1.1 Continuar, mejorar y ampliar el Comité de Planificación de Ciberseguridad para involucrar y satisfacer las necesidades de ciberseguridad de un número cada vez mayor de partes interesadas.

1.2 Desarrolle y promulgue un marco de ciberseguridad basado en las prácticas líderes de la industria, como el CSF del NIST.

1.3 Desarrolle, pruebe y optimice los planes, procesos y procedimientos de respuesta a ciberincidentes y continuidad empresarial.

2.1 Realice evaluaciones de riesgo cibernético continuas, exhaustivas y periódicas (por ejemplo, anuales).

2.2 Mantenga inventarios completos del hardware y el software de TI y tecnología operativa (OT) que pertenezcan a entidades gubernamentales o estén operados por ellas o en nombre de ellas.

2.3 Evalúe continuamente la madurez de ciberseguridad de las entidades gubernamentales e identifique las áreas de mejora.

2.4 Obtenga evaluaciones de ciberhigiene de la CISA en redes gubernamentales externas y aplicaciones web.

2,5 Realice escaneos de vulnerabilidad periódicos de redes, sistemas y aplicaciones internos y externos.

3.1 Migre todos los dominios gubernamentales restantes y apropiados al dominio de Internet .gov.

3.2 Actualice o reemplace el software obsoleto, que ha llegado al final de su vida útil y que no es compatible.

3.3 Establezca procesos eficaces de administración de parches de software.

3.4 Implemente medidas y controles arquitectónicos para proteger los datos en reposo y en tránsito contra el acceso y el uso no autorizados.

3.5 Mejore la administración de identidades y accesos, especialmente para las cuentas administrativas y otras cuentas privilegiadas.

• 3,5,1 Implemente políticas y controles de contraseñas seguros.

• 3,52 Exija la autenticación multifactor (MFA) para los servicios públicos y las cuentas gubernamentales.

3,6 Implemente y mejore las capacidades de registro y monitoreo del sistema y la red.

4.1 Adopte y aproveche el Marco NICE (es decir, el Marco de la Fuerza Laboral para la Ciberseguridad) para crear y mejorar los programas de desarrollo, capacitación y retención de la fuerza laboral cibernética.

4,2 Imparta continuamente formación sobre ciberseguridad a todo el personal gubernamental, incluidas campañas de suplantación de identidad simuladas dirigidas a usuarios específicos.

4.3 Desarrolle y brinde capacitación en ciberseguridad especializada, basada en roles y habilidades para los equipos cibernéticos, de TI y de TO.

4.4 Establezca un programa de tutoría de ciberseguridad entre estudiantes y profesionales cibernéticos y de TI.

5.1 Desarrolle y lance iniciativas de educación y concientización cibernética para empresas, instituciones educativas y ciudadanos.

5.2 Establecer y mejorar las asociaciones público-privadas destinadas a mejorar la ciberseguridad en todo Puerto Rico.