El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido, en colaboración con sus homólogos de Australia, Canadá, Nueva Zelanda y los EE. UU., ha publicado consejos y orientación para ayudar a garantizar que las tecnologías conectadas se integren en el entorno construido de una manera que proteja los sistemas y los datos. .
la articulación Mejores prácticas de ciberseguridad para ciudades inteligentes La guía está diseñada para ayudar a las comunidades a equilibrar los beneficios involucrados en la creación de ciudades inteligentes, como el ahorro de costos y las mejoras en la calidad de vida, con los riesgos, que incluyen una superficie de ataque interconectada y en expansión, problemas de la cadena de suministro y vulnerabilidades introducidas por la automatización de las operaciones de infraestructura. y la introducción de soluciones impulsadas por inteligencia artificial (IA).
Se alienta a los líderes comunitarios y gobiernos locales que estén considerando embarcarse en proyectos de ciudades inteligentes a consultar la guía para comprender mejor cómo trazar un camino seguro hacia adelante. La guía está disponible para descargar desde la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA).
“Los lugares conectados tienen el potencial de hacer que la vida cotidiana sea más segura y resistente para los ciudadanos; sin embargo, es fundamental que los beneficios se equilibren de manera que se proteja la seguridad y la privacidad de los datos”, dijo Lindy Cameron, directora ejecutiva de NCSC.
“Nuestra nueva guía conjunta ayudará a las comunidades a gestionar los riesgos involucrados al integrar tecnologías conectadas en su infraestructura y tomar medidas para proteger los sistemas y los datos de las amenazas en línea”.
Los proyectos de ciudades inteligentes ya son objetivos atractivos para los ciberdelincuentes debido al tipo de datos que se recopilan, transmiten, almacenan y procesan, que casi seguramente incluirán lo que se denomina datos de categoría especial según el Reglamento General de Protección de Datos (RGPD) del Reino Unido y otros regímenes de cumplimiento. .
Junto con el creciente número de vulnerabilidades, tanto existentes como potenciales, en los sistemas digitales, el valor intrínseco de los conjuntos de datos de ciudades inteligentes también presenta el riesgo de explotación con fines de espionaje por parte de grupos de amenazas persistentes avanzadas (APT) respaldados por estados nacionales.
“Las tecnologías de ciudades inteligentes brindan oportunidades para comunidades más innovadoras y sostenibles, pero también amplían la superficie de ataque y los riesgos para nuestra seguridad e infraestructura crítica”, dijo Abigail Bradshaw, directora del Australian Cyber Security Center (ACSC).
“Esta guía ayuda a las comunidades con visión de futuro a integrar de forma segura las nuevas tecnologías en la infraestructura existente, lo que garantiza la resiliencia y la protección de los datos, los sistemas y la infraestructura interconectada que necesitamos para nuestra vida diaria y nuestro negocio”.
La directora de CISA, Jen Easterly, agregó: “La guía conjunta de hoy es un ejemplo continuo de la sólida colaboración que CISA tiene con nuestros socios en los EE. UU. y en todo el mundo para brindar orientación oportuna y útil sobre la gestión del riesgo cibernético.
“Las mejores prácticas de seguridad cibernética descritas aquí están diseñadas para ayudar a las comunidades conectadas en evolución a proteger mejor su infraestructura y datos confidenciales”.
Entre algunos de los temas tratados en la guía se encuentran las estrategias para la planificación y el diseño seguros, incluida la aplicación de la autenticación multifactor (MFA), la implementación de una arquitectura de confianza cero, la protección de los servicios que se enfrentan a la Internet pública y las políticas de administración de parches adecuadas y oportunas, todos los pasos que todas las organizaciones deben tomar como parte de un régimen básico de higiene de seguridad cibernética.
Sus recomendaciones para la gestión de riesgos de la cadena de suministro incluyen establecer requisitos claros para las cadenas de suministro de software, hardware e Internet de las cosas (IoT) desde el principio, y revisar cuidadosamente los arreglos y acuerdos con terceros.
La guía también brinda orientación sobre qué hacer en el caso desafortunado de un compromiso, incluidos los planes de recuperación y respuesta a incidentes para aislar los sistemas afectados y minimizar las interrupciones, y la capacitación adecuada de la fuerza laboral.