Esta normativa enfatiza estándares basados en el rendimiento, alineados con el marco de ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST) y sigue los estándares desarrollados por la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA). Esta propuesta se basa en las medidas de ciberseguridad que la TSA ha estado implementando mediante Directivas de Seguridad anuales desde 2021.
Un aspecto destacado de la propuesta exige que los operadores de transporte implementen un programa integral de gestión de riesgos cibernéticos (CRM), que incluya evaluaciones anuales de ciberseguridad a nivel empresarial y estrategias detalladas para responder y recuperarse de incidentes. Los operadores deben monitorear sistemas, mantener copias de seguridad y adoptar protocolos sólidos, como la gestión de parches y la segmentación de la red, para reducir vulnerabilidades. Además, la TSA propone evaluaciones y auditorías anuales de estos planes de ciberseguridad para garantizar su efectividad, con un proceso de evaluación independiente para evitar conflictos de interés.
En una declaración, el administrador de la TSA, David Pekoske, destacó la colaboración entre la TSA y sus socios de la industria para aumentar la resiliencia cibernética, invitando al público y a la industria a proporcionar comentarios sobre las regulaciones propuestas. Las partes interesadas tienen hasta el 5 de febrero de 2025 para enviar observaciones sobre los posibles impactos económicos y operativos.
La propuesta también incluye disposiciones para que los planes de evaluación de ciberseguridad (CAP) aprobados por la TSA incluyan evaluaciones y auditorías anuales. Además, se propone realizar evaluaciones obligatorias de amenazas de seguridad para los coordinadores de ciberseguridad y ejecutivos involucrados en la gestión de estos programas CRM.
A medida que evolucionan las amenazas cibernéticas, la iniciativa de la TSA representa un avance significativo para proteger los sistemas de transporte terrestre de la nación, reflejando el compromiso de construir un marco de ciberseguridad más sólido para proteger las infraestructuras críticas.
Source: Industrial Cyber
La European Cyber Intelligence Foundation es un think tank sin fines de lucro especializado en inteligencia y ciberseguridad, que ofrece servicios de consultoría a entidades gubernamentales. Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net, o puedes intentarlo tú mismo usando check.website.