personal esencial que deba ayudar al lider de seguridad
cibernetica de la OT.

Consejos de implementation

El empleado del PWS responsable como lider de seguridad cibernetica de la OT debe tener un buen conocimiento
practico de como el PWS configura, usa y mantiene sus sistemas de OT. Por ejemplo, el PWS podria nombrar a
un empleado que usa la OT como parte de sus deberes regulares en su rol, puesto o cargo.

Si el lider de seguridad cibernetica de la OT realizara completamente sus funciones sin ayuda externa,
asegurese de que el empleado del PWS que cumpla esta funcion tenga suficientes oportunidades de
capacitacion para llevar a cabo sus responsabilidades de manera eficaz. Incluya en las revisiones de
desempeno las responsabilidades del lider de seguridad cibernetica de la OT. Si un proveedor se
desempenara como lider de seguridad cibernetica de la OT, el PWS debe incluir un lenguaje a tal efecto
en el acuerdo o contrato del nivel de servicio.

Recursos

Seguridad cibernetica del ICS para el nivel C del Centra Nacional de Integration de Ciberseguridad
y Comunicaciones (NCCIC): proporciona ejemplos de seis preguntas de supervision de riesgos de seguridad
cibernetica que un lider de seguridad cibernetica de OT debe plantearse sobre el entorno de su organizacion,

Pagina B-32 // Gobernanza y capacitacion 4.2


-------
Gobernanza y capacitacion: liderazgo en seguridad cibernetica de OT

e incluye servicios y pasos de accion practicos especificos para la infraestructura critica.

https://www.cisa.aov/uscert/sites/default/files/FactSheets/NCCIC%20ICS FactSheet ICS Cvbersecu
ritv C-Levei S508C.pdf

Marco de referencia de la fuerza laboral para la seguridad cibernetica de la NICCS (marco
NICE): este recurso ayuda a los empleadores a desarrollar su fuerza laboral para la seguridad cibernetica.
Consulte el modulo Gestion de seguridad cibernetica. https://niccs.cisa.aov/workforce-

deveiopment/nice-framework/specialty- areas/cvbersecuritv-manaaement

Pagina B-3311 Gobernanza y capacitacion 4.2


-------
Gobernanza y capacitacion: capacitacion basica sobre seguridad cibernetica

COSTO: $$$$ IMPACTO: ALTO COMPLEJIDAD: BAJA

4.3: iAcaso el PWS brinda, por lo menos, capacitaciones anuales para todo el personal del PWS que
cubran los conceptos basicos de seguridad cibernetica?

Recomendacion: lleve a cabo una capacitacion basica anual en seguridad cibernetica para todo el
personal de PWS.

cPor que es importante este control?

Para ayudar a crear y mantener una cultura de seguridad cibernetica, un PWS debe brindar capacitacion
basica y periodica sobre seguridad cibernetica a todo el personal. Si bien la seguridad cibernetica cubre
muchas areas, hay ciertos conceptos basicos de seguridad que el PWS debe enfatizar regularmente para
desarrollar una conciencia general y promover mejores practicas ciberneticas. Cuando los PWS capacitan
al personal con regularidad, es mas probable que dicho personal identifique y responda rapidamente ante
un posible incidente cibernetico o que evite que este ocurra del todo. La capacitacion regular es
fundamental ya que las amenazas de seguridad cibernetica evolucionan constantemente.

Lineamientos adicionales

•	Establezca un cronograma a fin de realizar capacitaciones periodicas para todo el personal del PWS
que cubra los conceptos basicos de seguridad cibernetica. La capacitacion debe darse una vez al ano,
como minimo.

•	Establezca una politica que requiera que los nuevos empleados reciban capacitacion inicial en
seguridad cibernetica dentro de los 10 dias posteriores a su incorporacion. La capacitacion debe
considerar el rol del nuevo empleado y cubrir temas basicos de seguridad.

Consejos de implementation

Desarrolle una agenda para la capacitacion que cubra los conceptos basicos de seguridad cibernetica, como
phishing, riesgo de los correos electronicos comerciales, seguridad de contrasenas, ultimas tendencias y
amenazas en ingenieria social y las mejores practicas de higiene cibernetica. La ingenieria social es una forma
comun de aprovecharse de las personas a traves de las redes sociales (p. ej., Facebook) y la interaccion
humana (p. ej., el correo electronico) para obtener acceso e informacion confidencial. Utilice conceptos de
capacitacion que sean familiares para el personal del PWS, incluidos ejemplos reales basados en los equipos y
sistemas que el PWS usa. Por ejemplo, si el PWS entrega un telefono inteligente al empleado, incluya
capacitacion especrfica relacionada con la seguridad de este dispositivo. Dado que probablemente todo el
personal reciba un correo electronico, la capacitacion siempre debe incluir las mejores practicas de seguridad
cibernetica para revisar y abrir correos electronicos.

Desarrolle los materiales de capacitacion para que sean faciles de seguir y para que el personal pueda
consultarlos mas adelante. Actualice las presentaciones de PowerPoint, los modulos de aprendizaje en
linea y los folletos para cada capacitacion. Comparta enlaces de recursos adicionales donde el personal
del PWS pueda obtener mas informacion sobre los temas de seguridad cibernetica. Para que la seguridad
cibernetica se mantenga relevante y actualizada, considere agregar un segmento corto de seguridad
cibernetica en las reuniones y sesiones informativas del personal del PWS donde se comparta un consejo
rapido o informacion relacionada con la seguridad cibernetica.

El personal que suele ser el objetivo de los ataques, como ejecutivos, asistentes ejecutivos, ingenieros,
personal de SCADA, personal de IT, operadores y personal de Recursos Humanos y finanzas, debe recibir

Pagina B-34 // Gobernanza y capacitacion 4.3


-------
Gobernanza y capacitacion: capacitacion basica sobre seguridad cibernetica

una capacitacion mas especializada. Existen muchas opciones de capacitacion gratuitas disponibles en
linea y presencialmente, incluso de la CISA y la Iniciativa Nacional para Carreras y Estudios en
Ciberseguridad (NICCS) (consulte los siguientes recursos).

Recursos

15 aspectos fundamentales de la seguridad cibernetica de WaterlSAC: la pagina 25 proporciona
informacion para crear una cultura de seguridad cibernetica en un PWS, incluida la capacitacion de
concientizacion sobre seguridad cibernetica para todo el personal del PWS.

https://www.waterisac.ora/svstem/files/articles/15%20Cvbersecuritv%20Fundamentals%20%28W
aterlSAC%29.pdf

Norma 800-16 y 800-50 del NIST. Desarrollo de un programa de capacitacion y
concientizacion sobre la seguridad de la tecnologia de la informacion: Brinda orientacion para
crear un programa de capacitacion y concientizacion sobre la seguridad de la U.

https://csrc.nist.aov/publications/detail/sp/800-50/final-.
https://csrc.nist.aov/publications/detail/sp/800-16/final

Norma NIST 800-82. Guia para la seguridad de los sistemas de control industrial: la

seccion 6.2.2 de la pagina 6-13 proporciona una guia de capacitacion del ICS.

https://csrc.nist.aov/pubiications/detaii/sp/800- 82/rev-2/final

Capacitacion de la CISA: brinda capacitacion en linea sin costo sobre una variedad de temas de
seguridad cibernetica. https://www.cisa.aov/cybersecurity-trainina-exercises

Portal de aprendizaje virtual de la CISA: brinda capacitacion en linea sin costo sobre una variedad
de temas de seguridad cibernetica. https://www.cisa.gov/uscert/ics/Training-Avaiiabie-Through-
CISA#need

Capacitacion en seguridad cibernetica de Federal Virtual Training Environment (FedVTE) de
la NICCS: brinda capacitacion sobre seguridad cibernetica en linea sin costo para empleados
gubernamentales estatales, locales, tribales y territoriales. https://niccs.cisa.gov/education-
trainina/federai-virtuai-trainina-environment-fedvte

Stop Ransomware.gov: es el sitio unico oficial del Gobierno de EE. UU. para obtener recursos que
abordan el ransomware de manera mas eficaz. https://www.cisa.gov/stopransomware

Pagina B-35 // Gobernanza y capacitacion 4.3


-------
Gobernanza y capacitacion: capacitacion sobre seguridad cibernetica de OT

COSTO: $$$$ IMPACTO: ALTO COMPLEJIDAD: BAJA

4.4: iAcaso el PWS ofrece capacitacion sobre seguridad cibernetica especifica de la OT al menos una vez
al ano al personal que usa la OT como parte de sus funciones regulares?

Recomendacion: brinde capacitacion especializada en seguridad cibernetica centrada en la OT a todo el
personal que utiliza activos de OT.

cPor que es importante este control?

La hoja informativa 4.3 presenta la importancia de las capacitaciones regulares sobre seguridad
cibernetica basica para todo el personal. Ademas, el personal que da mantenimiento o proteccion a la OT
como parte de sus funciones regulares debe recibir capacitacion especifica en seguridad cibernetica de OT
al menos una vez al ano.

Lineamientos adicionales

• Identifique al personal del PWS que debe recibir capacitacion en seguridad cibernetica mas
especializada y centrada en la OT. Como minimo, los PWS deben brindar esta capacitacion especializada
al personal que utiliza los activos de OT como parte de sus funciones habituales.

Consejos de implementation

El proveedor de OT designado por el PWS puede ser capaz de realizar la capacitacion en seguridad
cibernetica centrada en OT para el PWS.

En lugar de una gran capacitacion que cubra muchos temas, un PWS debe realizar multiples
capacitaciones programadas periodicamente a lo largo del ano para ayudar a dividir los temas en sesiones
breves y digeribles.

Desarrolle la agenda y los materiales de capacitacion para que sean faciles de seguir y para que el personal
pueda consultaries mas adelante. La capacitacion debe cubrir la seguridad, las configuraciones, las funciones
de seguridad, las acciones de respuesta a incidentes y las operaciones generates de los activos de OT. Si el
PWS puede operar manualmente sin el uso de OT, considere agregar capacitacion para operaciones manuales.
Las operaciones manuales pueden ser una linea de defensa esencial para mantener el PWS operativo en caso
de un ciberataque. Hay muchas oportunidades de capacitacion en linea disponibles para el personal del PWS,
incluidas las de la CISA y la NICCS (consulte los siguientes recursos).

Recursos

Capacitacion del ICS de la CISA: brinda capacitacion en linea sin costo sobre una variedad de temas
de seguridad de la OT. https://www.CLsa.aov/uscert/Lcs/Tramma-AvaUable-Throuah-CISA

Norma NIST 800-82. Guia para la seguridad de los sistemas de control industrial: la

seccion 6.2.2 de la pagina 6-13 proporciona una guia de capacitacion del ICS.

https://csrc.nist.aov/publications/detail/sp/800- 82/rev-2/final

Capacitacion en seguridad cibernetica de Federal Virtual Training Environment (FedVTE) de
la NICCS: brinda capacitacion sobre seguridad cibernetica en linea sin costo para empleados
gubernamentales estatales, locales, tribales y territoriales. https://niccs.cisa.aov/education-
trainina/federal-virtual-trainina-environment-fedvte

Pagina B-36 // Gobernanza y capacitacion 4.4


-------
Gobernanza y capacitacion: capacitacion sobre seguridad cibernetica de OT

Institute SANS. Capacitacion practica de primer nivel en ICS: esta capacitacion de pago ofrece
varios cursos disenados para aumentar las habilidades de seguridad cibernetica de quienes usan OT/ICS

en su P\NS.httDs://www.san$.ora/cvber-securitv-courses/?focus-area=industrial~contro[-svstems-

securitv&msc=main-nav

Pagina B-37 // Gobernanza y capacitacion 4.4


-------
Gobernanza y capacitacion: mejora de las relaciones de seguridad
cibernetica de IT y OT

COSTO: $$$$ IMPACTO: MEDIA COMPLEJIDAD: BAJA

4.5: iAcaso el PWS ofrece oportunidades periodicas para fortalecer la comunicacion y la coordinacion
entre el personal de OT y U, incluidos los proveedores?

Recomendacion: organice reuniones entre el personal de OT y U para que todas las partes comprendan
mejor las necesidades de seguridad de la organization y se fortalezcan las relaciones laborales.

cPor que es importante este control?

Para garantizar que un PWS satisfaga todas sus necesidades de seguridad cibernetica, es fundamental
que tanto el personal de OT como el de IT, incluidos los proveedores, comprendan las motivaciones, los
desafios, las necesidades y los objetivos de seguridad cibernetica de cada uno. Dado que cada
departamento suele usar sistemas de OT y IT y proveedores o personal independiente les dan
mantenimiento, los PWS con frecuencia administran la seguridad de estos sistemas por separado. Esta
separacion puede generar brechas en la seguridad, especialmente con sistemas de OT y IT
interconectados. La coordinacion y la comunicacion periodicas entre el personal de seguridad cibernetica
de OT y IT pueden ayudar a desarrollar un enfoque mas completo de seguridad cibernetica de los PWS.

Lineamientos adicionales

•	Patrocine al menos una reunion colaborativa por ano para el personal de OT y IT. Encontrar una
fecha y hora que funcione para todas las partes puede ser dificil, asi que programe la reunion con
mucha anticipacion. Las reuniones presenciales brindan mas oportunidades para establecer
relaciones.

•	Desarrolle una agenda antes de la reunion para que el personal de OT y IT tenga tiempo de preparar
sus puntos de discusion. Los temas pueden incluir nuevas actualizaciones de hardware, firmware y
software de la OT/n del PWS; cambios en la arquitectura de la red; informes sobre planes, politicas o
procedimientos actualizados; cambios en el personal; funciones y responsabilidades; futuras
actividades planificadas de seguridad cibernetica; y las amenazas emergentes a la seguridad
cibernetica.

•	Registre los elementos de accion de la reunion, incluido el personal responsable, para que el PWS
pueda verificar el estado de los elementos a intervalos regulares.

Consejos de implementation

Los proveedores o contratistas del PWS pueden exigir un pago por su asistencia a la reunion. El PWS
debe planificar este costo en su presupuesto. El PWS puede programar la reunion en un dia en que los
proveedores o contratistas puedan aprovechar para realizar otras actividades en el sitio. Por ejemplo,
programe la reunion para el mismo dia en que los proveedores planean estar en el PWS a fin de realizar
el mantenimiento regular del sistema.

Un simulacra de seguridad cibernetica, o un ejercicio de simulacion, es una forma impactante de reunir al
personal de OT y IT, poner en practica los planes, politicas y procedimientos existentes y abordar las
brechas de seguridad segun las lecciones aprendidas del ejercicio. Incluir algunos descansos sociales en el
ejercicio puede permitir el desarrollo de relaciones.

Pagina B-38 // Gobernanza y capacitacion 4.5


-------
Gobernanza y capacitacion: mejora de las relaciones de seguridad
cibernetica de IT y OT

Recursos

Herramienta de ejercicios de simulacion de la EPA: esta herramienta ayuda a los PWS a disenar
sus propios ejercicios; se proporciona un escenario de seguridad cibernetica.

htto$://ttx. epa. aovAndex.html

Paquetes de ejercicios de simulacion de la CISA: estos recursos estan disenados para ayudar a los
PWS y otros a realizar sus propios ejercicios. Tenga en cuenta que, en Escenarios de seguridad
cibernetica, hay uno para los sistemas de agua. https://www.cisa,aov/cisa-tabietoo-exercise-

packages

Pagina B-3911 Gobernanza


-------
Gestion de vulnerabilidades: mitigacion de vulnerabilidades conocidas

COSTO: $$$$ IMPACTO: ALTO COMPLEJIDAD: MEDIA

C	\

5.1: iAcaso el PWS corrige o mitiga las vulnerabilidades conocidas dentro del plazo recomendado?

Recomendacion: identifique y corrija las vulnerabilidades teniendo en cuenta los riesgos (p. ej., los
activos fundamentals primero) lo mas rapido posible.

\	J

cPor que es importante este control?

Una vulnerabilidad es una debilidad en una pieza de software o firmware que se ejecuta en un activo de
hardware. Las vulnerabilidades pueden provenir de errores en el codigo o descuidos en el proceso de
diseno del software, o los atacantes pueden colocar intencionalmente vulnerabilidades en el software
mientras un proveedor escribe el codigo (es decir, un ataque en la cadena de suministro). Un exploit es
un conjunto de acciones o una pieza de codigo malicioso que los atacantes usan contra la vulnerabilidad,
lo que los ayuda a quebrar la seguridad de un sistema informatico o danar un activo.

Cuando un PWS descubre una vulnerabilidad, el creador original del software generalmente trabajara en una
nueva version que no contenga la misma debilidad. La instalacion de esta actualizacion de software se conoce
como "parchar" un sistema, y actualizar a la nueva version evita que un ataque use la vulnerabilidad conocida.
Este control es importante porque reduce las posibilidades de que los atacantes aprovechen las
vulnerabilidades publicadas para quebrar la seguridad de los sistemas informaticos de un PWS.

Lineamientos adicionales

•	En los activos donde no se puedan colocar parches, aplique controles de compensacion como la
segmentacion (es decir, la separacion digital de la red en partes mas pequenas, cada una protegida
de las demas) y el monitoreo mejorado (p. ej., la instalacion de herramientas de monitoreo del trafico
de la red).

•	Las medidas aceptables hacen que el activo sea inalcanzable desde la Internet publica o reducen la
capacidad de los atacantes para utilizar la vulnerabilidad en un ciberataque.

Consejos de implementation

Para adoptar este control, un PWS puede usar su inventario de activos (consulte la hoja informativa 2.3),
la documentacion de configuracion (consulte la hoja informativa 2.5) y los siguientes recursos para
identificar las vulnerabilidades que existen en su sistema. Para los activos de TV, las actualizaciones y
parches automatizados a menudo ya estan habilitados (p. ej., actualizaciones de Windows). Pero, para los
activos de OT, el PWS a menudo desactiva las actualizaciones y parches automaticos. Por lo tanto, es
posible que un PWS deba aplicar manualmente actualizaciones y parches para los activos de OT en
funcion de la disponibilidad y la viabilidad operativa. Si un parche no esta disponible o interrumpiria de
manera inaceptable las operaciones del PWS, un PWS puede usar controles de mitigacion como la
segmentacion de red (consulte la hoja informativa 8.1).

Para ayudar a los PWS a estar al tanto de las vulnerabilidades, el Gobierno federal de EE. UU. mantiene
varios recursos de datos de vulnerabilidades de software y puede enviar alertas sobre nuevas entradas a
estas bases de datos. La mas importante es la base de datos de vulnerabilidades usadas conocidas (KEY)

Pagina B-40 // Gestion de vulnerabilidades 5.1


-------
Gestion de vulnerabilidades: mitigation de vulnerabilidades conocidas

publicada por la CISA del DHS, que contiene informacion sobre vulnerabilidades que los atacantes ya
estan utilizando. Cualquier vulnerabilidad presentada en la KEV debe tratarse con la mayor prioridad. La
base de datos nacional de vulnerabilidades (NVD) publicada por el NIST contiene informacion sobre todas
las vulnerabilidades conocidas publicamente. Los PWS tambien deben registrarse para recibir alertas y
avisos del DHS sobre nuevas vulnerabilidades. Si el PWS es miembro de WaterlSAC, tambien recibira
notificaciones de amenazas de seguridad cibernetica, incluidas las vulnerabilidades criticas.

Para automatizar el proceso de identificacion de vulnerabilidades, la CISA del DHS ofrece servicios gratuitos
para sistemas orientados a Internet (consulte la hoja informativa 5.4). Ademas, muchos proveedores ofrecen
herramientas y servicios pagados de identificacion de vulnerabilidades para sistemas informaticos internos.

Para ayudar en la identificacion de vulnerabilidades, un PWS puede usar un identificador de vulnerabilidades en
la red de U y una herramienta de monitoreo pasivo en la red de OT del PWS.

Recursos

NIST 800-53 (revision 5). Controles de seguridad y privacidad para sistemas de informacion y
organizaciones: consulte el control SI-2 (pagina 333) y RA-5 (pagina 242) para obtener mas
informacion sobre Correccion de fallas y Monitoreo e identificacion de vulnerabilidades.

https://csrc.nist.aov/publications/detail/sp/800-53/rev-5/final

Vulnerabilidades usadas conocidas (KEV) de la CISA del DHS: consulte este recurso para ver las
vulnerabilidades que los atacantes ya han usado. https://www.cisg.gov/known-exploited-
vulnerabilities- catalog

Base de datos nacional de vulnerabilidades (NVD) del NIST: consulte este recurso para obtener
una lista de vulnerabilidades conocidas publicamente. https://nvd.nist.aov/vuln/search

Alertas de la CISA del DHS: consulte este recurso para suscribirse a alertas por correo electronico del
Sistema Nacional de Concientizacion Cibernetica de la CISA del DHS con respecto a nuevas
vulnerabilidades.

https://www. cisa. aov/uscert/ncas/alerts

WaterlSAC: consulte este recurso para obtener mas informacion sobre el Centra de analisis e
intercambio de informacion (ISAC) sobre el agua. https://www. waterisac.org/

Pagina B-41 // Gestion de vulnerabilidades 5.1


-------
Gestion de vulnerabilidades: sin servicios usables en Internet

COSTO: $$$$ IMPACTO: ALTO COMPLEJIDAD: BAJA

5.4: iAcaso el PWS garantiza que los activos conectados a la Internet publica no expongan servicios
usables innecesarios (p. ej., protocolo de acceso remoto a la computadora)?

Recomendacion: elimine los puertos y servicios expuestos innecesarios en los activos de cara al publico
y reviselos periodicamente.

cPor que es importante este control?

Un perimetro de red es el limite seguro entre el lado de la red del PWS (la intranet) y el lado publico de la
red orientado a Internet. El perimetro contiene los puertos o "entradas" que los atacantes intentan usar
para obtener acceso a la intranet de un PWS. Si un PWS conecta un puerto o servicio (es decir, un
programa) a Internet, existe una via para un ataque cibernetico y el PWS debe implementar medidas de
seguridad para abordarlo.

La violacion de las instalaciones de agua de Oldsmar Florida en febrero de 2021 es un ejemplo de un
ataque que utiliza software de acceso remoto orientado a Internet (como TeamViewer o Remote Desktop
Protocol) para alterar las operaciones del PWS. En el caso de Oldsmar, los atacantes aumentaron la
cantidad de hidroxido de sodio en el agua potable a niveles inseguros. Ademas, los atacantes han
utilizado software de acceso remoto expuesto a Internet para introducir ransomware en una computadora
de SCADA del PWS. Este control es importante porque cerrar puertos y servicios a la Internet publica
ayuda a evitar que los atacantes accedan a la red.

Lineamientos adicionales

• Si un PWS conecta servicios orientados al exterior (p. ej., acceso remoto, alojamiento web) a la Internet
publica, el PWS debe implementar controles de compensacion apropiados (p. ej., cortafuegos,
autenticacion de varios factores o registro y monitoreo de actividades) para evitar formas comunes
de ataque.

Consejos de implementation

Un PWS puede buscar puertos y servicios expuestos a Internet utilizando Shodan (un motor de busqueda
para activos orientados a Internet) para los activos de su red. Ademas, la CISA del DHS ofrece servicios
gratuitos de exploracion de vulnerabilidades que buscan servicios expuestos a Internet y alertan al PWS
de los resultados.

A veces, un PWS debe conectarse y, por lo tanto, exponer un servicio o puerto a la Internet publica
debido a requisites operativos. En estos casos, el PWS debe usar un servicio de MFA (por ejemplo, Duo,
Okta, RSA) para restringir el acceso a los usuarios autorizados y un cortafuegos para filtrar el trafico
inusual; ademas, el PWS debe monitorear el acceso a la red y los registros de actividad para detectar
acciones inusuales que puedan indicar un ciberataque.

Recursos

NIST 800-53 (revision 5). Controles de seguridad y privacidad para sistemas de informacion
y organizaciones: consulte el control AC-17 (pagina 48) y SC-7 (pagina 297) para obtener mas
informacion sobre

Pagina B-42 // Gestion de vulnerabilidades 5.4


-------
Gestion de vulrierabiiidades: sin servicios usables en Internet

Acceso remoto y Proteccion de limites. https://csrc.nist.aov/publications/detaii/sp/800- 53/rev-
5/fin a I

Alerta AA21-042A y AA21-287A de la CISA del DHS: consulte estos recursos para obtener
information sobre varias infracciones del sistema de agua de 2019 a 2021, incluida la de la planta de
agua de Oldsmar en Florida. https://www.cisa,.gov/uscert/ncas/alerts/aa21-042a;
https://www. cisa. aov/uscert/ncas/alerts/aa2 7-287a

Servicios de higiene cibernetica de la CISA del DHS: consulte este recurso para obtener mas
informacion sobre el servicio gratuito de analisis de vulnerabilidades del DHS.

h ttps://www. cisa. aov/cvber- hvaien e-services

Shodan: consulte este recurso para buscar activos conectados a Internet en la red del PWS.

https://www. shodan. io/

Pagina B-43 // Gestion de vulnerabilidades 5.4


-------
Gestion de vulnerabilidades: restriccion de las conexiones
de OT a la Internet publica

COSTO: $$$ $ IMPACTO: MEDIA COMPLEJIDAD: MEDIA

c	\

5.5: iAcaso el PWS elimina las conexiones entre sus activos de OT e Internet?

Recomendacion: elimine las conexiones de activos de OT a la Internet publica, a menos que se
requieran explicitamente para las operaciones.

\	V

cPor que es importante este control?

Los desarrolladores no disenaron los sistemas de SCADA y OT teniendo en cuenta la seguridad, los PWS
no los parchan ni los actualizan regularmente, y conectarlos directamente a Internet puede representar
un riesgo de seguridad cibernetica importante para las operaciones del PWS. Por lo tanto, un aspecto
crucial de la seguridad cibernetica del PWS es saber que activos de SCADA u OT ha conectado el PWS a
Internet y eliminar dicha conexion a Internet si es posible.

Si bien un PWS siempre debe evitar conectar los activos de OT a Internet, las necesidades operativas
(p. ej., la administracion de sitios remotos) a veces pueden requerir estas conexiones. El PWS puede
reducir el riesgo cibernetico que estas conexiones representan a traves de controles de compensacion
como MFA, cortafuegos y registro centralizado.

Lineamientos adicionales

•	Para identificar si un PWS ha conectado activos de OT a Internet, evalue tanto la conectividad
estandar (p. ej., la red de SCADA conectada a la red de TV o el modem de Internet) como otros
metodos (p. ej., inalambrico o celular) para conectar los activos de OT a Internet.

•	Un PWS debe justificar formalmente las conexiones de Internet a cualquier activo de OT e incluir
controles de compensacion.

Consejos de implementation

Como se menciona en la hoja informativa 5.4, un PWS puede buscar activos de OT expuestos a Internet
mediante el uso de los servicios gratuitos de identificacion de vulnerabilidades de Shodan o la CISA del
DHS. Un ejemplo de una conexion que se pasa por alto facilmente entre los sistemas de OT e Internet es
el uso de modems celulares para conectar activos remotos (p. ej., tanques, estaciones de bombeo, pozos)
al sistema de SCADA principal. Cuando se usan, los modems celulares deben estar en las redes privadas
del proveedor de telecomunicaciones siempre que sea posible.

El PWS debe crear un proceso para justificar y documentar la necesidad operativa de una conexion de OT
a Internet con el lider de seguridad cibernetica de la OT. Cuando las necesidades operativas requieran
una conexion de OT a Internet aprobada, el PWS debe usar los controles de compensacion detallados en
la hoja informativa 5.4 para mitigar el riesgo cibernetico que crea esta conexion.

Pagina B-44 // Gestion de vulnerabilidades 5.5


-------
Gestion de vulnerabilidades: restriction de las conexiones
de OT a la Internet publica

Recursos

NIST 800-53 (revision 5). Controles de seguridad y privacidad para sistemas de
informacion y organizaciones: consulte e! control AC-17 (pagina 48) y SC-7 (pagina 297) para
obtener mas informacion sobre Acceso remoto y Proteccion de limites.

https://csrc.nist.aov/pubUcations/detail/sp/SOO- 53/rev-5/final

Servicios de higiene cibernetica de la CISA del DHS: consulte este recurso para obtener mas
informacion sobre el servicio gratuito de analisis de vulnerabilidades del DHS.

https://www. cisa. gov/cvber-hvaiene-services

Shodan: consulte este recurso para buscar activos conectados a Internet en la red del PWS.

httos://www. shod an. io/

Pagina B-4511 Gestion de vulnerabilidades 5.5


-------
Cadena de suministro/terceros: requisitos de seguridad cibernetica para
vendedores/proveedores

COSTO: $$$$ IMPACTO: ALTO COMPLEJIDAD: BAJA

6.1: iAcaso el PWS incluye la seguridad cibernetica como criterio de evaluacion para contratar bienes y
servicios de OT y IT?

Recomendacion: incluya la seguridad cibernetica como criterio de evaluacion en la adquisicion de
bienes y servicios.

V	J

cPor que es importante este control?

Otorgar acceso a un proveedor a una red del PWS para realizar un servicio (p. ej., mantenimiento,
cambios de configuracion) o instalar nuevo hardware o software puede crear una nueva manera para
que los atacantes vulneren la red. En muchas circunstancias, es mas conveniente y rentable para un
proveedor acceder de forma remota a una red sin estar fisicamente presente en el PWS. Sin embargo, si
el proveedor no protege de manera eficaz sus propios sistemas informaticos, cualquier malware o
infeccion en los sistemas del proveedor puede migrar a los del PWS.

El hardware o software instalado puede tener debilidades no intencionales (es decir, vulnerabilidades)
que un atacante puede usar para ingresar a un sistema. Ademas, un atacante (con el conocimiento del
proveedor o sin este) puede insertar intencionalmente vulnerabilidades en el hardware o software para
introducir una debilidad en la red del PWS. El ataque SolarWinds de 2020 es un ejemplo de un ataque de
este tipo que afecto a varias agencias del Gobierno federal.

Las preocupaciones de que los gobiernos extranjeros puedan colocar intencionalmente debilidades en los
productos de hardware exportados desde su pais han llevado a la Comision Federal de Comunicaciones
(FCC) a prohibir a ciertos proveedores trabajar en las redes del Gobierno federal de EE. UU., asi como en
la importacion y la venta en EE. UU. La implementacion de este control ayudara al PWS a comprar mas
productos y servicios seguros, y reducir asi el riesgo cibernetico.

Lineamientos adicionales

•	Dadas dos ofertas de costo y funcion mas o menos similares, el PWS debe dar preferencia a la oferta
o al proveedor mas seguro.

•	Si un PWS busca adquirir nuevos activos de U u OT, incluya los requisitos de seguridad cibernetica
en el proceso de adquisicion en la etapa mas temprana para que los proveedores que respondan a la
solicitud de oferta sepan que deben cumplir con estos requisitos por anticipado.

Consejos de implementacion

Si un PWS otorga a un proveedor acceso remoto a una red, el PWS debe exigir al proveedor que utilice tecnicas
seguras, como una red privada virtual (VPN) y MFA. El PWS tambien puede implementar cortafuegos para filtrar
el trafico inusual, asi como monitorear y registrar la actividad de la red. El siguiente recurso del Departamento de
Energia presents ejemplos de frases de contratacion para los requisitos de seguridad cibernetica de los
proveedores que los PWS pueden insertar en los contratos de los proveedores.

Para evaluar a los proveedores de hardware y software y reducir el riesgo cibernetico que representan
para los activos del PWS, los empleados del PWS pueden preguntar a los proveedores sobre sus
practicas e investigaciones de seguridad cibernetica en linea con el fin de hacerse una idea de su
seguridad cibernetica general.

Pagina B-46// Cadena de suministros/terceros 6.1


-------
Cadena de suministro/terceros: requisitos de seguridad cibernetica para
vendedores/proveedores

Un PWS puede usar avisos gubernamentales para investigar proveedores potenciales, asi como buscar
bases de datos de vulnerabilidades (es decir, vulnerabilidades usadas conocidas [KEV] y base de datos
nacional de vulnerabilidades [NVD]) (consulte la hoja informativa 5.1).

Recursos

NIST 800-53 (revision 5). Controles de seguridad y privacidad para sistemas de informacion
y organizaciones: consulte el control SR-6 (pagina 369) y SR-5 (pagina 368) para obtener mas
informacion sobre Evaluaciones y revisiones de proveedores y Estrategias, herramientas y metodos de
adquisicion. https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final

GAO-22-104746. Respuesta federal a los incidentes de SolarWinds y Microsoft Exchange:

consulte la seccion Que encontro la GAO para obtener mas informacion sobre el ataque a la cadena de
suministro de SolarWinds de 2020. https://www.aao.aov/products/aao-22-104746

Vulnerabilidades usadas conocidas (KEV) de la CISA del DHS: consulte este recurso para ver las
vulnerabilidades que los atacantes ya han usado. https://www.cisa.aov/known-exploited-
vulnerabilities-cataloa

Base de datos nacional de vulnerabilidades (NVD) del NIST: consulte este recurso para obtener
una lista de vulnerabilidades conocidas publicamente. https://nvd.nist.aov/vuln/search

FCC. Prohibiciones de hardware de proveedores promulgadas: Consulte estos recursos para
obtener detalles sobre las prohibiciones actuales de hardware de proveedores.

https://www.fcc.aov/document/fcc-desianates-huawei-and-zte-nationai-securitv-threats
https://www.fcc.aov/document/fcc-bans-authorizations-devices-pose-national-securitv-threat

Frases para la contratacion de seguridad cibernetica del Departamento de Energia (DOE):

consulte este recurso para ver ejemplos de frases para la contratacion de seguridad cibernetica que
incluir en los contratos de proveedores. https://www.energy.aov/ceser/artides/cvbersecuritv-
procurement-lanauaae-enerav-deliverv-april- 20 74

Alertas de la CISA del DHS: consulte este recurso para suscribirse a alertas por correo electronico del
Sistema Nacional de Concientizacion Cibernetica de la CISA del DHS con respecto a nuevas
vulnerabilidades.

https://www. cisa. aov/uscert/ncas/alerts

Pagina B-47// Cadena de suministros/terceros 6.1


-------
Cadena de suministro/terceros: informe de incidentes de la cadena de
suministro y divulgacion de vulnerabilidades

COSTO: $$$$ IMPACTO: ALTO COMPLEJIDAD: BAJA

6.2/6.3: dAcaso el PWS requiere que todos los vendedores y proveedores de servicios de OT y U notifiquen al
PWS sobre cualquier incidente de seguridad o vulnerabilidad en un periodo que considere el riesgo?
Recomendacion: exija a los vendedores y los proveedores de servicios que notifiquen al PWS sobre
posibles incidentes de seguridad y vulnerabilidades dentro de un plazo estipulado indicado en los
documentos y contratos de adquisicion.

cPor que es importante este control?

La hoja informativa 6.1 analiza el riesgo cibernetico que los proveedores pueden representar para una
red de PWS. Si un proveedor de software o hardware no integra la seguridad en el diseno del producto o
es victima de un ciberataque (p. ej., el ataque de SolarWinds de 2020), el proveedor puede introducir
debilidades (es decir, vulnerabilidades) en los sistemas informaticos del PWS. En ese caso, un atacante
puede usar esas vulnerabilidades en el PWS.

Si bien muchos proveedores comparten la informacion de manera proactiva a los clientes, algunos
proveedores pueden dudar u ocultar el descubrimiento de incidentes de seguridad o vulnerabilidades en
sus productos debido a la incertidumbre o preocupaciones de responsabilidad. Recibir notificaciones
oportunas sobre los incidentes y vulnerabilidades de seguridad del proveedor brinda al PWS la
oportunidad de prevenir o responder a posibles ataques; por lo tanto, los PWS deben incluir un requisite
de notificacion contractual en los documentos de adquisicion.

Lineamientos adicionales

• Al comprobar los requisites de seguridad cibernetica dentro de los contratos, revise tanto los contratos
de proveedores de servicios como los acuerdos de proveedores de hardware/software (p. ej.,
integrador de OT, proveedor de IT).

Consejos de implementation

Para garantizar que otras organizaciones cumplan con sus responsabilidades de notificacion, los PWS
pueden incluirlas en los contratos de adquisicion de productos de hardware y software y en los acuerdos
de nivel de servicio (SLA) para los servicios. El PWS puede elegir un periodo razonable y basado en el
riesgo en el que espera que el proveedor notifique al PWS sobre vulnerabilidades recien descubiertas en
los productos que el proveedor ofrece y ataques ciberneticos en los sistemas informaticos del proveedor.
Luego, el PWS puede incluir clausulas que requieran estos plazos de notificacion en sus futuros contratos
de adquisicion y SLA con los proveedores, asi como las sanciones si el proveedor no cumple con estos
requisites.

El siguiente recurso del Departamento de Energia presenta ejemplos de frases de contratacion para los
requisites de seguridad cibernetica de los proveedores que los PWS pueden insertar en los contratos de
los proveedores.

Pagina B-48 // Cadena de suministro/terceros 6.2/6.3


-------
Cadena de suministro/terceros: informe de incidentes de la cadena
de suministro y divulgacion de vulnerabilidades

Recursos

NIST 800-53 (revision 5). Controles de seguridad y privacidad para sistemas de informacion
y organizaciones: consulte el control SR-8 (pagina 371) para obtener mas informacion sobre Acuerdos
de notificacion. https://csrc.nist.aov/Dubiicotions/detoil/sp/800-53/rev-5/final

GAO-22-104746. Respuesta federal a los incidentes de SolarWindsy Microsoft Exchange:

consulte la seccion Que encontro la GAO para obtener mas informacion sobre el ataque a la cadena de
suministro de SolarWinds de 2020. https://www.aao.aov/Droducts/aao-22-104746

Frases para la contratacion de seguridad cibernetica del Departamento de Energia (DOE):

consulte la seccion 3.3 del Informe de problemas dentro de este recurso para ver un ejemplo de frases
sobre seguridad cibernetica que incluir en los contratos de los proveedores.

https://www.enerav.aov/ceser/articies/cvbersecuritv-Drocurement-ianauaae- enerav-deUverv-

aDril-2014

Pagina B-4911 Cadena de suministro/terceros 6.2/6.3


-------
Respuesta y recuperacion: informe de incidentes

COSTO: $$$$ IMPACTO: ALTO COMPLEJIDAD: BAJA

^7.1: dAcaso el PWS tiene un procedimiento escrito para reportar incidentes de seguridad cibernetica que indique^
el medio (p. ej., Ilamada telefonica, envio por Internet) y el destinatario (p. ej., FBI u otras fuerzas del orden
publico, la CISA, reguladores estatales, WaterlSAC, un proveedor de seguros ciberneticos)?

Recomendacion: documente el procedimiento a fin de informar incidentes de seguridad cibernetica con
prontitud para contribuir con la aplicacion de la ley, recibir asistencia con la respuesta y la recuperacion,
^y promover la conciencia del sector del agua sobre las amenazas de seguridad cibernetica.	^

cPor que es importante este control?

Informar incidentes a agencias externas puede ayudar a los PWS a responder mejor y recuperarse de un
incidente de seguridad cibernetica. La informacion reportada tambien puede ayudar a evitar que el
ciberdelito ocurra en otros PWS y organizaciones. WaterlSAC y los centros de fusion locales o estatales
tambien fomentan la denuncia de incidentes ciberneticos y actividades sospechosas, ya que las
autoridades pueden analizar la informacion para ayudar a compartir informacion sobre tendencias y
conciencia al sector del agua.

Lineamientos adicionales

•	Desarrolle un procedimiento y una plantilla de informe para reportar los incidentes de seguridad
cibernetica con prontitud.

•	Identifique al personal del PWS que envia informes a organizaciones externas.

•	Especifique los procedimientos de escalamiento (p. ej., a quien notifica el PWS, cuando y por que)
para enviar informes a las organizaciones externas identificadas y los plazos para compartir la
informacion. Los diagramas de flujo u otras imagenes pueden ayudar al personal del PWS a
comprender en que orden deben notificar a los demas y que informacion deben reportar.

•	Distribuya el procedimiento de informes y la plantilla al personal del PWS. Incluya esta informacion
en otros documentos de respuesta a emergencias, como el plan de respuesta a emergencias del PWS
o el plan de respuesta a incidentes de seguridad cibernetica.

•	Segun la Ley de Informes de Incidentes Ciberneticos para Infraestructura Critica de 2022, la Agencia
de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional
(DHS) de EE. UU. establecera procedimientos que pueden aplicarse a los PWS. La EPA revisara esta
guia segun sea necesario cuando la CISA publique esos procedimientos.

•	Si el PWS se suscribe a un seguro cibernetico o tiene un anticipo de respuesta a incidentes
ciberneticos, incluya a estos proveedores como contactos dentro del procedimiento escrito. A
menudo, se requieren plazos de presentacion de informes asociados con la presentacion de reclamos
contra seguros ciberneticos o anticipos de respuesta a incidentes.

Consejos de implementation

El procedimiento escrito debe incluir lo siguiente:

• Informacion de contacto para enviar los informes a las siguientes entidades: o La agencia local de
aplicacion de la ley del PWS.

Pagina B-50 // Respuesta y recuperacion 7.1


-------
Respuesta y recuperacion: informe de incidentes

o CISA del DHS: las organizaciones afectadas deben enviar un informe de incidente de la CISA

en linea, enviar un correo electronico a report@cisa.aov o llamar al 888-282-0870.
o El Buro Federal de Investigaciones (FBI): las organizaciones afectadas deben comunicarse
con la oficina local del FBI mas cercana o enviar un informe a traves del Centra de Denuncias
de Delitos en Internet (IC3) de la Oficina.
o El WaterlSAC y los centres de fusion locales/estatales: para informar a WaterlSAC, el PWS
puede enviar un informe de WaterlSAC en linea, enviar un correo electronico a
analista@waterisac.ora. o llamar al 866426-4722.
o El proveedor de seguros ciberneticos del PWS o el titular del anticipo de respuesta a
incidentes ciberneticos (si corresponde).

La plantilla del informe debe incluir lo siguiente:

•	fecha y hora en que el PWS detecto el incidente;

•	fecha y hora en que ocurrio el incidente;

•	breve descripcion del incidente, incluida la identificacion del posible metodo de ataque;

•	lista de activos afectados;

•	identificacion de cualquier informacion de identificacion personal (PII) que el incidente pueda
haber comprometido;

•	fecha, hora y descripcion de la respuesta o acciones correctivas que el PWS realizo;

•	personal o proveedores del PWS involucrados en la deteccion y respuesta de incidentes.

Cualquier informacion que el PWS comparta con el DHS o el FBI, o cualquier otra agencia del Gobierno
federal, es informacion de infraestructura critica protegida (PCII) y esas agencias no la compartiran con el
publico. Para obtener mas informacion, consulte la hoja informativa de PCII de la CISA.

Recursos

Envio de informes a la CISA: proporciona informacion sobre como informar incidentes y actividades
sospechosas.

https://www. cisa.gov/report

Envio de informes al FBI: proporciona informacion sobre como enviar informes de delitos ciberneticos.

https://www.fbi.gov/investigate/cyber

Envio de informes a WaterlSAC: proporciona informacion sobre como informar incidentes y
actividades sospechosas. https://www. waterisac.org/report-incident

Hoja informativa de PCII de la CISA: explica las protecciones que ofrece el programa de PCII.

https://www.cisa.gov/publication/pcii-fact-sheet

Pagina B-51 // Respuesta y recuperacion 7.1


-------
Respuesta y recuperacion: planes de respuesta a incidentes (IR)

COSTO: $$$$ IMPACTO: ALTO COMPLEJIDAD: BAJA

7.2: iAcaso el PWS tiene un plan escrito de respuesta a incidentes de seguridad cibernetica (IR) para
escenarios de amenazas criticas (p. ej., desactivacion o manipulation de sistemas de control de procesos,
perdida o robo de datos operativos o financieros, exposicion de informacion confidencial), que se ponga
en practica y se actualice con regularidad?

Recomendacion: desarrolle, ponga en practica y actualice un plan de IR para los incidentes de
seguridad cibernetica que podrian afectar las operaciones de PWS. Realice simulacros para mejorar las
respuestas a posibles incidentes ciberneticos.

cPor que es importante este control?

El plan de IR de un PWS presenta las estrategias, los recursos y los procedimientos de este para
prepararse y responder ante un incidente cibernetico. El plan de IR de seguridad cibernetica es esencial
para ayudar a un PWS a recuperarse rapidamente de los incidentes de seguridad cibernetica. El PWS
puede incluir el plan de IR en su Plan de Respuesta a Emergencias (ERP).

Lineamientos adicionales

•	Identifique el personal, el personal de apoyo de OT y IT y los proveedores que el PWS debe incluir en
el desarrollo o actualizacion del plan de IR.

•	Desarrolle el plan de IR de seguridad cibernetica para que incluya lo siguiente:

o Funciones y responsabilidades definidas y acciones que todo el personal de PWS realizara durante

un incidente y despues de este.
o Procedimientos para operar el PWS en modo manual, o procedimientos alternatives para

mantener el servicio de agua si un ataque afecta el sistema de OT.
o Referencias a otros planes y procedimientos de respuesta relevantes segun sea necesario.
o Diagramas y otros elementos visuales para ayudar a todo el personal del PWS a comprender sus

funciones, responsabilidades y acciones.
o Plantillas de formularios que el personal del PWS puede usar para registrar decisiones, acciones y
gastos.

o Procedimientos e informacion de contacto sobre donde reportar el incidente (consulte la hoja
informativa 7.1)

•	Distribuya el plan de IR y capacite a todo el personal del PWS sobre los nuevos procedimientos o
pasos de seguridad cibernetica en el plan de IR. Un metodo para capacitar al personal del PWS es
realizar simulacros y ejercicios.

•	Revise el plan de IR anualmente, como minimo, y realice los cambios necesarios, como modificaciones
en el personal, los proveedores y la informacion de contacto.

•	Actualice el plan de IR despues de que ocurra cualquier cambio significativo en los sistemas de OT y
n del PWS y en base a las lecciones aprendidas en una simulacion o incidente real.

Pagina B-52 // Respuesta y recuperacion 7.2


-------
Respuesta y recuperacion: planes de respuesta a incidentes (IR)

Consejos de implementation

Un buen punto de partida para desarrollar un plan de IR es la Lista de verificacion de acciones en caso de
incidentes de seguridad cibernetica de la EPA. Realizar simulacros y ejercicios regulares, como ejercicios
de simulacion, es esencial para tener una respuesta de emergencia efectiva y minimizar los impactos
adversos de un incidente cibernetico. El PWS debe planificar y realizar ejercicios con la participacion del
personal del PWS, personal de apoyo de OT y IT, proveedores y socios de respuesta ante emergencias. Si
los simulacros y ejercicios son nuevos para el PWS, use un escenario que sea simple y realista. Por
ejemplo, desarrolle un escenario que se base en un ataque de ransomware, ya que es un metodo de
ataque comun. El objetivo es ejercitar y evaluar los planes, politicas y procedimientos existentes y
actualizarlos con las lecciones aprendidas. La realizacion de ejercicios tambien ayudara a desarrollar las
capacidades de respuesta ante ciberataques del PWS. Despues de realizar los ejercicios, el PWS debe
realizar un informe sobre el ejercicio. El informe brinda una oportunidad para que los participantes del
ejercicio comenten sobre lo que sucedio durante el ejercicio y los obstaculos o desafios encontrados, y
para identificar las brechas en los planes, las politicas y los procedimientos del PWS que se deben
abordar.

Recursos

Plantilla e instrucciones del Plan de Respuesta a Emergencias de la EPA: proporciona una
plantilla y un documento de instrucciones para los PWS.

https://www.epa.aov/waterutilitvresponse/develop-or-update- emeraencv-response-plan

Lista de verificacion de acciones en caso de incidentes para la seguridad cibernetica de la
EPA: proporciona una lista de verificacion practica para ayudar a los PWS a prepararse, responder y
recuperarse ante incidentes ciberneticos. https://www.epa.aov/sites/default/files/2017-
7 7/documents/171013- incidentactionchecklist-cybersecurity form 508c.pdf

15 aspectos fundamentals de la seguridad cibernetica de WaterlSAC: la pagina 35 proporciona
informacion y recursos para desarrollar un plan de IR.

https://www.waterisac.ora/svstem/files/articles/15%20Cvbersecuritv%20Fundamentals%20%28W
aterlSAC%29.pdf

Herramientas de respuesta ante incidentes ciberneticos de la CISA: proporciona capacitacion y
manuales de respuesta ante incidentes.

https://www. cisa. aov/cvber-incident-response

Herramienta de ejercicios de simulacion de la EPA: proporciona a los usuarios recursos para
planificar, realizar y evaluar ejercicios de simulacion. https://ttx.epa.aov/

Pagina B-53 // Respuesta y recuperacion 7.2


-------
Respuesta y recuperacion: copias de seguridad del sistema

COSTO: $$$$ IMPACTO: ALTO COMPLEJIDAD: MEDIA

7.3: iAcaso el PWS hace copias de seguridad de los sistemas necesarios para las operaciones (p. ej.,
configuraciones de red, logica de PLC, pianos de ingenieria, registros de personal) de manera regular,
guarda las copias de seguridad por separado de los sistemas originales y los prueba periodicamente?
Recomendacion: realice copias de seguridad de los sistemas de OT y n" fundamentals de PWS,
yguardelas de manera segura y por separado, y pruebelas.	 -

cPor que es importante este control?

Las copias de seguridad son un elemento crucial de las actividades de restauracion y recuperacion de un
PWS en caso de un incidente cibernetico, mal funcionamiento del hardware (p. ej., falla del disco duro) o
destruccion fisica del equipo (p. ej., incendio o inundacion). Dado que el ransomware es una amenaza
cibernetica clave para los PWS, en la que los atacantes buscan cifrar archivos y dejarlos inutilizables, las
copias de seguridad son una de las primeras lineas de defensa mas importantes para evitar tener que
pagar rescates y restaurar rapidamente las operaciones.

Lineamientos adicionales

•	Identifique todos los datos operativos, de clientes, de empleados, financieros y de otro tipo que un
PWS pueda perder o que un atacante pueda corromper durante un incidente, y que el PWS
necesitaria restaurar despues del incidente para reanudar las operaciones normales.

•	El PWS debe almacenar las copias de seguridad por separado de los sistemas que se respaldan
siempre que sea posible. Este metodo no solo protegera los datos en caso de un incidente
cibernetico, sino tambien en caso de incidentes como un incendio o una inundacion. Este metodo se
puede realizar utilizando copias de seguridad fuera del sitio, basadas en la nube o rotaciones de
copias de seguridad manuales (p. ej., tener varias unidades de copia de seguridad e intercambiarlas
period icamente a la vez que el PWS guarda una de manera externa).

•	Establezca un procedimiento para asegurarse de que el PWS siga el proceso de copia de seguridad
segun el cronograma especificado y que las copias de seguridad de archivos sean utilizables. Como
minimo, estas acciones deben incluir verificar de manera puntual el tamano del archivo y la fecha de
modificacion de los archivos de la copia de seguridad en los medios de recuperacion o validar que el
PWS puede recuperar los archivos individualmente.

•	Para los activos de OT, asegurese de que las copias de seguridad incluyan elementos como logica de
PLC y graficos HMI para que el PWS tambien pueda restaurarlos rapidamente.

•	Como minimo, el PWS debe hacer copias de seguridad de los sistemas y probar dichas copias anualmente.

Consejos de implementation

El PWS debe realizar copias de seguridad mediante el enfoque de copia de seguridad en profundidad, con
capas de copias de seguridad (p. ej., local, instalacion, desastre) secuenciadas en el tiempo, de modo
que las copias de seguridad locales recientes esten disponibles para uso inmediato y las copias de
seguridad protegidas esten disponibles para la recuperacion ante un gran incidente de seguridad
cibernetica. El enfoque de copia de seguridad en profundidad se basa en que una empresa de servicios
publicos tenga tres copias de sus datos, utilice al menos dos medios de almacenamiento distintos y
guarde como minimo una copia de forma remota externamente o en la nube.

Pagina B-54 // Respuesta y recuperacion 7.3


-------
Respuesta y recuperacion: copias de seguridad del sistema

E! PWS debe usar varios metodos de almacenamiento y enfoques de copias de seguridad o recuperacion
para asegurar la produccion rigurosa, el almacenamiento seguro y el acceso adecuado a las copias de
seguridad para su recuperacion.

Recursos

Norma 800-82 del NIST. Guia para la seguridad del sistema de control industrial (ICS): puede
encontrar informacion adicional sobre la redundancia y la tolerancia a fallas en la seccion 5.13 (pagina 5-
21). https://nvbubs.nist.gov/nistDubs/SDecialPublications/NIST.SP.800-82r2.pdf

Norma NIST 800-34. Guia de planificacion de contingencia para sistemas de informacion
federales:

puede encontrar informacion adicional sobre los procedimientos generales de copia de seguridad y las
practicas recomendadas en la seccion 3.4.2 (pagina 21).

https://nvlDubs.nist.aov/nistDubs/Leaacv/SP/nistspecialDublication800- 34r1.pdf

Pagina B-5511 Respuesta y recuperacion 7.3


-------
Respuesta y recuperacion: topologia de la red de documentos

COSTO: $$$$ IMPACTO: MEDIA COMPLEJIDAD: MEDIA

7.4: iAcaso el PWS mantiene documentacion actualizada que describe la topologia de la red (es decir,
las conexiones entre todos los componentes de la red) a traves de las redes de OT y n" del PWS?
Recomendacion: conserve una documentacion completa y precisa de todas las topologias de redes de
IT y OT del PWS para facilitar la respuesta y la recuperacion ante incidentes.

cPor que es importante este control?

Una topologia de red bien definida ayuda a los administradores de sistemas a localizar fallas, solucionar
problemas y asignar recursos de red. Los diagramas o topologias de red son un punto de referencia
importante para diagnosticar problemas de red e identificar posibles vulnerabilidades de seguridad, ya
que representan los disenos fisicos y logicos. Un diagrama de red logico completo y actualizado es
esencial para la recuperacion ante desastres ciberneticos.

Lineamientos adicionales

•	Para crear una topologia de red precisa, el PWS debe realizar una encuesta de red a fin de validar
cualquier via de conexion conocida y desconocida anteriormente. Al realizar este estudio, incluya no
solo las conexiones de red tradicionales basadas en Ethernet; busque tambien rutas menos
tradicionales, como comunicaciones en serie, inalambricas, de acceso telefonico y de trayectoria
optica. Cuando haya activos remotos (p. ej., tanques, estaciones de bombeo), evalue como estos se
comunican con la red del PWS.

•	Despues de que el PWS complete la encuesta de la red, registre los resultados y mantengalos
actualizados. Las redes del PWS pueden ser bastante complejas y los resultados de los estudios
documentados ayudaran a garantizar que el PWS no pase por alto ni olvide los canales de
comunicacion con el tiempo. La documentacion de los estudios debe incluir detalles sobre los activos
especificos de la red, las conexiones y el metodo utilizado para la conexion (p. ej., cableado,
inalambrico). El PWS debe centrarse especialmente en los sistemas que se conectan directamente a
la Internet publica y cualquier via de comunicacion entre los sistemas de OT (p. ej., SCADA) y IT (es
decir, la empresa comercial).

Consejos de implementation

Para ser eficiente, un PWS puede realizar un estudio de la red al mismo tiempo que revisa la
configuracion de activos detallada en la hoja informativa 2.5 y el proceso de inventario de activos
detallado en la hoja informativa 2.3. Lucidchart es un sitio web gratuito y facil de usar que puede ayudar
a crear diagramas de red. Microsoft proporciona un breve desglose de lo que se debe incluir en un
diagrama de red. La herramienta de evaluacion de ciberseguridad (CSET) de la CISA es una version
gratuita de graficos basicos relacionados con Visio y OT para crear topologias de red.

Considere incluir el diagrama de red en el Plan de Respuesta a Incidentes (IR) de Seguridad Cibernetica
del PWS, o Plan de Respuesta a Emergencias, ya que esta informacion puede ser valiosa para la
respuesta a incidentes.

Pagina B-56 // Respuesta y recuperacion 7.4


-------
Respuesta y recuperacion: topologfa de la red de documentos

Recursos

Lucidchart: es una aplicacion de creacion de diagramas de la web que permite a los usuarios colaborar
visualmente para dibujar, revisar y compartir graficos y diagramas, y mejorar procesos, sistemas y
estructuras organizacionales.

https://www.lucidchart.com/paaes/examDles/diaaram-maker

Microsoft. Creacion de un diagrama de red basico: si el PWS usa el software Microsoft Visio, esta

pagina describe como la plantilla de diagrama de red basica incluye formas estandar para
servidores, computadoras y otras partes de una red de un PWS.

https://suDDort.mLcrosoft.com/en~us/office/create-a-basic-network-diaaram-f2G20ce6-c20f-4342-
84f7-bf4e7488843a

Herramienta CSET de la CISA: esta aplicacion de escritorio independiente gui'a a un PWS a traves de
un proceso sistematico de evaluacion de sus activos de OT y U, incluida la creacion de diagramas de red.

https://www. cisa. aov/stopransomware/cyber-security-evaluation-tool-csetr

Pagina B-57 // Respuesta y recuperacion 7.4


-------
Otras medidas de seguridad: segmentacion de la red

COSTO: $$$$ IMPACTO: ALTO COMPLEJIDAD: ALTO

/¦	

8.1: iAcaso el PWS segmenta las redes de OT y IT y rechaza las conexiones a la red de OT de forma

predeterminada, a menos que se autoricen explicitamente (p. ej., por direccion IP y puerto)?

Recomendacion: requiera que las conexiones entre las redes de OT y U pasen a traves de un

intermediario, como un cortafuegos, un servidor bastion, una caja de salto o una zona desmilitarizada,

que se monitorea y registra.

cPor que es importante este control?

Dado que las organizaciones usaban redes de OT mucho antes de la invencion de Internet, sus
fabricantes no los disenaron con el mismo nivel de seguridad que las redes de TV. A medida que Internet
se hizo popular, las organizaciones normalmente mantuvieron las redes de OT separadas de los sistemas
de IT y dejaron asi lo que se denomina un "espacio libre" entre las redes de OT y IT. Sin embargo, con el
tiempo, las organizaciones se dieron cuenta de que podian hacer sus operaciones mas eficientes y
ahorrar costos al conectar los sistemas de OT y IT y compartiendo datos entre ellos.

Si bien el concepto de un espacio libre sigue siendo una respuesta popular a las preocupaciones de
seguridad de la conectividad de OT/IT, es practicamente imposible mantener uno incluso en las
instalaciones mas seguras (p. ej., Stuxnet, 2010). Por lo tanto, la mayoria de los ataques ciberneticos que
tienen como objetivo las redes de OT comienzan como ataques a la red de TV de un PWS.

La segmentacion es una practica de seguridad que divide digitalmente las redes informaticas de OT y IT
de un PWS con el objetivo de mejorar el rendimiento de la red y la seguridad cibernetica. Este control es
importante porque un PWS puede limitar la capacidad de un atacante para acceder a los sistemas de
control de la OT despues de afectar la red de TV.

Lineamientos adicionales

•	Solo permita conexiones a la red de OT desde la red de n a traves de activos aprobados y otros
medios autorizados.

•	De manera predeterminada, rechace todas las conexiones a la red de OT desde la red de IT, a menos
que se autoricen explicitamente (por direccion IP y puerto) para una funcion especifica del sistema.

Consejos de implementation

Un marco util para comprender donde segmentar la red es la arquitectura de referencia empresarial de
Purdue (PERA), o el modelo de Purdue para abreviar. Este modelo separa las redes de OT y IT en capas,
lo que ayuda a diferenciar los tipos de activos en cada nivel de una red de sistema de control. Los
niveles 0 a 3 consisten en activos de OT, y los niveles 4 y 5 se refieren a la red empresarial de TV.

La segmentacion de la red ocurre principalmente entre las redes de OT y IT de los niveles 3 y 4, donde
un PWS puede establecer una "zona desmilitarizada" como un bufer entre las redes de OT y TV mediante
el uso de herramientas de hardware y software para monitorear, registrar y filtrar el trafico. La
herramienta mas comun que un PWS puede usar para la segmentacion de la red es instalar un
cortafuegos en el limite de las redes de OT y n, que puede rechazar todas las conexiones entre los
sistemas de OT y TV de forma predeterminada.

A

J

Pagina B-58 // Otras medidas de seguridad 8.1


-------
Otras medidas de seguridad: segmentacion de la red

Con un cortafuegos, un PWS puede controlar el flujo de informacion entre subredes o sistemas por tipo
de trafico, origen, destino y otras opciones.

Recursos

Norma 800-82 del NIST (revision 2). Guia para la seguridad del sistema de control industrial
(ICS): consulte la seccion 5.1 (pagina 5-1) para obtener mas informacion sobre Segmentacion y
segregacion de la red. https://csrc.nist.aov/publications/detail/sp/800-82/rev-2/final

NIST 800-53 (revision 5). Controles de seguridad y privacidad para sistemas de informacion
y organizaciones: consulte el control AC-4 (pagina 28) y SC-7 (pagina 297) para obtener mas
informacion sobre Cumplimiento del flujo de informacion y Proteccion de limites.

https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final

Recomendacion de la Agencia de Seguridad Nacional (NSA) para detener la actividad
cibernetica maliciosa contra la OT conectada: esta recomendacion presenta las medidas que un
PWS puede tomar para evaluar los riesgos contra su sistema de OT que pueden darse mediante la
conexion del sistema de U e implementar cambios con los recursos actuales para monitorear y detectar
de manera realista la actividad maliciosa. https://media.defense.aov/2027/Apr/29/2002630479/- 7/-
1/1/CSA STOP-MCA- AGAINST-OT UOQ13672321.PDF

MITRE ATT&CK. Stuxnet: consulte Replicacion a traves de medios extraibles para obtener mas
informacion sobre la propagacion de Stuxnet. https://attack.mitre.ora/software/S0603/

Institute SANS. El modelo de Purdue y las practicas recomendadas para proteger
arquitecturas de ICS:

consulte este recurso para obtener mas informacion sobre el modelo de Purdue y donde se produce la
segmentacion de red en una red de OT. https://www.sans.ora/bloa/introduction-to-ics- securitv-part-2/

CISA del DHS. Comprension de los cortafuegos para uso domestico y de oficina pequena:

consulte este recurso para obtener mas informacion sobre como seleccionar y configurar un cortafuegos.

https://www.cisa.aov/tips/st04- 004

Pagina B-59 // Otras medidas de seguridad 8.1


-------
Otras medidas de seguridad: deteccion de amenazas y TTP relevantes

COSTO: $$$$ IMPACTO: MEDIA COMPLEJIDAD: ALTO

8.2: iAcaso el PWS mantiene una lista de amenazas y tacticas, tecnicas y procedimientos (TTP) usados
por los delincuentes a fin de realizar ataques ciberneticos relevantes para el PWS y tiene la capacidad de
detectar eventos de amenazas clave?

Recomendacion: reciba alertas de la CISA y mantenga la documentacion de los TTP relevantes para el
PWS.

cPor que es importante este control?

Los ataques ciberneticos necesitan varios pasos para ingresar y moverse dentro de un sistema
informatico del PWS. Los atacantes suelen emplear pasos o metodos comunes durante un ciberataque,
conocidos como TTP. Si un PWS conoce los TTP comunes, puede monitorearlos en la red del PWS y
detectar un ataque antes de que interrumpa o dane las operaciones.

El PWS debe monitorear los componentes externos e internos como parte de su programa de seguridad
cibernetica de OT y TV. El monitoreo externo observa eventos en el limite de la red, y el monitoreo
interno captura eventos dentro de los sistemas del PWS. Este control es importante porque ayuda a un
PWS a conocer y detectar amenazas a sus redes de OT y IT.

Lineamientos adicionales

•	Adopte las medidas y mitigaciones recomendadas en las alertas de la CISA, como reglas de filtrado
de trafico de cortafuegos, alertas de trafico de red sospechoso o sistemas comerciales de prevencion
y deteccion para detectar amenazas clave cuando sea posible.

•	Si un PWS identifica una amenaza validada dentro de la red de IT u OT, el PWS debe seguir su plan
de respuesta ante incidentes (consulte la hoja informativa 7.2) para contener, eliminar y recuperarse
de la amenaza.

Consejos de implementation

Las alertas y los avisos brindan informacion oportuna sobre problemas de seguridad cibernetica actuales
y TTP, vulnerabilidades y exploits. Registrese para recibir alertas y avisos por correo electronico de la
CISA del DHS. Otras fuentes utiles para comprender los TTP y las acciones que un atacante puede
realizar para moverse a traves de una red de OT o IT son MITRE ATT&CK y MITRE ATT&CK para marcos
de ICS, respectivamente.

Existen muchas herramientas disponibles comercialmente que un PWS puede usar para monitorear
ciertos tipos de ataques ciberneticos o intrusiones en la red del PWS. Estas herramientas incluyen
sistemas de deteccion de intrusiones/sistemas de prevencion de intrusiones (IDS/IPS), reglas de
cortafuegos que filtran y alertan sobre cierto trafico y herramientas de monitoreo de la red de ICS.

Estas herramientas pueden enviar alertas a un sistema de monitoreo central, a menudo llamado
herramienta de control de eventos e informacion del sistema (SIEM).

Pagina B-60 // Otras medidas de seguridad 8.2


-------
Otras medidas de seguridad: deteccion de amenazas y TTP relevantes

Una herramienta de SIEM extrae datos de muchas fuentes (p. ej., IDS/IPS, cortafuegos, herramientas de
monitoreo de red, eventos de Windows) en un panel y puede alertar a! PWS sobre actividad de red
inusual o maliciosa.

Recursos

Norma 800-82 del NIST (revision 2). Guia para la seguridad del sistema de control industrial
(ICS): consulte la seccion 6.2.17 (pagina 6-38) para obtener mas informacion sobre Integridad del
sistema y de la informacion.

httD$://csrc.nist.aov/Dublications/detail/$p/800-82/rev-2/final

NIST 800-53 (revision 5). Controles de seguridad y privacidad para sistemas de informacion
y organizaciones: consulte el control SI-4 (pagina 336) para obtener mas informacion sobre Monitoreo
del sistema. https://csrc.nist.aov/Dublications/detail/sD/800-53/rev-5/final

Alertas de la CISA del DHS: consulte este recurso para suscribirse a alertas por correo electronico del
Sistema Nacional de Concientizacion Cibernetica de la CISA del DHS con respecto a nuevas
vulnerabilidades.

https://www. cisa. aov/uscert/ncas/alerts

MITRE ATT&CK y MITRE ATT&CK para ICS: consulte estos recursos para obtener mas informacion
sobre los TTP comunes en sistemas de OT y IT, respectivamente.

https://attack.mitre.org/matrices/ics/; https://attack.mitre.org/matrices/enterprise/

Pagina B-61 // Otras medidas de seguridad 8.2


-------
Otras medidas de seguridad: seguridad del correo electronico

COSTO: $ $$$ IMPACTO: MEDIA COMPLEJIDAD: BAJA

8.3: iAcaso el PWS utiliza controles de seguridad de correo electronico para reducir las amenazas
comunes presentadas por los correos electronicos, como la suplantacion de identidad, el phishing y la
interceptacion?

Recomendacion: asegurese de que los controles de seguridad del correo electronico esten habilitados

^en toda la infraestructura de correo electronico corporativa.

cPor que es importante este control?

Si bien los atacantes pueden acceder a una red de muchas formas posibles, el metodo mas comun y
exitoso es a traves de ataques relacionados con el correo electronico, como phishing, suplantacion de
identidad e interceptacion. El phishing es un metodo de ataque en el que a los empleados se les envia un
correo electronico con un archivo, enlace o solicitud maliciosa. Si el empleado lo abre, un archivo
malicioso puede cargar malware en la red del PWS, un enlace malicioso puede descargar malware o robar
las credenciales del empleado, o una solicitud maliciosa puede enganar a un empleado para que
comparta credenciales o fondos del PWS.

La suplantacion de identidad es un metodo que los atacantes suelen utilizar junto con el phishing, en el
que se disena un correo electronico malicioso para que parezca que proviene de una fuente aceptable.
Este engano se puede realizar copiando el estilo y la direccion de correo electronico de una empresa
conocida.

La interceptacion es un metodo en el que un atacante puede colocarse entre el remitente y el receptor de
un correo electronico, lo que le da la oportunidad de robar el correo electronico y su contenido.

Los empleados del PWS deben conocer estos metodos de ataque, pero tambien existen controles tecnicos
que pueden filtrar algunos de estos correos electronicos maliciosos antes de que lleguen a los empleados.
Este control es importante porque el uso de estos controles tecnicos puede reducir el riesgo de ataques
realizados mediante correos electronicos a las operaciones del PWS.

Lineamientos adicionales

• En toda la infraestructura de correos electronicos del PWS, habilite seguridad de la capa de transporte
de inicio (STARTTLS), marco de politicas del remitente (SPF) y correo identificado de DomainKeys
(DKIM). Ademas, habilite autenticacion, informes y conformidad de mensajes del dominio (DMARC) y
configured en Rechazar. La CISA del DHS recomienda estos ajustes de seguridad para los correos
electronicos.

Consejos de implementation

Los PWS deben realizar campanas de capacitacion y concientizacion de los empleados para complementar
estos controles tecnicos recomendados y reducir el riesgo general de ataques mediante correos
electronicos a la red del PWS.

Si bien el PWS debe evitar todas las conexiones entre la OT y la Internet publica, si es posible (consulte la
hoja informativa 5.5), el PWS no debe configurar ningun activo de OT para recibir correos electronicos, ya
que los ataques por correo electronico son comunes y, a menudo, efectivos.

Pagina B-62 // Otras medidas de seguridad 8.3


-------
Otras medidas de seguridad: seguridad del correo electronico

Recursos

BOD 18-01 de la CISA del DHS: consulte este recurso para obtener mas informacion sobre como
configurar varios centrales de seguridad para correos electronicos. https://www.cisa.aov/bindina-

operational-directive-18-01

Norma 800-82 del NIST (revision 2). Guia para la seguridad del sistema de control

industrial (ICS): consulte la seccion

5.8,8 (pagina 5-18) para obtener mas informacion sobre el Protocolo simple de transferencia de correos
(SMTP). https://csrc.nist.aov/publications/detail/sD/800-82/rev-2/finai

NIST 800-53 (revision 5). Controles de seguridad y privacidad para sistemas de
informacion y organizaciones: consulte el control SI-8 (pagina 348) y SC-18 (pagina 311) para
obtener mas informacion sobre Proteccion contra correos no deseados y la gestion de macros,
denominado Codigo movil. https://csrc.nist.gov/pubiLcations/detail/sp/800-53/rev-5/final

Pagina B-6311 Otras medidas de seguridad 8.3


-------
APENDICE C: Glosario de terminos

Termino

Definition

Listas de control de acceso

Listas que identifican a aquellas personas que pueden acceder a un
sisterna de tecnologia operativa (OT) o tecnologia de la informacion
(IT).

Servicios activos

Programas que se ejecutan en segundo piano.

Activo

Una instalacion cibernetica, dispositivo, informacion o proceso que
tiene valor.

Bloqueo automatic© de cuerita o
umbra! de bloqueo de cuenta

Poh'tica que determina cuantas veces una persona puede intentar
iniciar sesion con credenciales incorrectas antes de que el sisterna la
bloquee.

Servidor bastion

Una computadora con un proposito especial en una red de OT o IT
que un sisterna publico de agua (PWS) disena y configura
especificamente para soportar ataques ciberneticos.

Copia de seguridad

El proceso de crear una copia de los datos cruciales del PWS que se
pueden usar para la recuperacion en caso de que los datos
originates se pierdan o se corrompan.

Controles de compensacion

Controles de seguridad y privacidad que implementa un PWS en
lugar de los controles basicos descritos en la Publicacion
especial 800-53 del Institute Nacional de Normas y Tecnologia
(NIST). Los controles de compensacion brindan una proteccion
equivalente o comparable para un sisterna de OT o IT.

Configuracion

La configuracion de un sisterna o componente de OT o IT, incluidas
las condiciones, los parametros y las especificaciones.

Control

Una practica o medida que utiliza un PWS para prevenir, detectar y
mitigar amenazas y ataques ciberneticos. Las practicas van desde
controles fisicos, como la eliminacion de puertos USB en
computadoras portatiles, hasta controles tecnicos, como el uso de
cortafuegos y autenticacion de varios factores.

Sisterna de control

Un sisterna que asiste en la implementacion de un procedimiento o
proceso (p. ej., tratamiento de agua).

Pagina C-l


-------
Termino

Definicion



Los sistemas de control incluyen control de supervision y adquisicion
de datos (SCADA), sistema de control distribuido (DCS),
controladores logicos programables (PLC) y otros tipos de sistemas
de control industrial.

Credenciales

Informacion que es exclusiva de un usuario especifico y que se
requiere para iniciar sesion en un sistema o programa. Por ejemplo,
un nombre de usuario y una contrasena.

Prevencion de perdida de datos
(DLP)

La practica de detectar y prevenir violaciones de datos, exfiltracion
(robo o eliminacion no autorizada o movimiento de datos de un
dispositivo) o destruccion no deseada de datos confidenciales. Las
organizaciones usan la DLP para proteger y asegurar sus datos y
cumplir con las regulaciones.

Zona desmilitarizada (DMZ)

Una red perimetral que actua como una cerca y controla el
intercambio de informacion entre las redes informaticas internas y
externas. Regula como fluye la informacion de una red interna a una
red externa y quien desde la red externa puede acceder a la red
interna. Se suele usar entre las redes de OT y IT de un PWS.

Agencia de Seguridad de
Infraestructura y Ciberseguridad
(CISA) del Departamento de
Seguridad Nacional (DHS)

La CISA lidera el esfuerzo nacional a fin de comprender, administrar
y reducir el riesgo para la infraestructura fisica y cibernetica de la
nacion. La CISA desarrolla y publica una variedad de informacion,
recursos, herramientas y capacitacion para el sector del agua y otros
sectores de infraestructura critica.

Dispositivos

Piezas de hardware informatico que incluyen equipos de escritorio,
portatiles, servidores y tabletas.

Correo identificado de DomainKeys
(DKIM)

Metodo de autenticacion de correo electronico para verificar la
autenticidad de los correos electron icos.

Autenticacion, informes y
conformidad de mensajes del
dominio (DMARC)

Un protocolo que utiliza el marco de politicas del remitente (SPF) o
registros DKIM para autenticar correos electronicos. Permite el
rechazo de correos electronicos fraudulentos.

Codigo incrustado

Codigo que genera un sitio web de terceros, como YouTube o
Twitter, que un usuario puede copiar y pegar en su propia pagina
web.

Pagina C-2


-------
Termino

Definition



Este codigo incrustado mostrara los misrnos rnedios, aplicaciones o
fuentes en la pagina web del usuario que en el sitio web original.

Plan de Respuesta a Emergencias
(ERP)

Un plan que describe estrategias, recursos, planes y procedimientos
que los PWS pueden usar para prepararse y responder a un
incidente natural o provocado por el hombre que amenaza la vida,
la propiedad o el medioambiente.

Cifrar

Proceso mediante el cuai un PWS convierte texto o datos sin
formato en texto o datos codificados o cifrados.

Cifrado

Cualquier procedimiento que utiliza un PWS para convertir texto o
datos sin formato en texto/datos codificados o cifrados para lograr
que nadie, excepto el destinatario previsto, decodifique y lea el
texto o los datos.

Ejecutable

Una pieza de codigo de computadora o programacion que puede
realizar tareas establecidas de acuerdo con sus instrucciones
codificadas. Un programa o rutina informatica utilizan los archives
ejecutables.

Tolerancia a fallos

La capacidad de un sistema (p. ej., una computadora, una red de
OT o IT, un cluster en la nube) para continuar funcionando sin
interrupcion cuando uno de sus componentes o mas fallan.

Identidad rapida en Imea
(FIDO)/protocolo de cliente a
autenticador (CTAP)

Desarrollado por FIDO Alliance, el CTAP permite la comunicacion sin
el uso de contrasenas entre un autenticador externa (p. ej.,
telefonos moviles, dispositivos conectados) y otro cliente (p. ej.,
navegador) o plataforma (p. ej., sistema operativo como Microsoft
Windows).

Centra de Denuncias de Delitos en
Internet del FBI (ICS)

Una division de la Oficina Federal de Investigacion que se centra en
la actividad delictiva sospechosa que se presenta en Internet.

Cortafuegos

Un dispositivo que restringe la comunicacion de datos entre dos
redes conectadas. Un cortafuegos puede ser una aplicacion
instalada en una computadora de proposito general o un dispositivo
separado que permite o rechaza el flujo de informacion entre redes.

Pagina C-3


-------
Termino

Definicion



Por lo general, un PWS utiliza cortafuegos para definir los limites de
zona, como entre los sistemas de OT y TV en un PWS.

Firmware

Programa de software o instrucciones programadas en la memoria
flash de solo lectura (ROM) de un dispositivo de hardware. Permite
que el dispositivo se comunique con otro hardware de la
computadora.

Objeto de politicas de grupo (GPO)

Permite que un administrador del sistema dicte como interactuaran
los usuarios y las computadoras. Las politicas de grupo son
principalmente herramientas de seguridad y un PWS puede usarlas
para aplicar ajustes de seguridad a usuarios y computadoras, como
requerir una longitud minima de contrasena.

Interfaz entre hombre y maquina
(HMI)

Interfaz de usuario o panel que conecta a un usuario con una
maquina, sistema o dispositivo. El termino HMI se suele usar en el
contexto de un proceso industrial, como la interaccion con un
sistema de SCADA. Por ejemplo, un operador de PWS podria usar
una HMI para verificar si una determinada bomba esta funcionando.

Direccion de protocolo de Internet
(IP)

Una direccion numerica que identifica un dispositivo en Internet o
en una red local.

Plan de Respuesta a Incidentes (IR)

Un conjunto de procedimientos predeterminados y documentados
para identificar y responder ante un incidente cibernetico. Algunos
PWS pueden incluir su plan de IR de seguridad cibernetica como
parte de su Plan de Respuesta a Emergencias del PWS.

Centros de analisis e
intercambio de informacion (ISAC)

Una organizacion que recopila, analiza y difunde informacion factible
sobre amenazas a sus miembros y les comparte herramientas para
mitigar los riesgos y mejorar la resiliencia. Por ejemplo, WaterlSAC
brinda estos servicios a los PWS.

Sistema de informacion

Conjunto interconectado de recursos de informacion que se
encuentran bajo el mismo control directo de gestion que comparten
una funcion en comun. Un sistema normalmente incluye hardware,
software, informacion, datos, aplicaciones, comunicaciones y
personas.

Pagina C-4


-------
Termino

Definicion

Tecnologia de la informacion (IT)

Conjunto de recursos que utiliza una organizacion para recopilar,
procesar, mantener, utilizar, compartir, difundir o disponer de
informacion.

Sistema de control industrial (ICS)

Un sistema utilizado para controlar procesos industrials como el
tratamiento y la distribucion de agua. Los ICS incluyen sistemas de
SCADA (utilizados con frecuencia en el PWS para controlar activos
dispersos geograficamente), sistemas de control distribuidos y
sistemas de control mas pequenos que utilizan PLC para controlar
procesos localizados.

Interceptacion

La interceptacion permite a los atacantes acceder a datos,
aplicaciones o sistemas y se trata principalmente de ataques contra
la confidencialidad. Esto podria incluir ver o copiar archivos de
manera no autorizada, escuchar conversaciones telefonicas o leer el
correo electronico de otra persona. Estos ataques se pueden realizar
contra datos en reposo (p. ej., guardados en un servidor) o en
movimiento (p. ej., un correo electronico en transito del remitente al
receptor).

Comision Electrotecnica
Internacional (IEC)

Una organizacion global de membresia sin fines de lucro que reune
a 173 paises y coordina el trabajo de 20 000 expertos a nivel
mundial. Facilita el acceso a la electricidad y verifica la seguridad, el
rendimiento y la interoperabilidad de los dispositivos y sistemas
electricos y electronicos, incluidos los dispositivos de consumo como
telefonos moviles, refrigeradores, equipos medicos y de oficina, IT,
generacion de electricidad y mucho mas.

Sociedad Internacional de
Automatizacion (ISA)

Asociacion profesional sin animo de lucro fundada en 1945 para
crear un mundo mejor a traves de la automatizacion. La ISA
desarrolla normas globales ampliamente utilizadas, certifica
profesionales, brinda educacion y capacitacion, publica libros y
articulos tecnicos, organiza conferencias y exhibiciones, y ofrece
programas de establecimiento de contactos y desarrollo profesional
para sus miembros y clientes en todo el mundo.

Sociedad Internacional de
Automatizacion/Comision

La serie de normas 62443 de la ISA/IEC, desarrollada por el
comite ISA99 y adoptada por la IEC, proporciona un

Pagina C-5


-------
Termino Definition

Electrotecnica Internacional
(ISA/CEI) 62443

marco flexible para atender y mitigar las vulnerabilidades de
seguridad actuates y futuras en los sistemas de control y
automatizacion industrial (IACS).

Intranet

Una red de comunicaciones local que se suele utilizar para mejorar
la comunicacion, la colaboracion y el compromise dentro de una
organizacion. Por lo general, excluye a cualquier persona ajena a la
organizacion.

Sistema de identificacion de
intrusos/sistema de proteccion
contra intrusiones (IDS/IPS)

Ambos sistemas se colocan dentro de una red para alertar cuando
se produce una intrusion no deseada. Un IDS esta disenado para
proporcionar solo una alerta sobre un posible incidente. Un IPS, por
otro lado, actua para bloquear el intento de intrusion o remediar el
ataque.

Inventario

La lista o registro formal de la propiedad de la organizacion en un
PWS.

Caja de salto

Un dispositivo reforzado y monitoreado que abarca dos zonas de
seguridad de red distintas y proporciona un medio de acceso
controlado entre ellas. Esencialmente sirve como un puente cerrado
entre las zonas.

Catalogo de vulnerabilidades
usadas conocidas (KEV)

Una lista de vulnerabilidades que la CISA ha identificado como
usadas o que los responsables de las amenazas han utilizado para
realizar ataques.

Privilegios minimos

El principio de que una organizacion debe disenar la seguridad
cibernetica de modo que otorgue a cada usuario los recursos
minimos del sistema y las autorizaciones necesarias para hacer su
trabajo.

Registro

Un registro de los eventos que ocurren dentro de los sistemas y
redes de OT y IT de un PWS.

Direccion de control de acceso
a medios (MAC)

Un identificador unico asignado a un controlador de interfaz de red
(NIC) para su uso como direccion de red. Los fabricantes de
dispositivos suelen asignar direcciones MAC, por lo que los
dispositivos vienen con esta direccion ya asignada,

Pagina C-6


-------
Termino

Definition



a diferencia de las direcciones de IP, Tambien se conoce como
direccion de hardware o direccion fisica.

Macro

Una accion configurada que permite a los usuarios automatizar
tareas y agregar funciones en los archivos (p. ej., un boton de
comando y una macro asociada en un formulario). La macro
contiene los comandos que ejecutara el boton cada vez que un
usuario haga clic en el.

MURE ATT&CK

Una gui'a para clasificar y describir intrusiones y ataques
ciberneticos.

Autenticacion de varios factores
(MFA)

Una funcion que requiere mas de un factor de autenticacion distinto,
como un codigo enviado por mensaje de texto a un telefono celular,
para activar un dispositivo o iniciar sesion en una cuenta.

Base de datos de vulnerabilidad
nacional (NVD)

La NVD se establecio para compartir un repositorio de datos del
Gobierno de EE. UU. sobre vulnerabilidades de software y ajustes de
configuracion.

Segmentacion de la red

Dividir una red en varios segmentos o subredes, cada uno de los
cuales actua como su pequena red propia. Esta funcion permite el
control del flujo de informacion entre subredes. Los PWS pueden
usar la segmentacion para mejorar el monitoreo, aumentar el
rendimiento, localizar problemas tecnicos y mejorar la seguridad
cibernetica.

Institute Nacional de
Normas y Tecnologia
(NIST)

Una organizacion que desarrolla normas, pautas, practicas
recomendadas y otros recursos de seguridad cibernetica para
satisfacer las necesidades de la industria estadounidense, las
agencias federates y el publico en general.

Marco de seguridad cibernetica
(CSF) del NIST

Orientacion voluntaria, basada en estandares, pautas y practicas
existentes, para que organizaciones como los PWS gestionen y
reduzcan mejor el riesgo de seguridad cibernetica. Ademas de
ayudar a las organizaciones a gestionar y reducir los riesgos, el NIST
diseno el CSF para fomentar las comunicaciones sobre la gestion de
riesgos y seguridad cibernetica entre las partes interesadas internas
y externas de la organizacion.

Pagina C-7


-------
Termino

Definicion

Conmutador de red

Un dispositivo que conecta usuarios, aplicaciones y equipos a traves
de una red para que puedan comunicarse entre si y compartir
recursos.

Trafico de la red

La cantidad de datos que se mueven a traves de una red durante un
tiempo determinado.

Sistema operativo (SO)

Software que sirve como interfaz entre el hardware de la
computadora y el usuario. Las aplicaciones (p. ej., Microsoft Office)
requieren un entorno para operar y realizar tareas. El sistema
operativo ayuda a los usuarios a interactuar con las aplicaciones y
otro hardware y programas. El sistema operativo tambien realiza
tareas como la gestion de archivos, memoria y procesos.

Tecnologia operativa (OT)

Los componentes de hardware, software y firmware de un sistema que
utiliza un PWS para detectar o generar cambios en los procesos fisicos
mediante la supervision y el control directos de los dispositivos fisicos.
Para muchos PWS, este es un sistema de SCADA.

Parches

Actualizaciones de software y sistema operativo que abordan
vulnerabilidades de seguridad dentro de un programa o producto.
Los proveedores de software pueden optar por lanzar
actualizaciones para corregir errores de rendimiento y proporcionar
funciones de seguridad mejoradas.

Informacion de identificacion
personal (PII)

Cualquier informacion que permita inferir directa o indirectamente la
identidad de un individuo.

Prog ra ma de Informacion

de Infraestructura Critica Protegida

(PCII)

El Programa de PCII protege la informacion que habitualmente no
es de dominio publico y esta relacionada con la seguridad de la
infraestructura critica o los sistemas protegidos, incluidos
documentos, registros u otra informacion de las leyes de divulgacion
federates, estatales y locales. Esto permite a los socios, como los
PWS, compartir de forma segura su informacion de infraestructura
critica con el DHS sin temor a la divulgacion.

Phishing

Correos electron icos, mensajes de texto, llamadas telefonicas o
sitios web fraudulentos que enganan a las personas para que
descarguen malware, compartan informacion confidencial (p. ej.,
numeros del Seguro Social,

Pagina C-8


-------
Termino

Definition



de tarjetas de credito y de cuentas bancarias, credenciales de inicio
de sesion) o realicen otras acciones que los expongan a ellos
mismos o a sus PWS al deiito cibernetico.

Cuenta con privilegios

Una cuenta de usuario que tiene mas privilegios que los usuarios
normales. Las cuentas con privilegios pueden, por ejemplo, instalar
o eliminar software, actualizar el sistema operativo o modificar las
configuraciones del sistema o de la aplicacion. Estas cuentas
tambien pueden tener acceso a archivos a los que los usuarios
estandar no pueden acceder. En un PWS, lo mas probable es que un
administrador del sistema tenga una cuenta privilegiada.

Controlador

logico programable (PLC)

Una pequena computadora industrial disenada originalmente para
realizar las funciones logicas ejecutadas por hardware electrico
(p. ej., reles, interruptores y temporizadores o contadores
mecanicos). Los PLC se han convertido en controladores con la
capacidad de controlar procesos complejos, y los PWS los usan con
frecuencia en sistemas de SCADA.

Arquitectura de referenda
empresarial de Purdue (PERA) o
modelo de Purdue

Un modelo de seis capas para la segmentacion de la red de ICS que
define los componentes del sistema que se encuentran en cada una
de las capas y los controles de iimites de la red para proteger cada
capa y, en ultima instancia, la red del ICS.

Protocolo de acceso remoto a la
computadora (RDP)

Un protocolo de comunicaciones de red desarrollado por Microsoft.
Permite a los administradores del sistema diagnosticar de forma
remota los problemas que encuentran los usuarios individuates y les
brinda acceso remoto a las computadoras de escritorio de su trabajo
fisico. Los tecnicos de soporte a menudo usan el RDP para
diagnosticar y reparar el sistema de un usuario de forma remota.

Enrutador

Un dispositivo que se comunica entre Internet y los dispositivos en
un PWS que se conectan a Internet.

Servidor

Un programa o dispositivo informatico que proporciona un servicio
(como compartir datos o recursos) a otro programa informatico y su
usuario, tambien conocido como el cliente.

Pagina C-9


-------
Termino

Definicion

Control de supervision y
adquisicion de datos (SCADA)

Un tipo de sistema de control industrial. Es una coleccion de
elementos de software y hardware que permite a los usuarios
controlar, monitorear y automatizar procesos. Los sistemas de
SCADA ayudan a recopilar y analizar datos en tiempo real.

Capa de conexion segura (SSL)

Un protocolo que utiliza un PWS para proteger la informacion
privada durante la transmision a traves de Internet.

Marco de politicas del remitente
(SPF)

Un metodo de autenticacion de correos electronicos que ayuda a
proteger el correo electronico saliente para que las organizaciones
receptoras no lo marquen como correo no deseado.

Acuerdo de nivel de servicio (SLA)

Un compromiso entre un proveedor de servicios (p. ej., vendedor) y
un cliente (p. ej., el PWS). Los aspectos de calidad y disponibilidad
del servicio, asi como las responsabilidades individuals de las
partes, se acuerdan previamente.

Suplantacion de identidad

Un tipo de estafa en la que un atacante encubre una direccion de correo
electronico, un nombre para mostrar, un numero de telefono, un
mensaje de texto o la URL de un sitio web para convencer a un objetivo
de que esta interactuando con una fuente conocida y confiable.

Seguridad de la capa de transporte
de inicio (STARTTLS)

Un protocolo utilizado para garantizar que el correo electronico se
envie de forma segura de un servidor a otro.

Ataque a la cadena de suministro

Un tipo de ataque cibernetico dirigido hacia un proveedor externo de
confianza que ofrece setvicios o software vitales para la cadena de
suministro. Los ataques a la cadena de suministro son dificiles de
detectar, ya que se basan en software en el que ya se ha confiado y
que puede distribute ampliamente (p. ej., el ataque de SolarWinds).

Administrador de sistema

Persona responsable de administrar, actualizar y operar los sistemas
informaticos. Esta persona puede ser parte del PWS o un proveedor.

Control de eventos e informacion de
seguridad (SIEM)

Una herramienta que recopila datos de registro de eventos de una
variedad de fuentes (p. ej., dispositivos, software), identifica la
actividad que se desvia de lo normal con analisis en tiempo real e
implementa las acciones adecuadas.

Pagina C-10


-------
Termino

Definicion



Ayuda a las organizaciones a detectar, analizar, y responder a las
amenazas de seguridad antes de que interrumpan las operaciones.

Ejercicio de simulacion (TTX)

Un ejercicio basado en debates en el que el personal que cumple
funciones y responsabilidades dentro de un plan de IR en particular
se reune en un salon de clases o en grupos de trabajo para validar
el contenido del plan conversando sobre sus funciones durante una
emergencia cibernetica y sus respuestas a un incidente cibernetico
en particular. Un facilitador inicia el debate presentando un
escenario y haciendo preguntas basadas en este.

Tacticas, tecnicas y procedimientos
(TTP)

Este es el termino utilizado por los profesionales de la seguridad
cibernetica para describir los comportamientos, los procesos, las
acciones y las estrategias utilizadas por un atacante para participar
en ciberataques.

Cifrado de datos transpa rente (TDE)

El TDE permite al usuario cifrar datos confidenciales que se
almacenan en bases de datos a nivel de archivo. Protege los datos
en reposo, no los datos en transito.

Seguridad de la capa de transporte

n-s)

Un protocolo de autenticacion y cifrado ampliamente implementado
en navegadores y servidores web. El trafico del protocolo de
transferencia de hipertexto (HTTP) (un metodo estandar para la
comunicacion entre clientes y servidores web) transmitido mediante
TLS se conoce como protocolo seguro de transferencia de hipertexto
(HTTPS).

Red privada virtual (VPN)

Un servicio que extiende una red privada a traves de una red publica
(p. ej., Internet) y proporciona un canal seguro y cifrado entre el
dispositivo del usuario y la red privada. Una VPN permite a los
usuarios realizar el trabajo de forma remota.

Vulnerabilidad

Una falla o debilidad en una pieza de software o firmware que un
atacante puede usar para modificar el codigo de la aplicacion, danar
un activo, obtener acceso a una red o ejecutar otra actividad
maliciosa.

Punto de acceso inalambrico

Un dispositivo que crea una red de area local inalambrica (WLAN)
generalmente en una oficina o un edificio grande.

Pagina C-ll


-------
Termino

Definition



Un punto de acceso se conecta a un enrutador, conmutador o
concentrador con cable y proyecta una serial wifi dentro de un area
designada.

Pagina C-12


-------