Los operadores de CNI deberían hacer estas 12 preguntas a sus proveedores de OT

Esteban Prieto

General

El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido ha unido fuerzas con sus socios Five Eyes y otras agencias de la Unión Europea (UE) para publicar una nueva guía diseñada para ayudar a los organismos de infraestructura nacional crítica (CNI) y otros que dependen de la tecnología operativa (OT). ) exigen una mayor seguridad en los productos a la hora de tomar decisiones de compra.

Con los operadores de CNI bajo amenaza casi constante por parte de actores maliciosos (muchos de ellos trabajando a instancias de agencias de inteligencia hostiles), el NCSC dijo que su objetivo era brindar una guía clara sobre la elección de productos y fabricantes que se adhieran a los principios de seguridad por diseño. dando a sus propios sistemas una base resistente y minimizando los riesgos que plantean los ciberataques.

Históricamente, estos componentes no se han desarrollado teniendo en cuenta la seguridad como prioridad (o en muchos casos, en absoluto), dando a los actores de amenazas una ventana abierta para acceder a sus activos tecnológicos, ventana que se está volviendo mucho más amplia a medida que más y más componentes OT se conectan a sistemas de TI más amplios. .

Además, estos componentes suelen ser un objetivo importante porque un compromiso exitoso puede replicarse fácilmente entre múltiples víctimas.

“A medida que los ciberatacantes apuntan cada vez más a la tecnología operativa en todo el mundo, nunca ha sido más vital para los operadores de infraestructura crítica garantizar que la seguridad esté integrada en los sistemas que utilizan”, dijo el director de resiliencia nacional y tecnología futura del NCSC, Jonathan Ellison.

“Esta nueva guía brinda a las organizaciones consejos prácticos sobre cómo priorizar los productos OT que sean seguros por diseño al tomar decisiones de compra, ayudando a mitigar las amenazas cibernéticas reales que enfrentan.

Más contenido para leer:  GSMA anuncia la iniciativa del acelerador 5G mmWave

“Recomiendo encarecidamente a los operadores de sistemas OT del Reino Unido que sigan esta guía para ayudar a establecer una base sólida para su resiliencia cibernética y enviar una señal a los fabricantes de que la seguridad es más que una característica adicional para los productos, sino un requisito de la demanda”.

La guía, que está oficialmente disponible para descargar desde el sitio web de la contraparte estadounidense del NCSC, CISA, establece 12 consideraciones de seguridad que los usuarios de OT deben integrar en su proceso de adquisición, tanto para ayudar a defenderse como para obligar a los fabricantes a hacerlo mejor.

Las consideraciones que los compradores deben tener en cuenta (y la respuesta a estas preguntas siempre debe ser “sí”) son las siguientes:

  • ¿El producto admite el control y seguimiento de modificaciones de los ajustes de configuración y la lógica de ingeniería?
  • ¿El producto básico admite el registro de todas las acciones, incluidos los cambios en la configuración, la seguridad y los eventos de protección, utilizando formatos estándar abiertos?
  • ¿El producto utiliza estándares abiertos para admitir funciones y servicios seguros y para migrar los ajustes de configuración y la lógica de ingeniería?
  • ¿Otorga el producto a los propietarios y operadores total autonomía sobre él, incluida la capacidad de realizar el mantenimiento y realizar otros cambios, y minimizar la dependencia del proveedor?
  • ¿El producto protege la integridad y confidencialidad de los datos, servicios y funciones, incluidos los ajustes de configuración y la lógica de ingeniería, tanto en reposo como en tránsito?
  • ¿El producto llega seguro “listo para usar”, reduciendo las superficies de ataque y eliminando la carga para los propietarios al incluir todas las funciones de seguridad en todas las versiones, eliminar contraseñas predeterminadas y permitir contraseñas complejas, con protocolos más antiguos deshabilitados de forma predeterminada, no? ¿Exponer interfaces externas y brindar a los usuarios la posibilidad de restablecerlas a su estado original?
  • ¿El producto admite comunicaciones autenticadas seguras que fallan “ruidosamente” pero permiten que los procesos críticos continúen y que no requieren importantes habilidades cibernéticas para lograrlo?
  • ¿El producto viene con controles seguros que lo protegen contra amenazas que envían comandos maliciosos, protegen la disponibilidad de funciones esenciales y minimizan el impacto de un incidente en sistemas más amplios?
  • ¿La versión básica del producto protege adecuadamente contra el acceso no autorizado mediante medidas como la autenticación multifactor o el control de acceso basado en roles?
  • ¿Tiene el producto un modelo de amenaza completo y detallado que establezca cómo podría verse comprometido y medidas para reducir dichos escenarios?
  • ¿Cuenta el fabricante del producto con un programa de gestión y divulgación de vulnerabilidades, que incluya pruebas, soporte y gestión, y parches gratuitos?
  • ¿Tiene el producto un proceso de actualización y parcheo sencillo y bien documentado que permita a los usuarios pasar a un sistema operativo compatible de forma gratuita si el original ya no es compatible?
Más contenido para leer:  El grupo BCS Pride pide el fin de la transfobia en la tecnología

Cinturones de seguridad cibernéticos

La directora de CISA, Jen Easterly, comparó la situación actual con el período justo antes de que la presión pública obligara a los fabricantes de automóviles a empezar a incorporar elementos de seguridad (como cinturones de seguridad, frenos antibloqueo, etc.) como estándar. En Estados Unidos, la indignación por las altísimas muertes en las carreteras fue provocada por la publicación hace 60 años de un texto histórico, Inseguro a cualquier velocidadpor el político y defensor del consumidor Ralph Nader.

“No tenemos un problema de ciberseguridad; Tenemos un problema de calidad del software”, dijo Easterly. “Ahora nos encontramos en un punto de inflexión –con adversarios extranjeros explotando desenfrenadamente software defectuoso– donde este reconocimiento está dando lugar a una demanda concertada de mejor seguridad.

“Así como las reformas de seguridad del automóvil solo tuvieron éxito cuando el público exigió automóviles más seguros como estándar básico, la industria del software solo dará prioridad al diseño seguro cuando nosotros… lo exijamos como base para un ecosistema digital seguro y funcional.

“La iniciativa de seguridad por diseño apoya esta demanda al equipar a los clientes con preguntas claves para hacer a los proveedores sobre su software, tal como las campañas de seguridad pública enseñaron a la nación cómo evaluar las características de seguridad de sus automóviles. Al empoderar a los usuarios, nuestro objetivo es crear un cambio sísmico en la seguridad del software”.

¿Puede el gobierno del Reino Unido lograr sus ambiciones de inteligencia artificial?

The Apprentice UK Temporada 19 Fecha de lanzamiento, noticias, tráiler y rumores

Nuestro objetivo fué el mismo desde 2004, unir personas y ayudarlas en sus acciones online, siempre gratis, eficiente y sobre todo fácil!

Servicios

Acerca de Nosotros

Servicios

Equipo

Contacto

Marketing Digital

Seo services

Recursos

Publicar Clasificados

Buscar Clasificados

Terminos y Condiciones

Politica de Privacidad

¿Donde estamos?

Mendoza, Argentina

Nuestras Redes Sociales