Tabla de contenido
Publicidad
9.5
CAPACIDADES DE SEGURIDAD
Las funciones de seguridad disponibles en cada dispositivo pueden ser usadas como parte de una
estrategia de Defensa en Profundidad para asegurar el sistema.
9.5.1 Protección del Perímetro de Seguridad Física
1. Todo el hardware debería estar ubicado en cabinas/espacios cerrados bajo llave, con políticas y
procedimientos que restrinjan el acceso a dicha llave.
2. El equipamiento de red, como conmutadores, routers, firewalls y cableado Ethernet, debería estar
protegido físicamente en recintos cerrados, como cabinas o armarios, determinando políticas y
procedimientos que restrinjan el acceso a los mismos.
3. Cuando fuera posible, no debería haber ninguna ruta física de red entre los SAI, o de los dispositivos
de conectividad, e Internet. No debería ser posible, para un atacante, alcanzar la red de sistema del
SAI desde cualquier computadora que pudiera estar conectada a Internet.
4. La red debería estar siempre físicamente segmentada para evitar la exposición de las redes del SAI y
de los dispositivos de conectividad.
5. Cada uno de los equipos de sistema SAI debería estar visiblemente etiquetado con una identificación
única, compilando además una lista de control de accesos con todas la identificaciones previstas de
cada equipo.
9.5.2 Protección del Perímetro de Seguridad Electrónica
1. Todo acceso del exterior a la red del SAI debería ser gestionado por medio de una red privada virtual
(VPN) o una tecnología similar, apoyada por un sistema de autenticación de factor doble (2FA).
2. Se deberían configurar e implementar firewalls de nueva generación, en cada conducto entre redes
físicas, que denieguen todo excepto familias específicas de protocolos autorizadas, direcciones de
origen y de destino, y comandos específicos a nivel de aplicación entre dos redes adyacentes. Un
firewall de nueva generación podría, por ejemplo, prohibir la escritura de operaciones de una red a
otra y permitir, sin embargo, su lectura.
3. Si un nodo de red, como un PLC o un HMI, usara protocolos no autenticados para intercambiar
información o comandos con otro nodo en la misma red física, se podría implementar un firewall de
nueva generación entre ambos nodos de red. Dicho firewall debería ser configurado para poner en
lista blanca, de manera explícita, todos los mensajes previstos entre dos nodos de red y denegar
todos los no previstos.
4. Para detectar y alertar de mensajes no previstos o no autenticados en una determinada red, se podría
configurar e implementar un sistema de detección de intrusos (IDS). Tome en consideración la
configuración del IDS para que todos los eventos queden registrados en un sistema de gestión de
información y eventos de seguridad (SIEM), que agregue toda la información de seguridad de la red ICS.
5. Para detectar y prevenir activamente que mensajes no previstos o no autenticados alcancen
determinados nodos en una red concreta, se podría configurar e implementar un sistema de
prevención de intrusos (IPS). Tome en consideración la configuración del IPS para que todos los
eventos queden registrados en un sistema de gestión de información y eventos de seguridad (SIEM)
que agregue toda la información de seguridad de la red ICS.
6. Para limitar el impacto del peligro que pudiera correr cada una de las cuentas de usuario, se
recomienda distribuir los privilegios del administrador en varias cuentas, cada una con su propia
función operativa.
7. Para limitar el impacto del peligro que pudiera correr cada uno de los conjuntos de credenciales
(nombre de usuario, contraseña) para cualquier equipamiento de la red del SAI, se recomienda no
usar nunca las mismas credenciales para diferentes herramientas o propósitos.
8. Proteja cuidadosamente las fuentes y el acceso a las credenciales (nombre de usuario, contraseña) en
todos los SAI y dispositivos de conectividad, incluidos los conmutadores, routers, firewalls, IDS, IPS, etc.
9. Imponga el cumplimiento de una política de rotación de credenciales para el acceso al
equipamiento, de manera periódica y ante los cambios de personal. Tenga en cuenta que, en los
productos no compatibles con la validación de contraseñas únicas en el tiempo, esta falta debería
ser compensada con políticas y procedimientos que requieran un historial de contraseñas únicas.
9.5.3 Gestión de las Contraseñas
Ge recomienda encarecidamente que utilice contraseñas largas (12 o más caracteres) y complejas,
dondequiera que sean requeridas para la autenticación.
Cuando use un esquema de número máximo de caracteres fijo para las contraseñas, GE recomienda su
configuración con el uso completo del número máximo disponible, cuando sea posible, para dificultar el
descifrado de las contraseñas por parte de los atacantes.
Modificaciones reservadas
GE_UPS_OPM_TME_MUL_15K_90K_1ES_V010.docx
Critical Power
Manual Usuario TME Modular Series 15 - 90 UL S1
Página 69/71
Publicidad
Tabla de contenido
