Plan de Contingencia

Dentro de la seguridad informática se denomina plan de contingencia (también de recuperación de desastres o de continuación de negocios), a la definición de acciones a realizar, recursos a utilizar y personal a emplear en caso de producirse un acontecimiento intencionado o accidental que inutilice o degrade los recursos informáticos o de transmisión de datos de una organización. Es decir, es la determinación precisa del quién, qué, cómo, cuándo y dónde en caso de producirse una anomalía en el sistema de información.

 

El plan de contingencia debe considerar todos los componentes del sistema: Datos críticos, equipo lógico de base, aplicaciones, equipos físicos y de comunicaciones, documentación y personal. Además, debe contemplar también todos los recursos auxiliares, sin los cuales el funcionamiento de los sistemas podría verse seriamente comprometido: suministro de potencia; sistemas de climatización; instalaciones; etc. Finalmente, debe prever también la carencia de personal cualificado (por ejemplo, por una huelga que impida el acceso del mismo) para el correcto funcionamiento del sistema. Se debe destacar, que previo al comienzo del trabajo, se debe obtener el pleno compromiso de los máximos responsables de la organización. Sin su apoyo decidido y constante, el fracaso del plan está garantizado.

 

El plan de contingencias debe ser comprobado de forma periódica para detectar y eliminar problemas. La manera más efectiva de comprobar si funciona correctamente, es programar simulaciones de desastres. Los resultados obtenidos deben ser cuidadosamente revisados, y son la clave para identificar posibles defectos en el plan de contingencia. Además el plan de contingencia debe contemplar los planes de emergencia, backup, recuperación, comprobación mediante simulaciones y mantenimiento del mismo. Un plan de contingencia adecuado debe ayudar a las empresas a recobrar rápidamente el control y capacidades para procesar la información y restablecer la marcha normal del negocio.

 

Etapas fundamentales de un Plan de Contingencia.

• Definición general del plan

• Determinación de vulnerabilidades

• Selección de los recursos alternativos.

• Preparación detallada del plan.

• Pruebas y mantenimiento.

Definición general del plan

 

En esta etapa los altos responsables del organismo deben establecer: quiénes, y cómo, deben elaborar el plan, implementarlo, probarlo y mantenerlo; qué acontecimientos debe contemplar y dónde se debe desarrollar el plan. Los aspectos principales de esta etapa son:

 

Marco del plan

 

¿Debe limitarse a los equipos centrales?

¿Debe incluir los equipos departamentales, PC's y LAN's?

¿Qué procesos son, estratégicamente, más importantes?

 

Organización.

• ¿Quiénes deben componer el equipo de desarrollo del plan?

• ¿Quién será el responsable de este equipo?

• ¿Cómo se relacionarán con el resto de la institución?

• ¿Qué nivel de autonomía tendrá el equipo?

• ¿A quién reportará?

Apoyo institucional.

 

Un alto responsable (idealmente el máximo) de la institución remitirá una circular a todos los departamentos involucrados, comunicándoles el proyecto y su importancia estratégica para el organismo. Asimismo, debe instar su total colaboración e informarles de su responsabilidad en la elaboración del mismo.

 

Presupuesto.

 

Debe prever los gastos asociados con:

• La adquisición del paquete informático, o contratación de la empresa de servicios, para la elaboración del proyecto.

• Reuniones, viajes, formación del personal.

• Costos del personal que constituye el equipo de elaboración del plan.

• Almacenamiento externo y transporte de los soportes de respaldo de la información.

• Adquisición o contratación de equipos.

Determinación de vulnerabilidades.

 

El propósito es obtener información de las consecuencias, de todo tipo, que tendría la ocurrencia de un siniestro.

 

Identificación de aplicaciones críticas.

 

Se determinarán las aplicaciones críticas priorizándolas en orden de importancia. Se obtendrá así un listado en el que las aplicaciones más vitales, que ocuparán los primeros lugares de la lista, serán las que se deban recuperar primero, y siempre en el orden de aparición.

 

Identificación de recursos.

 

Se especificarán los recursos de los que dependen las aplicaciones críticas. Estos recursos serán: equipo lógico de base, equipos físicos, de comunicaciones, etc.

 

Período máximo de recuperación.

• Cada departamento dependiente de aplicaciones críticas determinará el período máximo que puede permanecer sin dichas aplicaciones tras un colapso de las mismas.

• Como consecuencia, se obtendrá una nueva lista de aplicaciones según el período máximo de recuperación. Este período podrá ser de minutos, horas, semanas, etc.

Las informaciones de los apartados Identificación de aplicaciones críticas y periodo máximo de recuperación se obtendrán mediante formularios y entrevistas a realizar a los máximos responsables de los departamentos de la organización. Una vez concluida esta etapa el equipo de desarrollo del PC deberá obtener la conformidad de los departamentos implicados y de los máximos responsables de la institución.

Selección de los recursos alternativos.

 

Con los datos anteriores es fácil analizar y determinar las alternativas más convenientes en términos de costo-rendimiento. Estas alternativas pueden ser procesos manuales, acuerdos mutuos, salas vacías ("cold-site") o salas operativas ("host-site").

 

Recuperación manual

Es sólo posible en un número muy escaso y decreciente con los años de aplicaciones.

 

Acuerdos mutuos

• Se realizan entre dos instituciones de similar configuración en sus Tecnologías de la Información.

• Se precisa que cada institución tenga su PC.

• Las aplicaciones críticas de cada institución puedan ser soportadas por los recursos informáticos y de transmisión de datos de la otra, sin degradar las propias aplicaciones de ésta

Los cambios o actualizaciones de los recursos sean simultáneos en ambas instituciones.

 

Con el crecimiento de las aplicaciones en tiempo real y la interconexión de equipos de diferentes fabricantes, los acuerdos mutuos se hacen cada vez más difíciles.

 

Salas vacías

Sólo son viables si la institución puede resistir sin sus recursos de Tecnologías de la Información durante un tiempo determinado. Es necesario que el fabricante de los equipos a reponer se comprometa por escrito a dicha reposición dentro del período máximo de recuperación.

 

Salas operativas.

• Son necesarias si el período máximo de recuperación es de minutos u horas.

• Una posibilidad es utilizar dos instalaciones diferentes y separadas, una trabajando normalmente como centro de desarrollo y otra de producción. El centro de desarrollo debe estar dimensionado con la suficiente holgura para alojar las aplicaciones críticas de producción caso de ser necesario

• Otra posibilidad, la más usual, es la contratación del servicio de respaldo a una empresa especializada.

Preparación detallada del plan.

 

Incluye la documentación de las acciones a tomar, los actores a involucrar, los recursos a emplear, procedimientos a seguir, etc. en un formato adecuado para su uso en situaciones críticas. Esta documentación debe estar disponible en varios lugares accesibles inmediatamente.

 

Plan de contingencia de las áreas de servicio.

 

Comprende el establecimiento del equipo humano de recuperación, localización de las instalaciones de emergencia, inventario de recursos de respaldo y su ubicación, lista del personal involucrado y su localización en todo momento, lista de empresas a contactar, sitios de almacenamiento de los soportes de respaldo de información, etc. Así mismo, se detallarán los procedimientos de recuperación de las aplicaciones críticas según su periodo máximo de recuperación.

 

Plan de contingencia de servicios.

 

Consta de la documentación de los procedimientos de recuperación de los servicios con aplicaciones críticas. Incluye el equipo humano de recuperación, el inventario de informaciones, localización de las instalaciones de emergencia, etc.

 

Plan de almacenamiento de información

 

Mientras todos los CPD que se precian disponen de soportes de respaldo de la información debidamente almacenados en instalaciones externas, no sucede lo mismo con los departamentos informatizados autónomamente. Es vital que estos departamentos identifiquen, dupliquen y almacenen externamente en lugares seguros las informaciones críticas. Se recomienda el establecimiento de una estrategia, general para toda la institución, de información de respaldo.

 

Pruebas y mantenimiento.

 

Si se quiere garantizar que el plan de contingencia, que usualmente se realiza durante un período de tiempo no muy extenso (pocos meses), sea operativo durante años, esta etapa es absolutamente fundamental. De no cuidar esta fase, el plan se convertirá en un costoso ejercicio académico de validez muy limitada en el tiempo. Un aspecto crucial es la formación del personal para asegurar que el plan está vigente en cada momento y funciona correctamente.

 

Pruebas

 

Las pruebas no deben alterar el funcionamiento de los departamentos, por lo que se pueden realizar pruebas parciales en estos departamentos aisladamente. Con mayor periodicidad se pueden realizar pruebas totales, en horario nocturno o en un fin de semana.

 

Mantenimiento.

 

Comprende la actualización del plan según nuevas aplicaciones se implementen, otras dejen de ser operativas, se sustituyan equipos, cambie el personal o su ubicación, varíe la legislación, se transformen los objetivos estratégicos, etc. Las etapas citadas deben realizarse consecutivamente en el orden expuesto y sólo se pasará de una a otra tras haber concluido satisfactoriamente la previa. El Plan de Contingencias implica un análisis de los posibles riesgos a los cuales pueden estar expuestos nuestros equipos de procesamiento y la información contenida en los diversos medios de almacenamiento, por lo que previamente se debe haber realizado un análisis de riesgo al sistema al cual se le va a realizar el plan de contingencia.

 

Plan de Recuperación de Desastres

 

Es importante definir los procedimientos y planes de acción para el caso de una posible falla, siniestro o desastre en el área Informática, considerando como tal todas las áreas de los usuarios que procesan información por medio de la computadora. Cuando ocurra una contingencia, es esencial que se conozca al detalle el motivo que la originó y el daño producido, lo que permitirá recuperar en el menor tiempo posible el proceso perdido.

 

La elaboración de los procedimientos que se determinen como adecuados para un caso de emergencia, deben ser planeados y probados fehacientemente. Los procedimientos deberán ser de ejecución obligatoria y bajo la responsabilidad de los encargados de la realización de los mismos, debiendo haber procesos de verificación de su cumplimiento.

 

En estos procedimientos estará involucrado todo el personal de la Institución. Los procedimientos de planes de recuperación de desastres deben de emanar de la máxima autoridad Institucional, para garantizar su difusión y estricto cumplimiento. Las actividades a realizar en un plan de recuperación de desastres se pueden clasificar en tres etapas:

• Actividades Previas al Desastre

• Actividades Durante el Desastre.

• Actividades Después del Desastre

Generalmente se ocupa exclusivamente a asegurar los derechos de acceso a los datos y recursos con las herramientas de control y mecanismos de identificación. Estos mecanismos permiten saber que los operadores tienen sólo los permisos que se les dio.

 

La seguridad informática debe ser estudiada para que no impida el trabajo de los operadores en lo que les es necesario y que puedan utilizar el sistema informático con toda confianza. Por eso en lo referente a elaborar una política de seguridad, conviene:

• Elaborar reglas y procedimientos para cada servicio de la organización.

• Definir las acciones a emprender y elegir las personas a contactar en caso de detectar una posible intrusión

• Sensibilizar a los operadores con los problemas ligados con la seguridad de los sistemas informáticos.

 

Los derechos de acceso de los operadores deben ser definidos por los responsables jerárquicos y no por los administradores informáticos, los cuales tienen que conseguir que los recursos y derechos de acceso sean coherentes con la política de seguridad definida. Además, como el administrador suele ser el único en conocer perfectamente el sistema, tiene que derivar a la directiva cualquier problema e información relevante sobre la seguridad, y eventualmente aconsejar estrategias a poner en marcha, así como ser el punto de entrada de la comunicación a los trabajadores sobre problemas y recomendaciones en término de seguridad informática.

 

Técnicas para asegurar el sistema

El activo más importante que se posee es la información y, por lo tanto, deben existir técnicas que la aseguren, más allá de la seguridad física que se establezca sobre los equipos en los cuales se almacena.

 

Estas técnicas las brinda la seguridad lógica que consiste en la aplicación de barreras y procedimientos que resguardan el acceso a los datos y solo permiten acceder a ellos a las personas autorizadas para hacerlo.

 

Cada tipo de ataque y cada sistema requiere de un medio de protección o más (en la mayoría de los casos es una combinación de varios de ellos).

 

A continuación se enumeran una serie de medidas que se consideran básicas para asegurar un sistema tipo, si bien para necesidades específicas se requieren medidas extraordinarias y de mayor profundidad:

 

• Utilizar técnicas de desarrollo que cumplan con los criterios de seguridad al uso para todo el software que se implante en los sistemas, partiendo de estándares y de personal suficientemente capacitado y comprometido con la seguridad.

 

• Implantar medidas de seguridad físicas: sistemas anti incendios, vigilancia de los centros de proceso de datos, sistemas de protección contra inundaciones, protecciones eléctricas contra apagones y sobretensiones, sistemas de control de accesos, etc.

 

• Codificar la información: criptología, criptografía y criptociencia. Esto se debe realizar en todos aquellos trayectos por los que circule la información que se quiere proteger, no solo en aquellos más vulnerables. Por ejemplo, si los datos de una base muy confidencial se han protegido con dos niveles de cortafuegos, se ha cifrado todo el trayecto entre los clientes y los servidores y entre los propios servidores, se utilizan certificados y sin embargo se dejan sin cifrar las impresiones enviadas a la impresora de red, tendríamos un punto de vulnerabilidad.

 

• Contraseñas difíciles de averiguar que, por ejemplo, no puedan ser deducidas a partir de los datos personales del individuo o por comparación con un diccionario, y que se cambien con la suficiente periodicidad. Las contraseñas, además, deben tener la suficiente complejidad como para que un atacante no pueda deducirla por medio de programas informáticos. El uso de certificados digitalesmejora la seguridad frente al simple uso de contraseñas.

 

• Vigilancia de red. Las redes transportan toda la información, por lo que además de ser el medio habitual de acceso de los atacantes, también son un buen lugar para obtener la información sin tener que acceder a las fuentes de la misma. Por la red no solo circula la información de ficheros informáticos como tal, también se transportan por ella: correo electrónico, conversaciones telefónicas (VoIP), mensajería instantánea, navegación por Internet, lecturas y escrituras a bases de datos, etc. Por todo ello, proteger la red es una de las principales tareas para evitar robo de información. Existen medidas que abarcan desde la seguridad física de los puntos de entrada hasta el control de equipos conectados, por ejemplo 802.1x. En el caso de redes inalámbricas la posibilidad de vulnerar la seguridad es mayor y deben adoptarse medidas adicionales.

 

• Redes perimetrales de seguridad, o DMZ, permiten generar reglas de acceso fuertes entre los usuarios y servidores no públicos y los equipos publicados. De esta forma, las reglas más débiles solo permiten el acceso a ciertos equipos y nunca a los datos, que quedarán tras dos niveles de seguridad.

 

• Tecnologías repelentes o protectoras: cortafuegos, sistema de detección de intrusos - antispyware, antivirus, llaves para protección de software, etc.

 

• Mantener los sistemas de información con las actualizaciones que más impacten en la seguridad.

 

• Copias de seguridad e, incluso, sistemas de respaldo remoto que permiten mantener la información en dos ubicaciones de forma asíncrona.

 

• Controlar el acceso a la información por medio de permisos centralizados y mantenidos (tipo Active Directory, LDAP, listas de control de acceso, etc.). Los medios para conseguirlo son:

• Restringir el acceso (de personas de la organización y de las que no lo son) a los programas y archivos.

 

• Asegurar que los operadores puedan trabajar pero que no puedan modificar los programas ni los archivos que no correspondan (sin una supervisión minuciosa).

 

• Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el procedimiento elegido.

 

• Asegurar que la información transmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro y que existan sistemas y pasos de emergencia alternativos de transmisión entre diferentes puntos.

 

• Organizar a cada uno de los empleados por jerarquía informática, con claves distintas y permisos bien establecidos, en todos y cada uno de los sistemas o aplicaciones empleadas.

 

• Actualizar constantemente las contraseñas de accesos a los sistemas de cómputo, como se ha indicado más arriba, e incluso utilizando programa que ayuden a los usuarios a la gestión de la gran cantidad de contraseñas que tienen gestionar en los entornos actuales, conocidos habitualmente como gestores de identidad.

 

• Redundancia y descentralización.

 

• Candado Inteligente: USB inalámbrico utilizado para brindarle seguridad a la computadora. La misma se bloquea cuando el usuario que tiene este aparato se aleja más de tres metros. El kit contiene un USB inalámbrico y un software para instalar que detecta cuando el usuario está lejos y cuando está más cerca de los tres metros, habilitando nuevamente la computadora.

Respaldo de información

 

La información constituye el activo más importante de las empresas, pudiendo verse afectada por muchos factores tales como hurtos, incendios, fallas de disco, virus y otros. Desde el punto de vista de la empresa, uno de los problemas más importantes que debe resolver es la protección permanente de su información crítica.

 

La medida más eficiente para la protección de los datos es determinar una buena política de copias de seguridad o backups. Este debe incluir copias de seguridad completa (los datos son almacenados en su totalidad la primera vez) y copias de seguridad incrementales (solo se copian los ficheros creados o modificados desde la última copia de seguridad).

 

Es vital para las empresas elaborar un plan de copia de seguridad en función del volumen de información generada y la cantidad de equipos críticos.

 

Un buen sistema de respaldo debe contar con ciertas características indispensables:

• Continuo

El respaldo de datos debe ser completamente automático y continuo. Debe funcionar de forma transparente, sin intervenir en las tareas que se encuentra realizando el usuario.

 

• Seguro

Muchos softwares de respaldo incluyen cifrado de datos, lo cual debe ser hecho localmente en el equipo antes del envío de la información.

 

• Remoto

Los datos deben quedar alojados en dependencias alejadas de la empresa.

 

• Mantenimiento de versiones anteriores de los datos

Se debe contar con un sistema que permita la recuperación de, por ejemplo, versiones diarias, semanales y mensuales de los datos.

 

Hoy en día los sistemas de respaldo de información online, servicio de backup remoto, están ganando terreno en las empresas y organismos gubernamentales. La mayoría de los sistemas modernos de respaldo de información online cuentan con las máximas medidas de seguridad y disponibilidad de datos. Estos sistemas permiten a las empresas crecer en volumen de información derivando la necesidad del crecimiento de la copia de respaldo a proveedor del servicio.

Protección contra virus

Los virus son uno de los medios más tradicionales de ataque a los sistemas y a la información que sostienen. Para poder evitar su contagio se deben vigilar los equipos y los medios de acceso a ellos, principalmente la red.

 

Control del software instalado

Tener instalado en la máquina únicamente el software necesario reduce riesgos. Asímismo tener controlado el software asegura la calidad de la procedencia del mismo (el software obtenido de forma ilegal o sin garantías aumenta los riesgos). En todo caso un inventario de software proporciona un método correcto de asegurar la reinstalación en caso de desastre. El software con métodos de instalación rápidos facilita también la reinstalación en caso de contingencia.

 

Control de la red

Los puntos de entrada en la red son generalmente el correo, las páginas web y la entrada de ficheros desde discos, o de ordenadores ajenos, como portátiles.

 

Mantener al máximo el número de recursos de red solo en modo lectura, impide que ordenadores infectados propaguen virus. En el mismo sentido se pueden reducir los permisos de los usuarios al mínimo.

 

Se pueden centralizar los datos de forma que detectores de virus en modo batch puedan trabajar durante el tiempo inactivo de las máquinas.

Controlar el acceso a Internet puede detectar, en fases de recuperación, cómo se ha introducido el virus.

Protección física de acceso a las redes

Independientemente de las medidas que se adopten para proteger los equipos de una red de área local y el software que reside en ellos, se deben tomar medidas que impidan que usuarios no autorizados puedan acceder. Las medidas habituales dependen del medio físico a proteger.

 

A continuación se enumeran algunos de los métodos, sin entrar al tema de la protección de la red frente a ataques o intentos de intrusión desde redes externas, tales como Internet.

 

Redes cableadas

Las rosetas de conexión de los edificios deben estar protegidas y vigiladas. Una medida básica es evitar tener puntos de red conectados a los switches. Aun así siempre puede ser sustituido un equipo por otro no autorizado con lo que hacen falta medidas adicionales: norma de acceso 802.1x, listas de control de acceso por MAC addresses, servidores de DHCP por asignación reservada, etc.

 

Redes inalámbricas

En este caso el control físico se hace más difícil, si bien se pueden tomar medidas de contención de la emisión electromagnética para circunscribirla a aquellos lugares que consideremos apropiados y seguros. Además se consideran medidas de calidad el uso del cifrado ( WPA, WPA v.2, uso de certificados digitales, etc.), contraseñas compartidas y, también en este caso, los filtros de direcciones MAC, son varias de las medidas habituales que cuando se aplican conjuntamente aumentan la seguridad de forma considerable frente al uso de un único método.

Sanitización

Proceso lógico y/o físico mediante el cual se elimina información considerada sensible o confidencial de un medio ya sea físico o magnético, sea con el objeto de desclasificarlo, reutilizar el medio o destruir el medio en el cual se encuentra.

 

Uso de hardware confiable

Se conoce como hardware confiable a todo dispositivo diseñado para ofrece una serie de facilidades que permiten manejar de manera segura información crítica. No hay que entender que al ser confiables disponen de mecanismos de seguridad infalibles, tienen sus limitaciones. Lo único que quiere indicar es que aportan ciertas facilidades que mejoran la seguridad y dificultan los ataques. El Trusted Computing Group es un conjunto de empresas que definen especificaciones de hardware con el objetivo de tener plataformas más seguras.

Organismos oficiales de seguridad informatica

Existen organismos oficiales encargados de asegurar servicios de prevención de riesgos y asistencia a los tratamientos de incidencias, tales como el Computer Emergency Response Team Coordination Center​ del Software Engineering Institute​ de la Carnegie Mellon University el cual es un centro de alerta y reacción frente a los ataques informáticos, destinados a las empresas o administradores, pero generalmente estas informaciones son accesibles a todo el mundo.

 

España

El Instituto Nacional de Ciberseguridad (INCIBE) es un organismo dependiente de Red.es y del Ministerio de Energía, Turismo y Agenda Digital de España.

 

Unión Europea

La Comisión Europea ha decidido crear el Centro Europeo de Ciberdelincuencia el EC3 abrió efectivamente el 1 de enero de 2013 y será el punto central de la lucha de la UE contra la delincuencia cibernética , contribuyendo a una reacción más rápida a los delitos en línea. Se prestará apoyo a los Estados miembros y las instituciones de la UE en la construcción de una capacidad operacional y analítico para la investigación , así como la cooperación con los socios internacionales.

 

Alemania

El 16 de junio de 2011, el ministro alemán del Interior, inauguró oficialmente el nuevo Centro Nacional de Defensa Cibernética (NCAZ, o Nationales Cyber- Abwehrzentrum) que se encuentra en Bonn.

 

El NCAZ coopera estrechamente con la Oficina Federal para la Seguridad de la Información (Bundesamt für Sicherheit in der Informationstechnik, o BSI); la Oficina Federal de Investigación Criminal (Bundeskriminalamt, BKA); el Servicio Federal de Inteligencia (Bundesnachrichtendienst, o BND); el Servicio de Inteligencia Militar (Amt für den Militärischen Abschirmdienst, o MAD) y otras organizaciones nacionales en Alemania.

 

Según el Ministro la tarea primordial de la nueva organización fundada el 23 de febrero de 2011, es detectar y prevenir los ataques contra la infraestructura nacional.

 

Estados Unidos

El 1 de julio de 2009, el senador Jay Rockefeller ( D -WV ) introdujo la "Ley de Seguridad Cibernética de 2009 - S. 773 " (texto completo ) en el Senado , el proyecto de ley, co - escrito con los senadores Evan Bayh (D- IL), Barbara Mikulski (D -MD) , Bill Nelson (D -FL ) y Olympia Snowe (R -ME ) , se remitió a la Comisión de Comercio, Ciencia y Transporte , que aprobó una versión revisada del mismo proyecto de ley ("Ley de ciberseguridad de 2010 ") el 24 de marzo de 2010. el proyecto de ley busca aumentar la colaboración entre el sector público y el sector privado en temas de ciberseguridad , en especial las entidades privadas que poseen las infraestructuras que son fundamentales para los intereses de seguridad nacionales (las comillas cuenta John Brennan, el Asistente del Presidente para la seguridad Nacional y Contraterrorismo : "la seguridad de nuestra nación y la prosperidad económica depende de la seguridad, la estabilidad y la integridad de las comunicaciones y la infraestructura de información que son en gran parte privados que operan a nivel mundial " y habla de la respuesta del país a un "ciber - Katrina ".) , aumentar la conciencia pública sobre las cuestiones de seguridad cibernética, y fomentar la investigación y la ciberseguridad fondo.

 

Algunos de los puntos más controvertidos del proyecto de ley incluyen el párrafo 315, que otorga al Presidente el derecho a "solicitar la limitación o el cierre del tráfico de Internet hacia y desde el Gobierno Federal comprometido o sistema de información de Estados Unidos o de las infraestructuras críticas de la red ". la Electronic Frontier Foundation, una defensa de los derechos digitales sin fines de lucro y la organización legal con sede en los Estados Unidos, que se caracteriza el proyecto de ley como la promoción de un "enfoque potencialmente peligrosa que favorece la dramática sobre la respuesta sobria" .