Los sistemas de información de una empresa de servicios públicos son un componente crítico de cualquier enfoque completo de seguridad. Para identificar brechas y áreas de mejora en su seguridad, la mayoría de las empresas de servicios públicos han realizado o realizarán una evaluación de vulnerabilidad de su infraestructura física y "virtual" a través de la capacitación RAM-W de la Agencia de Protección Ambiental de EE. UU. u otra metodología de evaluación de riesgos. Este artículo describe los últimos métodos y herramientas para implementar la seguridad de los sistemas de información y control una vez identificadas las áreas críticas. La seguridad para la infraestructura "virtual" se describe en términos de un enfoque en capas que identifica amenazas potenciales y recomienda defensas en muchos niveles. Las últimas herramientas de seguridad y sus acrónimos, a menudo confusos, se describen de forma aplicable a todas las empresas de servicios públicos. Los métodos de seguridad específicos para SCADA, DCS y sistemas de control se analizan en detalle con relevancia directa para la información cubierta por el curso RAM-W. Las herramientas para proteger contra amenazas que surgen tanto de fuentes externas como internas se presentan y describen en términos de su efectividad y facilidad de implementación. Finalmente, este documento brinda ejemplos anónimos de evaluaciones de seguridad, planes de acción e implementaciones de sistemas resultantes para varias empresas de servicios de agua y aguas residuales. Los métodos, herramientas y ejemplos detallados presentados deberían permitir a cualquier organización fortalecer y proteger adecuadamente sus sistemas de información.