Ciberseguridad CTPAT 2020: Alcances de Cumplimiento del estándar ciberseguridad
Antecedentes
Customs and Border Protection (CBP), desarrolló actualizaciones al programa de certificación Customs-Trade Partnership Against Terrorism (C-TPAT), en las que incluyó nuevos focos de riesgo que se presentan actualmente en las cadenas de suministro de las empresas, con la finalidad de fortalecer la seguridad exigiendo medidas más específicas. Dichos cambios entraron en vigor desde el mes de enero de 2019.
- Las actualizaciones realizadas, derivan de “nuevas” amenazas al comercio internacional que no existían o no se presentaban tan desarrolladas en 2001, año de inicio del programa, y forman parte de los resultados de las pláticas de CBP con su comité de asesoría.
- Desde el 2016 al 2018, se inició una fase de modernización de los criterios de seguridad del Programa CTPAT.
- En octubre 2018, concluyó la fase de “socialización” la cual tuvo como objetivo generar retroalimentación entre las entidades involucradas con el programa.
- En enero 2019, dio inicio la fase de preparación y capacitación para las empresas participantes del programa. Esta fase concluye en 2020.
- En 2020, dio inicio la cuarta fase, en la cual los socios del programa incluirán en sus procesos de seguridad los nuevos criterios propuestos.
En síntesis, se adicionaron al programa los siguientes estándares:
- La gestión de la ciberseguridad.
- La visión y responsabilidad de la seguridad a nivel corporativo y
- La seguridad agrícola.
De igual forma, se realizaron actualizaciones a los criterios de seguridad de los estándares: Seguridad de sellos, seguridad de contenedor por Seguridad en Transporte e instrumentos de Tráfico internacional, capacitación, educación y concientización.
En ese sentido, las empresas que cuentan con programa CTPAT o pretenden ser parte de dicho programa, tendrán las siguientes obligaciones:
- NOTA: Por disposición oficial de CBP, el Portal del Perfil de Seguridad de CTPAT estará suspendido temporalmente para cualquier actualización y/o aplicación desde el 01 de enero al 01 de junio de 2020. Esto con la finalidad de que CBP pueda actualizar la página y adecuarla para el cumplimiento y control de los nuevos requerimientos.
Más información: http://asesores-stratego.com/publicaciones/nuevos-criterios-de-ctpat-2020/
Alcances de cumplimiento del estándar Ciberseguridad CTPAT 2020.
La Aduana y Protección de Fronteras (CBP – por sus siglas en inglés) por medio de su programa de Asociación Aduanera-Comercial contra el Terrorismo (CTPAT – por sus siglas en inglés) proporciono una guía de los elementos esenciales de la ciberseguridad, como asistencia a los miembros del programa para la reducción del riesgo dentro de su organización. Presentando un enfoque integral, en cuatro rubros de niveles de riesgos:
- Capacidad de operar/acceso a la información
- Reputación/confianza del cliente
- Resultado final
- Supervivencia de la organización.
En conjunto con la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA – por sus siglas en inglés) se gestionan los riesgos cibernéticos para la creación de una cultura de preparación cibernética y sus elementos esenciales:
Miembros – Lideres.
Impulsar la estrategia de seguridad cibernética, la inversión y cultura. El conocimiento de los conceptos básicos hace que la ciberseguridad sea una parte importante de la estrategia de fortaleza operativa, y esa estrategia requiere una inversión de tiempo y dinero. La inversión impulsa acciones y actividades que construyen y mantienen una cultura de ciberseguridad.
Se presentan los elementos que las organizaciones deben de tener:
- Inversión en seguridad cibernética.
- Determinar cuánto de las operaciones son dependientes a las Tecnologías de la Información (IT).
- Construir una red de confianza con los sectores públicos y de los socios comerciales para el acceso a la información.
- Tener a la ciberseguridad dentro de un enfoque.
- Dirigir políticas de ciberseguridad.
El Personal – Usuarios.
Desarrollar conciencia de seguridad y vigilancia. El personal a menudo será la primera línea de defensa, una que debe tener, y crecer continuamente, las habilidades para practicar y estar preparado contra riesgos de ciberseguridad.
Se presentan los elementos que las organizaciones deben de tener:
- Entrenamiento básico de la ciberseguridad, conceptos, terminología y actividades asociadas a las buenas practicas.
- Desarrollar una cultura de conciencia para las buenas practicas del personal.
- Concientizar sobre los riesgos de la suplantación de la identidad y uso del correo electrónico.
- Se debe de identificar recursos de entrenamientos de asociaciones profesionales, sectores privados y de recursos gubernamentales.
- Crear y mantener la concientización de los eventos del día a día sobre la ciberseguridad.
Los Sistemas – Sistema operacional.
Proteger activos críticos y aplicaciones. La información es la medula de cualquier negocio; a menudo es lo más valioso de los activos intangibles de una empresa. Es importante conocer la ubicación de la información, qué aplicaciones, redes almacenan y procesan esa información, así como desarrollar la seguridad dentro y alrededor de estas.
Se presentan los elementos que las organizaciones deben de tener:
- Se debe de saber el contenido de lo que hay en la red. Tener respaldados en hardware y software, y estar consciente de los riesgos.
- Tener actualizaciones automáticas para todos los sistemas operativos y software de terceros.
- La implementación de configuraciones seguras para todos los activos de hardware y software.
- Se debe de remover hardware sin soporte o que no esté autorizado y activos de software.
- Se debe de ajustar los correos electrónicos y los buscadores en línea contra correos engañosos y páginas inseguras.
- Se debe de crear aplicaciones y políticas de software aprobados, y permitidos para operar en los sistemas.
Los alrededores – Área laboral digital.
Asegurar que solo aquellos que pertenecen a su lugar de trabajo digital tiene el acceso. La autoridad y el acceso que otorga a los empleados, gerentes y los clientes en su entorno digital necesitan límites, al igual que aquellos establecidos en el entorno de trabajo físico. Establecer privilegios de acceso aprobados requiere saber quién opera en los sistemas y con qué nivel de autorización y responsabilidad.
Se presentan los elementos que las organizaciones deben de tener:
- Se debe saber quién está en la red. Mantenido inventarios de conexiones a la red (cuentas de usuario, proveedor, socios comerciales, etc.).
- Se debe de implementar un multi-factor de autenticación para todos los usuarios, desde los responsables, administrativos a los usuarios de acceso remoto.
- La admisión de acceso y los permisos deben de estar basados en la necesidad y la responsabilidad.
- Se deben de ajustar contraseñas para cada usuario.
- Se deben de desarrollar políticas de Tecnología de la Información (IT) y procedimientos para los enfoques de cambio de estatus de usuario (transferencias, terminaciones, etc).
Datos – Base del negocio.
Realice copias de seguridad y evite la pérdida de información crítica para las operaciones. Incluso las mejores medidas de seguridad pueden eludirse. Se debe de aprender a proteger la información donde se almacena, procesa y transmite.
Se debe de tener un plan de contingencia, que debe de comenzar con la capacidad de recuperar los sistemas, redes y datos conocidos y precisados. Ciberseguridad CTPAT 2020
Se presentan los elementos que las organizaciones deben de tener:
- Se debe de saber la información en la red, mantener inventarios de información crítica o sensible.
- Se debe de establecer soportes automáticos y regulares para sistemas claves.
- Se debe de saber cómo se protege la información.
- Se debe de saber las capacidades de los programas maliciosos (malware).
- Se debe de proteger para el soporte de seguridad, incluyendo la seguridad física, encriptación y las copias fuera de línea.
- Se debe saber la situación dentro de la red. Así como se debe de gestionar la red y el perímetro de componentes, host y dispositivo componentes, datos en reposo y en tránsito y comportamiento del usuario.
Acciones bajo estrés – Limitar el daño y acelerar la restauración de operaciones normales.
La estrategia para responder y la recuperación del compromiso: planificar, prepararse y realizar simulacros para ataques cibernéticos como se haría en un incendio. Se debe de hacer que la reacción a los ataques cibernéticos y fallas del sistema sean una extensión de los planes de contingencia comercial. Ciberseguridad CTPAT 2020
Se requiere tener procedimientos establecidos, personal capacitado y saber cómo, y con quién se debe de comunicar durante una emergencia.
Se presentan los elementos que las organizaciones deben de tener: Ciberseguridad CTPAT 2020
- Se debe de desarrollar las respuestas a los incidentes y los planes de recuperación ante desastres, describiendo los roles y las responsabilidades.
- Se debe de realizar evaluaciones del impacto comercial para priorizar recursos e identificar qué sistemas deben ser recuperados primero.
- Se debe de saber a quién llamar para pedir ayuda (socios externos, proveedores, respuesta directa del gobierno/ industria, asesores técnicos y derecho aplicación).
- El desarrollo de una estructura interna de informes para detectar, comunicar y contener ataques.
- Medidas de contención internas apalancadas para limitar el impacto de los incidentes cibernéticos cuando ocurren. Mediante la guía se resaltan tres rubros para los elementos esenciales de la ciberseguridad, que se debe de realizar como premisas, siendo el respaldo de información; tener multi-factores de autenticación y; la mitigación para solventar y para la actualización.
- Respaldo de información: Se debe de emplear una solución de respaldo que automáticamente y respalde continuamente datos críticos y configuraciones del sistema.
- Multi-factores de autenticación: Se requiere autenticación multi-factor para acceder a los sistemas siempre que sea posible. MFA debe ser requerido de todos los usuarios, empezando con los responsables, administrativos y usuarios de acceso remoto.
- Mitigación para solventar y para la actualización: Se debe de habilitar las actualizaciones automáticas siempre que sea posible. Se debe de reemplazar los sistemas operativos, aplicaciones y hardware no compatibles. Se debe de probar e implemente medios para solventar rápidamente.
- Uno de los requisitos tanto de la autorización CTPAT es la garantía de continuidad.
El presente documento no constituye una consulta particular, y por tanto, Asesores Stratego SC, no se hace responsable respecto a lainterpretación o aplicación que se le otorgue. Queda prohibida la reproducción total o parcial de esta publicación, por cualquier medio o procedimiento, sin para ello contar con la autorización previa, expresa y por escrito del autor. Toda forma de utilización no autorizada será perseguida con lo establecido en la Ley federal de Derechos de Autor. Estamos a sus órdenes para resolver sus dudas o comentarios, para más información de este tema y nuestros servicios, sírvase contactarnos en: info@asesores-stratego.com