Corregido, Gracias

Descripción del Curso: Estándares y Buenas Prácticas de
Ciberseguridad para Infraestructuras Críticas

Industriales
Nombre Docente: Ernesto Landa
Id de Actividad: E02
Descripción de Actividad: Proceso Industrial
1
CASO SURFACE MINING S.A.
I. Contexto
SURFACE MINING S.A. es una empresa minera de medianas características,

fundad en Iquique Chile en el año 1997 operada por el holding BITELEVEN,
empresa internacional líder en el rubro de la extracción y producción de
metales.
La misión de SURFACE MINIG S.A, es proveer de diversos metales en la más

alta calidad y servicio a empresas proveedoras de insumos para la
construcción de obras civiles y su visón es poder proveer al 10% mundial de
ingeniería y obras civiles.
Para su operación mina, han elaborado de una planta, y área de chancado y

correa que provee de material a la planta en la producción de mineral, la
planta ha sido diseñada y construida para producir 650 toneladas de cobre
refinado al año.
II. El Proceso Industrial
2
Figura 1: Producción cobre refinado. (Fuente:)
Debido a la alta demanda en relación a ventas forward de Cobre refinado, el proceso

de producción de cobre es continuo, particularmente de la sección de Chancado y
Correas terminando en Stock Pile, los turnos operacionales son cubiertos por 50
empleados, por medio de 4 turnos, de esta forma se puede cubrir exitosamente una
labor de 24 horas.
Contamos con dos líneas de producción de molienda automatizada, la infraestructura

cuenta con no más de 5 años de haber sido implementada, controlados a través de
PLC y administrado por el DCS Siemens de la planta, a nivel de consumo eléctrico es
apoyado por la plataforma Schneider Electric, sistema de monitoreo de piezas
rotativas de Emerson que permite realizar un mantenimiento oportuno al equipo de
monitoreo de condiciones.
Para el proceso de supervisión es en tiempo real, y este se ha implementado en el

‘Centro de operaciones’, ubicado en las cercanías de la planta procesadora; el sistema
de control gestiona alrededor de 14.500 señales I/O de baja frecuencia en su mayoría,
estas señales son procesadas y enviadas a las estaciones de operadores del sistema
DCS.
A la red de Control (Redes Industriales PLC, DCS), es una red segregada lógica y
físicamente, solo los operadores autorizados (cuatro por turno) pueden acceder a ella
y usar las estaciones de trabajo, así como ingenieros (dos) y soporte interno y soporte
del vendor del sistema se sensores y monitoreo (una conexión VPN provista por
nuestra compañía, perfil restringido).
De momento SURFACE MINIG S.A, desarrolla este proceso de forma aislada de la red
IT de la compañía dado que no ha logrado implementar segregación por medio de una
DMZ Industrial.
Operación segregada o aislada
En corto plazo la compañía estará implementando en sus instalaciones mina una DMZ
industrial, de tal forma de poder integrar tanto las faces operativas y la información
que estas producen, con las funciones administrativas y de gestión, trasmitiendo un
flujo de información desde la red OT hacia la IT, pasando a través de la DMZ; para ello
se ha estado trabajando en un diseño que habilite la segregación tanto física como
lógica de la red corporativa/Enterprise, a la red de procesos.
Este proyecto ya ha pasado a fase de evaluación.
3
III. Diagrama de Red de Alto Nivel
4
IV. Tecnología (Ejemplo)
 Centro de Operaciones
Tipo / Vendor Modelo Sistema Operati vo Servicios
Servidor Dell PowerEdge T20 Windows Server 2016 App
Canti dad: 5 Virtualizados SQL
File Server
Servidor Backup ProLiant MI100 Windows Server 2016 Sitema respaldo

data
Canti dad: 1
Workstati on Dell Windows 8.1 SFTP Client
Canti dad: 2 File Server
Jump Host
Laptop Dell Windows 10 SFTP Client
Canti dad: 2 File Server
estación Engineer
Impresora HP Firmware Fabricante Servicio impresion
Canti dad: 2
5
6
 Planta
Switch Hirschman RS40 Red de Control (PLC)
Canti dad: 20
Switch Mach 1000 Red de Control

Hirschmann (Core)
Canti dad: 4
Switch Industrial Catalyst IE3400 Firmware 2020 8 Puertos Ethernet

CISCO
2 Puertos Fibra
Canti dad: 3
PLC CompactLogix Dust Collector DC-

L32C 006
Rockwell
Canti dad:2
PLC ControlLogix Matriz de Tonelaje

L6X
Rockwell
Canti dad:2
PLC FlexLogix L34 Rainwater System
Rockwell
Canti dad: 2
1756-EN2T/D Ethernet
ControlLogix
Canti dad:2
Communicati on
7
8
I. Descripción System under Consideration SuC
9
o Diagrama Alto Nivel
10
II. Descripción Detallada del Sistema
Vamos a describir el diagrama de alto nivel de nuestra plataforma desde las zonas de
campo hasta el proveedor de servicios de dicha plataforma. Nuestra plataforma de
monitoreo cuenta en Zona de Campo – Lvl0, con sensores de monitoreo de
condiciones de piezas rotativas (vibración, rotación, temperatura) de las correas
transportadoras de mineral bruto sin procesar, cabe señalar que estas correas tienen
asignado según la operación distintos niveles de criticidad, las correas más críticas son
monitoreadas una vez al día, en cambio las menos críticas para la operación son
monitoreadas una vez cada tres días. Los equipos que acceden a esta información son,
ingenieros de campo, operarios de mina y planta, supervisores y superintendentes
operación mina.
Entre Zona de Campo – Lvl0 y Zona de Control Básico, tenemos el conducto L1-L0 o
red de campo, el cual cuenta con un Switch Industrial Hirschmann. En la Zona de
control Básico, tenemos nuestros concentradores de datos del proveedor (Emerson),
que acumula los datos de muestra de campo provisto por los sensores.
En la Zona de Procesos - Lvl2, podemos apreciar la arquitectura del conducto L2-L1 red
de supervisión, conformado por Firewal industrial (Cisco ASA 5525-x), un router
industrial (Cisco IE-1000-8P2S-LM) y un switch industrial (Hirschmann Mach 1000). En
esta zona también podremos encontrar plataforma virtualizada con VMware/VSphere,
una estación de Ingeniería (Estándar Emerson), un usuario red OT (VM), el DCS
(PowerEdge) del proceso transporte correas, un servidor de aplicación OT, y un
servidor Base de Datos SQL OT.
En la zona de Supervisión y Control-Lvl3, la arquitectura del conducto L3-L2 red de

operación, se conforma por Firewal corporativo (Cisco ASA 5525-x), un router
corporativo (Cisco IE-1000-8P2S-LM) y un switch corporativo (Hirschmann Mach
1000). Virtual izados por medio de VMware/VSphere, tenemos, una estación de
Servidor aplicaciones OT (PowerEdge), usuario red OT (VM), el servidor MES (VM),
Impresora tag OT (HP bajo estándar).
En la zona Corporativa / IT – Zona 4, contamos con el conducto Z4-L3 red de gestión,

conformado por DMZ IT/OT (Firewal corporativo Cisco ASA 5525-x, router corporativo
Cisco IE-1000-8P2S-LM y switch corporativo Hirschmann Mach 1000). La
administración y detalles de la red IT se encuentra fuera del alcance de este
documento.
Por medio del Conducto L3-Z0 (DMZ IT/OT), nuestro proveedor usando nuestra VPN
puede acceder a la plataforma por la cual nos entrega servicio de monitoreo de
condiciones de piezas rotativas.
En relación a los Security Level, en nuestra arquitectura se ha determino establecer la

zona de Supervisión y control –Lvl3 y a su vez, el conducto de seguridad Z4-L3, como la
11
zona de cumplimiento de requisitos de seguridad, de acuerdo a nuestra evaluación y
madurez nuestro nivel de security level es ‘Target’, y el valor de seguridad es 2 (SL-T
=SL2).
12
 Inventario HW, Centro Operaciones y Planta (Lvl3-Lvl0)
Servidor Dell PowerEdge Windows Server 2019 DCS
Canti dad: 4 (Virtual Machines) MES
Servidor app vendor
Servidor DB vendor
Estaciones de
Ingeniería
Estaciones de
Operación
FireWall Cisco Cisco ASA 5525-x Security Firewall
Canti dad: 3
Data Domain DELL DD 6400 Backup restore
Canti dad: 2
Router Cisco Cisco IE-1000- Administración

8P2S-LM
Canti dad: 3
Switch Hirschman Mach 1000 Red de Campo
Canti dad: 4 Red de Control
Red de Supervisión
Red de Administración
Impresora HP Impresora de TAGS
Canti dad: 2
13
REQUISITOS DE CIBERSEGURIDAD DE PROYECTO
CASO SURFACE MINING S.A
Sector : Infraestructura critica

Tipo de proyecto : Digitalización de infraestructura crítica (MES, Mantenimiento
predictivo,...)
Zona Zona Campo

Zona de Zona de Campo, sensores de monitoreo de condiciones de
componentes piezas rotativas
14
de nivel 0
Integridad Disponibilidad Confidencialidad

Criticidad de
la zona
Media Alta Baja
Patrón:260 - Integridad (Media) Disponibilidad (Alta)

Patrón de
Confidencialidad (Baja) IAC[ 2 ] UC[ 2 ] SI[ 2 ] DC[ 1 ] RDF[ 2 ]
ciberseguridad
TRE[ 2 ] RA[ 3 ]
Componentes de la zona
Componente:
Sensor vibración
Instrumentación
Unidades : 1
de proceso

Criticidad del
componente:
Media Alta Baja

Patrón de
ciberseguridad
TRE[ 2 ] RA[ 3 ]
Requisitos de ciberseguridad para la zona Zona Campo
Componentes que requieren el

Requisito:
requisito
FR1 - IAC
SR 1.1 - Identificación y autenticación de

Sensor vibración,
usuarios humanos
15
SR 1.1 - RE (1) Identificación y

Sensor vibración,
autenticación única
SR 1.3 - Gestión de cuentas Sensor vibración,
SR 1.4 - gestión de identificacion Sensor vibración,
SR 1.5 - Gestión de autenticación Sensor vibración,
SR 1.6 - Gestión de acceso inalámbrico Sensor vibración,
SR 1.6 RE (1) Identificador y

Sensor vibración,
autenticador único
SR 1.7 - Fortaleza de autenticación

Sensor vibración,
basada en contraseñas
SR 1.7 RE (1) Generación de contraseñas

y restricciones en tiempo de vida para Sensor vibración,
usuarios humanos
SR 1.8 - Certificados de infraestructura

Sensor vibración,
de clave publica
SR 1.9 - Fuerte autenticación basada en

Sensor vibración,
clave publica
SR 1.10 - Feedback de autenticador Sensor vibración,
SR 1.11 - Intentos de login fallidos Sensor vibración,
SR 1.12 - Notificaciones de uso de

Sensor vibración,
sistema
16
SR 1.13 - Acceso a través de redes no

Sensor vibración,
seguras
SR 1.13 RE (1) Solicitud de aprobación

Sensor vibración,
de acceso explicita
FR2 - UC
SR 2.1 - Aplicación de autorización Sensor vibración,
SR 2.1 RE (1) Aplicación de autorización

Sensor vibración,
para todos los usuarios
SR 2.1 RE (2) Mapeo de permisos a roles Sensor vibración,
SR 2.2 - Control de uso inalámbrico Sensor vibración,
SR 2.3 - Control de uso para dispositivos

Sensor vibración,
portátiles y mobile
SR 2.4 - Código mobile Sensor vibración,
SR 2.5 - Bloqueo de sesión Sensor vibración,
SR 2.6 - Terminación de sesiones

Sensor vibración,
remotas
SR 2.8 - Eventos auditables Sensor vibración,
SR 2.9 - Auditar capacidad de

Sensor vibración,
almacenamiento
SR 2.10 - Responder a fallas en el Sensor vibración,
17
proceso de auditoria
SR 2.11 - Marcas de tiempo Sensor vibración,
FR3 - SI
SR 3.1 - Integridad en las

Sensor vibración,
comunicaciones
SR 3.2 - Protección contra código

Sensor vibración,
malicioso
SR 3.2 RE (1) Protección contra código

malicioso en los puntos de entrada y Sensor vibración,
salida
SR 3.3 - Verificación de funcionalidades

Sensor vibración,
de seguridad
SR 3.4 - Integridad del software e

Sensor vibración,
información
SR 3.5 - Validación de entradas Sensor vibración,
SR 3.6 - Salidas Determinísticas Sensor vibración,
SR 3.7 - Manejo de errores Sensor vibración,
SR 3.8 - Integridad de sesiones Sensor vibración,
SR 3.9 - Protección de información de

Sensor vibración,
auditoria
18
FR4 - DC
SR 4.1 - Confidencialidad de la
Sensor vibración,
información
SR 4.3 - Uso de criptografía Sensor vibración,
FR5 - RDF
SR 5.1 - Segmentación de redes Sensor vibración,
SR 5.1 RE (1) Segmentación física de

Sensor vibración,
redes
SR 5.2 - Protección de limites de zonas Sensor vibración,
SR 5.2 RE (1) Denegar por defecto,

Sensor vibración,
permitir por excepción
SR 5.3 - Restricción en comunicaciones

persona a persona de propósitos Sensor vibración,
generales
SR 5.4 - Particionamiento de
Sensor vibración,
aplicaciones
FR6 - TRE
SR 6.1 - Auditar accesibilidad a logs Sensor vibración,
SR 6.2 - Monitoreo continuo Sensor vibración,
FR7 - RA
19
SR 7.1 - Protección contra denegación

Sensor vibración,
de servicio
SR 7.1 RE (1) Gestionar la carga en las

Sensor vibración,
comunicaciones
SR 7.1 RE (2) Limitar los efectos de una

denegación de servicio a otros sistemas Sensor vibración,
o redes
SR 7.2 - Gestión de recursos Sensor vibración,
SR 7.3 - Control de backup del sistema Sensor vibración,
SR 7.3 RE (1) Verificación de backup Sensor vibración,
SR 7.3 RE (2) Automatización de backup Sensor vibración,
SR 7.4 - Restauración y reconstitución

Sensor vibración,
del sistema de control
SR 7.5 - Energía de emergencia Sensor vibración,
SR 7.6 - Ajustes de redes y

Sensor vibración,
configuraciones de seguridad
SR 7.6 RE (1) Reportes de ajustes de

seguridad actuales legibles desde una Sensor vibración,
maquina
SR 7.7 - Menos funcionalidades Sensor vibración,
20
SR 7.8 - Inventario de componentes de

Sensor vibración,
sistemas de control
Zona
Zona de
Zona Control Basico
componentes
Zona Control concentradores de datos del proveedor (Emerson)
de nivel 1 y
nivel 2

Criticidad de
la zona
Media Alta Baja

Patrón de
ciberseguridad
TRE[ 2 ] RA[ 3 ]
Componente:
Concentrador MHC6500
Controlador
Unidades : 1
de proceso

Criticidad del
componente:
Media Alta Baja
Patrón de Patrón:260 - Integridad (Media) Disponibilidad (Alta)

cibersegurida Confidencialidad (Baja) IAC[ 2 ] UC[ 2 ] SI[ 2 ] DC[ 1 ] RDF[ 2 ] TRE[
d 2 ] RA[ 3 ]
Requisitos de ciberseguridad para la zona Zona Control Basico
Requisito: Componentes que requieren el
21
requisito
FR1 - IAC

Concentrador MHC6500,
usuarios humanos

SR 1.3 - Gestión de cuentas Concentrador MHC6500,
SR 1.4 - gestión de identificacion Concentrador MHC6500,
SR 1.5 - Gestión de autenticación Concentrador MHC6500,
SR 1.6 - Gestión de acceso inalámbrico Concentrador MHC6500,

autenticador único


y restricciones en tiempo de vida para Concentrador MHC6500,
usuarios humanos

de clave publica

clave publica
22
SR 1.10 - Feedback de autenticador Concentrador MHC6500,
SR 1.11 - Intentos de login fallidos Concentrador MHC6500,

sistema

seguras

de acceso explicita
FR2 - UC
SR 2.1 - Aplicación de autorización Concentrador MHC6500,

SR 2.1 RE (2) Mapeo de permisos a roles Concentrador MHC6500,
SR 2.2 - Control de uso inalámbrico Concentrador MHC6500,

SR 2.4 - Código mobile Concentrador MHC6500,
SR 2.5 - Bloqueo de sesión Concentrador MHC6500,

remotas
23
SR 2.8 - Eventos auditables Concentrador MHC6500,

almacenamiento
SR 2.10 - Responder a fallas en el

SR 2.11 - Marcas de tiempo Concentrador MHC6500,
FR3 - SI

comunicaciones

malicioso

malicioso en los puntos de entrada y Concentrador MHC6500,
salida

de seguridad

información
SR 3.5 - Validación de entradas Concentrador MHC6500,
SR 3.6 - Salidas Determinísticas Concentrador MHC6500,
SR 3.7 - Manejo de errores Concentrador MHC6500,
24
SR 3.8 - Integridad de sesiones Concentrador MHC6500,

auditoria
FR4 - DC
información
SR 4.3 - Uso de criptografía Concentrador MHC6500,
FR5 - RDF
SR 5.1 - Segmentación de redes Concentrador MHC6500,

redes
SR 5.2 - Protección de limites de zonas Concentrador MHC6500,


persona a persona de propósitos Concentrador MHC6500,
generales
aplicaciones
FR6 - TRE
25
SR 6.1 - Auditar accesibilidad a logs Concentrador MHC6500,
SR 6.2 - Monitoreo continuo Concentrador MHC6500,
FR7 - RA

de servicio

comunicaciones

denegación de servicio a otros sistemas Concentrador MHC6500,
o redes
SR 7.2 - Gestión de recursos Concentrador MHC6500,
SR 7.3 - Control de backup del sistema Concentrador MHC6500,
SR 7.3 RE (1) Verificación de backup Concentrador MHC6500,
SR 7.3 RE (2) Automatización de backup Concentrador MHC6500,

SR 7.5 - Energía de emergencia Concentrador MHC6500,

SR 7.6 RE (1) Reportes de ajustes de Concentrador MHC6500,
26
seguridad actuales legibles desde una

maquina
SR 7.7 - Menos funcionalidades Concentrador MHC6500,

sistemas de control
Zona
Zona de Procesos
Zona de
proceso transporte correas, un servidor de aplicación OT, y un
componentes
servidor Base de Datos SQL OT
de nivel 2

Criticidad de
la zona
Media Alta Baja

Patrón de
ciberseguridad
TRE[ 1 ] RA[ 1 ]
Componente: Estacion Ingenieria

Estación OT Unidades : 1-5

Criticidad del
componente:
Media Alta Baja
27

d 2 ] RA[ 3 ]
Componente:
DCS
Servidor
Unidades : 1
SCADA

Criticidad del
componente:
Media Alta Baja

Patrón de
ciberseguridad
TRE[ 2 ] RA[ 3 ]
Compone
nte: Servidor App Vendor
Servidor Unidades : 1
OT
Criticidad Integridad Disponibilidad Confidencialidad

del
compone
nte: Media Alta Baja

cibersegur Confidencialidad (Baja) IAC[ 2 ] UC[ 2 ] SI[ 2 ] DC[ 1 ] RDF[ 2 ] TRE[ 2 ]
idad RA[ 3 ]
Componente: Servidor DB
Servidor BD Unidades : 1
28
Criticidad del
componente:
Media Alta Baja

Patrón de
ciberseguridad
TRE[ 2 ] RA[ 3 ]
Requisitos de ciberseguridad para la zona Zona de Procesos
Requisito: Componentes que requieren el requisito
FR1 - IAC
SR 1.1 - Identificación y autenticación Estacion Ingenieria, DCS, Servidor App

de usuarios humanos Vendor, Servidor DB,
SR 1.1 - RE (1) Identificación y Estacion Ingenieria, DCS, Servidor App

autenticación única Vendor, Servidor DB,
Estacion Ingenieria, DCS, Servidor App

SR 1.3 - Gestión de cuentas
Vendor, Servidor DB,

SR 1.4 - gestión de identificacion

SR 1.5 - Gestión de autenticación
SR 1.6 - Gestión de acceso Estacion Ingenieria, DCS, Servidor App

inalámbrico Vendor, Servidor DB,
29
SR 1.6 RE (1) Identificador y Estacion Ingenieria, DCS, Servidor App

autenticador único Vendor, Servidor DB,
SR 1.7 - Fortaleza de autenticación Estacion Ingenieria, DCS, Servidor App

basada en contraseñas Vendor, Servidor DB,
SR 1.7 RE (1) Generación de

contraseñas y restricciones en tiempo
de vida para usuarios humanos
SR 1.8 - Certificados de Estacion Ingenieria, DCS, Servidor App

infraestructura de clave publica Vendor, Servidor DB,
SR 1.9 - Fuerte autenticación basada Estacion Ingenieria, DCS, Servidor App

en clave publica Vendor, Servidor DB,

SR 1.10 - Feedback de autenticador

SR 1.11 - Intentos de login fallidos
SR 1.12 - Notificaciones de uso de Estacion Ingenieria, DCS, Servidor App

sistema Vendor, Servidor DB,
SR 1.13 - Acceso a través de redes no Estacion Ingenieria, DCS, Servidor App

seguras Vendor, Servidor DB,
SR 1.13 RE (1) Solicitud de aprobación Estacion Ingenieria, DCS, Servidor App

de acceso explicita Vendor, Servidor DB,
FR2 - UC
SR 2.1 - Aplicación de autorización Estacion Ingenieria, DCS, Servidor App
30
SR 2.1 RE (1) Aplicación de Estacion Ingenieria, DCS, Servidor App

autorización para todos los usuarios Vendor, Servidor DB,
SR 2.1 RE (2) Mapeo de permisos a Estacion Ingenieria, DCS, Servidor App

roles Vendor, Servidor DB,

SR 2.2 - Control de uso inalámbrico
SR 2.3 - Control de uso para Estacion Ingenieria, DCS, Servidor App

dispositivos portátiles y mobile Vendor, Servidor DB,

SR 2.4 - Código mobile

SR 2.5 - Bloqueo de sesión
SR 2.6 - Terminación de sesiones Estacion Ingenieria, DCS, Servidor App

remotas Vendor, Servidor DB,

SR 2.8 - Eventos auditables
SR 2.9 - Auditar capacidad de Estacion Ingenieria, DCS, Servidor App

almacenamiento Vendor, Servidor DB,
SR 2.10 - Responder a fallas en el Estacion Ingenieria, DCS, Servidor App

proceso de auditoria Vendor, Servidor DB,

SR 2.11 - Marcas de tiempo
31
FR3 - SI
SR 3.1 - Integridad en las Estacion Ingenieria, DCS, Servidor App

comunicaciones Vendor, Servidor DB,
SR 3.2 - Protección contra código Estacion Ingenieria, DCS, Servidor App

malicioso Vendor, Servidor DB,
SR 3.2 RE (1) Protección contra

código malicioso en los puntos de
entrada y salida
SR 3.3 - Verificación de Estacion Ingenieria, DCS, Servidor App

funcionalidades de seguridad Vendor, Servidor DB,
SR 3.4 - Integridad del software e Estacion Ingenieria, DCS, Servidor App

información Vendor, Servidor DB,

SR 3.5 - Validación de entradas

SR 3.6 - Salidas Determinísticas

SR 3.7 - Manejo de errores

SR 3.8 - Integridad de sesiones
SR 3.9 - Protección de información de Estacion Ingenieria, DCS, Servidor App

auditoria Vendor, Servidor DB,
FR4 - DC
32
SR 4.1 - Confidencialidad de la Estacion Ingenieria, DCS, Servidor App

información Vendor, Servidor DB,

SR 4.3 - Uso de criptografía
FR5 - RDF

SR 5.1 - Segmentación de redes
SR 5.1 RE (1) Segmentación física de Estacion Ingenieria, DCS, Servidor App

redes Vendor, Servidor DB,
SR 5.2 - Protección de limites de Estacion Ingenieria, DCS, Servidor App

zonas Vendor, Servidor DB,
SR 5.2 RE (1) Denegar por defecto, Estacion Ingenieria, DCS, Servidor App
permitir por excepción Vendor, Servidor DB,
SR 5.3 - Restricción en
comunicaciones persona a persona
de propósitos generales
SR 5.4 - Particionamiento de Estacion Ingenieria, DCS, Servidor App

aplicaciones Vendor, Servidor DB,
FR6 - TRE

SR 6.1 - Auditar accesibilidad a logs

SR 6.2 - Monitoreo continuo
33
FR7 - RA
SR 7.1 - Protección contra denegación Estacion Ingenieria, DCS, Servidor App

de servicio Vendor, Servidor DB,
SR 7.1 RE (1) Gestionar la carga en las Estacion Ingenieria, DCS, Servidor App
comunicaciones Vendor, Servidor DB,
SR 7.1 RE (2) Limitar los efectos de

una denegación de servicio a otros
sistemas o redes

SR 7.2 - Gestión de recursos
SR 7.3 - Control de backup del Estacion Ingenieria, DCS, Servidor App

sistema Vendor, Servidor DB,

SR 7.3 RE (1) Verificación de backup
SR 7.3 RE (2) Automatización de Estacion Ingenieria, DCS, Servidor App

backup Vendor, Servidor DB,
SR 7.4 - Restauración y reconstitución Estacion Ingenieria, DCS, Servidor App

del sistema de control Vendor, Servidor DB,

SR 7.5 - Energía de emergencia
SR 7.6 - Ajustes de redes y Estacion Ingenieria, DCS, Servidor App

configuraciones de seguridad Vendor, Servidor DB,
SR 7.6 RE (1) Reportes de ajustes de Estacion Ingenieria, DCS, Servidor App

34
maquina Vendor, Servidor DB,

SR 7.7 - Menos funcionalidades
SR 7.8 - Inventario de componentes Estacion Ingenieria, DCS, Servidor App

de sistemas de control Vendor, Servidor DB,
Zona Zona Supervisión

Zona de estación de Servidor aplicaciones OT (PowerEdge), usuario red
componentes OT (VM), el servidor MES (VM), Impresora tag OT (HP bajo
de nivel 3 estándar)

Criticidad de
la zona
Media Alta Media

Patrón de
Confidencialidad (Media) IAC[ 2 ] UC[ 2 ] SI[ 2 ] DC[ 2 ] RDF[ 2 ]
ciberseguridad
TRE[ 2 ] RA[ 3 ]
Componente: Servidor App

Servidor OT Unidades : 1

Criticidad del
componente:
Media Alta Baja
35

d 2 ] RA[ 3 ]
Componente: Usuario Operacion OT

Estación IT Unidades : 1

Criticidad del
componente:
Media Alta Baja

Patrón de
ciberseguridad
TRE[ 2 ] RA[ 3 ]
Componente: MES
Servidor MES Unidades : 1

Criticidad del
componente:
Media Alta Baja

Patrón de
ciberseguridad
TRE[ 2 ] RA[ 3 ]
Componente: Impresota TAG

Impresora IT Unidades : 1
Criticidad del
componente:
36
Baja Baja Baja

Patrón de
Confidencialidad (Media) IAC[ 2 ] UC[ 2 ] SI[ 2 ] DC[ 2 ] RDF[ 2 ]
ciberseguridad
TRE[ 2 ] RA[ 3 ]
Requisitos de ciberseguridad para la zona Zona Supervisión
FR1 - IAC
SR 1.1 - Identificación y autenticación Servidor App , Usuario Operacion OT,

de usuarios humanos MES, Impresota TAG,
SR 1.1 - RE (1) Identificación y Servidor App , Usuario Operacion OT,

autenticación única MES,
Servidor App , Usuario Operacion OT,

SR 1.3 - Gestión de cuentas
MES, Impresota TAG,

SR 1.4 - gestión de identificacion
MES, Impresota TAG,

SR 1.5 - Gestión de autenticación
MES, Impresota TAG,

SR 1.6 - Gestión de acceso inalámbrico
MES, Impresota TAG,
SR 1.6 RE (1) Identificador y Servidor App , Usuario Operacion OT,

autenticador único MES,
SR 1.7 - Fortaleza de autenticación Servidor App , Usuario Operacion OT,

basada en contraseñas MES, Impresota TAG,
37

contraseñas y restricciones en tiempo
MES, Impresota TAG,
SR 1.8 - Certificados de infraestructura Servidor App , Usuario Operacion OT,

de clave publica MES,
SR 1.9 - Fuerte autenticación basada Servidor App , Usuario Operacion OT,

en clave publica MES,

SR 1.10 - Feedback de autenticador
MES, Impresota TAG,

SR 1.11 - Intentos de login fallidos
MES, Impresota TAG,
SR 1.12 - Notificaciones de uso de Servidor App , Usuario Operacion OT,

sistema MES, Impresota TAG,
SR 1.13 - Acceso a través de redes no Servidor App , Usuario Operacion OT,

seguras MES, Impresota TAG,
SR 1.13 RE (1) Solicitud de aprobación Servidor App , Usuario Operacion OT,

de acceso explicita MES,
FR2 - UC

SR 2.1 - Aplicación de autorización
MES, Impresota TAG,
SR 2.1 RE (1) Aplicación de Servidor App , Usuario Operacion OT,

autorización para todos los usuarios MES,
38
SR 2.1 RE (2) Mapeo de permisos a Servidor App , Usuario Operacion OT,

roles MES,

SR 2.2 - Control de uso inalámbrico
MES, Impresota TAG,
SR 2.3 - Control de uso para Servidor App , Usuario Operacion OT,

dispositivos portátiles y mobile MES, Impresota TAG,

SR 2.4 - Código mobile
MES, Impresota TAG,

SR 2.5 - Bloqueo de sesión
MES, Impresota TAG,
SR 2.6 - Terminación de sesiones Servidor App , Usuario Operacion OT,

remotas MES,

SR 2.8 - Eventos auditables
MES, Impresota TAG,
SR 2.9 - Auditar capacidad de Servidor App , Usuario Operacion OT,

almacenamiento MES, Impresota TAG,
SR 2.10 - Responder a fallas en el Servidor App , Usuario Operacion OT,

proceso de auditoria MES, Impresota TAG,

SR 2.11 - Marcas de tiempo
MES,
FR3 - SI
SR 3.1 - Integridad en las Servidor App , Usuario Operacion OT,

comunicaciones MES, Impresota TAG,
39
SR 3.2 - Protección contra código Servidor App , Usuario Operacion OT,

malicioso MES, Impresota TAG,

malicioso en los puntos de entrada y
MES,
salida
SR 3.3 - Verificación de Servidor App , Usuario Operacion OT,

funcionalidades de seguridad MES, Impresota TAG,
SR 3.4 - Integridad del software e Servidor App , Usuario Operacion OT,

información MES,

SR 3.5 - Validación de entradas
MES, Impresota TAG,

SR 3.6 - Salidas Determinísticas
MES, Impresota TAG,

SR 3.7 - Manejo de errores
MES,

SR 3.8 - Integridad de sesiones
MES,
SR 3.9 - Protección de información de Servidor App , Usuario Operacion OT,

auditoria MES,
FR4 - DC
SR 4.1 - Confidencialidad de la Servidor App , Usuario Operacion OT,

información MES, Impresota TAG,
SR 4.3 - Uso de criptografía Servidor App , Usuario Operacion OT,
40
MES, Impresota TAG,
FR5 - RDF

SR 5.1 - Segmentación de redes
MES, Impresota TAG,
SR 5.1 RE (1) Segmentación física de Servidor App , Usuario Operacion OT,

redes MES,

SR 5.2 - Protección de limites de zonas
MES, Impresota TAG,
SR 5.2 RE (1) Denegar por defecto, Servidor App , Usuario Operacion OT,
permitir por excepción MES,

persona a persona de propósitos
MES, Impresota TAG,
generales
SR 5.4 - Particionamiento de Servidor App , Usuario Operacion OT,

aplicaciones MES, Impresota TAG,
FR6 - TRE

SR 6.1 - Auditar accesibilidad a logs
MES, Impresota TAG,

SR 6.2 - Monitoreo continuo
MES,
FR7 - RA
41
SR 7.1 - Protección contra denegación Servidor App , Usuario Operacion OT,

de servicio MES, Impresota TAG,
SR 7.1 RE (1) Gestionar la carga en las Servidor App , Usuario Operacion OT,
comunicaciones MES,

denegación de servicio a otros
MES,
sistemas o redes

SR 7.2 - Gestión de recursos
MES, Impresota TAG,

SR 7.3 - Control de backup del sistema
MES, Impresota TAG,

SR 7.3 RE (1) Verificación de backup
MES,
SR 7.3 RE (2) Automatización de Servidor App , Usuario Operacion OT,

backup MES,
SR 7.4 - Restauración y reconstitución Servidor App , Usuario Operacion OT,

del sistema de control MES, Impresota TAG,

SR 7.5 - Energía de emergencia
MES, Impresota TAG,
SR 7.6 - Ajustes de redes y Servidor App , Usuario Operacion OT,

configuraciones de seguridad MES,

MES,
maquina
42

SR 7.7 - Menos funcionalidades
MES, Impresota TAG,
SR 7.8 - Inventario de componentes de Servidor App , Usuario Operacion OT,

sistemas de control MES,
Zona
Zona
corporativa Zona Red Corporativa
con red corporativa
componentes
de nivel 4

Criticidad de la
zona
Alta Media Alta
Patrón:400 - Integridad (Alta) Disponibilidad (Media)

Patrón de
Confidencialidad (Alta) IAC[ 3 ] UC[ 3 ] SI[ 3 ] DC[ 3 ] RDF[ 2 ]
ciberseguridad
TRE[ 2 ] RA[ 2 ]
Componente: Estaciones
Estación IT Unidades : 1-5

Criticidad del
componente:
Media Media Media
Patrón de Patrón:230 - Integridad (Media) Disponibilidad (Media)

cibersegurida Confidencialidad (Media) IAC[ 2 ] UC[ 2 ] SI[ 2 ] DC[ 2 ] RDF[ 2 ]
d TRE[ 2 ] RA[ 2 ]
43
Componente: CMR
Servidor IT Unidades : 1
Criticidad del
componente:
Alta Media Alta

Patrón de
Confidencialidad (Alta) IAC[ 3 ] UC[ 3 ] SI[ 3 ] DC[ 3 ] RDF[ 2 ] TRE[
ciberseguridad
2 ] RA[ 2 ]
Componente: Servidor DB
Servidor BD Unidades : 1

Criticidad del
componente:
Alta Media Alta

Patrón de
Confidencialidad (Alta) IAC[ 3 ] UC[ 3 ] SI[ 3 ] DC[ 3 ] RDF[ 2 ] TRE[
ciberseguridad
2 ] RA[ 2 ]
Requisitos de ciberseguridad para la zona Zona Red Corporativa
FR1 - IAC
SR 1.1 - Identificación y autenticación

Estaciones, CMR, Servidor DB,
de usuarios humanos
44

SR 1.1 - RE (2) Múltiple factor de

autenticación para redes no CMR, Servidor DB,
confiables
SR 1.2 - RE (1) identificación y

CMR, Servidor DB,
SR 1.3 - Gestión de cuentas Estaciones, CMR, Servidor DB,
SR 1.3 RE (1) Gestión de cuentas

CMR, Servidor DB,
unificada
SR 1.4 - gestión de identificacion Estaciones, CMR, Servidor DB,
SR 1.5 - Gestión de autenticación Estaciones, CMR, Servidor DB,
SR 1.5 RE (1) Hardware de seguridad

para identificar credenciales CMR, Servidor DB,
mediante procesos de software
SR 1.6 - Gestión de acceso

inalámbrico

autenticador único

SR 1.7 RE (1) Generación de Estaciones, CMR, Servidor DB,

contraseñas y restricciones en
tiempo de vida para usuarios
45
humanos
SR 1.7 RE (2) Restricciones en el

tiempo de vida de contraseñas para CMR, Servidor DB,
todos los usuarios
SR 1.8 - Certificados de
infraestructura de clave publica
SR 1.9 - Fuerte autenticación basada

en clave publica
SR 1.9 RE (1) Hardware de seguridad

CMR, Servidor DB,
para autenticar claves publicas
SR 1.10 - Feedback de autenticador Estaciones, CMR, Servidor DB,
SR 1.11 - Intentos de login fallidos Estaciones, CMR, Servidor DB,

sistema

seguras
SR 1.13 RE (1) Solicitud de

aprobación de acceso explicita
FR2 - UC
SR 2.1 - Aplicación de autorización Estaciones, CMR, Servidor DB,
46
SR 2.1 RE (1) Aplicación de

autorización para todos los usuarios
SR 2.1 RE (2) Mapeo de permisos a

roles
SR 2.1 RE (3) Anular supervisor CMR, Servidor DB,
SR 2.2 - Control de uso inalámbrico Estaciones, CMR, Servidor DB,
SR 2.2 RE (1) Identificar y reportar

dispositivos inalámbricos no CMR, Servidor DB,
autorizados
SR 2.3 - Control de uso para

dispositivos portátiles y mobile
SR 2.3 RE (1) Aplicación del estado de

seguridad de dispositivos portátiles y CMR, Servidor DB,
mobile
SR 2.4 - Código mobile Estaciones, CMR, Servidor DB,
SR 2.4 RE (1) Chequeo de integridad

CMR, Servidor DB,
de código mobile
SR 2.5 - Bloqueo de sesión Estaciones, CMR, Servidor DB,

remotas
SR 2.7 - Control de sesiones

CMR, Servidor DB,
concurrentes
47
SR 2.8 - Eventos auditables Estaciones, CMR, Servidor DB,
SR 2.8 RE (1) Pistas de auditoria de

CMR, Servidor DB,
sistemas con gestión centralizada

almacenamiento
SR 2.9 RE (1) Advertir cuando se haya

alcanzado el umbral de capacidad en CMR, Servidor DB,
los registros de auditoria

SR 2.11 - Marcas de tiempo Estaciones, CMR, Servidor DB,
SR 2.11 RE (1) Sincronización interna

CMR, Servidor DB,
de tiempo
SR 2.12 - No repudio CMR, Servidor DB,
FR3 - SI

comunicaciones
SR 3.1 RE (1) Usar criptografía para

CMR, Servidor DB,
proteger la integridad

malicioso
48

código malicioso en los puntos de Estaciones, CMR, Servidor DB,
entrada y salida
SR 3.2 RE (2) Gestión centralizada

para protección contra código CMR, Servidor DB,
malicioso
SR 3.3 - Verificación de
funcionalidades de seguridad
SR 3.3 RE (1) Mecanismos

automáticos para verificar CMR, Servidor DB,

información
SR 3.4 RE (1) Notificaciones

automáticas sobre violaciones de CMR, Servidor DB,
integridad
SR 3.5 - Validación de entradas Estaciones, CMR, Servidor DB,
SR 3.6 - Salidas Determinísticas Estaciones, CMR, Servidor DB,
SR 3.7 - Manejo de errores Estaciones, CMR, Servidor DB,
SR 3.8 - Integridad de sesiones Estaciones, CMR, Servidor DB,
SR 3.8 RE (1) Invalidar IDs de sesión

CMR, Servidor DB,
una vez que la sesión fue terminada
49
SR 3.8 RE (2) Generación de IDs

CMR, Servidor DB,
únicos de sesión

auditoria
FR4 - DC
información
SR 4.1 RE (1) Protección de la

confidencialidad de la información
alojada o en tránsito por redes no
confiables
SR 4.2 - Persistencia de la
información
SR 4.2 RE (1) Purga de recursos de

CMR, Servidor DB,
memoria compartida
SR 4.3 - Uso de criptografía Estaciones, CMR, Servidor DB,
FR5 - RDF
SR 5.1 - Segmentación de redes Estaciones, CMR, Servidor DB,

redes
SR 5.2 - Protección de limites de

zonas
50

comunicaciones persona a persona Estaciones, CMR, Servidor DB,
aplicaciones
FR6 - TRE
SR 6.1 - Auditar accesibilidad a logs Estaciones, CMR, Servidor DB,
SR 6.2 - Monitoreo continuo Estaciones, CMR, Servidor DB,
FR7 - RA
SR 7.1 - Protección contra

denegación de servicio

comunicaciones
SR 7.2 - Gestión de recursos Estaciones, CMR, Servidor DB,
SR 7.3 - Control de backup del

sistema
SR 7.3 RE (1) Verificación de backup Estaciones, CMR, Servidor DB,
SR 7.4 - Restauración y
reconstitución del sistema de control
51
SR 7.5 - Energía de emergencia Estaciones, CMR, Servidor DB,

SR 7.7 - Menos funcionalidades Estaciones, CMR, Servidor DB,
SR 7.8 - Inventario de componentes

de sistemas de control
Zona
Zona de
Red Publica Internet
proveedor con
Red publica
componentes
de nivel 4

Criticidad de la
zona
Media Media Muy Alta
Patrón:250 - Integridad (Media) Disponibilidad (Media)

Patrón de
Confidencialidad (Muy Alta) IAC[ 2 ] UC[ 2 ] SI[ 2 ] DC[ 4 ]
ciberseguridad
RDF[ 2 ] TRE[ 2 ] RA[ 2 ]
Conductos
Conducto
Conducto L1- red campo
L0
Criticidad del
conducto Disponibilidad Integridad Confidencialidad
Alta Media Baja
52
Patrón de
ciberseguridad
TRE[ 2 ] RA[ 3 ]
Componentes del conducto
Componente: Switch industrial

SW000 1

Criticidad del
componente:
Media Alta Baja

d 2 ] RA[ 3 ]
Requisitos de ciberseguridad para el conducto Conducto L1-L0
Componentes que requieren el

Requisito:
requisito
FR1 - IAC

SW000,
usuarios humanos

SW000,
SR 1.3 - Gestión de cuentas SW000,
SR 1.4 - gestión de identificacion SW000,
53
SR 1.5 - Gestión de autenticación SW000,
SR 1.6 - Gestión de acceso inalámbrico SW000,

SW000,
autenticador único

SW000,

y restricciones en tiempo de vida para SW000,
usuarios humanos

SW000,
de clave publica

SW000,
clave publica
SR 1.10 - Feedback de autenticador SW000,
SR 1.11 - Intentos de login fallidos SW000,

SW000,
sistema

SW000,
seguras

SW000,
de acceso explicita
FR2 - UC
54
SR 2.1 - Aplicación de autorización SW000,

SW000,
SR 2.1 RE (2) Mapeo de permisos a roles SW000,
SR 2.2 - Control de uso inalámbrico SW000,

SW000,
SR 2.4 - Código mobile SW000,
SR 2.5 - Bloqueo de sesión SW000,

SW000,
remotas
SR 2.8 - Eventos auditables SW000,

SW000,
almacenamiento

SW000,
SR 2.11 - Marcas de tiempo SW000,
FR3 - SI
55

SW000,
comunicaciones

SW000,
malicioso

malicioso en los puntos de entrada y SW000,
salida

SW000,
de seguridad

SW000,
información
SR 3.5 - Validación de entradas SW000,
SR 3.6 - Salidas Determinísticas SW000,
SR 3.7 - Manejo de errores SW000,
SR 3.8 - Integridad de sesiones SW000,

SW000,
auditoria
FR4 - DC
SW000,
información
SR 4.3 - Uso de criptografía SW000,
56
FR5 - RDF
SR 5.1 - Segmentación de redes SW000,

SW000,
redes
SR 5.2 - Protección de limites de zonas SW000,

SW000,

persona a persona de propósitos SW000,
generales
SW000,
aplicaciones
FR6 - TRE
SR 6.1 - Auditar accesibilidad a logs SW000,
SR 6.2 - Monitoreo continuo SW000,
FR7 - RA

SW000,
de servicio

SW000,
comunicaciones
57

denegación de servicio a otros sistemas SW000,
o redes
SR 7.2 - Gestión de recursos SW000,
SR 7.3 - Control de backup del sistema SW000,
SR 7.3 RE (1) Verificación de backup SW000,
SR 7.3 RE (2) Automatización de backup SW000,

SW000,
SR 7.5 - Energía de emergencia SW000,

SW000,

seguridad actuales legibles desde una SW000,
maquina
SR 7.7 - Menos funcionalidades SW000,

SW000,
sistemas de control
Conducto
Conducto L2- Red Supervisión
L1
58
Disponibilidad Integridad Confidencialidad
Criticidad del
conducto
Alta Media Baja

cibersegurida Confidencialidad (Baja) IAC[ 2 ] UC[ 2 ] SI[ 2 ] DC[ 1 ] RDF[ 2 ]
d TRE[ 2 ] RA[ 3 ]
Componente: Firewall industrial

FW001 1

Criticidad del
componente:
Media Alta Baja

d 2 ] RA[ 3 ]
Componente: Router industrial

RT001 1

Criticidad del
componente:
Media Alta Baja

Patrón de
ciberseguridad
TRE[ 2 ] RA[ 3 ]
Componente: Switch industrial
59
SW001 1

Criticidad del
componente:
Media Alta Baja

Patrón de
ciberseguridad
TRE[ 2 ] RA[ 3 ]
FR1 - IAC

FW001, RT001, SW001,
de usuarios humanos

FW001, RT001, SW001,
SR 1.3 - Gestión de cuentas FW001, RT001, SW001,
SR 1.4 - gestión de identificacion FW001, RT001, SW001,
SR 1.5 - Gestión de autenticación FW001, RT001, SW001,

FW001, RT001, SW001,
inalámbrico

FW001, RT001, SW001,
autenticador único
60

FW001, RT001, SW001,

contraseñas y restricciones en tiempo FW001, RT001, SW001,
FW001, RT001, SW001,

FW001, RT001, SW001,
en clave publica
SR 1.10 - Feedback de autenticador FW001, RT001, SW001,
SR 1.11 - Intentos de login fallidos FW001, RT001, SW001,

FW001, RT001, SW001,
sistema

FW001, RT001, SW001,
seguras

FW001, RT001, SW001,
de acceso explicita
FR2 - UC
SR 2.1 - Aplicación de autorización FW001, RT001, SW001,

FW001, RT001, SW001,
61

FW001, RT001, SW001,
roles
SR 2.2 - Control de uso inalámbrico FW001, RT001, SW001,

FW001, RT001, SW001,
SR 2.4 - Código mobile FW001, RT001, SW001,
SR 2.5 - Bloqueo de sesión FW001, RT001, SW001,

FW001, RT001, SW001,
remotas
SR 2.8 - Eventos auditables FW001, RT001, SW001,

FW001, RT001, SW001,
almacenamiento

FW001, RT001, SW001,
SR 2.11 - Marcas de tiempo FW001, RT001, SW001,
FR3 - SI

FW001, RT001, SW001,
comunicaciones

FW001, RT001, SW001,
malicioso
62

código malicioso en los puntos de FW001, RT001, SW001,
entrada y salida
FW001, RT001, SW001,

FW001, RT001, SW001,
información
SR 3.5 - Validación de entradas FW001, RT001, SW001,
SR 3.6 - Salidas Determinísticas FW001, RT001, SW001,
SR 3.7 - Manejo de errores FW001, RT001, SW001,
SR 3.8 - Integridad de sesiones FW001, RT001, SW001,

FW001, RT001, SW001,
auditoria
FR4 - DC
FW001, RT001, SW001,
información
SR 4.3 - Uso de criptografía FW001, RT001, SW001,
FR5 - RDF
SR 5.1 - Segmentación de redes FW001, RT001, SW001,
SR 5.1 RE (1) Segmentación física de FW001, RT001, SW001,
63
redes

FW001, RT001, SW001,
zonas

FW001, RT001, SW001,
comunicaciones persona a persona FW001, RT001, SW001,
FW001, RT001, SW001,
aplicaciones
FR6 - TRE
SR 6.1 - Auditar accesibilidad a logs FW001, RT001, SW001,
SR 6.2 - Monitoreo continuo FW001, RT001, SW001,
FR7 - RA

FW001, RT001, SW001,
de servicio

FW001, RT001, SW001,
comunicaciones

una denegación de servicio a otros FW001, RT001, SW001,
sistemas o redes
64
SR 7.2 - Gestión de recursos FW001, RT001, SW001,

FW001, RT001, SW001,
sistema
SR 7.3 RE (1) Verificación de backup FW001, RT001, SW001,
SR 7.3 RE (2) Automatización de

FW001, RT001, SW001,
backup

FW001, RT001, SW001,
SR 7.5 - Energía de emergencia FW001, RT001, SW001,

FW001, RT001, SW001,

seguridad actuales legibles desde una FW001, RT001, SW001,
maquina
SR 7.7 - Menos funcionalidades FW001, RT001, SW001,

FW001, RT001, SW001,
Conducto
Conducto L3- Red Operación
L2
65
Criticidad del
conducto
Alta Media Baja

Patrón de
ciberseguridad
TRE[ 2 ] RA[ 3 ]
Componente: Router corporativo

RT002 1

Criticidad del
componente:
Media Alta Baja

d 2 ] RA[ 3 ]
Componente: Switch corporativo

SW002 1

Criticidad del
componente:
Media Alta Baja

ciberseguridad Confidencialidad (Baja) IAC[ 2 ] UC[ 2 ] SI[ 2 ] DC[ 1 ] RDF[ 2 ]
66
TRE[ 2 ] RA[ 3 ]
Componente: Firewall corporativo

FW002 1

Criticidad del
componente:
Media Alta Baja

Patrón de
ciberseguridad
TRE[ 2 ] RA[ 3 ]
FR1 - IAC

RT002, SW002, FW002,
de usuarios humanos

RT002, SW002, FW002,
SR 1.3 - Gestión de cuentas RT002, SW002, FW002,
SR 1.4 - gestión de identificacion RT002, SW002, FW002,
SR 1.5 - Gestión de autenticación RT002, SW002, FW002,

RT002, SW002, FW002,
inalámbrico
67

RT002, SW002, FW002,
autenticador único

RT002, SW002, FW002,

contraseñas y restricciones en tiempo RT002, SW002, FW002,
RT002, SW002, FW002,

RT002, SW002, FW002,
en clave publica
SR 1.10 - Feedback de autenticador RT002, SW002, FW002,
SR 1.11 - Intentos de login fallidos RT002, SW002, FW002,

RT002, SW002, FW002,
sistema

RT002, SW002, FW002,
seguras

RT002, SW002, FW002,
de acceso explicita
FR2 - UC
SR 2.1 - Aplicación de autorización RT002, SW002, FW002,
68

RT002, SW002, FW002,

RT002, SW002, FW002,
roles
SR 2.2 - Control de uso inalámbrico RT002, SW002, FW002,

RT002, SW002, FW002,
SR 2.4 - Código mobile RT002, SW002, FW002,
SR 2.5 - Bloqueo de sesión RT002, SW002, FW002,

RT002, SW002, FW002,
remotas
SR 2.8 - Eventos auditables RT002, SW002, FW002,

RT002, SW002, FW002,
almacenamiento

RT002, SW002, FW002,
SR 2.11 - Marcas de tiempo RT002, SW002, FW002,
FR3 - SI

RT002, SW002, FW002,
comunicaciones
69

RT002, SW002, FW002,
malicioso

código malicioso en los puntos de RT002, SW002, FW002,
entrada y salida
RT002, SW002, FW002,

RT002, SW002, FW002,
información
SR 3.5 - Validación de entradas RT002, SW002, FW002,
SR 3.6 - Salidas Determinísticas RT002, SW002, FW002,
SR 3.7 - Manejo de errores RT002, SW002, FW002,
SR 3.8 - Integridad de sesiones RT002, SW002, FW002,

RT002, SW002, FW002,
auditoria
FR4 - DC
RT002, SW002, FW002,
información
SR 4.3 - Uso de criptografía RT002, SW002, FW002,
FR5 - RDF
70
SR 5.1 - Segmentación de redes RT002, SW002, FW002,

RT002, SW002, FW002,
redes

RT002, SW002, FW002,
zonas

RT002, SW002, FW002,
comunicaciones persona a persona RT002, SW002, FW002,
RT002, SW002, FW002,
aplicaciones
FR6 - TRE
SR 6.1 - Auditar accesibilidad a logs RT002, SW002, FW002,
SR 6.2 - Monitoreo continuo RT002, SW002, FW002,
FR7 - RA

RT002, SW002, FW002,
de servicio

RT002, SW002, FW002,
comunicaciones
SR 7.1 RE (2) Limitar los efectos de RT002, SW002, FW002,

una denegación de servicio a otros
71
sistemas o redes
SR 7.2 - Gestión de recursos RT002, SW002, FW002,

RT002, SW002, FW002,
sistema
SR 7.3 RE (1) Verificación de backup RT002, SW002, FW002,

RT002, SW002, FW002,
backup

RT002, SW002, FW002,
SR 7.5 - Energía de emergencia RT002, SW002, FW002,

RT002, SW002, FW002,

seguridad actuales legibles desde una RT002, SW002, FW002,
maquina
SR 7.7 - Menos funcionalidades RT002, SW002, FW002,

RT002, SW002, FW002,
Conducto
Conducto Z4- Red de Gestión
L3
72
Criticidad del
conducto
Alta Media Baja

Patrón de
ciberseguridad
TRE[ 2 ] RA[ 3 ]

DMZ 1-5

Criticidad del
componente:
Media Alta Baja

d 2 ] RA[ 3 ]
Componente: Router corporativo

RT003 1-5

Criticidad del
componente:
Media Alta Baja

Patrón de
ciberseguridad
TRE[ 2 ] RA[ 3 ]
Componente: Switch corporativo
73
SW003 1-5

Criticidad del
componente:
Media Alta Baja

Patrón de
ciberseguridad
TRE[ 2 ] RA[ 3 ]

FW003 1-5

Criticidad del
componente:
Media Alta Baja

Patrón de
ciberseguridad
TRE[ 2 ] RA[ 3 ]
Requisitos de ciberseguridad para el conducto Conducto Z4-L3
FR1 - IAC
SR 1.1 - Identificación y
DMZ, RT003, SW003, FW003,
autenticación de usuarios humanos

DMZ, RT003, SW003, FW003,
74
SR 1.3 - Gestión de cuentas DMZ, RT003, SW003, FW003,
SR 1.4 - gestión de identificacion DMZ, RT003, SW003, FW003,
SR 1.5 - Gestión de autenticación DMZ, RT003, SW003, FW003,

DMZ, RT003, SW003, FW003,
inalámbrico

DMZ, RT003, SW003, FW003,
autenticador único

DMZ, RT003, SW003, FW003,

contraseñas y restricciones en
DMZ, RT003, SW003, FW003,
tiempo de vida para usuarios
humanos
DMZ, RT003, SW003, FW003,
SR 1.9 - Fuerte autenticación

DMZ, RT003, SW003, FW003,
basada en clave publica
SR 1.10 - Feedback de autenticador DMZ, RT003, SW003, FW003,
SR 1.11 - Intentos de login fallidos DMZ, RT003, SW003, FW003,

DMZ, RT003, SW003, FW003,
sistema
75
SR 1.13 - Acceso a través de redes

DMZ, RT003, SW003, FW003,
no seguras
SR 1.13 RE (1) Solicitud de

DMZ, RT003, SW003, FW003,
aprobación de acceso explicita
FR2 - UC
SR 2.1 - Aplicación de autorización DMZ, RT003, SW003, FW003,

autorización para todos los DMZ, RT003, SW003, FW003,
usuarios

DMZ, RT003, SW003, FW003,
roles
SR 2.2 - Control de uso inalámbrico DMZ, RT003, SW003, FW003,

DMZ, RT003, SW003, FW003,
SR 2.4 - Código mobile DMZ, RT003, SW003, FW003,
SR 2.5 - Bloqueo de sesión DMZ, RT003, SW003, FW003,

DMZ, RT003, SW003, FW003,
remotas
SR 2.8 - Eventos auditables DMZ, RT003, SW003, FW003,

DMZ, RT003, SW003, FW003,
almacenamiento
76

DMZ, RT003, SW003, FW003,
SR 2.11 - Marcas de tiempo DMZ, RT003, SW003, FW003,
FR3 - SI

DMZ, RT003, SW003, FW003,
comunicaciones

DMZ, RT003, SW003, FW003,
malicioso

código malicioso en los puntos de DMZ, RT003, SW003, FW003,
entrada y salida
DMZ, RT003, SW003, FW003,

DMZ, RT003, SW003, FW003,
información
SR 3.5 - Validación de entradas DMZ, RT003, SW003, FW003,
SR 3.6 - Salidas Determinísticas DMZ, RT003, SW003, FW003,
SR 3.7 - Manejo de errores DMZ, RT003, SW003, FW003,
SR 3.8 - Integridad de sesiones DMZ, RT003, SW003, FW003,
SR 3.9 - Protección de información

DMZ, RT003, SW003, FW003,
de auditoria
77
FR4 - DC
DMZ, RT003, SW003, FW003,
información
SR 4.3 - Uso de criptografía DMZ, RT003, SW003, FW003,
FR5 - RDF
SR 5.1 - Segmentación de redes DMZ, RT003, SW003, FW003,
SR 5.1 RE (1) Segmentación física

DMZ, RT003, SW003, FW003,
de redes

DMZ, RT003, SW003, FW003,
zonas

DMZ, RT003, SW003, FW003,
comunicaciones persona a persona DMZ, RT003, SW003, FW003,
DMZ, RT003, SW003, FW003,
aplicaciones
FR6 - TRE
SR 6.1 - Auditar accesibilidad a logs DMZ, RT003, SW003, FW003,
SR 6.2 - Monitoreo continuo DMZ, RT003, SW003, FW003,
78
FR7 - RA
SR 7.1 - Protección contra

DMZ, RT003, SW003, FW003,
denegación de servicio
SR 7.1 RE (1) Gestionar la carga en

DMZ, RT003, SW003, FW003,
las comunicaciones

una denegación de servicio a otros DMZ, RT003, SW003, FW003,
sistemas o redes
SR 7.2 - Gestión de recursos DMZ, RT003, SW003, FW003,

DMZ, RT003, SW003, FW003,
sistema
SR 7.3 RE (1) Verificación de backup DMZ, RT003, SW003, FW003,

DMZ, RT003, SW003, FW003,
backup
SR 7.4 - Restauración y
reconstitución del sistema de DMZ, RT003, SW003, FW003,
control
SR 7.5 - Energía de emergencia DMZ, RT003, SW003, FW003,

DMZ, RT003, SW003, FW003,

seguridad actuales legibles desde DMZ, RT003, SW003, FW003,
una maquina
79
SR 7.7 - Menos funcionalidades DMZ, RT003, SW003, FW003,

DMZ, RT003, SW003, FW003,
Conducto
Conducto L3- DMZ a Red Pública
Z0

Criticidad del
conducto
Baja Baja Baja
Patrón:20 - Integridad (Baja) Disponibilidad (Baja)

Patrón de
ciberseguridad
TRE[ 1 ] RA[ 1 ]
80

Corregido, Gracias

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Corregido, Gracias

Cargado por

Copyright:

Formatos disponibles

Descripción del Curso: Estándares y Buenas Prácticas de

Ciberseguridad para Infraestructuras Críticas

Nombre Docente: Ernesto Landa

Descripción de Actividad: Proceso Industrial

SURFACE MINING S.A. es una empresa minera de medianas características,

La misión de SURFACE MINIG S.A, es proveer de diversos metales en la más

Para su operación mina, han elaborado de una planta, y área de chancado y

II. El Proceso Industrial

Debido a la alta demanda en relación a ventas forward de Cobre refinado, el proceso

Contamos con dos líneas de producción de molienda automatizada, la infraestructura

Para el proceso de supervisión es en tiempo real, y este se ha implementado en el

Operación segregada o aislada

Este proyecto ya ha pasado a fase de evaluación.

Tipo / Vendor Modelo Sistema Operati vo Servicios

Servidor Dell PowerEdge T20 Windows Server 2016 App

Canti dad: 5 Virtualizados SQL

Servidor Backup ProLiant MI100 Windows Server 2016 Sitema respaldo

Workstati on Dell Windows 8.1 SFTP Client

Canti dad: 2 File Server

Laptop Dell Windows 10 SFTP Client

Canti dad: 2 File Server

Impresora HP Firmware Fabricante Servicio impresion

Tipo / Vendor Modelo Sistema Operati vo Servicios

Switch Hirschman RS40 Red de Control (PLC)

Switch Mach 1000 Red de Control

Switch Industrial Catalyst IE3400 Firmware 2020 8 Puertos Ethernet

PLC CompactLogix Dust Collector DC-

PLC ControlLogix Matriz de Tonelaje

PLC FlexLogix L34 Rainwater System

En la zona de Supervisión y Control-Lvl3, la arquitectura del conducto L3-L2 red de

En la zona Corporativa / IT – Zona 4, contamos con el conducto Z4-L3 red de gestión,

En relación a los Security Level, en nuestra arquitectura se ha determino establecer la

Tipo / Vendor Modelo Sistema Operati vo Servicios

Servidor Dell PowerEdge Windows Server 2019 DCS

Canti dad: 4 (Virtual Machines) MES

Servidor app vendor

FireWall Cisco Cisco ASA 5525-x Security Firewall

Data Domain DELL DD 6400 Backup restore

Router Cisco Cisco IE-1000- Administración

Switch Hirschman Mach 1000 Red de Campo

Canti dad: 4 Red de Control

Impresora HP Impresora de TAGS

CASO SURFACE MINING S.A

Sector : Infraestructura critica

Zona Zona Campo

Integridad Disponibilidad Confidencialidad

Patrón:260 - Integridad (Media) Disponibilidad (Alta)

Integridad Disponibilidad Confidencialidad

Patrón:260 - Integridad (Media) Disponibilidad (Alta)

Requisitos de ciberseguridad para la zona Zona Campo

Componentes que requieren el

SR 1.1 - Identificación y autenticación de

SR 1.1 - RE (1) Identificación y

SR 1.3 - Gestión de cuentas Sensor vibración,

SR 1.4 - gestión de identificacion Sensor vibración,

SR 1.5 - Gestión de autenticación Sensor vibración,

SR 1.6 - Gestión de acceso inalámbrico Sensor vibración,

SR 1.6 RE (1) Identificador y

SR 1.7 - Fortaleza de autenticación

SR 1.7 RE (1) Generación de contraseñas

SR 1.8 - Certificados de infraestructura

SR 1.9 - Fuerte autenticación basada en