Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Organización Activo
Marca/Modelo Codigo Equipo Usualrio Activo Ubicación
SIEMENS/ Supervisor SCADA CINTA PALETIZADORA
SIEMENS/S71200 Mantenedor PLC CINTA PALETIZADORA
SIEMENS/ Operador HMI CINTA PALETIZADORA
SIEMENS/ Operador Cinta ingreso N1 Salida maq N1
SIEMENS/ Operador Cinta ingreso N2 Salida maq N1
SIEMENS/ SWITCH CINTA PALETIZADORA
SIEMENS/ INDUSTRIAL IOT CINTA PALETIZADORA
SIEMENS/ DISPOSITIVO SAP CINTA PALETIZADORA
SIEMENS/ ROBOT IRB 660 CELDA ROBOTICA
SIEMENS/ ET 200eco PN CINTA PALETIZADORA
SIEMENS/ FUENTE ALIMENTACIÓN CINTA PALETIZADORA
SIEMENS/ PANEL CINTA PALETIZADORA
IP-Red Valor Clasificación Nivel Valor Valor Clasificación
Medio Confidencial Alto 3 Público
Alto Privado Medio 2 Privado
Bajo Público Bajo 1 Confidencial
192.168.1.195 Bajo Público
192.168.1.196 Bajo Público
192.168.0.1/24 Medio Privado
Medio Privado
Alto Confidencial
Alto Privado
Bajo Privado
Alto Privado
Medio Público
Tipo Vulnerabilidad
Software Pruebas insuficientes
Software Fallos conocidos en el software
Software Sesiones permanentemente abiertas
Organización Falta de procedimiento para la revisión de permisos
Organización Falta de auditorías periódicas
Organización Falta de procedimientos para la identificación y gestión de los riesgos
Usuarios Utilización de usuarios genéricos
Usuarios Desconocimiento de las implicaciones de la ciberseguridad
Software Asignación de privilegios incorrecta o insuficiente
Organización Falta de procedimiento para gestión de usuarios
Organización Falta de cláusulas de ciberseguridad en contratos con terceros
Software Contraseñas almacenadas en claro
Red Falta de mecanismos de autenticación
Usuarios Uso incorrecto de credenciales de acceso
Software Falta de mecanismos de identificación y autenticación.
Software Mala gestión de credenciales (o ausencia de la misma).
Organización Falta de asignación de responsabilidades
Personal Ausencia de personal
Software Interfaces de uso complicados
Software Documentación escasa
Software Configuración incorrecta (o por defecto)
Personal Personal contratado inadecuado
Personal Falta de formación en ciberseguridad
Personal Uso incorrecto de software y hardware
Personal Falta de concienciación en ciberseguridad
Organización Falta de procedimientos de incorporación de software
Hardware Control de cambios poco eficiente
Organización Falta de control de cambios
Organización Falta de responsabilidades de seguridad en la descripción de los puestos de
Ubicación Ubicación susceptible a inundaciones
Hardware Susceptibilidad a factores ambientales
Ubicación Control de acceso físico no adecuado
Hardware Almacenamiento sin protección
Software Falta de medidas de seguridad físicas
Organización Falta de definición de un proceso disciplinario en caso de incidentes de ci
Organización Falta de procedimiento para uso de dispositivos móviles
Hardware Cortes de luz/energía
Hardware Susceptibilidad a variaciones de voltaje
Ubicación Suministro eléctrico inestable
Red Existencia de puntos únicos de fallo
Hardware No existe inventario de activos
Organización Personal de planta no capacitado para las tecnologías de información utiliz
Organización Personal de TI no capacitado para las tecnologías de operación utilizadas
Organización Sistemas contratados fuera de los procedimientos corporativos
Hardware Mantenimiento insuficiente
Hardware Instalación incorrecta
Organización Servicios de mantenimiento inadecuados
Organización Acuerdos de nivel de servicio insuficientes
Organización Falta de planes de continuidad
Organización Ciberseguridad no contemplada en acuerdos de mantenimiento y/o nivel de
Organización Carencia de entornos de prueba
Organización Ciberseguridad no contemplada en diseño y/o despliegue
Software Uso de herramientas TI no adecuadas al entorno industrial
Hardware Existencia de dispositivos "legacy"
Software Fallos 0-Day
Software Sistemas sin mantenimiento
Software Falta de control de cambios
Software No realización de copias de seguridad
Software Mala estructuración de logs (excesivos, ininteligibles,…)
Organización Falta de implicación de TI respecto a ciberseguridad industrial
Software Mala gestión de recursos computacionales (memoria, espacio en disco,..)
Red Gestión de red inadecuada
Red Líneas de comunicación desprotegidas
Red Tráfico no cifrado
Red Arquitectura de red insegura
Red Conexiones remotas no controladas (proveedores, fabricantes)
Red Uso de protocolos no seguros
Red Conexión entre red corporativa y red de control
Red Conexión directa a Internet desde la red de control
Personal Trabajo no supervisado
Organización Falta de política de mesas y pantallas limpias
Red Conexiones públicas desprotegidas
Personal Falta de políticas de uso
Organización Falta de procedimiento para el reporte de incidencias o debilidades de cib
Software Software/Firmware no actualizado
Red Uso de herramientas de red no permitidas (sniffers, escáneres, etc.)
Organización Falta de procedimientos sobre uso de software autorizado
Red Ataques desde la red pública
Red Existencia de "cajas negras" en la red
Software Descarga y utilización de software no autorizado
Red Existencia de servidores dual homed
Software Malware activo
Software Servicios innecesarios habilitados
Personal Falta de mecanismos de monitorización
Hardware Sensibilidad a interferencias
Amenaza asociada
CF1
CF1
CF1
CF1
CF1
CF1
CF1,CF2,CF3
CF1,CF5,NA3
CF1,NA7
CF1,NA7
CF1,NA7
CF2
CF2
CF2
CF2,NA7
CF2,NA7
CF3,NA7
CF4
CF5
CF5
CF5
CF5
CF5
CF5
CF5
CF5
CF5,NA7
CF5,NA7
CF5,NA7
DF2
DF3
DF4
DF5
DF5
DF5
DF5
FS2
FS2
FS2
FS3
FS4
FS4,CF5,NA1
FS4,CF5,NA1
FS4,FT1,NA5,NA6,CF1,CF2,CF5
FT1
FT1
FT1
FT1
FT1
FT1
FT1
FT1
FT1,FS4,NA2,NA3,NA6
FT1,FS4,NA6,CF5
FT2
FT2
FT2
FT2
FT2
FT2,FT3,NA5,CF3,CF4
FT3
FT3
IN1
IN1
IN1
IN1,IN2,NA1,NA2,NA3,NA4
IN1,IN3,CF1
IN1,IN3,NA1,NA3,NA4,NA5
IN1,IN5,IN3,NA4,NA5
IN2
IN2,IN5
NA1
NA1
NA1
NA1,NA2,NA3
NA2
NA2
NA4
NA4,NA5,NA6
NA5
NA5,NA4
NA5,NA7
NA6
NA6
RA1
Tipo Amenaza
Daño físico Fuego
Información Intercepción de
comunicaciones
Robo de medios físicos o
Información documentos
Modificación de información
Información en tránsito
Modificación de la información
Información
en reposo
Acceso no autorizado a la
Información
información en reposo
Parada de los sistemas debida a un fallo del suministro de energía. FS2 D,A
Uso en las instalaciones de software no autorizado por las políticas NA2 A,D
de la organización.
Modificación no autorizada de los datos utilizados en los procesos
NA3 D
de producción.
Acciones de hackers que pueden interferir en los procesos de
NA4 D
producción.
Existencia de malware en los sistemas de la organización que NA5 D
puede interferir en los procesos de producción.