Obligaciones de la SOCI Act 2018 en materia de IAM para infraestructuras críticas

Con el aumento de las amenazas avanzadas a la ciberseguridad y la inestabilidad geopolítica mundial, muchas organizaciones gubernamentales han introducido legislación clave y obligaciones obligatorias en materia de ciberseguridad para los servicios financieros, la energía, la sanidad y otros servicios esenciales.  

Para proteger estos sectores clave, el Gobierno de Australia introdujo por primera vez la Ley de Seguridad de las Infraestructuras Críticas (SOCI) de 2018 y recientemente modificó esta Ley con la Proyecto de ley de 2024 por el que se modifica la legislación sobre seguridad de las infraestructuras críticas y otros aspectos (mejora de la respuesta y la prevención). El proyecto de ley ERP 2024 impone obligaciones en materia de ciberseguridad, seguridad de la cadena de suministro y personal para ayudar a proteger la IC de Australia y dar prioridad a la seguridad de la identidad.  

SOCI Act 2018 y ERP Bill 2024 requieren capacidades de gestión de identidad y acceso (IAM) y gobierno y administración de identidad (IGA) y controles de cumplimiento que prevengan riesgos, detecten amenazas y mantengan el cumplimiento. Revisemos qué industrias cumplen con estas obligaciones y requisitos obligatorios, las capacidades que la IC necesita implementar y algunos pasos inmediatos que las organizaciones deben tomar.  

La Ley SOCI 2018 y el Proyecto de Ley ERP 2024 se aplican a las organizaciones que trabajan en los siguientes sectores: 

• Servicios y mercados financieros 
• Almacenamiento o tratamiento de datos 
• Industria de defensa 
• Enseñanza superior e investigación 
• Energía 
• Alimentación y ultramarinos 
• Atención sanitaria y médica 
• Tecnología espacial 
• Transporte, incluidos los medios aéreos y marítimos 
• Agua y alcantarillado 

Además de Requisitos de la ley SOCI de 2018, el Gobierno australiano puede declarar de forma privada que un determinado activo de infraestructura crítica es un sistema de importancia nacional (SoNS). Las organizaciones SoNS tienen requisitos adicionales de ciberseguridad que se detallan en la normativa australiana  Marco reforzado de obligaciones de ciberseguridad.  

La Ley SOCI 2018 enumera cinco obligaciones clave para los Operadores de Infraestructuras Críticas: 

• Obligación de notificar a los proveedores de servicios de datos. (Subsección 12(F) de la Ley SOCI) 
• Registro de activos de infraestructuras críticas (Parte 2)  
• Programa de gestión de riesgos (Parte 2A) 
• Notificación obligatoria de ciberincidentes (Parte 2B) 
• Obligaciones reforzadas de ciberseguridad (ECSO) (Parte 2C) 

IAM e IGA son esenciales para cumplir los Requisitos del Programa de Gestión de Riesgos, la Notificación Obligatoria de Ciberincidentes y las Obligaciones de Ciberseguridad Reforzadas: 

En virtud de esta obligación, todos los activos de IC deben mantener un programa de gestión de riesgos. Este programa exige específicamente a los operadores de IC que identifiquen y mitiguen los riesgos materiales derivados de las amenazas a la ciberseguridad, la cadena de suministro, el personal y la seguridad física. Esto significa que las organizaciones de IC deben disponer de controles de acceso adecuados para las identidades y los sistemas. 

Para cumplir estas obligaciones, los operadores de IC deben garantizar que disponen de los siguientes controles: 

• Identificación, autenticación y autorización de usuarios para garantizar que sólo tengan acceso las personas autorizadas. 
• Controles de acceso basados en roles (RBAC) para asignar acceso sólo cuando sea necesario, simplificar las revisiones de acceso y las auditorías de roles, y hacer cumplir la segregación de funciones (SoD). 
• Capacidades de auditoría, incluida la supervisión de la actividad de los usuarios para detectar infracciones o usos indebidos/abusos de los sistemas. 
• Gestión del ciclo de vida de las identidades con automatización de los procesos de incorporación, cambios de acceso y baja de los empleados. 
• Aplicación de controles de acceso privilegiado para restringir las funciones de alto riesgo al menor número de personas. 

Esta obligación obliga a notificar los incidentes de ciberseguridad en un plazo de 12 horas si el incidente tiene un impacto significativo en la disponibilidad del activo de IC o de 72 horas para los incidentes con un impacto que no sea inmediatamente perturbador. 

Para cumplir los requisitos de información y cumplir estas obligaciones, los operadores de IC necesitan:  

• Visibilidad inmediata de la supervisión y los controles de acceso en tiempo real para detectar accesos no autorizados o intentos sospechosos de inicio de sesión. 
• Capacidades que permiten a los operadores correlacionar los casos raíz de los incidentes con las identidades.  
• Cumplimiento demostrable para la investigación ulterior de incidentes tras la notificación o durante las auditorías. 

Requisitos de ciberseguridad del SoNS mejorados  

Los sistemas designados como activos SoNS tienen obligaciones adicionales de ciberseguridad que cumplir. Estas obligaciones exigen que el SoNS cuente con planes de respuesta a incidentes de ciberseguridad, evaluaciones periódicas de vulnerabilidad y la capacidad de proporcionar al gobierno acceso a la información del sistema, incluida toda la información de registro de identidad y acceso cuando se solicite.  

Las funciones de IGA ayudan a las organizaciones a cumplir estas obligaciones proporcionando auditorías e informes completos, que incluyen registros de acceso en tiempo real, visibilidad de los accesos privilegiados y la capacidad de integrarse en herramientas de gestión de eventos e información de seguridad (SIEM). 

Las organizaciones australianas de CI y SoNS deben implementar las siguientes capacidades y mejores prácticas para cumplir con los requisitos del programa de gestión de riesgos de la Ley SOCI 2018, la notificación obligatoria de incidentes cibernéticos y las obligaciones de ciberseguridad mejoradas: 

• Adoptar políticas de control de acceso. Aplique los principios de acceso con privilegios mínimos y confianza cero mediante el control de acceso basado en funciones (RBAC) para asignar permisos a las funciones del puesto. 
• Proteja todas las identidades con autenticación multifactor (MFA) o autenticación sin contraseña.. Exigir que todos los usuarios de infraestructuras críticas dispongan de MFA o adopten la autenticación mediante contraseña/clave. 
• Utilizar la supervisión y las alertas de análisis de comportamiento en tiempo real detectar comportamientos de acceso anómalos que puedan indicar un compromiso de la cuenta y proteger contra amenazas internas con alertas en tiempo real. 
• Garantizar la separación de funciones (SoD) para evitar conflictos de intereses en las funciones (por ejemplo, impedir que un mismo usuario apruebe y ejecute a la vez transacciones). 

Las amenazas se aprovechan cada vez más de la debilidad de los controles de identidad, por lo que la IAM y la IGA son fundamentales para la estrategia de seguridad nacional de Australia. La Ley SOCI representa una evolución significativa en la forma en que Australia protege la IC de las amenazas.  

Aunque el cumplimiento pueda parecer un reto, un enfoque unificado de IAM e IGA no sólo ayuda a las organizaciones de IC a cumplir sus obligaciones normativas, sino que también mejora en gran medida la seguridad operativa, reduce el riesgo y garantiza la resistencia a largo plazo. 

RSA Security ayuda a las organizaciones de infraestructuras críticas a proteger sus identidades y cumplir los requisitos de conformidad con: 

RSA® ID Plusofrece las funciones de seguridad de gestión de identidades y accesos (IAM) que necesitan las infraestructuras críticas para evitar la apropiación de cuentas, los ataques de ransomware y otros ciberataques. La solución ofrece: 

• Autenticación resistente al phishing y sin contraseña para frenar los ataques basados en credenciales 

• Políticas de acceso adaptables que bloquean los intentos de inicio de sesión sospechosos en tiempo real. 

• Autenticación multifactor (AMF) segura que equilibra seguridad y facilidad de acceso para los empleados del sector público. 

• Análisis de riesgos basados en IA que detectan y responden a los intentos de acceso anómalos antes de que se conviertan en amenazas. 

Gobierno y ciclo de vida de RSAproporciona las capacidades IGA que necesitan las infraestructuras críticas para facilitar y asegurar la gestión del ciclo de vida de la identidad de todos los usuarios y
dispositivos. La solución: 

• Automatiza la incorporación, la baja y los cambios de acceso para garantizar que los usuarios tengan el acceso adecuado en el momento oportuno. 
• Aplicación de controles de acceso basados en funciones (RBAC) para evitar la acumulación de privilegios. 
• Elimina las aprobaciones manuales agilizando las solicitudes de identidad con flujos de trabajo automatizados. 
• Garantiza la eliminación inmediata del acceso cuando los empleados abandonan la empresa o cambian de función, reduciendo así las amenazas internas. 

Durante más de 40 años, RSA ha ayudado a las organizaciones CI y security-first a proteger sus activos. A medida que las amenazas cibernéticas se vuelven más sofisticadas y los requisitos de cumplimiento se vuelven más estrictos, las organizaciones de CI deben tomar medidas proactivas para proteger las identidades, prevenir ataques y mantener la resiliencia operativa. Contactar con RSA para obtener más información sobre cómo RSA ofrece una gama de soluciones IAM que cumplen la normativa de la Ley SOC y se integran en una estrategia de seguridad de identidades más amplia.