Hojas informativas de la Lista de verificación de ciberseguridad de la EPA

Identificar. ¿Acaso el WWS hace lo siguiente?

1.A: ¿Mantiene un inventario actualizado de todos los activos de la red de tecnología operacional (TO) y tecnología de la información (TI)?

1.B: ¿Tiene una función/puesto/cargo designado responsable de planificar, obtener recursos y ejecutar actividades de ciberseguridad?

1.C: ¿Tiene una función/puesto/cargo designado responsable de planificar, obtener recursos y ejecutar actividades de ciberseguridad específicas de TO?

1.D: ¿Proporciona oportunidades periódicas para fortalecer la comunicación y coordinación entre el personal de TO y TI, incluyendo a los distribuidores?

1.E: ¿Aplica parches o mitiga de algún modo las vulnerabilidades conocidas en el plazo recomendado?

1.G/1.H:¿Requiere que todos los distribuidores y proveedores de servicios de TO notifiquen al WWS sobre incidentes o vulnerabilidades de seguridad en un plazo en función de los riesgos?

1.I: ¿Incluye la ciberseguridad como criterio de evaluación para la adquisición de activos y servicios de TO y TI?

Proteger. ¿Acaso el WWS hace lo siguiente?

2.A: ¿Cambia las contraseñas predeterminadas?

2.B: ¿Requiere una longitud mínima para las contraseñas?

2.C: ¿Requiere credenciales únicas y diferentes para que los usuarios accedan a las redes de TO y TI?

2.D: ¿Deshabilita de inmediato el acceso a una cuenta o red cuando el acceso ya no es necesario por motivos de jubilación, cambio de función, desvinculación u otros factores?

2.E: ¿Diferencia las cuentas de usuario y con privilegios (p. ej., administrador del sistema)?

2.F: ¿Segmenta las redes de TO y TI y deniega las conexiones a la red de TO de forma predeterminada, a menos que se permita explícitamente (p. ej., por dirección IP y puerto)?

2.G: ¿Detecta y bloquea intentos fallidos recurrentes de inicio de sesión?

2.H: ¿Requiere el uso de la MFA siempre que sea posible, pero, como mínimo, para el acceso remoto a las redes de TO y TI del WWS?

2.I: ¿Proporciona/realiza capacitaciones anuales de concientización sobre ciberseguridad para todo el personal del WWS que cubran conceptos básicos de ciberseguridad?

2.J: ¿Ofrece capacitación sobre ciberseguridad específica de TO al menos anualmente al personal que usa TO como parte de sus tareas habituales?

2.K: ¿Usa cifrado eficaz para mantener la confidencialidad de los datos en tránsito?

2.L: ¿Usa cifrado para mantener la confidencialidad de los datos sensibles almacenados?

2.M: ¿Usa controles de seguridad de correo electrónico para reducir las amenazas de correo electrónico habituales, como la suplantación de identidad, el robo de identidad y la intercepción?

2.N: ¿Deshabilita las macros de Microsoft Office o código integrado similar de forma predeterminada en todos los activos?

2.O: ¿Mantiene documentación actualizada que explica la preparación y los ajustes (es decir, la configuración) de los activos críticos de TO y TI?

2.P: ¿Mantiene documentación actualizada que describe la topología de la red (es decir, las conexiones entre todos los componentes de red) en las redes de TO y TI del WWS?

2.Q: ¿Requiere la aprobación antes de instalar o implementar nuevo software?

2.R ¿Realiza copias de seguridad de los sistemas necesarios para las operaciones (p. ej., configuraciones de red, lógica de PLC, diagramas de ingeniería, registros de personal) según un cronograma periódico, almacena las copias de seguridad separadas de los sistemas de origen y prueba las copias de seguridad de manera periódica?

2.S: ¿Tiene un plan de respuesta a incidentes (IR) de ciberseguridad escrito para situaciones de amenazas críticas (p. ej., deshabilitación o manipulación de sistemas de control de procesos, pérdida o robo de datos operacionales o financieros, exposición de información sensible) que se implementa y actualiza de manera periódica?

2.T: ¿Recopila registros de seguridad (p. ej., acceso al sistema y las redes, detección de programas maliciosos) para usar en la detección e investigación de incidentes?

2.U: ¿Protege los registros de seguridad del acceso no autorizado y la alteración?

2.V: ¿Prohíbe la conexión de hardware no autorizado (p. ej., unidades USB, medios extraíbles, computadoras portátiles ingresadas al sitio por otras personas) a los activos de TO y TI?

2.W: ¿Se asegura de que los activos conectados al Internet público no exponen de manera innecesaria servicios que se pueden aprovechar (p. ej., protocolo de escritorio remoto)?

2.X: ¿Elimina las conexiones entre los activos de TO e Internet?

Detectar. ¿Acaso el WWS hace lo siguiente?

3.A ¿Mantiene una lista de las amenazas y tácticas, técnicas y procedimientos (TTP) de los atacantes para realizar ataques informáticos relevantes para el WWS? 

Responder. ¿Acaso el WWS hace lo siguiente?

4.A ¿Tiene un procedimiento escrito para informar incidentes de ciberseguridad, incluyendo cómo hacerlo (p. ej., llamada telefónica, envío por Internet) y a quién (p. ej., FBI u otra fuerza de aplicación de la ley como la CISA, reguladores estatales, WaterISAC, proveedor de seguro informático)?

Recuperar. ¿Acaso el WWS hace lo siguiente?

5.A ¿Tiene la capacidad de recuperarse de manera segura y efectiva de un incidente de ciberseguridad?