última actualización: 8de enero de 2025
Preguntas frecuentes sobre el Programa de Subvenciones de Ciberseguridad Estatal y Local (SLCGP)
En la Ley de Infraestructura Bipartidista, también conocida como la Ley de Inversión en Infraestructura y Empleos (IIJA), el Congreso estableció el Programa de Subvenciones de Ciberseguridad Estatal y Local (SLCGP) para "otorgar subvenciones a entidades elegibles para abordar los riesgos de ciberseguridad y las amenazas de ciberseguridad a los sistemas de información que son propiedad de o están operados por, o en nombre de, los gobiernos estatales, locales o tribales".
El SLCGP proporciona fondos a los gobiernos estatales, locales, tribales y territoriales (SLTT) para abordar los riesgos de ciberseguridad y las amenazas de ciberseguridad a los sistemas de información propiedad de SLTT o operados por él. Todos los requisitos y la orientación del programa se establecen en el aviso de oportunidad de financiamiento (NOFO).
El objetivo general del programa es ayudar a los gobiernos SLTT a gestionar y reducir los riesgos cibernéticos sistémicos. Para lograr esto, CISA ha establecido cuatro objetivos discretos, pero interrelacionados:
- Gobernanza y planificación: Desarrollar y establecer estructuras de gobernanza adecuadas, así como planes, para mejorar las capacidades de respuesta a incidentes de ciberseguridad y garantizar la continuidad de las operaciones.
- Evaluación y evaluación: Identificar áreas de mejora en la postura de ciberseguridad de SLTT sobre la base de pruebas continuas, evaluaciones y evaluaciones estructuradas.
- Mitigación: Implementar protecciones de seguridad proporcionales al riesgo (resultados de los Objetivos 1 y 2), utilizando las mejores prácticas descritas en el elemento 5 de los elementos 16 requeridos de los planes de ciberseguridad y los que se enumeran más adelante en el NOFO.
- Desarrollo de la fuerza laboral: Garantizar que el personal de la organización reciba la capacitación adecuada en ciberseguridad, en consonancia con sus responsabilidades según lo sugerido en la Iniciativa Nacional para la Educación en Ciberseguridad.
Se asignaron un total de 4 años de financiación para el SLCGP. El financiamiento comenzó en el año fiscal federal (FFY, por sus siglas en inglés) 2022 y pasa por FFY2025. Cada año de financiación tiene un período de ejecución de 48 meses.
La fórmula de asignación en la Ley de Infraestructura Bipartidista incluye un nivel básico de financiamiento para cada estado y territorio. Las asignaciones para los estados, el Distrito de Columbia y Puerto Rico incluyen fondos adicionales basados en una combinación de población total y población rural. Las asignaciones finales para cada estado y territorio se incluyen cuando se publica el aviso de oportunidades de financiamiento.
Las Agencias Administrativas Estatales (SAA, por sus siglas en inglés) de los estados y territorios son los únicos solicitantes elegibles para los fondos de subvenciones federales. En Virginia, los gobiernos locales trabajarán con el Comité de Planificación de Ciberseguridad de Virginia para recibir subpremios.
Se creó el Comité de Planificación de Ciberseguridad de Virginia (VCPC, por sus siglas en inglés) y tiene la autoridad para adoptar un estatuto y estatutos de conformidad con la Ley de Inversión en Infraestructura y Empleos (IIJA, por sus siglas en inglés), Pub. L. No. 117- 58, § 70612 (2021), y el artículo 93(F) de la Ley de Asignación 2022 de Virginia.
El VCPC está constituido bajo la IIJA y el Punto 93 como un "comité de planificación". A modo de "planificación comité", VCPC se encarga específicamente de:
- Ayudar con el desarrollo, implementación y revisión del Plan de Ciberseguridad;
- aprobar el Plan de Ciberseguridad;
- Ayudar a determinar las prioridades de financiación efectivas;
- Coordinar con otros comités y entidades similares con el objetivo de maximizar la coordinación y reducir la duplicación de esfuerzos;
- Crear una red de planificación cohesiva que construya e implemente iniciativas de preparación para la seguridad cibernética utilizando recursos de FEMA, así como otros recursos federales, SLT, del sector privado y comunitarios religiosos;
- Garantizar que las inversiones apoyen el cierre de las brechas de capacidad o el mantenimiento de las capacidades; y
- Garantizar que los miembros del gobierno local, incluidos los representantes de los condados, ciudades y pueblos dentro de la entidad elegible, den su consentimiento en nombre de todas las entidades locales de la entidad elegible para los servicios, capacidades o actividades proporcionados por la entidad elegible a través de este programa.
La VCPC no está autorizada a tomar decisiones relacionadas con los sistemas de información que son propiedad del Estado, que son operados por él o en su nombre.
Los siguientes proyectos fueron aprobados por el VCPC y se implementarán utilizando el financiamiento del año 1 del programa SLCGP:
- Gestión y administración: financiación para proporcionar la administración, supervisión y cumplimiento de la concesión de la subvención.
- Intercambio de información sobre indicadores de amenazas cibernéticas: fondos para establecer un Centro de análisis e intercambio de información de Virginia (VA-ISAC).
- Plan y evaluaciones de ciberseguridad: financiación para establecer el Plan de ciberseguridad de Virginia y completar una evaluación de la capacidad del plan de ciberseguridad.
- *Ventana de solicitud ahora cerrada* Plan de ciberseguridad – Financiación para llevar a cabo Evaluaciones de referencia con respecto a los objetivos del programa del Plan Estatal de Ciberseguridad
Plan de ciberseguridad estatal de Virginia, creado por el VCPC, representa un compromiso continuo con la Mejorar y apoyar un enfoque de todo el Estado en materia de ciberseguridad. El plan también cumple con los requisitos de la directrices actuales del Departamento de Seguridad Nacional de EE. UU. para el SLCGP.
El Plan de Ciberseguridad incluye metas y objetivos accionables y medibles centrados en: inventario y control de activos tecnológicos, software y datos, supervisión de amenazas, protección y prevención de amenazas, datos recuperación y continuidad, y comprender el nivel de madurez de ciberseguridad de una organización. Están diseñados para apoyar a la Commonwealth en la planificación de tecnologías de seguridad efectivas y navegar por el panorama de la ciberseguridad.
Plan de Ciberseguridad: Visión para mejorar la ciberseguridad
Crear un ecosistema de ciberseguridad que apoye un enfoque de todo el estado para que los gobiernos estatales y locales salvaguardar la infraestructura crítica, proteger los datos de los virginianos y garantizar la continuidad de los servicios esenciales.
Misión del Plan de Ciberseguridad
Para establecer y mejorar aún más las capacidades de ciberseguridad de las entidades gubernamentales estatales, locales y tribales en Virginia al proporcionar un marco de tecnología y servicios para identificar, mitigar, proteger, detectar y Responder a las amenazas cibernéticas. A través del aprovechamiento de capacidades compartidas, planificación estratégica y tecnología común el Estado de Virginia se esfuerza por proteger de manera eficiente y efectiva la confidencialidad, integridad y disponibilidad de sistemas, datos y servicios críticos que beneficien a los habitantes de Virginia.
Las solicitudes elegibles para este programa deben cumplir con la definición de "gobierno local" tal como se define en 6 U.S.C. § 101(13):
- Condado, municipio, ciudad, pueblo, municipio, autoridad pública local, distrito escolar, distrito especial, distrito intraestatal, consejo de gobiernos (independientemente de si el consejo de gobiernos está incorporado como una corporación sin fines de lucro bajo la ley estatal), entidad gubernamental regional o interestatal, o agencia o instrumentalidad de un gobierno local
- Una institución educativa pública (por ejemplo, una escuela primaria, una escuela secundaria o una institución de educación superior) generalmente es elegible para recibir asistencia bajo SLCGP si es una agencia o instrumentalidad de un gobierno estatal o local bajo la ley estatal y/o local.
- Tribu reconocida por el gobierno federal u organización tribal autorizada
- Comunidad rural, pueblo o aldea no incorporada u otra entidad pública.
Los solicitantes no elegibles incluyen:
- Organizaciones sin fines de lucro; y
- Corporaciones privadas
- Privado Instituciones Educativas
Una institución educativa privada no sería elegible para recibir asistencia de SLCGP porque no es una agencia o instrumentalidad de un gobierno estatal o local. "Asistencia" significa asistencia financiera, asistencia no financiera (es decir, artículos, servicios, capacidades o actividades), o una combinación de ambas.
La elegibilidad de las escuelas chárter depende de la función de la escuela chárter: será elegible si, y solo si, es una agencia o un instrumento del gobierno estatal o local. Esta será una determinación que VITA y VDEM deberán tomar, según la ley estatal o local.
Si tiene preguntas o cree que su jurisdicción necesita ayuda para cumplir con cualquiera de los requisitos de la subvención, comuníquese con cybercommittee@vita.virginia.gov.
For more information about the federal grant program, visit: State and Local Cybersecurity Grant Program | CISA. For more information about Virginia’s program, visit: Grant Programs | Virginia IT Agency.
El SLCGP busca reunir a los gobiernos estatales y locales para mejorar la ciberseguridad y, por lo tanto, equilibra roles y autoridades. Por ejemplo, el SLCGP permite subvenciones solo a los estados y exige planes de ciberseguridad a nivel estatal, pero también requiere que el 80% de los fondos de la subvención se utilicen para beneficiar a las localidades. El SLCGP fomenta los servicios compartidos, pero también requiere LCA cuando un estado proporcionará artículos, servicios, capacidades y actividades en lugar de subvenciones de financiamiento (a menos que la ley estatal autorice al estado a decidir por las localidades). Para este proyecto de evaluación, Virginia se encarga de toda la administración de la subvención y de las obligaciones de financiación equivalentes y proporciona servicios (una evaluación) a cada entidad participante. En consecuencia, las entidades participantes deben presentar tanto una solicitud como un LCA.
Para solicitar los proyectos de la Fase 2, debe haber participado en el Proyecto de Evaluación de Capacidades del Plan de Ciberseguridad o completar una evaluación comparable utilizando esta plantilla de la Fase 2 .
Un área de proyecto es una capacidad de ciberseguridad específica de 2022 Plan de Ciberseguridad de Virginia. Podrás presentar solicitudes en las siguientes áreas de proyectos:
- Instalación y mantenimiento de software de gestión de vulnerabilidades
- Implementación de acceso remoto seguro a la red, incluido el acceso a la red Zero Trust y la autenticación multifactor
- Crear y mantener un inventario de activos empresariales de todos los activos tecnológicos (incluidos hardware y software)
- Establecer y mantener un inventario de datos y realizar análisis de confidencialidad de datos para todos los sistemas que respaldan el negocio de la organización
- Implementación de la detección y respuesta de endpoints para todas las estaciones de trabajo y servidores
- Implementación de firewalls para puntos de entrada y salida, dispositivos de punto final y aplicaciones web
Estas áreas del proyecto fueron aprobadas por el Comité de Planificación de Ciberseguridad de Virginia durante su reunión del 30 de octubre. Puede revisar los datos presentados al comité y la recomendación en el Ayuntamiento Regulatorio. También puedes leer el acta de la reunión.
Un tipo de ejecución de proyecto es una forma de completar el trabajo asociado con las áreas del proyecto anteriores. Estos tipos de ejecución de proyectos se diseñaron con la intención de mantener las cosas lo más simples posible para los gobiernos locales y otras entidades calificadas.
Enviará una solicitud para cada área del proyecto y, dentro de esa solicitud, elegirá entre los siguientes tipos de ejecución de proyectos:
| Tipo de ejecución del proyecto | Seleccione si usted ... |
|---|---|
| Solo compra de licencia adicional |
|
| Solo contrato |
|
| Implementación |
|
| Servicio completo |
|
| Proyecto de financiación de transferencia |
|
Para presentar la solicitud, necesitará:
-
La evaluación de la capacidad del plan de ciberseguridad es necesaria para todas las áreas y tipos de ejecución de proyectos. Si participaste en el primer proyecto SLCGP, entonces esto ya está completo para ti. De lo contrario, deberá completar las filas resaltadas correspondientes en la Fase 2 de la plantilla de evaluación de Cybergrant.
-
Las aplicaciones de tipo de ejecución de proyecto solo para la compra de licencias adicionales necesitarán su nombre de software actual, el número de licencias adicionales necesarias y el costo por licencia.
- Las solicitudes de tipo de ejecución de proyectos de financiación de transferencia deberán estar preparadas para abordar lo siguiente en la solicitud:
- Descripción del proyecto
- Mejoras esperadas
- Total de fondos solicitados
- El presupuesto se divide en las siguientes categorías:
- Software
- Hardware
- Personal/Aumento de personal
- Plazo previsto
- Principales hitos
No - No se requiere participación en el proyecto anterior (proyecto de Evaluación de Capacidades del Plan de Ciberseguridad).
Las decisiones para las solicitudes de la fase 2 se basarán en:
-
Si su organización cumple con los criterios de elegibilidad de subrecipientes enumerados anteriormente
-
Participación en la Evaluación de Capacidades del Plan de Ciberseguridad -o- realización de una evaluación equivalente
-
Alineación de los recursos de su organización para respaldar el área del proyecto y el tipo de ejecución del proyecto seleccionados. Por ejemplo, si elige Solo implementación de firewall, su organización debe tener el conocimiento, las habilidades y la capacidad para mantener el software de firewall una vez que se implemente.
Las decisiones en todo el SLCGP se centran en maximizar las mejoras en las capacidades de ciberseguridad en todo el Commonwealth, al tiempo que se cumplen los requisitos del programa de subvenciones, como la reserva obligatoria para las localidades rurales.
Anticipamos que los proyectos podrían comenzar tan pronto como el 2025 de mayo y deberían concluir el 2026de mayo.
¡Sí! Los resultados de su evaluación deben proporcionar información sobre las áreas que debe aplicar, así como el mejor tipo de ejecución de proyectos para su organización. Sin embargo, no queremos suponer que desea perseguir todas las áreas potenciales y que el tiempo de la fase 2 es adecuado para su organización.