Medidas recomendadas
El dispositivo ha sido diseñado para utilizarse en un entorno protegido que emplee una estrategia de defensa en profundidad conforme con la norma IEC 62443, que representa el estándar global de la seguridad de sistemas de control para automatización industrial.
Para contribuir a proteger el dispositivo, deberá tomar medidas específicas en todas las fases del ciclo de vida del proyecto.
NOTA: La siguiente es una lista no exhaustiva de las posibles medidas de ciberseguridad que se recomienda tomar. Su propósito es servir de punto de partida para mejorar la seguridad del dispositivo en un entorno protegido. No obstante, deberá consultar con expertos en ciberseguridad para planificar, configurar, operar, mantener y desmantelar el dispositivo en función de sus necesidades específicas.
La siguiente tabla enumera las medidas que la recomendamos que tome en cada fase del ciclo de vida para contribuir a proteger su dispositivo en un entorno protegido:
| Medida recomendada | Función en la estrategia de defensa en profundidad |
|---|---|
| Planificación | |
| Estudiar la percepción sobre ciberseguridad | Recursos para aumentar el conocimiento y la percepción sobre la ciber seguridad. |
| Estudiar las suposiciones sobre la defensa en profundidad del sistema | Entienda las medidas de seguridad que se prevé que se apliquen en el entorno externo en el que va a utilizarse el dispositivo. |
| Estudiar las capacidades de seguridad del dispositivo | Entienda cómo pueden utilizarse las capacidades de seguridad del dispositivo en un entorno protegido. |
| Estudiar los Riesgos para la seguridad y estrategias de mitigación | Riesgos de seguridad conocidos y estrategias de mitigación que contribuyen a minimizar los riesgos. |
| Estudiar los riesgos de seguridad y las estrategias de mitigación | Riesgos de seguridad conocidos y estrategias de mitigación que contribuyen a minimizar los riesgos. |
| Configuración | |
| Cambiar la contraseña predeterminada * | Ayuda a reducir los accesos no autorizados. Los ajustes de cuenta predeterminados suelen ser una causa frecuente de accesos no autorizados por parte de usuarios malintencionados. |
| Deshabilitar métodos de configuración de la central de medida * | Limitar los métodos de configuración y proporcionar acceso de solo lectura minimiza los posibles puntos de ataque a la central de medida. |
| Deshabilitar las páginas web y las fuentes de sincronización horaria * |
Deshabilitar las páginas web para impedir que un navegador web acceda a los datos de la central de medida. Si es posible acceder a la central de medida a través de un navegador desde fuera de su red protegida, un usuario malintencionado podría interceptar las comunicaciones. Deshabilite la función de modificación de la fuente horaria de la central de medida para contribuir a protegerla y evitar que comunicaciones encubiertas procedentes de fuentes desconocidas pasen por comunicaciones de confianza que puedan invalidar las marcas horarias. |
| Definir bloqueos y tiempos de espera* |
Bloqueos de cuenta tras un número predefinido de intentos de inicio de sesión fallidos. Los bloqueos contribuyen a reducir el grado de éxito de los ataques de fuerza bruta a contraseñas. |
| Limitar los acceso de usuario* |
Limite el acceso de usuarios al nivel de privilegios de acceso mínimo necesario para que lleven a cabo sus funciones. Revoque privilegios de usuario cuando ya no sean necesarios como consecuencia de un cambio de puesto, un traslado o la rescisión de una relación laboral. |
| Editar el registro de eventos de acceso de la central de medida * | Edite las prioridades del registro de eventos de acceso predeterminadas de la central de medida para satisfacer sus requisitos de información. |
| Crear y cambiar contraseñas de usuario * |
Cree contraseñas seguras para cada usuario que necesite acceder a la central de medida. Los ajustes de cuenta predeterminados y las contraseñas no seguras suelen ser una causa frecuente de accesos no autorizados por parte de usuarios malintencionados. Siga las tareas de gestión de cuentas de usuario descritas por su organización o póngase en contacto con el administrador de redes. Entre los ejemplos de estas tareas se incluyen los plazos de uso máximos de las contraseñas o las políticas de gestión de historiales. |
| Configurar la seguridad avanzada * |
La seguridad avanzada es el modo de seguridad predeterminado de la central de medida. Si la central de medida emplea el modo de seguridad estándar, la recomendamos que lo cambie al modo de seguridad avanzada. |
|
Deshabilitar protocolos sin utilizar y cambiar los números de puerto predeterminados |
Deshabilitar los puertos de protocolos de comunicaciones innecesarios y que no estén utilizándose –como, por ejemplo, el SFTP– y los puertos de red para minimizar los posibles puntos de ataque a la central de medida. Cambiar los valores predeterminados de número de puerto para reducir la previsibilidad de su uso. Consulte la sección Protocolos, puertos y conexiones. |
| Utilizar el bloqueo del consumo eléctrico de la central de medida y los puntos de precintado antimanipulación | Interruptor de bloqueo físico con precinto antimanipulación para evitar la modificación remota de los parámetros de consumo eléctrico, ajustes y datos. |
| Verifique la configuración de seguridad de la central de medida. | |
|
Asigne un lector dedicado para las notificaciones del registro de eventos |
Asignar un lector dedicado puede contribuir a evitar que las entradas del registro de eventos se sobrescriban antes de revisarse. |
| Configurar syslog para que almacene registros de eventos |
Un servidor syslog es capaz de recibir registros procedentes de varios dispositivos y almacenar la información de registro en función de las necesidades. Syslog ayuda a mantener la información de registro de la central de medida durante periodos de tiempo prolongados. Consulte la sección Syslog. |
| Operación | |
| Supervisar el registro de eventos | Supervise el registro de eventos para detectar actividades sospechosas y contribuir a identificar la causa de las intrusiones que pudieran provocar incidentes de ciberseguridad. |
| Notificar incidentes o vulnerabilidades de ciberseguridad | Notifique cualquier |
| Mantenimiento | |
| Instalar actualizaciones de firmware | Mantener el firmware del dispositivo actualizado ayuda a protegerlo frente a las vulnerabilidades de seguridad. |
| Compruebe el bloqueo de consumo eléctrico y los precintos antimanipulación. | Siga las políticas y estándares de la empresa y compruebe periódicamente los bloqueos y precintos del dispositivo para verificar que este no ha sido manipulado. |
| Revise las cuentas de usuario regularmente. |
Limite el acceso de usuarios al nivel de privilegios de acceso mínimo necesario para que lleven a cabo sus funciones. Revoque privilegios de usuario cuando ya no sean necesarios como consecuencia de un cambio de puesto, un traslado o la rescisión de una relación laboral. Consulte la sección Limitar el acceso de usuarios para obtener más información. |
|
Mantener actualizada la seguridad de redes |
Ayuda a minimizar los puntos de ataque y reduce la probabilidad de experimentar vulnerabilidades. |
|
Realizar auditorías de seguridad |
Ayuda a verificar el estado de seguridad del sistema. |
| Desmantelamiento | |
| Registrar las actividades de desmantelamiento | Acciones relativas a la eliminación de documentos de conformidad con las políticas y normas de la empresa para mantener un registro de las actividades. |
| Borrar el dispositivo | Ayuda a evitar una posible revelación de datos. |
| Normas relacionadas con el desmantelamiento y saneamiento de registros |
Siga las tareas de desmantelamiento y saneamiento descritas por su organización o póngase en contacto con el administrador de redes. Desmantelamiento de redes y reglas de seguridad, p. ej., una regla de firewall que pudiera aprovecharse para penetrar en el firewall. Realice las tareas de saneamiento de seguimiento de registros para eliminar los registros en sistemas asociados, p. ej., servidores SNMP de supervisión. |
| Eliminar, reutilizar o reciclar el dispositivo | Siga las normas locales relativas a la eliminación de dispositivos. |
* Para obtener información detallada sobre los ajustes de seguridad predeterminados de la central de medida, consulte la sección Configuración de seguridad predeterminada de la central de medida.