Solicitar demostración
5 de octubre de 2022
Contador PAM CRITIS

El legislador establece directrices más estrictas de cumplimiento y seguridad informática

La dependencia de nuestra sociedad moderna de la electricidad, el agua, las telecomunicaciones y la energía constantemente disponibles es indiscutible. Por ello, es alarmante que, según estudios recientes, muchas empresas municipales de servicios públicos y de suministro no hayan protegido suficientemente sus sistemas contra los ataques. En este contexto, las consecuencias de una interrupción temporal y local del suministro son devastadoras tanto para los particulares como para las empresas y el sistema económico y social en general. El peligro de los ciberataques aumenta debido a la creciente interconexión de nuestros sistemas. Sólo en 2020, se han producido más de 141 ataques con éxito contra CRITIS y empresas relacionadas con CRITIS. Y la tendencia va en aumento.

El legislador aprueba una Ley de Seguridad Informática 2.0 para el próximo año, que rebajará los valores de los umbrales según BSI-KritisV. Como resultado de la modificación de la ley, las empresas de servicios públicos más pequeñas que antes no estaban clasificadas como infraestructuras críticas también serán contabilizadas como tales. En consecuencia, los pequeños y medianos servicios municipales que abastecen a la población local también se verán afectados a partir del próximo año. Garantizar el suministro de energía, electricidad y agua, así como otras tareas como la eliminación de residuos y aguas residuales y el funcionamiento del transporte público son el centro de la enmienda.

Este umbral seguirá bajando en un futuro próximo. Por esta razón, las empresas municipales de servicios públicos y de suministro más pequeñas también deberían abordar pronto la cuestión de la seguridad informática. Es aconsejable asegurar sus propios sistemas con la ayuda de las tecnologías modernas.

El hackeo de prueba de Stadtwerke Ettlingen demuestra lo vulnerables que son las empresas de servicios públicos a los ciberataques. Queda claro que, además de los componentes físicos a prueba de fallos para la alta disponibilidad de los sistemas, es crucial la protección del lado del software de los respectivos sistemas y redes de información. El bloque esencial para una estrategia de seguridad informática sostenible es el blindaje de sus redes contra el acceso externo no deseado y, por tanto, devastador. El acceso externo no sólo incluye a los hackers externos, sino también la distribución de los derechos de acceso a sus empleados. Y aquí, el componente no técnico de su operación de TI está claramente en primer plano: el factor humano, sus empleados.

Es esencial establecer restricciones estrictas de acceso a los distintos componentes de la infraestructura, independientemente de la condición de "infraestructura crítica". Si consigue establecer restricciones de acceso lógicas y profundas y almacenar las identidades de los empleados a prueba de manipulaciones, no sólo protegerá los componentes subyacentes de los ataques, sino que también cumplirá los requisitos de cumplimiento y seguridad informática del sistema de gestión de la seguridad de la información (SGSI).

Los cuatro pilares de la gestión de identidades y accesos controlados

  • Autenticación multifactorial
  • Portal de acceso centralizado
  • Menos Privilegios
  • Transferencia segura de archivos

Para cumplir con la Ley de Seguridad Informática 2.0, las empresas CRITIS deben adoptar medidas organizativas y técnicas que correspondan al "estado del arte". La ampliación de la Ley de Seguridad Informática significa que las estrictas normas de la BSI se están extendiendo aún más, lo que significa que las empresas municipales de servicios públicos y los pequeños proveedores privados de energía también necesitan por ley una profunda protección técnica de sus sistemas contra los ciberataques. La base sólida para cumplir con los requisitos de cumplimiento y seguridad es la protección de las identidades digitales de los empleados. Esto incluye restricciones de acceso a sistemas y redes críticas con un profundo Privileged Access Management (PAM) y una fuerte autenticación multifactor (MFA).

Las redes de control son la columna vertebral de las instalaciones centrales de suministro. Si aquí se produce una interrupción, un fallo o una manipulación, la población está en peligro. Utilizando un Privileged Access Management los componentes técnicos pueden estar estrictamente separados del resto de la infraestructura informática. Sólo puede acceder a ellos el personal autorizado con acceso limitado. Esto evita la intrusión y la manipulación de la red de control por parte de terceros no autorizados y constituye la base de una sólida ciberseguridad en el entorno de los servicios públicos. Con la solución central para todas las plataformas de acceso externas e internas que requieren protección, VISULOX, sus empleados pueden acceder a todos sus dispositivos y aplicaciones que necesitan para realizar su trabajo con un solo inicio de sesión. La autenticación multifactorial integrada garantiza el máximo nivel de seguridad. Al mismo tiempo, la plataforma facilita el trabajo diario, ya que el registro de las actividades garantiza la reproducibilidad y la seguridad.

VISULOX ofrece, sin necesidad de configurar agentes en servidores o clientes, un portal de acceso centralizado que es accesible desde cualquier lugar y garantiza el control centralizado de todas las actividades de la infraestructura de TI y OT.

Iniciar recorrido
Póngase en contacto con
Consentimiento para el uso de cookies con un banner de cookies real