IndustrialSecurity Config Man 0123 Es-ES

Introducción 1
Consignas básicas de
seguridad 2
¿Qué es Industrial Security? 3

SINUMERIK / SIMOTION /
SINAMICS ¿Por qué es tan importante
Industrial Security? 4
Motion Control
Industrial Security Medidas de seguridad
en automatización y 5
accionamientos
Manual de configuración
Security Management 6
Medidas de seguridad
generales 7
Medidas de seguridad
específicas de producto 8
Referencias A
01/2023
6FC5397-5EP40-6EA2
Notas jurídicas
Filosofía en la señalización de advertencias y peligros
Este manual contiene las informaciones necesarias para la seguridad personal así como para la prevención de
daños materiales. Las informaciones para su seguridad personal están resaltadas con un triángulo de advertencia;
las informaciones para evitar únicamente daños materiales no llevan dicho triángulo. De acuerdo al grado de
peligro las consignas se representan, de mayor a menor peligro, como sigue.
PELIGRO
Significa que si no se adoptan las medidas preventivas adecuadas se producirá la muerte o bien lesiones corporales
graves.
ADVERTENCIA
Significa que si no se adoptan las medidas preventivas adecuadas puede producirse la muerte o bien lesiones
corporales graves.
PRECAUCIÓN
Significa que si no se adoptan las medidas preventivas adecuadas pueden producirse lesiones corporales.
ATENCIÓN
Significa que si no se adoptan las medidas preventivas adecuadas pueden producirse daños materiales.
Si se dan varios niveles de peligro se usa siempre la consigna de seguridad más estricta en cada caso. Si en una
consigna de seguridad con triángulo de advertencia de alarma de posibles daños personales, la misma consigna
puede contener también una advertencia sobre posibles daños materiales.
Personal cualificado
El producto/sistema tratado en esta documentación sólo deberá ser manejado o manipulado por personal
cualificado para la tarea encomendada y observando lo indicado en la documentación correspondiente a la
misma, particularmente las consignas de seguridad y advertencias en ella incluidas. Debido a su formación
y experiencia, el personal cualificado está en condiciones de reconocer riesgos resultantes del manejo o
manipulación de dichos productos/sistemas y de evitar posibles peligros.
Uso previsto de los productos de Siemens
Considere lo siguiente:
ADVERTENCIA
Los productos de Siemens sólo deberán usarse para los casos de aplicación previstos en el catálogo y la
documentación técnica asociada. De usarse productos y componentes de terceros, éstos deberán haber sido
recomendados u homologados por Siemens. El funcionamiento correcto y seguro de los productos exige que su
transporte, almacenamiento, instalación, montaje, manejo y mantenimiento hayan sido realizados de forma
correcta. Es preciso respetar las condiciones ambientales permitidas. También deberán seguirse las indicaciones y
advertencias que figuran en la documentación asociada.
Marcas registradas
Todos los nombres marcados con ® son marcas registradas de Siemens AG. Los restantes nombres y designaciones
contenidos en el presente documento pueden ser marcas registradas cuya utilización por terceros para sus propios
fines puede violar los derechos de sus titulares.
Exención de responsabilidad
Hemos comprobado la concordancia del contenido de esta publicación con el hardware y el software descritos. Sin
embargo, como es imposible excluir desviaciones, no podemos hacernos responsable de la plena concordancia. El
contenido de esta publicación se revisa periódicamente; si es necesario, las posibles correcciones se incluyen en la
siguiente edición.
Siemens AG Referencia del documento: 6FC5397-5EP40-6EA2 Copyright © Siemens AG 2015 - 2023.

Digital Industries Ⓟ 01/2023 Sujeto a cambios sin previo aviso Reservados todos los derechos
Postfach 48 48
90026 NÜRNBERG
ALEMANIA
Índice
1 Introducción........................................................................................................................................... 7
1.1 Acerca de Industrial Security ................................................................................................ 7
1.2 Acerca de esta documentación............................................................................................. 8
1.3 Opinión sobre la documentación técnica ............................................................................ 10
1.4 Documentación de mySupport ........................................................................................... 11
1.5 Service and Support........................................................................................................... 12
1.6 OpenSSL ............................................................................................................................ 14
1.7 Reglamento general de protección de datos ....................................................................... 15
2 Consignas básicas de seguridad .......................................................................................................... 17
2.1 Consignas generales de seguridad...................................................................................... 17
2.2 Garantía y responsabilidad para ejemplos de aplicación ...................................................... 18
2.3 Información de seguridad .................................................................................................. 19
3 ¿Qué es Industrial Security?................................................................................................................. 21
4 ¿Por qué es tan importante Industrial Security?.................................................................................. 23
4.1 Tendencias con repercusiones en la seguridad industrial..................................................... 23
4.2 Posibles lagunas de seguridad en una empresa................................................................... 24
5 Medidas de seguridad en automatización y accionamientos.............................................................. 25
5.1 Medidas de seguridad ........................................................................................................ 26
5.2 Industrial Holistic Security Concept de Siemens .................................................................. 28
5.3 Normas y reglamentos ....................................................................................................... 29
6 Security Management ......................................................................................................................... 31
7 Medidas de seguridad generales......................................................................................................... 33
7.1 Concepto Defense in Depth ................................................................................................ 34
7.2 Seguridad de la instalación................................................................................................. 36
7.2.1 Protección física de las áreas de producción críticas ............................................................ 36
7.3 Seguridad de red................................................................................................................ 38
7.3.1 Segmentación de la red ..................................................................................................... 38
7.3.1.1 Separación entre redes de producción y redes de oficina..................................................... 38
7.3.1.2 Segmentación de redes con SCALANCE S ........................................................................... 39
7.3.2 Productos PROFINET y SNMP .............................................................................................. 42
7.3.3 Cloud Security ................................................................................................................... 42
7.3.4 Sensores inteligentes (IoT) en la red ................................................................................... 43
7.4 Integridad del sistema........................................................................................................ 46
7.4.1 Refuerzo del sistema .......................................................................................................... 46
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 3
Índice
7.4.1.1 Servicios y puertos............................................................................................................. 46

7.4.1.2 Cuentas de usuario ............................................................................................................ 46
7.4.1.3 PC/portátiles y dispositivos móviles en el entorno industrial ................................................ 47
7.4.1.4 Almacenamiento de datos.................................................................................................. 47
7.4.1.5 Transporte de datos ........................................................................................................... 48
7.4.1.6 Contraseñas....................................................................................................................... 48
7.4.1.7 Avisos de seguridad de productos....................................................................................... 49
7.4.1.8 Antivirus............................................................................................................................ 49
7.4.1.9 Listas de excepción ............................................................................................................ 50
7.4.2 Administración de parches ................................................................................................. 50
7.4.2.1 Software de producto ........................................................................................................ 51
7.4.3 Integridad de datos ............................................................................................................ 51
7.4.4 Eliminación........................................................................................................................ 52
8 Medidas de seguridad específicas de producto................................................................................... 53
8.1 SINUMERIK ........................................................................................................................ 54
8.1.1 Cortafuegos e interconexión .............................................................................................. 54
8.1.2 Protección física de la NCU ................................................................................................. 56
8.1.3 Paneles de mando de máquina SINUMERIK (MCP/MPP) ....................................................... 56
8.1.4.1 Desactivación de las interfaces de hardware ....................................................................... 57
8.1.4.2 Servicios de comunicación y números de puerto utilizados ................................................. 58
8.1.4.3 Protección de la integridad y autenticidad de SINUMERIK ONE ............................................ 59
8.1.4.4 Secure Boot con SINUMERIK ONE ....................................................................................... 59
8.1.5 Protección antivirus............................................................................................................ 59
8.1.5.1 Listas de excepción ............................................................................................................ 60
8.1.5.2 Protección antivirus/tarjeta de memoria.............................................................................. 61
8.1.6 Actualizaciones de seguridad/administración de parches .................................................... 61
8.1.7 Administración de cuentas ................................................................................................. 62
8.1.7.1 Definición de los niveles de acceso ..................................................................................... 62
8.1.7.2 Contraseña de Safety Integrated......................................................................................... 64
8.1.7.3 Función de bloqueo de CNC ............................................................................................... 65
8.1.7.4 Borrado de claves SSH preinstaladas ................................................................................... 65
8.1.7.5 Servidor web del PLC.......................................................................................................... 66
8.1.7.6 Niveles de acceso para pulsadores de menú ....................................................................... 66
8.1.7.7 Protección de acceso BIOS y AMT ....................................................................................... 66
8.1.7.8 Protección de contraseña en Create MyConfig (CMC) .......................................................... 67
8.1.8 Protección de know-how.................................................................................................... 67
8.1.8.1 SINUMERIK Integrate Lock MyCycles ................................................................................... 68
8.1.8.2 SINUMERIK Integrate Lock MyPLC ....................................................................................... 68
8.1.8.3 OPC UA.............................................................................................................................. 69
8.1.8.4 Administración de usuarios en el TIA Portal ........................................................................ 70
8.1.8.5 SIMATIC Logon................................................................................................................... 70
8.1.9 Copia de seguridad de datos .............................................................................................. 70
8.1.10 Eliminación........................................................................................................................ 71
8.2 CNC Shopfloor Management Software ............................................................................... 72
8.2.1 Vista general del sistema.................................................................................................... 72
8.2.2 Aplicaciones en la nube (In Cloud)...................................................................................... 72
8.2.2.1 Manage MyMachines ......................................................................................................... 73
8.2.2.2 Manage MyMachines/Remote ............................................................................................ 74
8.2.2.3 Analyze MyPerformance..................................................................................................... 76
8.2.3 Aplicaciones de PC/servidor/escritorio (In Line) ................................................................... 76
Industrial Security
4 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Índice
8.2.3.1 Mcenter............................................................................................................................. 76
8.2.3.2 Operación en la nube......................................................................................................... 80
8.2.4 Aplicaciones cercanas al control (In Machine, Industrial Edge for Machine Tools)................. 82
8.2.4.1 Industrial Edge for Machine Tools ....................................................................................... 82
8.2.4.2 Analyze MyWorkpiece/Monitor ........................................................................................... 86
8.2.4.3 Analyze MyMachine /Condition .......................................................................................... 87
8.2.4.4 Protect MyMachine /3D Twin .............................................................................................. 88
8.3 SIMOTION.......................................................................................................................... 90
8.3.1.1 Seguridad de puertos ......................................................................................................... 92
8.3.1.2 Análisis de virus, parches de seguridad de Windows SIMOTION P ........................................ 92
8.3.2 Almacenamiento seguro de proyectos ................................................................................ 93
8.3.3 Protección de know-how.................................................................................................... 95
8.3.3.1 Control de accesos seguro con SIMATIC Logon.................................................................... 95
8.3.3.2 Protección de know-how en la ingeniería ........................................................................... 95
8.3.3.3 Protección anticopia de la configuración en el sistema de control ........................................ 96
8.3.4 Comparación offline/online ................................................................................................ 97
8.3.5 Servidor web SIMOTION IT ................................................................................................. 99
8.3.6 Servidor OPC UA .............................................................................................................. 102
8.3.7 Eliminación...................................................................................................................... 104
8.4 SINAMICS ........................................................................................................................ 105
8.4.1 Seguridad de red.............................................................................................................. 105
8.4.2 Protección de know-how.................................................................................................. 105
8.4.3 Parámetros: Niveles de acceso y contraseña ..................................................................... 107
8.4.4 Uso de la tarjeta de memoria............................................................................................ 108
8.4.5 Safety Integrated ............................................................................................................. 108
8.4.6 Backup y restauración de datos ........................................................................................ 109
8.4.6.1 Backup y restauración ...................................................................................................... 109
8.4.6.2 Copia de seguridad redundante........................................................................................ 110
8.4.6.3 Redundante Datensicherung_Weitere_Infos...................................................................... 111
8.4.7 Kommunikationsdienste und verwendete Portnummern_Weitere_Infos ............................ 112
8.4.8 Servicios de comunicación y números de puerto utilizados ............................................... 112
8.4.9 Servidor web integrado.................................................................................................... 112
8.4.9.1 Certificados para la transferencia de datos protegida......................................................... 113
8.4.10 Notas sobre interfaces ..................................................................................................... 114
8.4.11 Eliminación...................................................................................................................... 116
8.4.12 SINAMICS Startdrive y STARTER ........................................................................................ 117
8.4.12.1 Fallos de funcionamiento de la máquina a consecuencia de una parametrización errónea
o modificada .................................................................................................................... 117
8.4.12.2 SINAMICS Startdrive......................................................................................................... 117
8.4.12.3 SINAMICS STARTER........................................................................................................... 118
8.4.13 SINAMICS Drive Control Chart (DCC)................................................................................. 120
8.4.13.1 Seguridad industrial con SINAMICS DCC ........................................................................... 120
8.4.13.2 Uso de la protección de know-how y protección contra escritura....................................... 123
8.4.14 SINAMICS Smart Access Module ....................................................................................... 124
8.5 SIMOCRANE ..................................................................................................................... 125
A Referencias ........................................................................................................................................ 127
Glosario.............................................................................................................................................. 131
Índice alfabético ................................................................................................................................ 139
Industrial Security
Índice
Industrial Security
Introducción 1
1.1 Acerca de Industrial Security
La digitalización y la creciente interconexión de máquinas y plantas industriales conlleva un
peligro cada vez mayor de ciberataques. Por esta razón, adoptar las medidas de protección
oportunas se ha convertido en una obligación, en particular, cuando se trata de infraestructuras
críticas. Para proteger por completo las plantas industriales frente a ciberataques desde el
interior y el exterior, la seguridad debe aplicarse simultáneamente a todos los niveles, desde el
nivel de operación al de campo, desde el control de acceso hasta la protección anticopia.
Para más información visite la página web de Industrial Security (https://www.siemens.com/
industrialsecurity).
Industrial Security
Introducción
1.2 Acerca de esta documentación
Contenido
La documentación "Industrial Security" contiene medidas necesarias y consignas para la
planificación y diseño de sistemas e instalaciones. La documentación sirve a la vez como guía y
manual de referencia. Esta documentación no puede ni pretende prometer una seguridad
absoluta, ya que las amenazas actuales son demasiado variadas y complejas. Más bien contiene
todas las precauciones necesarias que deben tomarse para la configuración de sistemas en un
entorno seguro. Tiene el propósito de orientar a los fabricantes de maquinaria de cara al
funcionamiento seguro de su controlador o instalación. El operador asume la responsabilidad
de poner en práctica las medidas de seguridad.
Destinatarios
La presente documentación se dirige a los fabricantes de máquinas herramienta y máquinas de
producción, en particular:
• Planificadores y proyectistas
• Departamento de TI de clientes finales y OEM
Para poner en práctica los sistemas de seguridad descritos se requieren los siguientes
conocimientos:
• Administración de las tecnologías de la información empleadas en oficinas
• Configuración de los productos SINUMERIK / SIMOTION / SINAMICS utilizados
Estructura
El manual está dividido en tres grandes partes:
• Descripción del tema Industrial Security en el contexto industrial
• Medidas de seguridad generales: este capítulo describe las medidas que pueden tomarse de
forma general, con independencia del producto utilizado, para que un sistema sea seguro.
• Medidas específicas de producto: este capítulo aclara las funciones especiales de los
productos (clasificadas por productos MC) con las que se puede trabajar para proteger un
sistema.
Alcance estándar
La presente documentación contiene una descripción de las funciones del alcance estándar.
Este puede diferir del alcance de las funciones del sistema suministrado. Las funciones del
sistema suministrado se obtienen exclusivamente de la documentación del pedido.
En el sistema pueden ejecutarse otras funciones adicionales no descritas en la presente
documentación. Sin embargo, no existe derecho a reclamar estas funciones en nuevos
suministros o en intervenciones de servicio técnico.
Por motivos de claridad expositiva, puede que en esta documentación no se detallen todos
los datos referentes a todos los tipos de producto. Tampoco se pueden considerar aquí todos
los casos posibles de instalación, servicio y mantenimiento.
Industrial Security
Introducción
El fabricante de la máquina documentará las posibles ampliaciones o modificaciones que

realice en el producto.
Páginas web de terceros

El presente documento puede contener enlaces a páginas web de terceros. Siemens no asume
responsabilidad alguna por los contenidos de dichas páginas web ni comparte necesariamente
los contenidos ni las opiniones vertidos en ellas. Siemens no controla la información publicada
en estas páginas web ni tampoco es responsable del contenido o la información que ponen a
disposición. Cualquier riesgo asociado a su uso es responsabilidad del usuario.
Industrial Security
Introducción
1.3 Opinión sobre la documentación técnica
1.3 Opinión sobre la documentación técnica

En caso de preguntas, sugerencias o correcciones relacionadas con la documentación técnica
publicada en el Siemens Industry Online Support, utilice el enlace "Enviar feedback" que figura al
final del artículo.
Industrial Security
Introducción
1.4 Documentación de mySupport
1.4 Documentación de mySupport

El sistema basado en la web "Documentación de mySupport" permite recopilar de manera
personalizada documentación basada en los contenidos de Siemens y adaptarla a la
documentación propia de la máquina.
La aplicación se inicia mediante el icono "Mi documentación" en la página del SiePortal
"Enlaces y herramientas de mySupport" (https://support.industry.siemens.com/cs/ww/es/my):
El manual configurado puede exportarse a los formatos RTF, PDF o XML.
Nota
Los contenidos de Siemens que soportan la aplicación Documentación de mySupport se
identifican por la presencia del enlace "Configurar".
Industrial Security
Introducción
1.5 Service and Support
Product Support
Encontrará más información sobre el producto en Internet:
Product Support (https://support.industry.siemens.com/cs/ww/es/)
En esta dirección encontrará lo siguiente:
• Información actual sobre productos (notificaciones sobre productos)
• FAQ (preguntas frecuentes)
• Manuales
• Descargas
• Newsletter con la información más reciente sobre sus productos
• Foro de intercambio a escala mundial de información y experiencia para usuarios y expertos
• Personas de contacto locales a través de nuestra base de datos de personas de contacto (→
"Contacto")
• Información sobre servicio técnico in situ, reparaciones, repuestos y mucho más (→
"Servicios")
Technical Support
Los números de teléfono específicos de cada país para el asesoramiento técnico se encuentran
en Internet, en la dirección (https://support.industry.siemens.com/cs/ww/es/sc/4868), en el
área "Contacto".
Para formular una pregunta técnica, utilice el formulario online en el área "Support Request".
Formación
En esta dirección (https://www.siemens.com/sitrain) encontrará información sobre SITRAIN.
SITRAIN ofrece formación sobre productos de Siemens, sistemas y soluciones de
accionamientos y automatización.
Siemens Support en cualquier lugar
Industrial Security
Introducción
Con la galardonada aplicación "Siemens Industry Online Support" se puede acceder en

cualquier momento y lugar a más de 300.000 documentos sobre productos de Siemens
Industry. La aplicación le ofrece asistencia, entre otros, en los siguientes campos de
aplicación:
• Solución de problemas en la implementación de un proyecto
• Eliminación de errores en caso de anomalías
• Ampliación o rediseño de una instalación
Asimismo, tendrá acceso al foro técnico y a otros artículos redactados por nuestros expertos
para usted:
• FAQ
• Ejemplos de aplicación
• Manuales
• Certificados
• Información sobre productos y mucho más
La aplicación "Siemens Industry Online Support" está disponible para Apple iOS y Android.
Código de matriz de datos de la placa de características

El código de matriz de datos de la placa de características contiene los datos específicos del
equipo. Este código se puede leer con cualquier smartphone y, a través de la aplicación móvil
"Industry Online Support", permite visualizar información técnica sobre el equipo
correspondiente.
Industrial Security
Introducción
1.6 OpenSSL
1.6 OpenSSL
Este producto puede contener el software siguiente:
• Software desarrollado por el Proyecto OpenSSL para su uso en el toolkit OpenSSL
• Software criptográfico creado por Eric Young
• Software desarrollado por Eric Young
Encontrará más información en Internet:
• OpenSSL (https://www.openssl.org)
• Cryptsoft (https://www.cryptsoft.com)
Industrial Security
Introducción
1.7 Reglamento general de protección de datos

Siemens respeta los principios básicos de la protección de datos, en especial los preceptos
relativos a la minimización de datos (privacy by design).
Para este producto, esto significa:
El producto no procesa ni almacena datos personales, únicamente datos técnicos asociados
a las funciones (p. ej., etiquetas de fecha/hora). Si el usuario enlaza estos datos con otros
datos (p. ej., horarios de turnos) o almacena datos personales en el mismo medio (p. ej.,
disco duro), creando de esta manera un vínculo con personas específicas, deberá garantizar
él mismo el cumplimiento de las prescripciones legales relativas a la protección de datos.
Industrial Security
Introducción
Industrial Security
Consignas básicas de seguridad 2
2.1 Consignas generales de seguridad
ADVERTENCIA
Peligro de muerte en caso de incumplimiento de las consignas de seguridad e
inobservancia de los riesgos residuales
Si no se cumplen las consignas de seguridad ni se tienen en cuenta los riesgos residuales de la
documentación de hardware correspondiente, pueden producirse accidentes con
consecuencias mortales o lesiones graves.
• Respete las consignas de seguridad de la documentación de hardware.
• Tenga en cuenta los riesgos residuales durante la evaluación de riesgos.
ADVERTENCIA
Fallos de funcionamiento de la máquina a consecuencia de una parametrización errónea
o modificada
Una parametrización errónea o modificada puede provocar en máquinas fallos de
funcionamiento que pueden producir lesiones graves o la muerte.
• Proteja la parametrización del acceso no autorizado.
• Controle los posibles fallos de funcionamiento con medidas apropiadas, p. ej.,
DESCONEXIÓN o PARADA DE EMERGENCIA.
Industrial Security
Consignas básicas de seguridad
2.2 Garantía y responsabilidad para ejemplos de aplicación
2.2 Garantía y responsabilidad para ejemplos de aplicación

Los ejemplos de aplicación no son vinculantes y no pretenden ser completos en cuanto a la
configuración y al equipamiento, así como a cualquier eventualidad. Los ejemplos de aplicación
tampoco representan una solución específica para el cliente; simplemente ofrecen una ayuda
para tareas típicas.
El usuario es responsable del correcto manejo y uso de los productos descritos. Los ejemplos
de aplicación no le eximen de la obligación de trabajar de forma segura durante la aplicación,
la instalación, el funcionamiento y el mantenimiento.
Industrial Security
2.3 Información de seguridad

Siemens ofrece productos y soluciones con funciones de seguridad industrial con el objetivo de
hacer más seguro el funcionamiento de instalaciones, sistemas, máquinas y redes.
Para proteger las instalaciones, los sistemas, las máquinas y las redes contra de amenazas
cibernéticas, es necesario implementar (y mantener continuamente) un concepto de
seguridad industrial integral que este conforme al estado del arte. Los productos y las
soluciones de Siemens constituyen una parte de este concepto.
Los clientes son responsables de impedir el acceso no autorizado a sus instalaciones,
sistemas, máquinas y redes. Dichos sistemas, máquinas y componentes solo deben estar
conectados a la red corporativa o a Internet cuando y en la medida que sea necesario y
siempre que se hayan tomado las medidas de protección adecuadas (p. ej. cortafuegos y
segmentación de la red).
Para obtener información adicional sobre las medidas de seguridad industrial que podrían ser
implementadas, por favor visite
https://www.siemens.com/industrialsecurity.
Los productos y las soluciones de Siemens están sometidos a un desarrollo constante con el
fin de hacerlos más seguros. Siemens recomienda expresamente realizar actualizaciones en
cuanto estén disponibles y utilizar únicamente las últimas versiones de los productos. El uso
de versiones de los productos anteriores o que ya no sean soportadas y la falta de aplicación
de las nuevas actualizaciones, puede aumentar el riesgo de amenazas cibernéticas.
Para mantenerse informado de las actualizaciones de productos, recomendamos que se
suscriba al Siemens Industrial Security RSS Feed en
https://www.siemens.com/cert.
Encontrará más información en Internet:
Manual de configuración de Industrial Security (https://
support.industry.siemens.com/cs/ww/es/view/108862708/en)
ADVERTENCIA
Estados operativos no seguros debidos a una manipulación del software
Las manipulaciones del software (p. ej. mediante virus, troyanos o gusanos) pueden provocar
estados operativos inseguros en la instalación, con consecuencias mortales, lesiones graves o
daños materiales.
• Mantenga actualizado el software.
• Integre los componentes de automatización y accionamiento en un sistema global de
seguridad industrial de la instalación o máquina conforme a las últimas tecnologías.
• En su sistema global de seguridad industrial, tenga en cuenta todos los productos utilizados.
• Proteja los archivos almacenados en dispositivos de almacenamiento extraíbles contra
software malicioso tomando las correspondientes medidas de protección, p. ej. programas
antivirus.
• Al finalizar la puesta en marcha, compruebe todos los ajustes relevantes para la seguridad.
Industrial Security
Industrial Security
¿Qué es Industrial Security? 3
Definición de Industrial Security
En general, se entiende por seguridad industrial (Industrial Security) el conjunto de las medidas
destinadas a protegerse de lo siguiente:
• Pérdida de confidencialidad por acceso no autorizado a datos
• Pérdida de integridad por manipulación de datos
• Pérdida de disponibilidad (p. ej., debido a destrucción de datos o denegación de servicio
(DoS))
Objetivos de Industrial Security

Los objetivos de Industrial Security son:
• Funcionamiento sin incidencias y garantía de disponibilidad de instalaciones industriales y
procesos de producción
• Prevención de peligros para las personas y la producción como resultado de ataques a la
ciberseguridad
• Protección de la comunicación industrial frente a espionaje y manipulación
• Protección de sistemas de automatización industriales y componentes frente a accesos no
autorizados y pérdida de datos
• Sistema realizable y rentable para proteger instalaciones y equipos ya existentes que no
dispongan de funciones de seguridad propias
• Uso de estándares Industrial Security ya existentes, abiertos y de eficacia probada
• Cumplimiento de la normativa legal
En automatización y accionamientos se aplica un sistema de seguridad optimizado y
adaptado. Las medidas de seguridad no deben afectar a la producción ni ponerla en peligro.
Industrial Security
¿Qué es Industrial Security?
Industrial Security
¿Por qué es tan importante Industrial Security? 4
4.1 Tendencias con repercusiones en la seguridad industrial
Tendencias globales
Actualmente existen muchas tendencias diferentes que afectan a la seguridad industrial. Sus
efectos subrayan la relevancia de las funciones y medidas de seguridad.
• Enfoques de computación en la nube
El número de conexiones de red no deja de aumentar en todo el mundo. Esto permite el
desarrollo de cada vez más tecnologías, como la computación en la nube y las aplicaciones
relacionadas. En relación con la computación en la nube, se está produciendo un enorme
incremento en el uso de dispositivos móviles como teléfonos móviles y tabletas.
• Tecnología inalámbrica
El empleo cada vez mayor de dispositivos móviles está siendo posible, a su vez, gracias a la
disponibilidad de redes de telefonía móvil con amplia cobertura. Asimismo, la tecnología
LAN inalámbrica se está expandiendo cada vez más. El desarrollo de nuevos estándares
WLAN y de telefonía móvil avanza continuamente.
• Acceso remoto a instalaciones, máquinas y aplicaciones móviles desde cualquier lugar del
mundo
• El Internet de las cosas/Internet of Things (IoT)
En la actualidad, millones de equipos electrónicos tienen conectividad en red y se comunican
a través de Internet.
Para que los componentes y aplicaciones interconectados funcionen sin fallos, la instalación
necesita una infraestructura de red y aplicaciones que la protejan eficazmente contra
ciberataques.
Industrial Security
¿Por qué es tan importante Industrial Security?
4.2 Posibles lagunas de seguridad en una empresa
4.2 Posibles lagunas de seguridad en una empresa
Posibles lagunas de seguridad en una empresa

La cadena de seguridad de una empresa es tan fuerte como su eslabón más débil. Pueden
producirse lagunas de seguridad en numerosos puntos de una empresa, p. ej.:
• Empleados/empresas externas
• Plantas de producción
• Infraestructura de red
• Centros de cálculo/estaciones de trabajo con PC
• Ordenadores portátiles/tabletas
• Impresoras
• Smartphones/smartwatches
• Soportes de datos móviles
Para identificar los problemas de seguridad y encontrar soluciones, se necesita un concepto
integral. Todas las áreas pertinentes de la empresa deben estar regidas por directivas y
reglamentos vinculantes: equipos, sistemas, procesos y empleados.
En el ámbito industrial, la importancia de la seguridad de datos se debe fundamentalmente a la
creciente implantación de normas legales de protección de datos en todo el mundo.
Posibles amenazas
Las posibles amenazas en el terreno de la seguridad abarcan aspectos como la
confidencialidad, la integridad y la disponibilidad. Ejemplos de amenazas:
• Espionaje de datos
• Manipulación de datos o software
• Sabotaje de plantas de producción
• Paradas de instalaciones, p. ej., por virus o software malicioso
• Uso no autorizado de funciones del sistema
Posibles efectos de un incidente de seguridad

• Pérdida de propiedad intelectual
• Pérdida de producción o merma en la calidad de los productos
• Mala imagen de la empresa y perjuicios económicos
• Catástrofes medioambientales
• Peligros para las personas y las máquinas
Industrial Security
Medidas de seguridad en automatización y
accionamientos 5
En automatización y accionamientos, Siemens se ocupa de los aspectos de seguridad en tres
niveles:
• Application Security designa a los productos y funciones que atienden a las necesidades de
seguridad industrial en el entorno de automatización, en particular, teniendo en cuenta la
aplicación y la tarea, así como a las personas que trabajan en una instalación de
automatización. Esto permite implementar fácilmente la seguridad industrial en los procesos
de fabricación.
• El servicio Security Support, prestado por especialistas en redes que conocen las
necesidades particulares del sector, proporciona ayuda para el análisis, planificación,
implementación, verificación y optimización de la seguridad industrial. Este servicio conduce
a un nivel máximo en cuanto a seguridad industrial y operatividad de la planta de producción.
Mediante el servicio "Industrial Cybersecurity Services", Siemens ofrece un amplio soporte al
cliente: esto le permite aplicar medidas de protección para incrementar el nivel de seguridad
de las plantas y centros de producción. En Internet (https://new.siemens.com/uk/en/
products/services/digital-enterprise-services/industrial-security-services.html) encontrará
más información sobre la oferta completa de "Industrial Cybersecurity Services".
Industrial Security
Medidas de seguridad en automatización y accionamientos
5.1 Medidas de seguridad

Debido a la creciente digitalización, la seguridad global en automatización adquiere una
importancia cada vez mayor. Por esta razón, la seguridad industrial es un elemento fundamental
de cualquier producto que se conecte en red.
Integración de la seguridad en los productos

Las siguientes medidas garantizan la integración de la seguridad en los productos actuales de
automatización y accionamientos de Siemens:
• Se cumplen los requisitos descritos en la norma IEC 62443-4-1 para el proceso de gestión de
ciclo de vida del producto o Product Lifecycle Management (PLM). El cumplimiento ha sido
certificado por TÜV.
• Las posibles amenazas se estudian y evalúan por medio de análisis de amenazas y riesgos
o Threat and Risk Analysis (TRA). Las vulnerabilidades críticas identificadas se abordan en
el producto como funciones básicas, de acuerdo con el principio Security by Design.
• Los posibles fallos se identifican y subsanan por medio de análisis de código.
• Siemens implanta medidas de aseguramiento de la integridad en sus productos y en sus
procesos de fabricación. Esto aumenta el grado de detección de los intentos de
manipulación.
• Siemens revisa continuamente sus medidas de securización:
– Los sistemas operativos se configuran de manera que se minimicen los puntos de
ataque (p. ej., a través de puertos de servicios no necesarios).
– Siemens verifica sus productos con el fin de detectar puntos débiles de manera
temprana.
– Siemens ofrece un servicio de gestión de hotfixes y parches.
Aseguramiento de la infraestructura de desarrollo y la cadena de suministro

Como fabricante de productos de automatización y accionamiento, Siemens contribuye al
funcionamiento seguro de las instalaciones de sus clientes mediante el aseguramiento de la
infraestructura de desarrollo y la cadena de suministro:
• Siemens ProductCERT (https://siemens.com/cert) (Cyber Emergency Readiness Team) es el
departamento central que se ocupa de las infracciones de seguridad en el entorno de
productos y soluciones Siemens. Siemens ProductCERT ayuda a los departamentos de
desarrollo con servicios de asesoramiento y servicio técnico. ProductCERT proporciona
información sobre amenazas actuales, puntos débiles y contramedidas adecuadas.
• La seguridad industrial es un tema dinámico y complejo que exige una vigilancia constante
y la adaptación de nuevas medidas de seguridad. En Internet (https://new.siemens.com/
global/en/company/topic-areas/cybersecurity.html) encontrará información sobre cómo
protege Siemens sus productos y soluciones frente a ciberataques y cómo la industria se
beneficia de la competencia de Siemens.
Industrial Security
Suministro de parches, componentes de seguridad y servicios adecuados

Como fabricante de productos de automatización y accionamiento, Siemens contribuye al
funcionamiento seguro de las instalaciones de sus clientes proporcionando asistencia directa a
integradores y operadores mediante el suministro de parches, componentes de seguridad
y servicios adecuados:
• Para monitorizar el riesgo residual, Siemens ofrece vigilancia mediante un sistema SIEM.
SIEM es el acrónimo de Security Information and Event Management, y se ha convertido en
un término de uso habitual en seguridad TI. Estos sistemas son capaces de identificar y
valorar eventos relevantes para la seguridad, y avisar de ellos al administrador.
• Para mejorar la seguridad de un sistema de control industrial, Siemens ofrece también la
vigilancia a través del método OSA (OT Security Appliance) (https://siemens.sharepoint.com/
teams/rc-cn-OTSecurityAppliance).
El objetivo de OSA es el mercado de la vigilancia de seguridad de OT y es una solución OT-
SIEM integral que, por un lado, tiene en cuenta las características de los sistemas OT y, por
otro, proporciona una transparencia completa de los sistemas OT, incluidos los Assets y los
riesgos operativos.
Consulte también
Always active (https://new.siemens.com/global/en/products/automation/topic-areas/industrial-
security/certification-standards.html#Alwaysactive)
Industrial Security
5.2 Industrial Holistic Security Concept de Siemens
5.2 Industrial Holistic Security Concept de Siemens

En sus productos, Siemens concede gran valor a proteger la integridad y garantizar la
confidencialidad de los datos procesados. La propiedad intelectual y el know-how de los
productos de Siemens son aspectos igualmente importantes.
Para lograrlo, se aplica el Industrial Holistic Security Concept (SI HSC) de Siemens, que
proporciona seguridad a departamentos de desarrollo y plantas de producción (ver el gráfico
siguiente). Se implantan sistemas de seguridad con varios niveles y se introducen mejoras
esenciales en la infraestructura TI. Paralelamente se han introducido mejoras en el proceso
y se forma al personal para que tenga una mayor conciencia de la seguridad en las áreas de
desarrollo y producción. Estas medidas se aplican de manera continua en Siemens y se hacen
visibles mediante los niveles de seguridad alcanzados.
SI HSC favorece también a los clientes que eligen a Siemens como socio para sus soluciones
industriales o que desean orientación sobre el sistema. El planteamiento de seguridad de
Siemens tiene en cuenta incluso a sus proveedores, de manera que Siemens aplica las
mismas normas de seguridad en las compras que en la fabricación de sus propios productos.
0RQLWRULQJRI
5HVLGXDO5LVN
3URWHFWLRQ
&RQFHSW 0RQLWRUL]DFLµQGHO
7DUJHW ULHVJRUHVLGXDOSDUD
3URWHFWLRQ PHMRUDUHOFRQFHSWRGH
6HOHFFLµQHLPSODQWD SURWHFFLµQVLHV
/HYHO FLµQGHPHGLGDV
%XVLQHVV DGHFXDGDVSDUD
QHFHVDULRSbHMVL
VXUJHQQXHYDV
,PSDFW /DLQIUDHVWUXFWXUD7,\ FXPSOLUORVUHTXLVLWRV DPHQD]DV
$VVHVVPHQW ORVSURFHVRV7,GHEHQ HVWDEOHFLGRVSbHM
FXPSOLUORVUHTXLVLWRV VLVWHPDGHSURWHFFLµQ
6FRSH GHF«OXODV
,PSRUWDQFLDGHOD GHVHJXULGDGVREUHOD
SURWHFFLµQGH EDVHGHODVQRUPDV
NQRZKRZ\OD LQWHUQDFLRQDOHV,(&
3URGXFWRV\£UHDVGH LQWHJULGDGGHO H,62
QHJRFLRTXHGHEHQ SURGXFWRSDUDOD
WHQHUVHHQFXHQWDHQ HPSUHVD
HO+ROLVWLF6HFXULW\
&RQFHSW
Figura 5-1 Proceso SI HSC Security Management
Consulte también
Secure Digitalization: Enfoque integral (https://securing-digitalization.dc.siemens.com/de/)
Industrial Security
5.3 Normas y reglamentos

En todo el proceso de desarrollo, Siemens tiene en cuenta las normas y reglamentos aplicables
en materia de seguridad industrial:
• ISO 2700X: Gestión de los riesgos de seguridad de la información
• IEC 62443: Seguridad TI para los sistemas de control industriales, seguridad de la red y del
sistema
Encontrará más información acerca de certificaciones y normas sobre seguridad
industrial en Internet (https://new.siemens.com/global/en/products/automation/topic-areas/
industrial-security/certification-standards.html).
Industrial Security
Industrial Security
Security Management 6
Un proceso Security Management conforme con las normas IEC 62443 e ISO 27001 es la base
para la implantación eficaz de Industrial Security.
"O¡MJTJTEF
BNFOB[BT
ZSJFTHPT
7BMJEBDJ³OZ %JSFDUJWBTZ
NFKPSB NFEJEBT
PSHBOJ[BUJWBT
.FEJEBT
U©DOJDBT
Figura 6-1 Proceso Security Management
Industrial Security
Security Management
Procedimiento
1. Realice un análisis de amenazas y riesgos (TRA). Determine todos los riesgos potenciales y
defina contramedidas que reduzcan el riesgo a un nivel aceptable.
Un análisis de amenazas y riesgos abarca los siguientes pasos:
– Identificación de objetos amenazados
– Análisis de valor y potencial de daño
– Análisis de amenazas y puntos débiles
– Identificación de medidas de seguridad existentes
– Valoración de riesgos
– Valoración de los efectos en lo referente a los objetivos de protección: confidencialidad,
integridad y disponibilidad
2. Establezca unas directrices e introduzca medidas organizativas coordinadas.
Fomente la conciencia de la importancia de Industrial Security en todos los niveles de la
empresa. Defina directivas y procesos para asegurar un procedimiento homogéneo en
cuanto al cumplimiento de las medidas de seguridad.
3. En tercer lugar, hay que introducir las medidas técnicas acordadas.
4. Realice una auditoría de seguridad para cerciorarse de que se han aplicado todas las medidas
y estas han servido para eliminar o reducir los riesgos identificados.
Nota
Proceso continuo
Dado que los escenarios de amenaza cambian constantemente, este proceso debe repetirse
una y otra vez. Implante el proceso Security Management como proceso continuo.
Consulte también
Medidas de seguridad generales (Página 33)
Medidas de seguridad específicas de producto (Página 53)
Industrial Security
Medidas de seguridad generales 7
En este capítulo le mostraremos las medidas de seguridad generales que debe adoptar para
proteger su sistema frente a amenazas.
Las medidas de seguridad adicionales que son específicas para los productos SINUMERIK,
SIMOTION y SINAMICS figuran en el capítulo Medidas de seguridad específicas de producto
(Página 53).
Industrial Security
Medidas de seguridad generales
7.1 Concepto Defense in Depth

Para proteger por completo las plantas industriales frente a ciberataques desde el interior y el
exterior, la seguridad debe aplicarse simultáneamente a todos los niveles, desde el nivel de
operación al de campo, desde el control de acceso hasta la protección anticopia. Con este fin,
utilizamos una defensa articulada en distintos niveles de profundidad ("Defense in Depth")
como concepto de protección global, siguiendo las recomendaciones de la norma ISA99/
IEC 62443, que es la norma de referencia para la seguridad en automatización industrial.
%FGFOTFJO%FQUI
4FHVSJEBEEFMB
JOTUBMBDJ³O
-PTSJFTHPTEFTFHVSJEBE 4FHVSJEBEEFMBSFE
PCMJHBOBBDUVBS
*OUFHSJEBEEFM
TJTUFNB
Figura 7-1 Estrategia Defense in Depth
Encontrará más información sobre el concepto Defense in Depth y sobre la planificación

de un concepto de protección para plantas industriales en Internet (https://new.siemens.com/
global/en/products/automation/topic-areas/industrial-security/planning.html).
Industrial Security
Niveles de protección
El modelo Defense in Depth consta de tres niveles:
• Seguridad de la instalación
La "seguridad de la instalación" representa el anillo protector más exterior. Consiste en
amplias medidas de protección físicas, p. ej., controles de entrada, que deben estar
perfectamente coordinadas con las medidas encaminadas a la seguridad de TI.
• Seguridad de red
Las medidas englobadas dentro del término "seguridad de red" constituyen el núcleo de las
medidas de protección. Se trata de segmentar la red de la red de planta con comunicación
limitada y segura de las subredes ("Secure Islands"), y además controlar las interfaces
mediante el uso de cortafuegos.
• Integridad del sistema
La "integridad del sistema" combina dos aspectos de protección fundamentales. Los sistemas
basados en PC y el nivel de control deben estar protegidos contra ataques. Ello incluye, por
ejemplo, las siguientes medidas:
– Mecanismos integrados de protección de acceso en componentes de automatización
para impedir modificaciones no autorizadas a través del sistema de ingeniería o durante
el mantenimiento.
– Uso de software antivirus y listas de excepción para proteger los sistemas PC contra
malware.
– Procesos de mantenimiento y actualización para mantener actualizados los sistemas de
automatización
(p. ej., gestión de parches, actualizaciones de firmware, etc.)
Industrial Security
7.2 Seguridad de la instalación
$QODJHQVLFKHUKHLW
Si hay agujeros en la seguridad física de una empresa, existe la posibilidad de que personas
no autorizadas entren en la zona/edificio de producción y causen daños o alteraciones en los
equipos de producción, o incluso se lleven información confidencial. Esto puede impedirse
protegiendo debidamente el lugar donde se encuentra la empresa y las zonas de producción.
7.2.1 Protección física de las áreas de producción críticas
Seguridad de la empresa
La seguridad física de la empresa debe garantizarse con las medidas siguientes:
• Cerramiento y vigilancia de los terrenos de la empresa
• Control de entrada, cerraduras/lectores de tarjetas o vigilantes
• Acompañamiento de personas ajenas por parte de personas pertenecientes a la empresa
• Formación sobre los procesos de seguridad de la empresa para todos los empleados
Seguridad física de la producción

La seguridad física de la producción debe garantizarse, entre otras, con las medidas siguientes:
• Control de acceso separado para áreas críticas, p. ej., áreas de producción.
• Montaje de componentes críticos en armarios eléctricos o salas de equipos con posibilidad
de cierre (se recomiendan opciones de vigilancia y alarma). Si la sala de equipos no tiene
posibilidad de cierre o si los componentes se instalan fuera de la sala de equipos con
posibilidad de cierre, los armarios eléctricos deben protegerse con un bombín de cerradura.
No deben utilizarse cerraduras simples, p. ej., cerraduras universales, cerraduras de llave
triangular/cuadrada o cerraduras de doble paletón.
• Planificación del campo radioeléctrico y limitación de los alcances de las WLAN para que no
estén disponibles fuera del área definida (p. ej., la nave industrial).
• Directrices que prohíban el uso de soportes de datos (p. ej., memorias USB) y equipos TI
(p. ej., ordenadores portátiles) externos clasificados como no seguros.
Industrial Security
Más información
Encontrará más información sobre las soluciones de seguridad integradas de Siemens en la
Página de Siveillance (https://new.siemens.com/global/en/products/buildings/security/security-
management.html).
Industrial Security
7.3 Seguridad de red
6HJXULGDGGHUHG
La seguridad de red incluye todas las medidas de planificación, ejecución y vigilancia de la

seguridad en redes. Esto incluye el control de todas las interfaces, p. ej., entre las redes de la
oficina y de la instalación o los accesos a Internet para mantenimiento remoto.
7.3.1 Segmentación de la red
7.3.1.1 Separación entre redes de producción y redes de oficina

Una medida de protección importante para el sistema de automatización o de accionamiento es
la separación estricta entre las redes de producción y el resto de las redes corporativas. Con esta
separación se obtienen zonas protegidas para sus redes de producción.
Nota
Los productos que se describen en este manual solo deben utilizarse en zonas protegidas
definidas.
Separación mediante sistema cortafuegos

En el caso más sencillo, la separación se lleva a cabo mediante un único sistema cortafuegos que
controla y reglamenta la comunicación entre las redes.
Ver también Segmentación de redes con SCALANCE S (Página 39)
Separación mediante red DMZ

En la variante segura, el acoplamiento se realiza a través de una red DMZ separada. De este modo
la comunicación directa entre la red de producción y la red corporativa se impide
completamente por medio de cortafuegos y tan solo tiene lugar indirectamente a través de los
servidores de la red DMZ.
Nota
Las redes de producción también deberían dividirse en células de automatización separadas
para proteger mecanismos de comunicación críticos.
Industrial Security

Dentro de las zonas protegidas, cumpla también las medidas de seguridad generales, p. ej., las
descritas en el capítulo Refuerzo del sistema (Página 46).
7.3.1.2 Segmentación de redes con SCALANCE S

Con el propósito de cumplir los requisitos para la protección y segmentación de redes, Siemens
ofrece los módulos de seguridad SCALANCE S. Encontrará más información sobre SIEMENS
SCALANCE S en Internet (https://siemens.com/scalance-s).
Módulos de seguridad SCALANCE S

Los módulos de seguridad SCALANCE S con Security Integrated ofrecen:
• Stateful Inspection Firewall
Para lograr un control y un registro específicos del usuario, también es posible definir reglas
de cortafuegos que se apliquen únicamente a determinados usuarios.
• VPN vía IPsec (cifrado de datos y autenticación)
Con esto se crea un túnel seguro entre usuarios autenticados cuyos datos no pueden ser
interceptados ni manipulados. El aspecto más importante es la protección contra accesos
externos a través de Internet.
• NAT/NATP (conversión de direcciones)
• Funciones de router (PPPoE, DDNS) para acceso a Internet de banda ancha (DSL, cable)
• SCALANCE S623 con puerto VPN (DMZ) adicional permite la conexión segura de otra red con
fines de servicio técnico o telemantenimiento. Además, S623 permite una conexión
redundante y segura de redes subordinadas mediante redundancia de router y de
cortafuegos.
• SCALANCE S615 dispone de cinco puertos Ethernet que permiten proteger diversas
topologías de red mediante cortafuegos o Virtual Private Network VPN (IPsec y OpenVPN) e
implantar sistemas de seguridad de manera flexible.
Requisitos
ATENCIÓN
Uso indebido de los datos
Un trayecto demasiado largo entre el equipo que se pretende proteger y el Security Module
conectado aguas arriba puede dar lugar a un uso indebido de los datos.
• Tenga en cuenta que los Security Modules conectados aguas arriba, como p. ej.,
SCALANCE S, deben instalarse cerca del equipo que se desea proteger, en el armario
eléctrico cerrado con llave. De esta manera se garantiza que en ese punto no se manipulen
los datos de forma inadvertida.
Industrial Security
Principio
El siguiente ejemplo de aplicación muestra la segmentación de células mediante varios módulos
SCALANCE S situados antes de cada célula de automatización. Con el cortafuegos de SCALANCE
S, el tráfico de datos desde y hacia los equipos se puede posible filtrar y controlar dentro de las
células de automatización. Si es necesario, es posible cifrar y autenticar el tráfico entre células.
Con SOFTNET Security Client, un software de cliente VPN para PC, es posible establecer canales
seguros y el acceso de cliente a las células desde los PC.
Industrial Security
6HJXULGDGGHOD
LQVWDODFLµQ
&RSLDGHVHJXULGDGGHREMHWRV
6HFXULW\0DQDJHPHQW
5HGGHRILFLQD '0= *356 6&$/$1&(

&RQWURODGRU 3&FRQ 6HUYLGRU 6HUYLGRU 8076 0
GHGRPLQLRV &3
6,0$7,&
6FRQ
&3
6HJXULGDGGHUHG
5RXWHUGH
66&
,QWHUQHW
6&$/$1&( 6HUYLGRU
6 6HUYLGRU FHQWUDO
:(% GHDUFKLYRV ,QWHUQHW 6,0$7,&)LHOG3*
FRQ62)71(7
6HFXULW\&OLHQW
6&$/$1&(
0
,QGXVWULDO(WKHUQHW
6&$/$1&(6 6&$/$1&(6
5HGGHSURGXFFLµQ
3URGXFFLµQ 3URGXFFLµQ 3URGXFFLµQ 3URGXFFLµQ 3URGXFFLµQ
6,180(5,.
6,0$7,& 6,0$7,& 'VO
6,0$7,& 6FRQ 6FRQ
6FRQ 6FRQ &3 &3
&60 &3 $GYDQFHG $GYDQFHG
,QWHJULGDGGHOVLVWHPD
6,0$7,&
6
352),1(7 352),1(7 352),1(7 352),1(7 352),1(7
6,0$7,& 6,0$7,& 6,0$7,&

(7 6 (7 (7 6,0$7,& 6,0$7,& 6,0$7,&
63 63 73 (76 .73
&RPIRUW
6,0$7,& 6,1$0,&6 6,0$7,& 6,1$0,&6 6,0$7,& 6,027,21'[FRQ 6,1$0,&6

73 73 73 6,1$0,&6
Figura 7-2 Ejemplo de aplicación SCALANCE S
Industrial Security
Acceso VPN
Nota
Tenga en cuenta que un acceso VPN debe llevarse a cabo siempre con un módulo de seguridad
SCALANCE S.
7.3.2 Productos PROFINET y SNMP
Nota
Los productos con PROFINET ofrecen la posibilidad de leer y, si es necesario, escribir parámetros
mediante SNMP (Simple Network Management Protocol, puerto 160/161).
• El componente no debe identificarse exclusivamente mediante parámetros SNMP, sino que
para la identificación es necesario utilizar también la información que figura en la placa de
características (p. ej., dirección MAC, número de serie, etc.).
7.3.3 Cloud Security

Como el número de aplicaciones en la nube no deja de aumentar y la nube seguirá creciendo en
importancia, el tema de la seguridad en la nube también es muy relevante, y lo será cada vez
más.
En las siguientes direcciones encontrará orientaciones generales para hacer seguro un
sistema en un entorno de trabajo en la nube. Infórmese sobre los requisitos aplicables y
familiarícese con medidas probadas/mejores prácticas.
Primera orientación
• Companion Guide for Cloud - CIS Organisation (https://www.cisecurity.org/press-release/cis-
controls-companion-guide-for-cloud-now-available/)
• Matrix Cloud Control - CSA Organisation (https://cloudsecurityalliance.org/artifacts/cloud-
controls-matrix-v4/)
• Cuestionario Cloud Security - CSA Organisation (https://cloudsecurityalliance.org/artifacts/
consensus-assessments-initiative-questionnaire-v3-1)
• Top Threats Cloud Security - CSA Organisation (https://cloudsecurityalliance.org/research/
working-groups/top-threats/)
Industrial Security
Soluciones en la nube de Siemens

Siemens ofrece una gestión en la nube de gran calidad y un know-how excelente para
soluciones empresariales. Esto garantiza una seguridad máxima para nuestros clientes. Conozca
las soluciones en la nube de Siemens:
Figura 7-3 Soluciones en la nube de Siemens
• Resumen de la gama en la nube de Siemens (https://www.sw.siemens.com/portfolio/cloud)

• Industrial Cloud Computing (https://www.plm.automation.siemens.com/global/en/our-
story/glossary/industrial-cloud-computing/58773)
• Siemens MindSphere (https://www.plm.automation.siemens.com/global/en/products/
mindsphere/)
7.3.4 Sensores inteligentes (IoT) en la red

Los sensores IoT o sensores inteligentes (p. ej., cámaras IP) realizan mediciones analógicas en el
mundo físico. Además de la medición de magnitudes propiamente dicha, combinan el
acondicionamiento de señal y el procesamiento de señal completos en un mismo dispositivo.
Procesan datos, intercambian datos e incluso aplican algoritmos propios.
Industrial Security
Esta interacción con el mundo físico que los sensores IoT hacen posible puede dar lugar a
riesgos de seguridad y riesgos privados considerables.
ADVERTENCIA
Riesgos de utilizar sensores IoT
• Las mediciones analógicas se pueden manipular fácilmente (la intensidad luminosa, la
temperatura y la tensión se pueden falsear).
• El uso creciente de sensores IoT puede hacer que se acumule una enorme cantidad de datos
privados y sensibles que deben tratarse de forma confidencial.
• Los sensores IoT también se utilizan para proteger zonas sensibles. En el peor de los casos,
un ataque a la seguridad de un equipo de este tipo puede poner en peligro la vida de
personas, causar daños materiales considerables o provocar caídas de producción o
similares.
• Las interfaces de red IoT a menudo permiten el acceso remoto a sistemas físicos. Por lo
tanto, fabricantes, distribuidores y terceros pueden acceder de forma remota a equipos IoT
con fines de administración, vigilancia, mantenimiento y corrección de errores. Como
consecuencia, los sistemas físicos que son accesibles a través del IoT están expuestos a un
riesgo de ataque de seguridad mucho mayor que antes.
• Muchos equipos IoT deben cumplir requisitos estrictos en cuanto a rendimiento, fiabilidad,
capacidad de carga, seguridad y otros objetivos. Estos requisitos pueden ser incongruentes
con los requisitos y reglas generales de seguridad de la empresa (p. ej., parches y
actualizaciones de seguridad periódicos).
Mientras que en el caso de los sensores no inteligentes la conexión en red es exclusivamente
local, la conexión a Internet de los sensores inteligentes permite ataques desde cualquier
lugar del mundo que tenga acceso a Internet, con lo que aumenta el nivel de exposición de
la máquina y, por tanto, el riesgo de ataque.
Es necesario tomar conciencia de estos riesgos, incluirlos en el análisis de riesgos y adoptar
medidas oportunas para proteger el sistema/instalación.
Industrial Security
Medidas al utilizar sensores IoT
Figura 7-4 Sensores inteligentes
Debido a los riesgos arriba mencionados, si utiliza sensores IoT, la superficie de ataque debe
ser lo más pequeña posible, y debe adoptar las medidas siguientes:
• Establezca una transmisión segura entre el sensor y nuestro producto (SINUMERIK, Edge,
SINAMICS). Si es posible, utilice sensores inteligentes con medidas de seguridad integradas
(p. ej., protección de la integridad de la comunicación).
• Asegúrese de la autoprotección del sensor (p. ej., identificación unívoca, redundancia en el
procesamiento de señal (principio Functional Safety)).
• Utilice exclusivamente sensores inteligentes que cumplan la normativa.
• Tome medidas físicas (Industrial Holistic Security Concept de Siemens (Página 28), Concepto
Defense in Depth (Página 34)) para asegurar los puntos vulnerables a ataques físicos.
Más información
Si desea más información sobre el "Uso seguro de sensores IoT", visite las siguientes páginas de
Internet:
• Solo relevante para Alemania: Compendio sobre protección básica de TI de la Oficina Federal
alemana de Seguridad en la Tecnología de la Información (Bundesamt für Sicherheit in der
Informationstechnik, BSI). (https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/
Grundschutz/International/bsi-it-gs-comp-2019.html?nn=409850)
• Open Web Application Security Project® (OWASP) (https://owasp.org/www-project-internet-
of-things/#div-seek_and_understand)
• Internal Report NISTIR 8228 (https://nvlpubs.nist.gov/nistpubs/ir/2019/NIST.IR.8228.pdf).
Industrial Security
7.4 Integridad del sistema
,QWHJULGDGGHO
VLVWHPD
La integridad del sistema es la "ausencia de defectos" o "corrección" de los datos, o el

comportamiento correcto del sistema. Las siguientes medidas de protección de la integridad
del sistema pretenden garantizar que los datos/la funcionalidad del sistema no puedan ser
manipulados sin autorización o que las manipulaciones puedan ser detectadas.
7.4.1 Refuerzo del sistema
7.4.1.1 Servicios y puertos

Los servicios y puertos activos representan un riesgo. Para minimizar este riesgo, en todos los
componentes de automatización tan solo deberían activarse los servicios necesarios. Todos los
servicios activos (en especial servidores web, FTP, telemantenimiento, etc.) deben estar
contemplados en el sistema de seguridad.
En los manuales de producto/manuales de funciones de los productos correspondientes
encontrará una descripción de todos los puertos utilizados.
7.4.1.2 Cuentas de usuario

Cada cuenta de usuario activa permite un acceso al sistema y, por tanto, representa un riesgo
potencial. Por esta razón deben tomarse las siguientes medidas de seguridad:
• Reducción del número de cuentas de usuario configuradas/activadas al mínimo
imprescindible
• Empleo de datos de acceso seguros para las cuentas existentes. Ello incluye la asignación de
una contraseña segura.
• Verificaciones periódicas, en particular de las cuentas de usuario configuradas localmente
• Cambio periódico de las contraseñas
Industrial Security
7.4.1.3 PC/portátiles y dispositivos móviles en el entorno industrial

Los terminales empleados en el entorno industrial (PC, portátiles y dispositivos móviles) deben
cumplir los requisitos de seguridad aplicables en general. Por esta razón deben tomarse las
siguientes medidas:
• Los departamentos apropiados se encargan de configurar, administrar, revisar
periódicamente y aplicar los parches en el terminal. De este modo el dispositivo se mantiene
actualizado en todo momento. Esto significa también que siempre se instalan programas y
sistemas operativos que cuentan con soporte y mantenimiento por parte del fabricante.
• El terminal debe tener instalado un antivirus actualizado y adaptado al sistema operativo
utilizado. Es necesario actualizar periódicamente tanto los patrones de virus como el propio
programa. Como alternativa, se puede trabajar con el método Listas de excepción
(Página 50).
• Active en el terminal un cortafuegos con los ajustes adecuados.
• Utilice en el terminal una configuración sin derechos de administrador.
• Encripte todos los discos duros o medios de almacenamiento masivo (p. ej., eMMC o SSD) del
terminal utilizado para proteger los datos sensibles frente a accesos no autorizados.
• No utilice el terminal para otras tareas, p. ej., en la red de oficina. Esto sirve para mantener
separadas las redes, tal y como se indica en el capítulo "Separación entre redes de producción
y redes de oficina (Página 38)".
• Asegure los terminales con un candado para evitar robos (p. ej., conector de seguridad
Kensington) o no los deje desatendidos.
• Si deja los terminales seguros en el puesto de trabajo, active siempre el modo de bloqueo del
sistema operativo. De este modo se impide el acceso al terminal y el contenido de la pantalla
no se puede leer.
• Configure cuentas de usuario (Página 46) con sus correspondientes derechos de acceso.
• Asegure las interfaces no necesarias (p. ej., USB, red, etc.) con medidas adecuadas para evitar
accesos no autorizados. Puede hacerlo físicamente, utilizando candados para puerto USB
disponibles en el mercado, o con medidas de software apropiadas.
7.4.1.4 Almacenamiento de datos

Cuando guarde en su PC datos que sean relevantes para la seguridad, hágalo de forma segura
bajo su propia responsabilidad.
Ello incluye, entre otras, las siguientes medidas:
• Clasifique sus documentos por niveles de confidencialidad.
• Proteja sus ubicaciones cifradas, p. ej., sharepoints, contra manipulaciones.
• Si es imprescindible guardar datos confidenciales o relevantes para la seguridad, hágalo de
forma encriptada en su PC/sistema o en la red.
Los datos relevantes para la seguridad incluyen datos sensibles como, p. ej., contraseñas o
ficheros ejecutables (*.exe).
• Realice copias de seguridad periódicas de sus datos relevantes para la seguridad y protéjalos
frente a pérdida o manipulación.
Industrial Security
7.4.1.5 Transporte de datos

Cuando transporte datos, tome las siguientes medidas:
• Si desea enviar por correo electrónico datos confidenciales o relevantes para la seguridad, el
mensaje debe estar siempre encriptado.
• Si desea transportar datos confidenciales o relevantes para la seguridad en un soporte de
datos (memoria USB, disco duro, etc.), asegúrese de que utiliza un soporte seguro. Debe
comprobar periódicamente que el soporte de datos esté libre de virus. Los datos guardados
en soportes de datos locales deben estar siempre encriptados.
Estas medidas se aplican en particular a datos sensibles, p. ej., archivos, contraseñas o
ficheros ejecutables (*.exe).
7.4.1.6 Contraseñas
ATENCIÓN
Uso indebido de datos por culpa de contraseñas no seguras
Si se asignan contraseñas no seguras, es fácil que se produzca un uso indebido de datos. Las
contraseñas no seguras pueden adivinarse o descifrarse fácilmente.
• Por lo tanto, cambie siempre las contraseñas predeterminadas durante la puesta en marcha
y luego cámbielas regularmente a intervalos definidos.
• Cambie también las contraseñas de funciones que usted no utilice, para de este modo evitar
también un uso indebido de esas funciones no utilizadas.
• Mantenga sus contraseñas siempre en secreto y procure que únicamente tengan acceso a
ellas las personas autorizadas.
Asignar contraseñas seguras

Tenga en cuenta las siguientes reglas a la hora de asignar nuevas contraseñas:
• Cuando asigne nuevas contraseñas, tenga en cuenta que no sean fáciles de adivinar, p. ej.,
palabras sencillas, secuencias de teclas fáciles de adivinar, etc.
• Las contraseñas deben combinar siempre mayúsculas y minúsculas, e incluir cifras y
caracteres especiales. Los PIN deben estar formados por una secuencia de cifras arbitraria.
• Cuando asigne contraseñas, debe asegurarse de respetar siempre las normas de la empresa,
p. ej., la política especial de contraseñas.
• Tenga en cuenta que las contraseñas deben tener la longitud mínima que haya determinado
la empresa.
• Para elegir la contraseña, debe buscar (siempre que sea posible y cuando los sistemas TI y el
software lo soporten) una combinación de caracteres muy compleja.
Como ayuda, puede utilizar un programa de gestión de contraseñas. Este permite guardar y
gestionar contraseñas y números secretos cifrados, así como generar contraseñas seguras
Encontrará más información sobre la asignación de contraseñas seguras en el capítulo
Referencias (Página 127).
Industrial Security
7.4.1.7 Avisos de seguridad de productos
Nota
Cumplimiento de los avisos de seguridad de productos
Las amenazas son muy diversas y cambian constantemente. Por esta razón, debe acudir
regularmente a Industry Online Support (https://support.industry.siemens.com/sc/ww/es/sc/
asistencia-tecnica/oid2090) para mantenerse informado sobre los nuevos avisos de seguridad
que afecten a sus productos. Siga las instrucciones de los avisos de seguridad de productos.
7.4.1.8 Antivirus
Un antivirus o programa antivirus es un software que detecta, bloquea y, en su caso, elimina los
virus informáticos, gusanos y troyanos conocidos.
Los antivirus únicamente son capaces de detectar programas y códigos maliciosos (virus,
gusanos, troyanos, etc.) conocidos, de manera que no protegen contra todos los virus y
gusanos. Por eso los antivirus deben considerarse siempre un complemento a las medidas de
precaución generales.
El uso de un antivirus no debe afectar a la producción de una instalación. En último término,
esto significa que un ordenador infectado no debe desconectarse automáticamente de forma
inmediata si con ello se pierde el control del proceso de producción.
ATENCIÓN
Uso indebido de datos con antivirus online
Si utiliza un antivirus online, existe la posibilidad de que datos relevantes para la seguridad o
confidenciales caigan en las manos equivocadas y se usen indebidamente.
• Así pues, no utilice antivirus online para comprobar datos que sean relevantes para la
seguridad o confidenciales.
Nota
Mantener actualizado el programa antivirus
La base de datos del programa antivirus debe estar siempre actualizada.
Nota
No instalar simultáneamente varios antivirus
Debe evitarse la instalación simultánea de varios antivirus en un sistema.
Nota
Funcionamiento en la red local
Utilice siempre un antivirus para la conexión local con la red de la instalación.
Industrial Security
7.4.1.9 Listas de excepción

El principio de las listas de excepción es que se desconfía de todas las aplicaciones excepto de
las que se han clasificado como seguras mediante una prueba. Es decir, existe una lista positiva
(una lista blanca, llamada en inglés whitelist). Esta lista positiva contiene las aplicaciones que se
consideran inofensivas y, por tanto, pueden ejecutarse en los sistemas PC.
Las listas de excepción proporcionan protección adicional/alternativa contra aplicaciones no
deseadas, software malicioso o modificaciones no autorizadas en aplicaciones instaladas o
ficheros ejecutables (.exe, .dll).
Consulte las notas específicas de producto (Página 53) para saber si se recomienda el uso de
antivirus o listas de excepción.
7.4.2 Administración de parches
WSUS
Los sistemas Windows actuales disponen de la función WSUS (Windows Server Update
Services), ofrecida por Microsoft. WSUS ayuda a los administradores a distribuir las
actualizaciones de Microsoft en redes locales de gran tamaño. WSUS carga automáticamente los
paquetes de actualización (Microsoft Update) y los ofrece a los clientes de Windows para que los
instalen.
El proceso de actualización totalmente automático garantiza que los clientes de Siemens
dispongan siempre de las actualizaciones de seguridad de Microsoft más recientes.
ATENCIÓN
Lagunas de seguridad en sistemas operativos antiguos
Tenga en cuenta que Microsoft ya no facilita actualizaciones de seguridad automáticas,
hotfixes. etc., para los sistemas operativos anteriores a Windows 10. Esto puede dar lugar a
lagunas de seguridad peligrosas en su sistema operativo.
• Por eso, actualice su sistema operativo a la versión más reciente siempre que sea posible.
• Si trabaja con un sistema operativo antiguo, adopte medidas adicionales (p. ej., lista de
permitidos) para proteger el sistema.
Nota
Antes de instalar actualizaciones de Microsoft, tenga en cuenta lo siguiente:
• Antes de aplicar la actualización, guarde el estado del sistema para el caso de que sea
necesaria una restauración. El cliente es responsable de que la actualización sea compatible
con la configuración de la instalación.
• No conecte nunca directamente con el servidor WSUS de Internet. Garantice un entorno
seguro e instale una capa intermedia (p. ej., red DMZ, cortafuegos, módulo SCALANCE S,
etc.).
Industrial Security
7.4.2.1 Software de producto
Nota
El software de producto obsoleto también es una posible superficie de ataque.
• Por eso, instale siempre las versiones de software de producto más recientes que estén
disponibles.
7.4.3 Integridad de datos

Se entiende por integridad de datos la corrección (ausencia de defectos) de los datos y el buen
funcionamiento de los sistemas. Por lo tanto, garantizar la integridad de datos es un objetivo
fundamental de la seguridad de la información. La protección de la integridad no debe
confundirse con la protección de la confidencialidad.
ATENCIÓN
Corrupción de datos y consiguiente mal funcionamiento del sistema
En los sistemas de automatización y accionamiento, y también en los componentes de control,
se pueden cargar datos, p. ej., ficheros y programas, procedentes de fuentes externas. Estos
datos afectan al comportamiento de estos sistemas, y por eso deben protegerse contra
modificaciones no autorizadas.
Asimismo, es posible guardar y archivar datos, p. ej., ficheros, programas y aplicaciones OA.
Actualmente los sistemas no permiten asegurar la integridad de programas, ficheros y
aplicaciones OA.
Por esta razón es necesario que usted mismo adopte medidas para garantizar la integridad de
datos de sus ficheros, sus aplicaciones OA u otros datos guardados:
• Utilice el Industrial Holistic Security Concept de Siemens.
• Utilice firmas digitales para proteger los datos.
• Garantice una protección de acceso suficiente:
– Limite los derechos de acceso, p. ej., en archivos de datos/sharepoints.
– No envíe correos electrónicos sin encriptar/sin firmar.
Industrial Security
7.4.4 Eliminación
La eliminación de los productos debe llevarse a cabo conforme a las normas nacionales vigentes
que correspondan en cada caso. Los productos descritos en este manual pueden reciclarse en su
mayor parte gracias a sus materiales poco contaminantes. Para un reciclaje ecológico y la
eliminación de su antiguo equipo, le rogamos que se dirija a una empresa de eliminación de
residuos.
ATENCIÓN
Uso indebido de datos por culpa de un borrado no seguro
El borrado incompleto o no seguro de los datos almacenados en tarjetas de memoria o discos
duros del producto puede dar lugar a un uso indebido de los datos de programas de pieza,
ficheros, etc., por parte de terceros.
• Por esta razón, antes de eliminar el producto debe borrar de forma segura todos los
soportes de memoria utilizados:
• Existen programas que facilitan el borrado/formateo seguro de los soportes de memoria. O
también puede acudir a una empresa certificada de gestión de residuos que preste este
servicio.
Tenga en cuenta también las consignas de eliminación específicas del capítulo Medidas de
seguridad específicas de producto (Página 53).
Industrial Security
Medidas de seguridad específicas de producto 8
En este capítulo encontrará medidas de seguridad adicionales para los productos SINUMERIK y
CNC Shopfloor Management Software, SIMOTION, SINAMICS y SIMOCRANE.
Industrial Security
Medidas de seguridad específicas de producto
8.1 SINUMERIK
8.1 SINUMERIK
El siguiente capítulo ofrece una sinopsis de las medidas de seguridad que deben adoptarse para
proteger un control SINUMERIK clásico frente a amenazas. En la correspondiente
documentación SINUMERIK especificada encontrará descripciones exhaustivas y
procedimientos detallados.
Las medidas específicas del producto relevantes para la seguridad y las funciones especiales
para el control SINUMERIK ONE se resumen actualmente en una documentación adicional.
Este manual de configuración está especialmente orientado a los requisitos de la nueva
norma de seguridad IEC 62443. Está disponible para referencia futura en la siguiente
dirección de Internet: Manual de configuración Industrial Security SINUMERIK ONE (https://
support.industry.siemens.com/cs/ww/es/view/109808781).
Asimismo, encontrará descripciones detalladas de las funciones de seguridad existentes en la
documentación de producto/ayuda en pantalla de SINUMERIK ONE.
Muchos productos (SINUMERIK, SIMOTION, SINAMICS) contienen OpenSSL. Para esos
productos debe recordar que:
• Este producto contiene software (https://www.openssl.org/) desarrollado por el Proyecto
OpenSSL para su uso en el toolkit OpenSSL.
• Este producto contiene software (mailto:eay@cryptsoft.com) criptográfico creado por Eric
Young.
• Este producto contiene software (mailto:eay@cryptsoft.com) desarrollado por Eric Young.
8.1.1 Cortafuegos e interconexión
Estructura de interconexión de la NCU/PCU

El siguiente gráfico muestra la interconexión del control (NCU) y del IPC. La interconexión en la
red corporativa debe realizarse mediante X130 en la NCU y eth1 en el IPC. Estas dos interfaces
están protegidas por un cortafuegos frente a accesos no autorizados.
La NCU contiene una funcionalidad de filtro de paquetes (cortafuegos) que filtra la conexión
con la red de fábrica. Este cortafuegos integrado está preconfigurado con ajustes óptimos
para la comunicación entrante y saliente. El cortafuegos está configurado de manera que se
bloqueen los accesos a las redes situadas detrás y se detecten, se bloqueen y se impidan los
intentos múltiples de inicio de sesión desde una determinada dirección IP. De este modo el
control también está protegido contra los denominados ataques por fuerza bruta.
El IPC posee la función de cortafuegos a través de Windows.
ATENCIÓN
Uso indebido de datos por culpa de una interfaz no segura
Como la interfaz X120 de la NCU y la interfaz eth2 del IPC no están protegidas por un
cortafuegos, existe el peligro de uso indebido de datos. La interfaz únicamente representa
exclusivamente una posibilidad de conexión para la red local.
• Por lo tanto, no conecte nunca esta red local con Internet ni con la red corporativa.
Industrial Security
8.1 SINUMERIK
(WKHUQHW 5HGFRUSRUDWLYD
HWKFRQ &RUWDIXHJRV
FRUWDIXHJRV 6HUYLGRU
6,180(5,.23
3&87&8
HWK
3DQHOGHRSHUDGRU
6,180(5,.
5HGFRUSRUDWLYD;
FRQFRUWDIXHJRV 5HGFRUSRUDWLYD;
5HGGH FRQFRUWDIXHJRV
SODQWD+0,
ORFDO
;
6,180(5,.['
;
6HUYLFLRW«FQLFRORFDO
;
;EHL6,180(5,.21(
352),1(7
6,180(5,.21(
6,180(5,.'VO
Figura 8-1 Interconexión NCU/IPC
Configuración del cortafuegos

Por motivos de seguridad, la interfaz Ethernet X130 de la NCU y la interfaz eth1 del IPC están
protegidas por un cortafuegos. Si determinados programas tienen que acceder a un puerto
comunicación para comunicarse, el cortafuegos se puede activar y desactivar mediante
SINUMERIK Operate. Los puertos adicionales pueden habilitarse por separado.
También puede configurar el cortafuegos mediante el fichero "basesys.ini".
Más información
Encontrará más información sobre la configuración del cortafuegos y sobre los ajustes
predeterminados en los siguientes manuales:
• SINUMERIK Operate (IM9) (https://support.industry.siemens.com/cs/de/de/view/
109801207/es)
• Manual de diagnóstico (808D) (https://support.industry.siemens.com/cs/de/en/view/
109763685)
Industrial Security
8.1 SINUMERIK
8.1.2 Protección física de la NCU
ATENCIÓN
Uso indebido, manipulación y robo
Hay módulos como, p. ej., la NCU que son equipos abiertos. Al no estar protegidos, existe el
peligro de uso indebido por parte de personal no autorizado, manipulación o robo de datos
(p. ej., tarjeta CompactFlash).
• Por esta razón, las NCU deben montarse siempre en cajas y armarios eléctricos cerrados o
en cuartos eléctricos. El acceso a las cajas, armarios o cuartos eléctricos solo debe estar
permitido a personal autorizado o adecuadamente instruido. En el capítulo Protección física
de las áreas de producción críticas (Página 36) encontrará información sobre las cerraduras
permitidas.
• Para obtener más información sobre el montaje de la NCU en armario eléctrico, consulte
el Manual de producto SINUMERIK 840D sl NCU 7x0.3 PN (https://
support.industry.siemens.com/cs/ww/es/view/109782727) o los manuales de producto
correspondientes para SINUMERIK ONE: "NCU1750" y "NCU1760".
8.1.3 Paneles de mando de máquina SINUMERIK (MCP/MPP)

Los paneles de mando de máquina (Machine Control Panels y Machine Push Button Panels)
permiten un manejo cómodo de las funciones de SINUMERIK.
Nota
Los paneles de mando de máquina deben utilizarse exclusivamente en la red de máquinas local,
y deben protegerse contra accesos externos.
Nota
Actualización de firmware
Para actualizar el firmware del MCP/MPP/PP72-48 o realizar un diagnóstico de los módulos
(puerto 3845), póngase en contacto con Service&Support de Siemens (https://
support.industry.siemens.com/cs/ww/es/sc).
Consulte también
Contraseñas (Página 48)
Industrial Security
8.1 SINUMERIK
8.1.4.1 Desactivación de las interfaces de hardware
Desactivación de interfaces
Acción Descripción
Desactivar/activar las inter‐ Existe la posibilidad de activar o desactivar las interfaces Ethernet en la BIOS de la PCU.
faces Ethernet en la BIOS de Encontrará información detallada sobre este tema en el Manual de puesta en marcha Software
la PCU básico PCU (IM8) (https://support.industry.siemens.com/cs/de/en/view/109748542/es), capítu‐
lo "Ajustes de la BIOS".
Las interfaces USB de la NCU se pueden desconectar para evitar que a través de ellas pueda
Desactivar/activar interfaces propagarse software malicioso al control o a la red de la instalación. Utilice para ello el comando
USB de servicio técnico "sc_usb disable". El comando se introduce en el escritorio de servicio técnico,
en el cuadro de diálogo "Run" o en el símbolo del sistema. Utilice esta función para hacer el
sistema más seguro y protegerlo frente a manipulaciones indeseadas y software malicioso.
Encontrará más información en el Manual de puesta en marcha Software básico PCU (IM8)
(https://support.industry.siemens.com/cs/de/en/view/109748542/es), capítulo "Procedimiento
para desconectar las interfaces USB".

Industrial Security
8.1 SINUMERIK
Desactivar puertos
Acción Descripción
Desactivar el puerto PROFI‐ En STEP 7 HW Config se puede desactivar un puerto de la interfaz PROFINET de un PLC SINU‐
NET con MERIK (X150). De forma predeterminada está activado. A través de un puerto desactivado de la
PLC SINUMERIK 840D sl interfaz PROFINET no se puede acceder al PLC SINUMERIK.
Encontrará más información en el Manual de producto SIMATIC S7-300 CPU 31xC y CPU 31x:
Datos técnicos (https://support.industry.siemens.com/cs/de/en/view/12996906/es), capítulo
"Configuración de las propiedades del puerto".
Ninguna función de comunicación
Hay que tener presente que a través de un puerto desactivado no pueden existir funciones de
comunicación como, p. ej., funciones PG/OP, comunicación IE abierta o comunicación S7 (PRO‐
FINET I/O).
Desactivar el puerto PROFI‐ El puerto PROFINET se puede desactivar en el TIA Portal en "Configuración de dispositivos".
NET con PLC SINUMERIK ONE Seleccione el PLC y seguidamente cambie al menú "General > Interfaz PROFINET > Opciones
avanzadas > Puerto > Opciones de puerto". Desmarque la casilla "Activar este puerto para el uso".
Encontrará más información en la ayuda en pantalla del TIA Portal.
Desactivar puerto Para un funcionamiento seguro, tan solo debería estar disponible un determinado punto de
PROFINET de acceso a la red para diagnóstico/mantenimiento. El resto de los puertos de los controladores,
switch SCALANCE X dispositivos o switches (Scalance X) deberían estar desactivados. De este modo se impiden
(posible a partir de la serie accesos no autorizados.
X200) Encontrará más información en el Manual de configuración SIMATIC NET: Switches para In‐
dustrial Ethernet SCALANCE X-200 (https://support.industry.siemens.com/cs/de/en/view/
109757352/es), capítulo "Puertos".
8.1.4.2 Servicios de comunicación y números de puerto utilizados

SINUMERIK soporta determinados protocolos de comunicación. Para cada protocolo son
fundamentales los parámetros de dirección, el nivel y la función de comunicación afectados, así
como el sentido de la comunicación.
Esta información permite coordinar las medidas Security de protección del sistema de
automatización con los protocolos utilizados (p. ej., cortafuegos).
Encontrará más información en la información de producto "Listas de puertos SINUMERIK"
(en preparación).
Industrial Security
8.1 SINUMERIK
8.1.4.3 Protección de la integridad y autenticidad de SINUMERIK ONE
Nota
Refuerzo del sistema con soluciones de software
Si utiliza el software SINUMERIK Integrate y otras aplicaciones de PC como, p. ej., Create
MyConfig (CMC) o Access MyMachine (AMM), debe asegurarse siempre de que el PC en el que
se utilice el software cumple los requisitos de Industrial Security más recientes.
Ello incluye, p. ej.:
• las últimas actualizaciones de seguridad de Microsoft
• programa antivirus actualizado
• cortafuegos activado, etc.
Encontrará más información en el capítulo Integridad del sistema (Página 46).
8.1.4.4 Secure Boot con SINUMERIK ONE
Nota
Únicamente software firmado
Las NCU de SINUMERIK ONE disponen de un proceso de arranque seguro (Secure Boot) que
garantiza que en la NCU solo pueda cargarse software firmado de Siemens. Esto afecta tanto a
versiones de software GIV del control como a cualquier otro software (p. ej., SINAMICS TEC). En
cuanto se carga un fichero *.tgz y no hay un fichero *.sig, la NCU interrumpe el arranque.
En esa situación ya no se puede acceder al control a través de ninguna interfaz. El software
instalado previamente ya no se puede eliminar.
8.1.5 Protección antivirus
En el contexto de la larga vida útil de una máquina herramienta, el uso de un programa antivirus
no tiene sentido.
Las razones para ello son las siguientes:
• Necesidad de actualizar continuamente los patrones
La protección de un programa antivirus depende de lo actualizados que estén sus patrones
de virus. Acceder a dichos patrones durante el uso cotidiano de la máquina sin conexión
directa a Internet no es posible sin más.
• Influencia de los cambios de patrones y de los análisis en segundo plano sobre el
comportamiento del control en cuanto a tiempo de ejecución
Los análisis que se realizan en segundo plano pueden incrementar la carga del sistema y, por
tanto, afectar al comportamiento del sistema de la máquina. Cuanto más larga sea la lista de
patrones, más recursos consume el análisis, de manera que el efecto es mayor cuanto más
antigua es la máquina.
Industrial Security
8.1 SINUMERIK
• Plazo de servicio técnico breve

Por lo general, las actualizaciones y patrones de un programa antivirus están disponibles
como máximo hasta que termina el soporte del sistema operativo. Sin embargo,
generalmente una máquina herramienta tiene una vida útil mucho mayor que un sistema
operativo Windows. Por esta razón, con el paso del tiempo la protección deja de ser eficaz
contra nuevas amenazas.
• Consecuencias imprevisibles para la funcionalidad de la máquina
En ocasiones, una actualización de patrones puede hacer que el programa antivirus detecte
como sospechosa una función de sistema deseada e impida su ejecución, lo cual tiene
consecuencias imprevisibles para el manejo de la máquina.
Razones para utilizar listas de excepción

Para asegurar un IPC basado en Windows en el sistema SINUMERIK, el uso de listas de excepción
tiene sentido por las siguientes razones:
• Normalmente las listas de excepción no requieren actualizaciones para la protección
permanente de la máquina.
• Las listas de excepción mantienen su efecto protector durante toda la vida útil de la máquina
(salvo avances técnicos).
• Las listas de excepción también protegen contra malware que el programa antivirus todavía
no sea capaz de detectar.
Nota
Medidas para protección antivirus en el entorno CNC
Debe adoptar todas las medidas que sean necesarias para impedir la entrada de virus en el
entorno del control CNC. Ello incluye tomar las debidas precauciones con soportes de datos,
memorias USB, conexiones de red, transferencias de datos, instalaciones de software, etc.
Consulte también
Definiciones de virus (https://support.industry.siemens.com/cs/ww/es/view/19577116)
8.1.5.1 Listas de excepción
Ejemplo de aplicación SINUMERIK

A continuación, tomando como ejemplo el software McAfee Application Control, se describe
cómo "reforzar" la SINUMERIK PCU 50 con Windows XP. Este software requiere licencia y puede
utilizarse con la PCU 50 como versión stand-alone (Solidifier/Solidcore). El software de listas de
excepción se adquiere directamente del fabricante.
Encontrará una descripción detallada de esta aplicación en Internet (https://
Industrial Security
8.1 SINUMERIK
8.1.5.2 Protección antivirus/tarjeta de memoria

En todos los equipos SINUMERIK que disponen de tarjeta de memoria, esta debe manejarse con
especial cuidado para evitar la entrada de software malicioso en el sistema.
ADVERTENCIA
Peligro de muerte por manipulación de software cuando se utilizan dispositivos de
almacenamiento extraíbles
El almacenamiento de ficheros en dispositivos de almacenamiento extraíbles aumenta el
riesgo de infecciones, p. ej., por virus o malware. Una parametrización errónea puede provocar
fallos de funcionamiento en máquinas que pueden ocasionar lesiones graves e incluso la
muerte.
• Proteja los ficheros guardados en dispositivos de almacenamiento extraíbles contra el
software malicioso mediante las correspondientes medidas de protección (p. ej., programa
antivirus).
8.1.6 Actualizaciones de seguridad/administración de parches

Por motivos de organización, en el momento en que se entrega la PCU o el IPC no es posible
ofrecer los parches de seguridad de Windows más recientes.
Los SINUMERIK IPC basados en Windows 10 normalmente se entregan con la versión
LTSB 2016. Esta versión de Windows no solo ofrece un soporte técnico prolongado, sino
que además permite cargar parches concretos y no incluye la obligación de actualizar.
Los equipos basados en Windows deben recibir lo antes posible las últimas actualizaciones
de seguridad. Estas actualizaciones no deben instalarse mientras la máquina está en
funcionamiento. Por esta razón, debe utilizarse un servidor WSUS local (ver el capítulo
Concepto Defense in Depth (Página 34)).
Nota
Antes de instalar actualizaciones de Microsoft, tenga en cuenta lo siguiente:
• Antes de aplicar la actualización, guarde un punto de restauración para volver atrás si es
necesario. El cliente es responsable de que la actualización sea compatible con la
configuración de la instalación.
• No conecte nunca directamente con el servidor WSUS de Internet. Garantice un entorno
seguro e instale una capa intermedia (p. ej., red DMZ, cortafuegos, módulo SCALANCE S,
etc.).
En muchos casos, la actualización periódica del sistema operativo Windows de un IPC como
componente de una máquina resulta complicada, y además las actualizaciones dejan de estar
disponibles, como muy tarde, al terminar el soporte técnico del sistema operativo. Por esta
razón, el IPC debe protegerse de acuerdo con el principio Defense in Depth (Página 34), p. ej.,
utilizando un router de seguridad y una solución de listas de excepción.
Industrial Security
8.1 SINUMERIK
La versión de software CNC más reciente tiene en cuenta o resuelve los puntos débiles
conocidos en cuanto a la seguridad de la NCU.
Nota
Disponibilidad
La disponibilidad de actualizaciones de seguridad de Microsoft se comunica a través de los
Boletines de Seguridad de Microsoft. El empleo de las actualizaciones de seguridad queda
enteramente a la discreción y bajo la responsabilidad del cliente, quien puede tomar una
decisión en función de la "Evaluación de la gravedad máxima" indicada en el Boletín de
Seguridad de Microsoft. Microsoft publica información sobre actualizaciones de seguridad para
la PCU y enlaces de descarga en Internet (https://docs.microsoft.com/es-es/security-updates/).
Consulte también
Administración de parches (Página 50)
8.1.7 Administración de cuentas
8.1.7.1 Definición de los niveles de acceso
Acceso a funciones y datos de máquina

El esquema de acceso regula el acceso a las funciones y a las áreas de datos. Existen los niveles
de acceso 1 a 7, siendo 1 el nivel más alto y 7 el nivel más bajo. Los niveles de acceso 1 a 3 están
bloqueados con contraseña, y los niveles de acceso 4 a 7 con un interruptor de llave.
Ni‐ Bloqueado por Sector Clase de datos

vel
de
acce‐
so
1 Clave: SUNRISE Fabricante de la máquina Manufacturer (M)
2 Clave: EVENING Servicio técnico Individual (I)
3 Clave: CUSTOMER Usuario User (U)
4 Interruptor de llave, posi‐ Programador, preparador User (U)
ción 3
5 Interruptor de llave, posi‐ Operador cualificado User (U)
ción 2
6 Interruptor de llave, posi‐ Operador formado User (U)
ción 1
7 Interruptor de llave, posi‐ Operador entrenado User (U)
ción 0
Industrial Security
8.1 SINUMERIK
Contraseñas Linux/NCK
Nivel Nombre de usuario UID

1 manufact 102
2 service 103
3 user 104
4 operator3 105
5 operator2 106
6 operator1 107
7 operator 108
Para cada usuario mencionado existe siempre un grupo Unix de igual nombre (también
con los mismos GID que los UID). Cada usuario es miembro de su propio grupo y de todos
los grupos "inferiores". Por ejemplo, "operator2" es miembro de los grupos "operator2",
"operator1" y "operator". Con estos grupos se regulan principalmente los derechos de acceso
a ficheros.
ATENCIÓN
Uso indebido de datos por culpa de contraseñas no seguras
La asignación de contraseñas no seguras puede dar lugar fácilmente a un uso indebido de
datos. Las contraseñas no seguras se pueden descifrar fácilmente.
Para la puesta en marcha sencilla están preajustadas las contraseñas documentadas.
• Las contraseñas predeterminadas deben cambiarse siempre durante la puesta en marcha
• Las contraseñas deben cambiarse a intervalos regulares definidos
• Para software CNC <V4.8: durante la puesta en marcha debe cambiarse la contraseña Linux
además de las contraseñas SINUMERIK Operate. Encontrará más información en el manual
de puesta en marcha "Sistema operativo NCU".
• Con SINUMERIK ONE se muestra una advertencia continua hasta que se hayan cambiado las
contraseñas predeterminadas.
Encontrará más información sobre la asignación de contraseñas seguras en el
capítulo Contraseñas (Página 48).
Industrial Security
8.1 SINUMERIK
Nota
Cambio de contraseña entre SINUMERIK Operate y Linux
Los niveles de acceso para SINUMERIK Operate y para Linux están agrupados desde la versión de
software 4.8 SP3 (840D sl/828D) y la versión de software 6.13 (SINUMERIK ONE). Al cambiar una
contraseña de SINUMERIK Operate, también cambia automáticamente la contraseña
correspondiente de Linux, y viceversa. Debe tener en cuenta el siguiente comportamiento:
• Al borrar totalmente el CN no se restablecen las contraseñas a los valores predefinidos.
• Después de actualizar el software, para el CN siguen siendo válidas las contraseñas de
SINUMERIK Operate.
• Una vez que se ha cambiado una contraseña, ya no es posible devolverla a su estado de
suministro.
• Si se lleva a cabo una nueva puesta en marcha del sistema con Restore [-full] (comando de
menú en el Emergency Boot System "Recover system from USB memory stick (reformat CF
card)"), se formatea la tarjeta CF y el sistema regresa a su estado de suministro. Las
contraseñas no se encuentran en el fichero SINUMERIK. Por consiguiente, después de un
Restore [-full], es necesario cambiar las contraseñas predeterminadas y sustituirlas por
contraseñas personales.
8.1.7.2 Contraseña de Safety Integrated

En general, los datos de puesta en marcha de SINUMERIK Operate están protegidos mediante
distintos niveles de acceso. La parametrización del accionamiento relevante para la seguridad se
protege además con la contraseña de Safety Integrated. Esta contraseña se guarda en los
propios datos del accionamiento, de modo que solo las personas autorizadas que conozcan la
contraseña puedan cambiar esos datos.
Nota
La contraseña de SINAMICS Safety se debe aplicar en SINUMERIK Safety
Es posible asignar la contraseña de Safety Integrated mediante la pantalla de
SINUMERIK Operate a partir de V4.8 SP2 HF1. Asimismo, es posible asignar la contraseña de
Safety Integrated mediante una pantalla de la SINUMERIK ONE Commissioning Tool.
• Utilice siempre una contraseña Safety para que no sea posible modificar parámetros con el
software de configuración externo Starter o con el software de puesta en marcha SINAMICS
Startdrive.
Encontrará más información en el Manual de puesta en marcha Safety Integrated plus (https://
support.industry.siemens.com/cs/de/en/view/109777982/es).
Más información
Para más información sobre la forma de cambiar las contraseñas de los niveles de acceso, sobre
los distintos niveles de acceso para programas y pulsadores de menú y sobre los derechos de
acceso para ficheros, consulte el Manual de puesta en marcha SINUMERIK Operate (IM9) (https://
support.industry.siemens.com/cs/ww/es/view/109801207), capítulo "Ajustes
generales > Niveles de acceso".
Industrial Security
8.1 SINUMERIK
8.1.7.3 Función de bloqueo de CNC

La "función de bloqueo de CNC" permite, con la ayuda de un fichero cifrado previamente creado
con la aplicación Access MyMachine (AMM) de SINUMERIK Integrate, activar una fecha de
bloqueo en el control. Asimismo, es posible limitar el uso de la máquina al tiempo que falta hasta
llegar a la fecha de bloqueo. Cuando se alcanza la fecha de bloqueo, la función Arranque CN del
control se bloquea.
La función de bloqueo de CNC soporta el modelo de negocio de uso con límite de tiempo. La
protección sirve para impedir el uso no autorizado durante el período de tiempo especificado.
Nota
Únicamente para SINUMERIK 828D
Tenga en cuenta que la función de bloqueo de CNC solo está disponible en el control SINUMERIK
828D.
Encontrará más información sobre la función de bloqueo de CNC y sobre la creación del
fichero encriptado Lockset en:
• Manual del usuario SINUMERIK Integrate Access MyMachine /P2P (PC) (https://
support.industry.siemens.com/cs/de/en/view/109811131)
• Manual de funciones "PLC", capítulo "P4: PLC para SINUMERIK 828D > Función de bloqueo de
CNC"
8.1.7.4 Borrado de claves SSH preinstaladas
Caso de aplicación
Eliminando las claves SSH preinstaladas por Siemens se puede reducir el riesgo de uso indebido
de datos. No obstante, para seguir disponiendo de acceso suficiente al sistema, es posible
definir e instalar claves SSH propias.
Comando de servicio técnico

El comando de servicio técnico "sc" es una herramienta que permite realizar diversas tareas de
servicio técnico en una NCU SINUMERIK.
Sintaxis: sc clear preinstalled-keys

Nombres alternativos: ---
Nivel de autorización service
Este comando borra todas las claves SSH preinstaladas de Siemens en el controlador. En la
llamada desde el sistema de servicio esto afecta a las claves de la tarjeta CompactFlash, pero
no a las claves SSH del propio sistema de servicio.
Industrial Security
8.1 SINUMERIK
Más información
Encontrará más información en el Manual de puesta en marcha del software básico y el software
de manejo (https://support.industry.siemens.com/cs/de/de/view/109783230/es).
8.1.7.5 Servidor web del PLC

En el estado de suministro, el PLC no tiene ninguna contraseña y el servidor web del PLC no está
activado.
Nota
• Si se activa el servidor web del PLC en el proyecto S7, es imprescindible asignarle un usuario
y la correspondiente contraseña. Asigne una contraseña segura. A la hora de asignar una
contraseña, tenga en cuenta las indicaciones del capítulo Contraseñas (Página 48).
• Para que la comunicación sea confidencial y segura, utilice exclusivamente el protocolo
HTTPS.
Más información
Encontrará más información sobre el servidor web del PLC en el Manual de funciones S7-1500,
ET 200SP, ET200pro Servidor web (https://support.industry.siemens.com/cs/ww/es/view/
59193560).
8.1.7.6 Niveles de acceso para pulsadores de menú

Tanto el OEM como el usuario pueden inhibir la visualización y el manejo de los pulsadores de
menú a fin de adaptar el software de manejo a la funcionalidad necesaria y, de este modo,
gestionarlo con la mayor claridad posible. Con ello se limita la funcionalidad del sistema para
impedir el acceso a funciones del software de manejo o para restringir la posibilidad de errores
de manejo.
Nota
Aplicación de niveles de acceso modificados para pulsadores de menú
La configuración de determinados niveles de acceso para pulsadores de menú en una PCU afecta
exclusivamente a los pulsadores de menú correspondientes de la PCU. Para implementar
derechos de acceso en la NCU, tanto el fabricante como el usuario deben emplear los
mecanismos adecuados y definir las autorizaciones de la forma correspondiente.
Encontrará más información en el Manual de puesta en marcha SINUMERIK Operate (IM9)
(https://support.industry.siemens.com/cs/ww/es/view/109801207), capítulo "Niveles de
acceso para programas".
8.1.7.7 Protección de acceso BIOS y AMT

Para impedir al acceso no autorizado a la BIOS de la PCU 50 y de los SIMATIC IPC, establezca una
contraseña BIOS segura (ver el capítulo Contraseñas (Página 48)).
Industrial Security
8.1 SINUMERIK
Más información
Encontrará más información sobre los ajustes de la BIOS de la PCU 50 en el Manual de puesta
en marcha Software básico PCU (IM8) (https://support.industry.siemens.com/cs/de/en/view/
109748542/es).
Definición de contraseña para AMT (Intel® Active Management Technology)

La función Active Management Technology (AMT) sirve para gestionar la PCU de forma remota.
La gestión remota requiere que se adopten unas medidas de protección adecuadas (p. ej.,
segmentación de la red) para garantizar un funcionamiento seguro de la instalación.
Cuando se entrega una PCU, AMT está desactivada por motivos de seguridad. Cuando AMT
se activa por primera vez en la configuración de la BIOS, es preciso asignar una contraseña
segura para impedir el uso indebido de la gestión remota.
En Internet (https://support.industry.siemens.com/cs/de/en/view/52310936) encontrará más
información sobre la función AMT de la PCU y sobre el procedimiento para cambiar la
contraseña.
8.1.7.8 Protección de contraseña en Create MyConfig (CMC)
ATENCIÓN
Uso indebido de datos por culpa de una asignación de derechos errónea
Los datos de acceso, igual que las contraseñas preconfiguradas para acceder al control, pueden
ser robados y utilizados indebidamente.
• Por ello, debe tomar las medidas organizativas oportunas para asegurarse de que
únicamente personas autorizadas puedan acceder a esos ficheros.
Nota
Protección por contraseña con ficheros externos vinculados
Los mecanismos de protección integrados en CMC (protección por contraseña) no sirven para
ficheros externos vinculados que estén integrados en el contexto CMC.
Nota
Protección de paquetes CMC contra reimportación
Los paquetes CMC deben protegerse con una contraseña contra reimportación.
• Por ello, cuando asigne una contraseña para un nuevo proyecto debe establecer siempre una
contraseña contra reimportación.
8.1.8 Protección de know-how
Las siguientes funciones protegen el conocimiento tecnológico e impiden accesos no

autorizados a los controles SINUMERIK:
Industrial Security
8.1 SINUMERIK
8.1.8.1 SINUMERIK Integrate Lock MyCycles

La función "SINUMERIK Integrate Lock MyCycles" (protección de ciclos) permite encriptar ciclos
y transferirlos al control, donde se guardan protegidos contra acceso no autorizado. La
encriptación de ciclos se lleva a cabo fuera del control con el programa SINUMERIK Integrate
Access MyMachine/P2P.
En los ciclos con protección, es posible el procesamiento en el CN sin limitaciones.
Para proteger el know-how del fabricante, en los ciclos con protección se impide la
visualización del contenido.
Esta opción de software está disponible para los controles SINUMERIK 808D, 828D, 840D sl y
SINUMERIK ONE.
Encontrará un ejemplo de aplicación de la protección de ciclos para SINUMERIK en Internet
(https://support.industry.siemens.com/cs/ww/es/view/109474775).
Más información
Encontrará más información sobre la protección de ciclos en el Manual del usuario SINUMERIK
Access MyMachine /P2P (PC) (https://support.industry.siemens.com/cs/ww/es/view/
109811131).
8.1.8.2 SINUMERIK Integrate Lock MyPLC

Con ayuda de las propiedades de bloque, los bloques creados en el PLC de SIMATIC se pueden
proteger frente a modificaciones no autorizadas, entre otras cosas.
Las propiedades de bloque deben editarse con el bloque abierto. Además de las propiedades
editables, en el cuadro de diálogo correspondiente se muestran también datos con un
propósito meramente informativo: Estos datos no se pueden editar.
Un bloque que se haya compilado con esta opción no permite ver el área de instrucciones. La
interfaz del bloque se puede ver pero no se puede modificar.
Más información
Encontrará más información sobre protección de bloques en el Manual de programación y de
manejo SIMATIC Programar con STEP 7 (https://support.industry.siemens.com/cs/es/es/view/
109751825), capítulo "Propiedades de bloque".
Nota
El procesador de comunicaciones integrado en el SINUMERIK 840D sl no soporta la opción
"Protección de acceso/nivel de protección módulos".
Industrial Security
8.1 SINUMERIK
Encriptación de bloques
A partir de la versión 5.5 SP3 de STEP 7 y de la versión V4.5 SP2 del software de sistema CNC para
840D sl/840D sl, o la versión V6.13 para SINUMERIK ONE, se puede configurar una protección de
bloques encriptada para funciones y bloques de función para las vistas offline y online. Esta
función permite encriptar los bloques y proteger el código de los bloques frente a accesos
externos.
En el caso de SINUMERIK, para la encriptación debe elegirse la opción "SINUMERIK" y además,
si procede, SIMATIC.
El procedimiento para encriptar bloques se describe de forma detallada en Internet (https://
support.automation.siemens.com/WW/view/es/45632073).
8.1.8.3 OPC UA
OPC UA (Unified Architecture) es un protocolo de comunicación industrial que se ha
estandarizado para el acceso a datos de control, por ejemplo, desde sistemas de control. La
opción de software SINUMERIK Integrate Access MyMachine /OPC UA permite leer y escribir
variables en un SINUMERIK 840D sl, un SINUMERIK 828D o un SINUMERIK ONE mediante este
protocolo de comunicación.
ATENCIÓN
Uso indebido de datos por culpa de una conexión no segura con el cliente
Si la conexión con el cliente OPC UA no está encriptada, existe el peligro de uso indebido de
datos.
• Por ello, encripte siempre la conexión con el cliente OPC UA
• Encontrará información sobre la encriptación de la conexión de datos en el Manual de
configuración SINUMERIK Access MyMachine/OPC UA (https://
support.industry.siemens.com/cs/ww/es/view/109807257)
ATENCIÓN
Uso indebido de datos por culpa de una administración de usuarios/asignación de
derechos errónea
Los errores en la administración de usuarios y la asignación de derechos suponen un riesgo de
seguridad considerable. Los usuarios pueden conseguir acceso a datos o acciones para las que
no están autorizados.
• Piense detenidamente qué derechos deben asignarse a cada usuario. Como administrador,
es usted el responsable de que la administración de usuarios y la asignación de derechos
sean correctas.
Nota
Elección de una contraseña segura
Defina siempre una contraseña segura para la conexión con el cliente OPC UA. Encontrará más
información sobre cómo elegir una contraseña segura en el capítulo Contraseñas (Página 48).
Industrial Security
8.1 SINUMERIK
8.1.8.4 Administración de usuarios en el TIA Portal

El TIA Portal ofrece la posibilidad de utilizar una administración de usuarios para proyectos. Esto
permite, p. ej., proteger un proyecto contra modificaciones involuntarias o no autorizadas. Para
activar la administración de usuarios, uno de los usuarios configura la protección del proyecto.
De ese modo dicho usuario se convierte en el administrador del proyecto. Una vez activada la
protección del proyecto, solo los usuarios autorizados podrán abrirlo y editarlo. Tenga en cuenta
que no es posible suprimir la protección del proyecto.
La administración de usuarios a través del TIA Portal está disponible para los controles
SINUMERIK 840D sl y SINUMERIK ONE.
UMC - User Management Component

Asimismo, es posible instalar en uno o varios equipos el paquete de software "User Management
Component UMC", que ofrece una administración de usuarios central.
Más información
Encontrará más información sobre la administración de usuarios segura en la ayuda en pantalla
del TIA Portal.
8.1.8.5 SIMATIC Logon
Administración de usuarios y trazabilidad

El paquete de opciones SIMATIC Logon sirve para configurar derechos de acceso para proyectos
y librerías en STEP 7. De este modo, solamente un grupo de personas autorizadas podrá acceder
a esos proyectos. SIMATIC Logon se puede utilizar en combinación con SINUMERIK STEP 7.
Encontrará más información en el capítulo Control de accesos seguro con SIMATIC Logon
(Página 95).
8.1.9 Copia de seguridad de datos

En SINUMERIK existen diferentes formas de archivo y métodos de archivado para los distintos
componentes.
Momento indicado para crear una copia de seguridad de datos

Realice una copia de seguridad de datos en los siguientes momentos:
• Tras una puesta en marcha
• Tras modificar ajustes específicos de la máquina
• Tras sustituir un componente de hardware
• Antes y después de una actualización de software
• Antes de activar datos de máquina para configurar memoria
Industrial Security
8.1 SINUMERIK
Encontrará más información en los siguientes manuales:

• Manual de puesta en marcha SINUMERIK 840Dsl Puesta en marcha CNC (https://
• Manual de instalación de SINUMERIK ONE Nueva instalación y actualización
Tenga en cuenta las consignas generales sobre almacenamiento seguro de datos en relación
con archivos, capítulo Almacenamiento de datos (Página 47).
ATENCIÓN
Uso indebido de datos confidenciales cargados en el control
En el control existe el peligro de uso indebido de datos confidenciales.
• Por ello, los datos confidenciales no deben cargarse en el control (p. ej., mediante el
software "SINUMERIK Integrate Access MyMachine/P2P").
• Guarde los datos confidenciales siempre encriptados y en una ubicación local, o bien en un
espacio de memoria encriptado en la red.
8.1.10 Eliminación
ATENCIÓN
Uso indebido de datos por culpa de un borrado no seguro
El borrado incompleto o no seguro de los datos almacenados en tarjetas de memoria o discos
duros del producto puede dar lugar a un uso indebido de los datos de programas de pieza,
ficheros, etc., por parte de terceros.
• Por esta razón, antes de eliminar el producto debe borrar de forma segura todos los
soportes de memoria utilizados:
• Existen programas que facilitan el borrado/formateo seguro de los soportes de memoria. O
también puede acudir a una empresa certificada de gestión de residuos que preste este
servicio.
Industrial Security
8.2 CNC Shopfloor Management Software

El siguiente capítulo ofrece un resumen de las medidas de seguridad que pueden adoptarse para
proteger los productos de CNC Shopfloor Management Software frente a amenazas. En la
documentación de CNC Shopfloor Management Software especificada encontrará
descripciones exhaustivas y procedimientos detallados.
8.2.1 Vista general del sistema

Gracias a los 3 niveles "In Cloud", "In Line" e "In Machine" del CNC Shopfloor Management
Software, se ha creado una arquitectura TI orientada al futuro. Estos niveles corresponden a las
3 plataformas "MindSphere", "Mcenter" y "SINUMERIK/SINUMERIK Edge" con numerosas
funcionalidades a medida desde el campo hasta la nube.
In
Cloud MindSphere
In MCenter
Line
In SINUMERIK
SINUMERIK
Machine Edge
Figura 8-2 CNC Shopfloor Management Software
8.2.2 Aplicaciones en la nube (In Cloud)
MindSphere ofrece lo último en seguridad durante la adquisición de datos local y durante la

transferencia y almacenamiento de esos datos en la nube.
El marco de seguridad está basado en los principios establecidos en estándares del sector,
p. ej., la norma IEC 62443 y la norma ISO/IEC 27001, y comunicados por la Oficina Federal
alemana de Seguridad en la Tecnología de la Información (Bundesamt für Sicherheit in der
Informationstechnik, BSI), y también en recomendaciones oficiales en cuanto al manejo de
datos en entornos Cloud.
De acuerdo con las buenas prácticas de comunicación de la industria, toda la comunicación
entre el cliente y MindSphere a través de puntos finales públicos está protegida mediante
TLS V1.2. Se han utilizado certificados x509 confiables del Siemens Trust Center que
cumplen los requisitos del Instituto Europeo de Normas de Telecomunicaciones (European
Telecommunications Standards Institute, ETSI) y de CA/B-Forum (Certification Authority
Browser Forum).
Encontrará más información sobre la encriptación con MindSphere en
el MindSphere Whitepaper (https://www.plm.automation.siemens.com/global/es/resource/
mindsphere-whitepaper/87757).
Industrial Security
Los datos se almacenan siempre en servidores de alto rendimiento situados en los centros
de cálculo de los proveedores de infraestructuras de Siemens. Todos los centros de cálculo
cumplen los requisitos más estrictos en cuanto a seguridad de datos y están protegidos
contra ciberamenazas. Como proveedores comerciales de una infraestructura como servicio
en la nube (IaaS, Infrastructure as a Service), ofrecen estándares de seguridad más altos
que los equipos privados locales que suelen utilizarse para el almacenamiento de datos. Los
centros de cálculo operan de acuerdo con las mejores prácticas del sector.
Como capa de seguridad adicional, todas las empresas que participan en la infraestructura en
la nube deben adoptar medidas de seguridad locales como, p. ej., tarjetas de identificación
electrónicas, control de acceso por tarjetas, biometría, videovigilancia digital con grabación y
monitorización de alarmas.
Figura 8-3 MindSphere
8.2.2.1 Manage MyMachines
Estándares de seguridad para SINUMERIK y otros controles soportados con conexión MindSphere
La conexión de los controles a MindSphere vía TLS 1.2 /HTTPS satisface los estándares de
seguridad más estrictos.
Las versiones de SINUMERIK y de software de otros controles soportados que no cumplen
estos estándares no forman parte del producto. Para estas versiones deben adoptarse
medidas de seguridad adicionales.
El usuario es el único responsable de impedir el acceso no autorizado a sus instalaciones,
sistemas, máquinas y redes. Dichos sistemas, máquinas y componentes solo deben estar
conectados a la red corporativa o a Internet cuando y en la medida que sea necesario, y
Industrial Security
siempre que se hayan tomado las medidas de protección adecuadas (p. ej., cortafuegos y
segmentación de la red).
ATENCIÓN
Uso indebido de datos por culpa de una conexión a Internet no segura
Una conexión a Internet no segura puede dar lugar a un uso indebido de los datos, p. ej., al
transferir los datos de Assets.
Por ello, antes de establecer una conexión de red, asegúrese de que su PC esté conectado a
Internet exclusivamente a través de una conexión segura. Tenga en cuenta las consignas de
seguridad.
Seguridad de la instalación con controles SINUMERIK/otros controles soportados

Las medidas de seguridad necesarias (p. ej., antivirus, cortafuegos, parcheado del sistema
operativo, etc.) deben implementarse y actualizarse en los controles.
Seguridad de operación del PC

Las medidas de seguridad necesarias (p. ej., antivirus, cortafuegos, parcheado del sistema
operativo, etc.) deben implementarse en los PC que se utilicen para la visualización y
configuración de aplicaciones MindSphere para OEM o clientes finales.
8.2.2.2 Manage MyMachines/Remote
Medidas de seguridad y refuerzo del sistema
Nota
Como usuario de Manage MyMachines /Remote, debe cerciorarse siempre de que utiliza el
producto con las versiones más recientes del cliente SINUMERIK Integrate/cliente de otros
controles soportados, así como de los clientes Manage MyMachines /Remote Service Engineer
y Machine Operator. Asimismo, debe cumplir las directrices de seguridad industrial que figuran
en los apartados 1.3 y 2.3 del Manual de funciones de Manage MyMachines/Remote (https://
La conexión de los controles SINUMERIK y de otros controles soportados a MindSphere vía

"TLS 1.2 /HTTPS" satisface los estándares de seguridad más estrictos.
La confirmación automática de la identidad de la máquina utilizando el token disponible en
MindSphere para el Onboarding de la máquina garantiza que durante una sesión remota se
acceda a la máquina correcta.
Industrial Security
Eliminación
Para eliminar por completo una instalación de Manage MyMachines /Remote, hay que
cerciorarse de que todo el software y todos los certificados hayan sido debidamente eliminados
del equipo Microsoft Windows o del sistema de control SINUMERIK u otros sistemas de control
soportados, incluidos los sistemas de copia de seguridad. Los datos continuarán estando
disponibles dentro de MindSphere a menos que se cierre el Tenant.
Encontrará más información sobre eliminación en el Manual de funciones Manage
MyMachines/Remote (https://support.industry.siemens.com/cs/ww/es/view/109759394).
Para más información sobre conceptos generales para el acceso remoto seguro a
instalaciones industriales, consulte los siguientes documentos:
• cRSP IT Security Concept (https://support.industry.siemens.com/cs/ww/es/view/109759394)
• common Remote Service Platform (cRSP) de Siemens (https://
www.downloads.siemens.com/download-center/Download.aspx?
pos=download&fct=getasset&id1=A6V11272777)
Archivado seguro
En caso de archivar los datos exportados, tenga en cuenta que usted es responsable de que
dichos datos se archiven de forma segura.
Esto incluye, p. ej., las siguientes medidas:
• Guarde los datos exportados en una zona con acceso restringido dentro de la ubicación de
OEM/cliente final:
– P. ej., en sharepoints con restricciones de acceso
– O bien en bases de datos con administración de usuarios/autorización
• Proteja las ubicaciones de almacenamiento de datos cifradas, p. ej., sharepoints, contra
manipulaciones.
• Guarde los datos confidenciales o relevantes para la seguridad solo de forma codificada en su
PC/sistema o en la red. Los datos relevantes para la seguridad incluyen datos sensibles como
ficheros, contraseñas o ficheros ejecutables (*.exe).
• Haga una copia de seguridad periódica de los datos relevantes para la seguridad y protéjalos
cuidadosamente contra pérdida o manipulación.
Consulte también
cRSP IT security concept (https://www.downloads.siemens.com/download-center/
Download.aspx?pos=download&fct=getasset&id1=A6V11272775)
Industrial Security
8.2.2.3 Analyze MyPerformance
Nota
Para conocer las medidas de seguridad recomendadas para el producto Analyze
MyPerformance, tenga en cuenta las recomendaciones y medidas para Manage MyMachines
(Página 73).
8.2.3 Aplicaciones de PC/servidor/escritorio (In Line)
8.2.3.1 Mcenter
Acceso a los recursos del servidor Mcenter
Nota
Acceso a los recursos del servidor Mcenter
El acceso de escritura y lectura al sistema de ficheros y a los recursos del sistema operativo (en
especial, al registro de Microsoft Windows) del servidor Mcenter solo está habilitado para
usuarios con derechos de administrador. Asegúrese de que estas identificaciones de
administrador tengan asignadas contraseñas suficientemente seguras.
ATENCIÓN
Posible manipulación de datos
Existe el riesgo de que un atacante consiga acceder al sistema de ficheros del servidor Mcenter
o de los distintos clientes Mcenter desde la red de producción/de maquinaria (intranet). Allí, el
atacante puede manipular diversos componentes del sistema (p. ej., contenidos de la base de
datos). De este modo, el atacante puede alterar, por ejemplo, datos de herramienta, programas
CN, ficheros de máquina o la estructura de la instalación. Mcenter no es capaz de impedir esta
forma de ataque.
• Por tanto, como responsable de la red de maquinaria, es imprescindible que adopte las
medidas de seguridad industrial adecuadas para la red de producción/maquinaria.
Industrial Security
Uso de interfaces de programación abiertas
ATENCIÓN
Uso indebido de datos por utilizar interfaces de programación abiertas
Si se utilizan interfaces de programación abiertas, existe el peligro de uso indebido de datos.
• Por lo tanto, si utiliza interfaces de programación abiertas, use exclusivamente clientes que
se comuniquen con el servidor Mcenter mediante vías de comunicación "TLS /https" como
mínimo.
Seguridad de comunicación en aplicaciones de Mcenter

El sistema está preparado para el uso del protocolo TLS. Todos los módulos y servicios deben
comunicarse a través de canales cifrados que cumplan los requisitos de seguridad actuales. En
consecuencia, el sistema está preparado para utilizar el protocolo TLS. El servidor necesita un
certificado digital que confirme la identidad del servidor. Es posible adquirir estos artículos de
autoridades de certificación. El certificado debe llevar firma digital. Los clientes deben confiar en
estos certificados. Si utiliza un certificado propio, generado y firmado por usted, se deben
proporcionar los certificados raíz en los elementos de control de los equipos Linux y Windows.
Los certificados raíz se deben proporcionar también en los proxy TLS cuando se utilicen. El
usuario es plenamente responsable de la correcta implementación y comprobación de su
sistema.
Si se utiliza un cliente obsoleto (p. ej., un equipo Microsoft Windows NT) que no soporte
los protocolos TLS necesarios, se debería utilizar un proxy de hardware para solucionar este
problema. Este hardware puede proporcionar una capa adicional de cifrado para el canal de
comunicación. También se debe asegurar de que el proxy de hardware esté cifrado de forma
adecuada y correcta. El proxy de hardware no forma parte del producto.
Nota
• Para una comunicación segura (HTTPS) entre un cliente y el servidor se necesita un
certificado digital que confirme la identidad del servidor.
• Si la base de datos se ejecuta en un servidor independiente, se necesita un certificado en el
servidor de la base de datos para la comunicación SQL cifrada.
Encontrará más información en el manual de instalación de Mcenter, en los apartados
"Configuración de una conexión cifrada" y "Configuración de la comunicación cifrada para SQL
Server".
Refuerzo del sistema

Se entiende por refuerzo del sistema la eliminación de todos los componentes de software y
funciones que no sean imprescindibles para llevar a cabo la tarea prevista con la aplicación
deseada.
Para proteger sus Assets o la unidad de producción, debe disponer de los conocimientos
necesarios y el sistema instalado debe estar reforzado. El refuerzo del sistema debería
realizarse tomando como base las directrices correspondientes de Microsoft y otras
directrices de refuerzo. Por ejemplo, puede encontrar instrucciones de expertos en los
Industrial Security
manuales de CIS (Center for Internet Security) o, si son accesible, en documentos

corporativos, o bien puede elegir la fuente que más le convenga.
El personal de instalación y mantenimiento debe mejorar continuamente sus conocimientos
sobre seguridad industrial porque las amenazas a la seguridad de la información aumentan
día tras día. El riesgo para la seguridad del sistema es cada vez mayor y, como cliente de
Siemens, debe prepararse en consecuencia.
Es posible reutilizar configuraciones del sistema ya reforzadas. No obstante, estas
configuraciones también deberían comprobarse periódicamente, siendo necesario aplicar
nuevas reglas.
Refuerzo de software de terceros: Microsoft™ Internet Information Server, Microsoft™

SQL Server, navegadores web
Mcenter necesita software de otros fabricantes: por ejemplo, los productos Microsoft™
Internet Information Server, Microsoft™ SQL-Server y diversos navegadores. Estos productos
deben reforzarse según los últimos avances tecnológicos. En particular, es necesario que
limite el acceso a Microsoft™ SQL Server en el equipo local y que proteja el acceso
con una contraseña. También debe encriptar el acceso a la base de datos. Asimismo, es
conveniente que utilice siempre navegadores web actuales para la comunicación con el
servidor Mcenter. Si utiliza navegadores obsoletos (SSL en lugar de TLS), no se puede
garantizar una comunicación segura.
Refuerzo de productos contiguos a Mcenter

Mcenter se comunica con productos de software contiguos como, p. ej., dispositivos
de preajuste de herramientas o Teamcenter. Estos productos deben reforzarse según los
últimos avances tecnológicos para que no se produzcan incidencias a través de esta vía de
comunicación.
Finalmente, también debe disponer de los conocimientos y la experiencia necesarios para
configurar el servidor IIS. Debe estar siempre preparado para responder a los requisitos de
refuerzo reales. El usuario es responsable de adoptar los ajustes de seguridad del sistema
correctos en el entorno del cliente.
Ejemplos:
• Si se proporciona una conexión a un escritorio remoto, debe garantizarse la máxima
configuración de seguridad posible para evitar un posible ataque MITM (Man-In-The-Middle).
• Proteja su sistema contra la inyección de código utilizando tecnología y conocimientos
acordes con los últimos avances tecnológicos.
• Almacene los certificados de forma segura para que no puedan ser exportados por instancias
no autorizadas. En esos casos, deben observarse las directrices de refuerzo al realizar la
configuración.
• Los servidores deben funcionar en una zona/sala de servidores segura y restringida a la que
solo pueda acceder personal autorizado.
• Codifique la memoria de los servidores o los datos que contienen para evitar ataques al
sistema, en caso de que este se vea comprometido físicamente.
• Realice periódicamente copias de seguridad del sistema para proteger los datos.
• El servidor de licencias se pone a disposición o está disponible exclusivamente de manera
local.
Industrial Security
Intercambio de ficheros de red mediante unidades comunes
Nota
Intercambio de ficheros de red mediante unidades comunes (Server Message Block, SMB)
Si utiliza SMB para el intercambio de ficheros con funciones Mcenter, utilice únicamente los
mecanismos de autenticación estándar (nombre de usuario/contraseña). Asimismo, debe
limitar los accesos por cada usuario. El almacenamiento de datos en unidades comunes debe
restringirse al mínimo necesario.
Antivirus
Proteja los ficheros contra software malicioso con medidas de protección adecuadas, p. ej.,
antivirus.
Utilice un antivirus externo si carga ficheros con Mcenter y sus aplicaciones.
Copia de seguridad de datos

Si desea información sobre la copia de seguridad de datos en máquinas herramienta, ver el
capítulo "Copia de seguridad de datos (Página 70)".
Cree una copia de seguridad de los datos en los casos siguientes:
• Antes y después de actualizar el software
• Después de la puesta en marcha
• Al cambiar la configuración hardware
• Después de sustituir el hardware
• Periódicamente
La copia de seguridad debe contener todos los elementos de Mcenter, como por ejemplo:
• Base de datos
• Configuración IIS
• Servidor de licencias
• Solicitudes
Configuración del cortafuegos

Asegúrese de que los cortafuegos estén "activados" y de que solo se abran aquellos puertos que
realmente se utilizan y que son absolutamente necesarios para el funcionamiento. No deben
dejarse abiertos otros puertos, pues también podrían constituir otra superficie de ataque.
Si se proporciona una conexión a un escritorio remoto, debe garantizarse la máxima
configuración de seguridad posible para evitar un posible ataque MITM (Man-In-The-Middle).
Prepárese para ataques DoS (Denial of Service), por ejemplo, configurando reglas de
cortafuegos adecuadas, implementando un IPS (Intrusion Prevention System) o un WAF (Web
Application Firewall).
Industrial Security
Phishing de contraseñas
Un hacker podría intentar conseguir los datos de inicio de sesión que le permitieran realizar
acciones dentro de Mcenter con el nombre del usuario. Los hackers podrían, p. ej., falsear
direcciones de correo electrónico y páginas web de Siemens con el fin de apropiarse de
información confidencial de usuarios de Mcenter. En ese caso, podría pedirse a los usuarios,
por ejemplo, que introdujeran sus datos de acceso en un formulario y que los enviasen a su
organización Mcenter.
Nota
En caso de recibir correos electrónicos sospechosos, se debe observar lo siguiente:
• Esté alerta cuando reciba correos electrónicos de alguien que no conoce, en especial, si estos
contienen enlaces y archivos adjuntos. Nunca abra archivos adjuntos sospechosos ni haga
clic en los enlaces de los mensajes de correo electrónico.
• Revise cuidadosamente la dirección de correo electrónico completa del remitente.
• Compruebe la integridad de los enlaces incluidos en el mensaje de correo electrónico (p. ej.,
desplazando el puntero del ratón sobre el enlace). Algunos signos reveladores son las faltas
de ortografía o cuando los enlaces contienen un nombre de empresa confuso.
• Utilice firmas digitales en sus correos electrónicos.
• En caso de duda, nunca revele información confidencial.
8.2.3.2 Operación en la nube

Si las aplicaciones AMM y AMC se utilizan en la nube, el operador Siemens AG garantiza la
seguridad del servidor SINUMERIK Integrate. El cliente tan solo debe garantizar la seguridad de
la infraestructura del lado máquina.
Cortafuegos de la red de maquinaria

A diferencia de lo que ocurre en caso de funcionamiento autónomo, para utilizar las aplicaciones
AMM y AMC de SINUMERIK Integrate se necesita una conexión al servidor Cloud fuera de la red
de maquinaria y la red corporativa. Los cortafuegos correspondientes deben habilitar los
puertos necesarios. No obstante, no deben abrirse más puertos que los necesarios. Encontrará
más información sobre la configuración necesaria del cortafuegos en el manual de instalación
SINUMERIK Integrate, en el capítulo "Requisitos del sistema".
Industrial Security
Phishing de contraseñas
Un "phisher" podría intentar conseguir datos de inicio de sesión que le permitieran realizar
acciones dentro de SINUMERIK Integrate bajo el nombre del usuario. Los atacantes podrían,
p. ej., falsear direcciones de correo electrónico y páginas web de Siemens con el fin de apropiarse
de información confidencial de usuarios de SINUMERIK Integrate. En ese caso, se pide a los
usuarios, p. ej., que introduzcan los datos de acceso a su organización SINUMERIK Integrate en
un formulario y lo envíen.
Nota
En caso de recibir un mensaje de correo electrónico sospechoso, tenga en cuenta lo
siguiente:
• Actúe con precaución si recibe un correo electrónico de un desconocido, sobre todo si
contiene enlaces y archivos adjuntos. Nunca abra archivos adjuntos sospechosos, y no haga
clic en los enlaces que aparezcan en los mensajes de correo electrónico.
• Compruebe cuidadosamente la dirección de correo electrónico completa del remitente.
• Compruebe la integridad de los enlaces incluidos en el mensaje de correo electrónico (p. ej.,
situando el puntero del ratón encima del enlace). Son indicios típicos la presencia de errores
ortográficos y que el enlace incluya un nombre de empresa engañoso.
• Utilice firmas digitales en sus mensajes de correo electrónico.
• En caso de duda, nunca facilite información confidencial.
Tratamiento de la información confidencial

La vía de transmisión entre el cortafuegos de la empresa y el servidor de SINUMERIK Integrate
está protegida por protocolos de comunicación seguros (TLS) que impiden ataques dañinos. Un
tercero no puede escuchar ni alterar la información transmitida. Asimismo, debe observar las
directrices específicas de la empresa en cuanto a la transmisión de información confidencial
mediante AMM y AMC.
Industrial Security
8.2.4 Aplicaciones cercanas al control (In Machine, Industrial Edge for Machine
Tools)
8.2.4.1 Industrial Edge for Machine Tools
Sinopsis
Industrial Edge for Machine Tools es un dispositivo Edge controlado de forma remota que actúa
como fieldgateway y también como nodo de computación para cualquier carga de trabajo de
usuario dentro de una arquitectura IoT/OT ampliada. De este modo, Industrial Edge for Machine
Tools permite un flujo vertical de procesamiento de información y datos entre todas las capas:
• In Machine
• In Line
• In Cloud
Esto incluye también el almacenamiento temporal y permanente de datos de proceso. Así
pues, Industrial Edge for Machine Tools, mediante su arquitectura de seguridad, tiene la
misión de impedir la regresión/erosión de la seguridad de red existente y del nivel de
protección de datos. También se requiere soporte organizativo para no eludir los distintos
mecanismos de seguridad de Industrial Edge for Machine Tools.
Industrial Security
Funciones de seguridad y medidas de seguridad
)OXMRGHGDWRVGH,QGXVWULDO(GJHIRU0DFKLQH )OXMRGHGDWRVGH0LQG6SKHUHD
7RROVD0LQG6SKHUH+7736#
,QWHUQHW
,QGXVWULDO(GJHIRU0DFKLQH7RROV
,QIRUPDFLµQGH2QERDUGLQJ +7736#LQLFLDGRSRU
'DWRVGHXVR\GHIDFWXUDFLµQ
7/6
5HJLVWURVGHHTXLSR\DSOLFDFLRQHV 'DWRVGHFRQILJXUDFLµQ
2SFLRQDOPHQWHGDWRV,R7 )LUPZDUH\DSOLFDFLRQHV
2SFLRQDOPHQWH
3UR[\FRUSRUDWLYRLQFOFRUWDIXHJRV 1DYHJDGRU
(VQHFHVDULRKDELOLWDU PLQGVSKHUHLR\HOSXHUWR7&3 EDVHGH
GDWRV
5HGFRUSRUDWLYD
)OXMRGHGDWRVGH,QGXVWULDO(GJHIRU0DFKLQH
7RROVDHTXLSRVGHODUHGFRUSRUDWLYD
7/6
'DWRV,R7DWUDY«VGHOVHUYLGRU23&8$GH
23&7&3#
'DWRV,R7\FRQWHQLGRVZHEDWUDY«VGHO
5HYHUVH3UR[\GH,QGXVWULDO(GJHIRU0DFKLQH
7RROV+7736#
$OLPHQWDFLµQGH9 6,180(5,.1&8
;3
;3
HQHODUPDULRHO«FWULFR
5HGGHP£TXLQD
;
)OXMRGHGDWRVHQWUH,QGXVWULDO(GJHIRU
0DFKLQH7RROV\OD1&8
)OXMRGHGDWRVGHOVHUYLGRU23&8$ 3URJUDPDVGH&1HMHFXWDGRVSRU
GH,QGXVWULDO(GJHIRU0DFKLQH7RROV ,QGXVWULDO(GJHIRU0DFKLQH7RROV
'DWRV,R7 'DWRVGHODVRQGD+)\VH³DO+HDUWEHDW
'DWRV,R7
2SFLRQDOPHQWH6HUYLGRU 6&$/$1&(
23&8$
)OXMRGHGDWRV
&DEOHDGR
3RUUD]RQHVGHVHJXULGDGVHDFWLYDXQDUHGXFFLµQGHOIOXMRGHGDWRV\XQDDXWHQWLFDFLµQEDVDGDHQFHUWLILFDGRV
Figura 8-4 Conexión y cableado de Industrial Edge for Machine Tools
Industrial Security
Industrial Edge for Machine Tools dispone de 2 conexiones de red físicas (RJ45) que deben
utilizarse conforme al manual para conectar con el nivel In Machine y el nivel In Line.
Asegúrese de que la asignación de puertos es correcta por los siguientes motivos:
• Para la red "In Machine" se presupone una comunicación desprotegida en gran medida.
• Para la red "In Machine" no es posible la conectividad no controlada a redes superiores (In
Line, In Cloud).
Gracias a una arquitectura de red con varios niveles, Industrial Edge for Machine Tools
garantiza el aislamiento de las dos redes, el cual se puede anular únicamente con un
flujo de datos definido por la aplicación. Utilizando la tecnología de contenedores, existen
otros mecanismos para aislar la carga de trabajo (aplicación Edge) respecto de la red, el
almacenamiento y los recursos de la CPU.
La comunicación de Industrial Edge for Machine Tools en el sentido "In Cloud" e "In
Line" tiene lugar siempre a través de un canal End-to-End cifrado (TLS 1.3). Además, la
comunicación de Industrial Edge for Machine Tools con el bus de datos también está
protegida por medio de un canal End-to-End cifrado (TLS 1.3). De forma complementaria, se
soporta la integración en una Trust-Chain basada en KPI. De este modo se garantiza tanto la
limitación a interlocutores autorizados como la transmisión de confianza. Para el intercambio
de datos In Line en entornos sujetos a requisitos de seguridad especiales, es posible también
una autorización basada en el cliente mediante certificados de cliente.
El intercambio inicial de los certificados necesarios para la comunicación segura entre Edge
Management System (MindSphere/In Cloud) e Industrial Edge for Machine Tools (In Line)
tiene lugar durante el proceso de Onboarding o integración. El proceso de Onboarding
incluye el intercambio de un "Shared Secret" que conecta un dispositivo lógico (MindSphere
Asset) con un dispositivo físico (Industrial Edge for Machine Tools). Como este intercambio
no tiene lugar a través de la misma infraestructura de comunicación, la posibilidad de
exposición a riesgos se puede excluir ya desde el Onboarding. Un segundo aspecto del
Onboarding es el enlace/integración de los servicios IoT de MindSphere (Timeseries Store,
FileStore, Fleetmanager…) en los Tenants correctos de MindSphere. Además, la plataforma
Industrial Edge for Machine Tools garantiza que en ningún momento se pueda establecer un
flujo de datos en un Tenant o un Asset en el que no corresponda.
Nota
El requisito para utilizar Industrial Edge for Machine Tools es un Tenant de MindSphere que
incluya una cuenta MindAccess válida (como mínimo, IoT value plan S).
Industrial Edge for Machine Tools se comunica exclusivamente a través de conexiones

"outgoing" o salientes. Esto significa que no es necesario exponer el Industrial Edge for
Machine Tools al nivel In Line o In Cloud. Al contrario, este escenario no se recomienda. Con
independencia de esta configuración, es necesario garantizar temporalmente la accesibilidad
de los puntos finales de MindSphere desde Industrial Edge for Machine Tools. Esto afecta
al Onboarding, a la actualización de firmware o a la (des)instalación de aplicaciones
Edge. Industrial Edge for Machine Tools no solo permite a las aplicaciones (Industrial
App) proporcionar datos a través de una vía controlada In Cloud, sino que además dichas
aplicaciones proporcionen interfaces de usuario o interfaces (API) que permitan nuevos flujos
de trabajo (In Line) o complementen los flujos ya existentes. Para ello, las aplicaciones
pueden proporcionar sus propias funciones de administración de usuarios y accesos. Las
consignas de seguridad correspondientes deben consultarse en la documentación respectiva.
Industrial Security
La comunicación de Industrial Edge for Machine Tools con SINUMERIK solo tiene lugar a
través de la red "In Machine", y está cifrada según los protocolos correspondientes. No
obstante, los mecanismos de autorización varían en función del protocolo empleado. Dado
que para algunos protocolos se utilizan mecanismos de protección débiles, en esos casos
es importante observar unas reglas adecuadas para las contraseñas y adoptar las medidas
organizativas oportunas para que las contraseñas no se almacenen nunca o solamente en
casos absolutamente necesarios.
Además, Industrial Edge for Machine Tools está protegido frente a manipulaciones
indeseadas o debilitamiento de las funciones de seguridad, tanto a nivel de firmware como a
nivel de aplicación, por medio de las siguientes funcionalidades:
• Measured/Secured Boot
• Full Disk Encryption
• Rootless Access
A fin de garantizar un elevado nivel de seguridad de Industrial Edge for Machine Tools
durante un largo período de tiempo, el firmware se perfecciona y se refuerza continuamente.
Esto es necesario para adaptarse a las amenazas de ciberseguridad cada vez mayores. Para
ello, una parte del firmware de Industrial Edge for Machine Tools consiste en un mecanismo
de actualización que se integra en el proceso de TI correspondiente como parte de una
estrategia continua de seguridad.
Nota
Industrial Edge for Machine Tools versión 3.4.0 o superior ofrece MQTT con funciones de
autenticación.
Filtrado basado en IP (no recomendado)

Los usuarios con filtrado basado en IP en su cortafuegos pueden utilizar las dos IP estáticas
siguientes para añadirlas a la lista de permitidos para el tráfico de carga de datos:
• 75.2.111.226
• 99.83.250.213
Para proporcionar el firmware y las aplicaciones para Industrial Edge for Machine Tools
se necesitan direcciones IP dinámicas del punto final "resource.edge.mindsphere.io". Estas
se deben descargar de la página web (https://ip-ranges.amazonaws.com/ip-ranges.json//
XmlEditor.InternalXmlClipboard:219100ae-0ac2-89ab-0ca2-05d2451c4e26), si bien los
rangos de direcciones IP para los que el servicio está definido como CLOUDFRONT ("Service":
"CLOUDFRONT") deben incluirse en la lista de permitidos.
Nota
Se puede utilizar una suscripción al tema "AmazonIpSpaceChanged" para ser informado en caso
de cambios en los rangos de direcciones IP, de modo que se puedan actualizar automáticamente
los conjuntos de reglas de cortafuegos: AmazonIpSpaceChanged (https://aws.amazon.com/
blogs/aws/subscribe-to-aws-public-ip-address-changes-via-amazon-sns/).
Industrial Security
8.2.4.2 Analyze MyWorkpiece/Monitor
Sinopsis
Analyze MyWorkpiece /Monitor es una aplicación "Industrial Edge for Machine Tools" para la
vigilancia y evaluación cualitativas del método de mecanizado. Para ello se almacenan distintos
valores medidos durante el mecanizado.
Usuarios y derechos
Para acceder a la aplicación Analyze MyWorkpiece /Monitor, en Industrial Edge for Machine Tools
se debe haber asignado un usuario local al grupo de usuarios que se indica más abajo. Para ello,
el administrador del sistema crea primero un grupo de usuarios para el dispositivo Industrial
Edge for Machine Tools. A continuación, crea uno o varios usuarios que se asignan a ese grupo
de usuarios.
Encontrará más información sobre el grupo de usuarios en Manual de instalación Analyze
MyWorkpiece /Monitor (https://support.industry.siemens.com/cs/ww/en/view/109775323).
El siguiente grupo de usuarios está disponible para Analyze MyWorkpiece /Monitor:
Grupo de usuarios Permisos

amwmonitor Acceso a todas las funciones de Analyze MyWorkpiece /Monitor
Modificación de la contraseña
Modifique la contraseña periódicamente.
1. Abra la lista desplegable situada en la parte superior derecha de la barra de título.
2. Haga clic en "Modificar contraseña". (Será redirigido al entorno de administración "miniweb")
3. Modifique la contraseña.
Encontrará más información sobre el cambio de contraseña en la documentación de usuario
de Industrial Edge.
Administración del servicio MQTT

En los ajustes de usuario, Analyze MyWorkpiece /Monitor ofrece la posibilidad de configurar una
conexión MQTT.
A continuación, se pueden enviar notificaciones (notificaciones MQTT) a un agente de MQTT
para informar a los clientes MQTT de que ha finalizado una orden de vigilancia y de que
hay un informe disponible para descargar. Para cada orden de vigilancia finalizada, Analyze
MyWorkpiece /Monitor envía una notificación MQTT al agente de MQTT configurado que
contiene un enlace de descarga para el informe generado, los resultados de la vigilancia en
cuestión e información adicional sobre el trabajo de vigilancia finalizado.
La interfaz MQTT puede utilizarse como alternativa a la API REST o utilizarse en combinación
con la API REST para obtener resultados de vigilancia y evitar consultas REST innecesarias.
Para más información general relativa al protocolo MQTT, consulte la Página web de MQTT
(https://mqtt.org).
Industrial Security
8.2.4.3 Analyze MyMachine /Condition
Sinopsis
Analyze MyMachine /Condition es una aplicación que analiza y hace un seguimiento del estado
de su máquina. Para ello se emplean pruebas mecatrónicas específicas y procedimientos de
análisis de datos. La aplicación híbrida consta de una aplicación Industrial Edge for Machine
Tools y una aplicación MindSphere.
Usuarios y derechos
El administrador del sistema crea grupos de usuarios y usuarios. Después asigna los distintos
usuarios a los grupos de usuarios correspondientes.
Para la aplicación Industrial Edge for Machine Tools se dispone de los siguientes grupos de
usuarios:
Grupo de usuarios Permisos

OEMMachineCommissioningEngineer • Visualización de mediciones y grupos de mediciones
• Creación de mediciones y grupos de mediciones
• Edición de mediciones y grupos de mediciones
• Eliminación de mediciones y grupos de mediciones
OEMServiceEngineer • Visualización de mediciones y grupos de mediciones
Este rol no dispone de autorización para editar mediciones.
Para la aplicación MindSphere se dispone de los siguientes grupos de usuarios:

• Usuario estándar: ammcondition
• Administrador: ammcondition
Es posible editar usuarios y roles en la aplicación MindSphere "Ajustes de
MindSphere". Encontrará más información en: Documentación de MindSphere (https://
siemens.mindsphere.io/en/docs/mindaccess.html)
Niveles de acceso al control SINUMERIK

Las autorizaciones se asignan a través de niveles de acceso (niveles de protección) en el sistema
de control SINUMERIK. Los niveles de acceso se pueden modificar introduciendo una contraseña
o adaptando la posición del interruptor de llave.
Nivel de acceso Autorización

0 Nivel de acceso: SIEMENS
1 Nivel de acceso: fabricante de la máquina
2 Nivel de acceso: servicio técnico
3 Nivel de acceso: usuario
4 Nivel de acceso: interruptor de llave, posición 3, programador, preparador
5 Nivel de acceso: interruptor de llave, posición 2, operador cualificado
6 Nivel de acceso: interruptor de llave, posición 1, operador formado
7 Nivel de acceso: interruptor de llave, posición 0, operador entrenado
Industrial Security
Niveles de acceso de la interfaz Autorización

de usuario SINUMERIK
0,1,2 Acceso para ingenieros de puesta en marcha
• Selección y ejecución de mediciones no referenciadas
• Selección de mediciones referenciadas
4,5,6,7 Acceso para operadores de la máquina
• Selección de mediciones referenciadas
Nota: Si se habilita en el control una serie de mediciones que aún no
se ha referenciado, el operador de la máquina no puede ver esa
serie de mediciones.
Autenticación de la API REST

La API REST Analyze MyMachine /Condition se aloja en el entorno de administración "miniweb"
de Industrial Edge for Machine Tools. Se admiten las autenticaciones siguientes:
• Autenticación básica
• Autenticación de certificado de cliente
Se admiten los grupos de usuarios siguientes:
• OEMMachineInbetriebnahmeEngineer
• OEMServiceEngineer
Encontrará más información en el programa de aprendizaje de
Edge (https://new.siemens.com/global/en/markets/machinebuilding/machine-tools/cnc4you/
cnc4you-videos/edge-tutorials/edge-tutorial-7.html).
8.2.4.4 Protect MyMachine /3D Twin
Sinopsis
Protect MyMachine /3D Twin representa visualmente el proceso de mecanizado y los
movimientos de la máquina mediante una simulación en 3D, calcula posibles colisiones con
antelación y detiene el mecanizado en caso de detectarlas. Por ejemplo, permite simular y vigilar
la ejecución de programas de CN en modo AUTOMÁTICO, MDI o, en el caso de cambios de
herramienta y desplazamientos manuales, en modo JOG. La prevención de colisiones se basa en
un modelo de la máquina real. Este modelo describe también las zonas protegidas de la máquina
y lo facilita el fabricante de la máquina.
Los operadores de PMM /3D Twin pueden definir las zonas protegidas variables, como
herramientas con soportes, stock y operaciones de amarre. Estas se almacenan en una
librería. La función "Prevención de colisiones" calcula regularmente la distancia en relación
con las zonas protegidas de pares de colisiones. Si dos zonas protegidas se aproximan entre
sí y se ha alcanzado una distancia de seguridad definida, se emite una alarma y el programa
se detiene antes de que se detengan el bloque de desplazamiento o el desplazamiento
correspondiente.
Industrial Security
Exención de responsabilidad en materia de seguridad

El transporte de los ficheros exportados debe protegerse con medios técnicos, como correos
electrónicos cifrados/firmados, memorias USB cifradas/firmadas, etc., especialmente en
entornos públicos y en Internet.
Los ficheros de datos exportados deben almacenarse dentro del área de usuario final OEM
con acceso restringido (p. ej., acceso limitado a SharePoint, bases de datos, etc.) mediante
la administración de usuarios, p. ej., con información de inicio de sesión (ver también las
consignas de seguridad Manual del usuario SINUMERIK Industrial Edge for Machine Tools
Manejo de Protect MyMachine /3D Twin (https://support.industry.siemens.com/cs/ww/en/
view/109805644)).
El cliente es responsable de la comunicación segura entre SINUMERIK y Edge Box. Entre las
opciones para el mantenimiento de una conexión segura se encuentran las siguientes:
• Conexión punto a punto entre SINUMERIK y Edge Box. Uso de un cable de comunicación
corto y ubicación de los equipos en el mismo armario que SINUMERIK.
• Protección de los puntos de acceso lógicos y físicos del sistema SINUMERIK.
Copia de seguridad de datos

Para la copia de seguridad de datos o la transferencia entre proyectos de máquina, es posible
exportar e importar archivos "*.zip" en la simulación en 3D. El archivo se exporta/importa en la
pestaña "Ajustes".
El archivo contiene los siguientes datos:
• Todos los componentes de la librería (p. ej., stock, componentes de herramienta)
• Datos de herramienta (herramientas con zonas protegidas definidas)
• Modelo de máquina
• Ajustes (diámetro de portaherramientas, idioma)
Nota
Los archivos solo se pueden importar/exportar cuando la simulación en 3D no está activa.
Almacenamiento, exportación e importación de datos

La simulación en 3D utiliza una carpeta de almacenamiento que se encuentra en Samba Share.
Esta carpeta se utiliza, p. ej., para guardar los datos exportados o para buscar los datos que se
van a importar (p. ej., librería). Los datos solo pueden intercambiarse a través de esta carpeta.
La carpeta está integrada como unidad externa en SINUMERIK Operate.
Cuando en la descripción siguiente se utiliza el término "carpeta de almacenamiento", se
hace referencia a esa ruta. Encontrará más información sobre "Samba Share" en el Manual
de instalación SINUMERIK Industrial Edge for Machine Tools Protect MyMachine /3D Twin
(https://support.industry.siemens.com/cs/ww/en/view/109805641).
Industrial Security
8.3 SIMOTION
8.3 SIMOTION
Medidas de seguridad SIMOTION

El siguiente capítulo ofrece un resumen de las funciones de seguridad industrial para SIMOTION
(Motion Control) que deben adoptarse para proteger su instalación frente a amenazas.
Funciones de seguridad
• De forma predeterminada, el control únicamente contiene código compilado. Esto hace
imposible cargar datos y, por tanto, la reingeniería.
• Sin el proyecto de ingeniería adecuado no es posible modificar la configuración.
• Protección de know-how para programas fuente con contraseña y cifrado
• Protección anticopia de la configuración en el sistema de control mediante aplicación
• Detección de manipulaciones del código fuente con el sistema de ingeniería SIMOTION
SCOUT
• Activación/desactivación de funciones no utilizadas (servidor web, servidor OPC UA, puertos,
etc.)
• Uso de SIMATIC Logon para acceder a un proyecto solamente con los derechos
correspondientes
• Análisis de virus y actualizaciones de seguridad para controles basados en SIMOTION PC
(SIMOTION P)
La planta de producción generalmente se divide en varios segmentos de red. Aguas arriba de
estos segmentos se conectan componentes con las funciones de seguridad necesarias. En el
diagrama resumen se representan con el símbolo de un candado.
Industrial Security
8.3 SIMOTION
Operations level
PCS7 PCS7
WinCC WinCC UMTS
Softnet Securtiy
Internet
Client/Step 7…
Scalance
S623
Scalance XR324-12M DSL Modem Scalance M875
Step 7, TIA Portal,

SIMOTION SCOUT,
Control level
Scalance X308-2M
WinCC
SIMATIC S7-1500
CP1628 Scalance S612 mit CP 1543-1
SIMATIC S7 SIMATIC S7
SIMATIC S7-1200
HMI HMI
SIMOTION SIMATIC ET 200S/ SIMOTION SIMATIC ET 200S/

SINAMICS ET200SP SINAMICS ET200SP
Field level
Figura 8-5 Representación de una planta de producción típica con áreas seguras
Nota
Encontrará descripciones exhaustivas y más procedimientos en la documentación SIMOTION
correspondiente.
Young.
Industrial Security
8.3 SIMOTION
8.3.1.1 Seguridad de puertos
Desactivación de puertos de hardware

En los equipos SIMOTION, a partir de la versión 4.4, es posible deshabilitar (Disable) puertos de
hardware concretos de interfaces PROFINET (p. ej., puertos de la interfaz X150) en el sistema de
ingeniería (HW Config). De este modo se impide la conexión no autorizada de equipos y se
aumenta la seguridad en relación con un acceso externo al sistema. Así pues, los puertos no
utilizados deben deshabilitarse.
Nota
Una vez deshabilitado un puerto de hardware de la interfaz PROFINET, ya no es posible acceder
al equipo SIMOTION a través de dicho puerto.
El sistema de ingeniería y la pila PN garantizan que al menos un puerto de cada interfaz no

esté ajustado a Disable, para así evitar que el usuario se excluya. El ajuste predeterminado es
Automatic settings.
Más información
Si desea más información sobre los puertos lógicos Ethernet y los protocolos utilizados con
SIMOTION, consulte el Manual de sistema Comunicación con SIMOTION (https://
support.industry.siemens.com/cs/ww/es/view/109801516), capítulo "Servicios utilizados".
8.3.1.2 Análisis de virus, parches de seguridad de Windows SIMOTION P
Programas antivirus en general

En el momento en que un sistema de PC industrial se conecta a Internet de forma directa o a
través de una red corporativa, existe el peligro de que ese sistema se infecte con un virus. De
todos modos, el software malicioso no solo puede entrar en el sistema a través de la intranet/
Internet, sino también, p. ej., a través de soportes de datos extraíbles como las memorias USB
que se conectan al sistema para hacer copias de seguridad de datos.
Industrial Security
8.3 SIMOTION
Programas antivirus con SIMOTION P320

Un programa antivirus instalado en un sistema operativo Microsoft Windows, como los que se
utilizan en ordenadores de oficina o domésticos, interviene mucho en los procesos del sistema.
Por ejemplo, existen procesos como análisis en tiempo real o análisis periódicos de sistemas.
Esas intervenciones pueden provocar mermas de rendimiento del sistema y, por consiguiente,
también del software runtime SIMOTION. Aunque el software runtime SIMOTION se ejecuta en
un entorno de tiempo real, depende de los recursos de sistema disponibles.
Nota
Debido a las mermas de rendimiento, no se permite instalar ni utilizar un programa antivirus
estándar en un SIMOTION P320 e el tiempo de ejecución del sistema.
Uso de programas antivirus

Puesto que no se puede utilizar un programa antivirus estándar para SIMOTION P320, existe la
alternativa de instalar el antivirus en el sistema operativo Windows PE con arranque separado.
El antivirus se ejecuta, p. ej., desde un CD o una memoria USB y realiza un análisis de virus.
Nota
FAQ portal de Service&Support
Si desea más información sobre el uso de un programa antivirus en un SIMOTION P320, consulte
la FAQ "¿Cómo se utiliza un programa antivirus en SIMOTION P3x0?" (https://
support.industry.siemens.com/cs/it/it/view/59381507/en), disponible para su descarga en el
portal de Service&Support.
8.3.2 Almacenamiento seguro de proyectos
Almacenamiento de datos de proyecto en SIMOTION SCOUT

Todos los datos relevantes, configuraciones y programas se guardan en el proyecto. Dentro de
un proyecto, solamente los programas y librerías se pueden guardar cifrados mediante la
protección de know-how. Para proteger todo el proyecto, es necesario proteger los datos del
proyecto con soluciones de ofimática comunes, p. ej., archivos protegidos por contraseña o
discos duros encriptados.
Estructura de ficheros
Los datos de proyecto de SIMOTION SCOUT pueden estar disponibles en las siguientes variantes:
Industrial Security
8.3 SIMOTION
Datos de ingeniería (ES)

• Ubicación predeterminada: estructura de ficheros en el árbol del proyecto
Objetos STEP 7/TIA Portal y SIMOTION SCOUT en el directorio del proyecto. Estos datos no
están protegidos y pueden ser editados por cualquiera si no existe protección de know-how
para programas y librerías o bien se han aplicado cifrados externos de ficheros. En este
contexto los programas son lo mismo que unidades capaces de contener programas, bloques
de función y funciones.
• Datos XML
Datos de proyecto creados mediante exportación/importación XML. La protección de know-
how se mantiene.
Datos runtime (RT) - Datos en tarjeta CF
• Archivo ZIP del proyecto SIMOTION (no binario).
El archivo del proyecto se guarda en la tarjeta de memoria del controlador SIMOTION
correspondiente (CFAST, tarjeta CF, MMC). El archivo se puede transferir, p. ej., a través de
SIMOTION SCOUT o vías estándar (transferencia FTP).
• Datos binarios (comprimidos, sin comprimir)
Los datos binarios contienen el proyecto compilado ejecutable con las configuraciones y
aplicaciones.
Sin proyecto SIMOTION SCOUT no es posible realizar modificaciones en el runtime, ya que el
proyecto se guarda como datos binarios en el control SIMOTION.
El diagrama siguiente muestra un ejemplo de un posible almacenamiento de datos de
proyecto con representación de los datos protegidos.
Estructura de ficheros en el árbol del proyecto

Step 7, SIMOTION SCOUT
Archivo ZIP
Fichero XML
Compilado en forma
binaria
Programas, librerías
Compilado en forma encriptados y módulos
binaria sin proyecto no protegidos por contraseña
se puede decompilar
Figura 8-6 Almacenamiento de datos de proyecto en SIMOTION SCOUT
Industrial Security
8.3 SIMOTION
8.3.3.1 Control de accesos seguro con SIMATIC Logon
Administración de usuarios y trazabilidad

El paquete de opciones SIMATIC Logon sirve para configurar derechos de acceso para proyectos
y librerías en STEP 7. De este modo, solamente un grupo de personas autorizadas podrá acceder
a esos proyectos. SIMATIC Logon se puede utilizar en combinación con SIMOTION SCOUT.
SIMATIC Logon soporta las siguientes funciones:

• Asignación de derechos individuales a usuarios o grupos de usuarios, para que puedan
realizar determinadas acciones (p. ej., leer, escribir o transferir bloques).
• Registro de actividades online e inicios de sesión en el equipo. Es posible consultar todos los
accesos y cambios en el proyecto.
• Asignación de derechos para usuarios/grupos de usuarios con límite de tiempo.
• Estrategias de caducidad de contraseñas
Informe de cambios
Si la protección de acceso está activada, se puede elaborar un informe de cambios. Este
incluye, por ejemplo:
• la activación
• la desactivación
• la configuración de la protección de acceso y el informe de cambios
• la apertura y cierre de proyectos y librerías, incluida la carga en el sistema de destino, así
como actividades destinadas a cambiar el estado operativo.
8.3.3.2 Protección de know-how en la ingeniería
Tipos de protección de know-how

La protección de know-how en SIMOTION SCOUT impide que personas no autorizadas vean y
editen sus programas. Puede haber varios nombres de usuario. El nombre de usuario estándar
para la sesión de ingeniería se puede configurar.
Se distingue entre dos tipos de protección de know-how:
• Protección de know-how para programas y librerías
• Protección de know-how para unidades de accionamiento (a partir de SINAMICS V4.5.)
En Proyecto -> Protección de know-how se definen un nombre de usuario y una
contraseña. Seguidamente, mediante el comando de menú Activar se activa la protección
de know-how para el programa. Durante esta sesión el usuario puede ver los programas
contenidos en el proyecto, pero sus nombres se muestran con el símbolo de un candado.
Industrial Security
8.3 SIMOTION
Programas y librerías
La protección de know-how sirve para proteger los programas y las librerías del proyecto.
Cuando la protección de know-how está activada, se impide que personas no autorizadas vean
y editen sus programas. La protección de know-how se puede activar para determinados
programas o para todos los programas de un proyecto.
La protección de acceso y el cifrado se pueden activar en varios niveles para los siguientes
tipos:
• Programas (Units in Structured Text (ST), Motion Control Chart (MCC) y KOP/FUP que
contienen programas, bloques de función y funciones)
• Esquemas Drive Control Chart (DCC)
• Librerías
En lo que respecta al cifrado, se puede elegir entre tres niveles de seguridad:

• Estándar
Acceso tan solo con nombre de usuario y contraseña (compatible con versiones anteriores a
la V4.2).
• Media
Codificación mejorada de la contraseña (se utiliza un nuevo procedimiento, de manera que
no existe compatibilidad con versiones anteriores sin conocer la contraseña).
Los programas y librerías se pueden compilar de nuevo en cualquier momento incluso si se
desconoce la contraseña.
• Alta (solo para fuentes ST en librerías)
Solo es posible compilar si se introduce la contraseña.
Las librerías protegidas se pueden utilizar después de una exportación incluso si se
desconoce la contraseña, ya que en ese caso también se exporta el resultado de la
compilación.
– Cuando se exportan librerías también es posible la exportación sin textos fuente
Máxima protección. Eliminación completa de los textos fuente en la ingeniería al exportar.
La exportación únicamente contiene el resultado de la compilación (ya no es posible
compilar de nuevo).
Las interfaces de bloques siempre son visibles.
Unidades de accionamiento en SIMOTION SCOUT

La protección de know-how para unidades de accionamiento solamente es válida online y sirve
como protección de la propiedad intelectual, especialmente del know-how de fabricantes de
máquinas, contra uso no autorizado o reproducción de sus productos.
Encontrará una descripción detallada en el capítulo Protección de know-how (Página 105).
8.3.3.3 Protección anticopia de la configuración en el sistema de control
Protección anticopia de proyectos SIMOTION

Mediante una aplicación es posible vincular la configuración a la tarjeta de memoria o al control.
De este modo se impide la duplicación no autorizada de la configuración.
Industrial Security
8.3 SIMOTION
Mediante funciones del sistema es posible consultar en la aplicación el número de serie de la

CPU, de la tarjeta de memoria y de los componentes DRIVE-CLiQ. De este modo el fabricante
de la máquina puede crear un bloque con un algoritmo de cifrado que genere una clave
durante el tiempo de ejecución a partir de los números de serie integrados actualmente
y compare esa clave con una clave de máquina. Cada configuración de máquina tiene
una clave de máquina específica que ha sido generada y guardada en la aplicación por el
fabricante, pero que, además, sobre todo en caso de mantenimiento, puede ser introducida
por el cliente final, p. ej., mediante HMI.
Asimismo, mediante acuerdos especiales existe la posibilidad de ampliar la protección
de know-how y la protección anticopia utilizando un paquete tecnológico SIMOTION
OpenArchitecture.
Máquina original Máquina copiada
Figura 8-7 Protección anticopia de proyectos SIMOTION SCOUT binarios
8.3.4 Comparación offline/online
Comparación de proyectos
Mediante la función de SIMOTION SCOUT/STARTER Comparación de proyectos (se inicia
mediante el botón Iniciar comparación de objetos) se pueden comparar entre sí objetos dentro
de un mismo proyecto o entre diferentes proyectos (online u offline).
La comparación offline/online permite detectar con detalle las manipulaciones posteriores
de los datos de proyecto en la instalación, comparándolos con los datos de ingeniería
guardados. De este modo se comprueba si un tercero ha accedido al sistema sin autorización.
Son posibles las siguientes comparaciones:
• Objeto offline con objeto offline del mismo proyecto
• Objeto offline con objeto offline de otro proyecto
• Objeto offline con objeto online
La comparación de proyectos en SIMOTION SCOUT incluye todos los objetos de un proyecto,
p. ej., equipos SIMOTION, unidades de accionamiento, librerías, programas (units), objetos
tecnológicos, E/S y la configuración del sistema de ejecución.
Industrial Security
8.3 SIMOTION
La comparación offline/online facilita el servicio técnico y ayuda a detectar cambios en los

datos de proyecto.
Puede suceder, por ejemplo, que al cambiar al modo online se muestren incoherencias en
el navegador de proyecto, es decir, que existan divergencias entre el proyecto en SIMOTION
SCOUT con el que se está trabajando y el proyecto cargado en el sistema de destino.
Las causas posibles son, p. ej.:

• se ha modificado un programa
• el resultado de compilación de un programa es diferente
• existe una divergencia en las variables globales de dispositivo
• se ha modificado el sistema de ejecución
• ha cambiado la configuración hardware
• se ha modificado una librería
• se ha modificado un dato de configuración de un eje
La comparación de objetos ofrece la posibilidad de detectar esas diferencias y, en caso
necesario, realizar una transferencia de datos para eliminarlas.
Industrial Security
8.3 SIMOTION
Comparación offline/online detallada

Una comparación de proyectos completa permite detectar diferencias concretas entre el
proyecto offline y el proyecto online. En caso de haber diferencias, es posible detectar cambios/
manipulaciones del código fuente hasta el nivel de líneas de programa si previamente se han
guardado los datos adicionales (datos fuente) durante la descarga en el sistema de destino. Esto
es posible también con los lenguajes gráficos de programación KOP/FUP y MCC.
Figura 8-8 Ejemplo de comparación detallada de programas ST
8.3.5 Servidor web SIMOTION IT
Introducción
Los equipos SIMOTION disponen de un servidor web con páginas web estándar predefinidas.
Estas páginas pueden visualizarse vía Ethernet mediante un navegador convencional.
Asimismo, es posible crear páginas HTML propias e incorporar información de servicio técnico
y diagnóstico. El servidor web se puede desactivar. Si el servidor web está activado, la operación
segura de la instalación está garantizada por el sistema de seguridad integrado y la
administración de usuarios.
Industrial Security
8.3 SIMOTION
Desactivación/activación del servidor web

El servidor web con todas las funciones y servicios se puede activar y desactivar en el proyecto
SIMOTION SCOUT o SIMOTION SCOUT TIA dentro de la configuración hardware del control. Es
posible activar y desactivar funciones concretas.
Figura 8-9 Activación de las funciones del servidor web SIMOTION IT en SIMOTION SCOUT o SIMOTION SCOUT TIA
Nota
Si se activa el servidor web, es necesario configurar una administración de usuarios con acceso
de los usuarios protegido por contraseña.
Sistema de seguridad del acceso al servidor web mediante HTTP/S, FTP y Telnet
A partir de la versión V4.4, el acceso al servidor web SIMOTION IT está protegido por un sistema
de seguridad de varios niveles.
El estado de seguridad del servidor web se indica mediante el nivel de seguridad (Security
Level) en la página web. Existen tres niveles de seguridad: Low, Normal, High.
Security Level Low

En el estado de suministro del equipo, la base de datos de usuarios está vacía. Todavía no hay
ningún proyecto. El nivel de seguridad es bajo, para que sea posible configurar el equipo.
• En este estado es posible acceder al servidor web como usuario anónimo para poder utilizar
funciones como actualización de proyectos y de firmware o bien OPC XML.
• El acceso mediante FTP y Telnet también está disponible.
• Es posible introducir nuevos usuarios en la base de datos de usuarios vacía.
Industrial Security
8.3 SIMOTION
Security Level Normal

El control tiene una base de datos de usuarios. Hay un proyecto cargado en el control y en la
configuración hardware están activados HTTP, HTTPS, FTP y Telnet.
• Autenticación de contraseñas de usuario para acceder a páginas web con contenidos
sensibles (p. ej., actualización de firmware, tabla Watch…), se necesitan FTP y Telnet.
Nada más cargar un proyecto en el control se activa el nivel de seguridad Normal, esté o no
vacía la base de datos de usuarios. Las páginas estándar continúan estando visibles. El resto
de las páginas web que requieren autenticación no son accesibles.
Security Level High

Alta seguridad con la máxima protección de acceso:
• En la configuración hardware del proyecto se han desactivado HTTP, HTTPS, FTP y Telnet. Ya
no es posible el acceso Ethernet a través de los puertos correspondientes de los servicios. El
servidor web no se puede utilizar.
Administración de usuarios
Para proteger el acceso a un equipo, SIMOTION IT utiliza una base de datos de usuarios. En la
base de datos de usuarios están guardados los grupos con los usuarios asignados. Para cada
grupo de usuarios definido se pueden asignar derechos de acceso a las distintas páginas web del
servidor web. El acceso al servidor web tiene lugar después de la autenticación.
Autenticación
• Existen usuarios (USER).
• Cada usuario tiene una contraseña. La contraseña está encriptada.
• Los usuarios pertenecen a grupos (GROUP).
• Las páginas web, los directorios y las aplicaciones se protegen mediante zonas de seguridad
en función de los grupos.
• Tan solo los usuarios pertenecientes a la zona de seguridad pueden acceder a la página
protegida.
• Cada zona de seguridad tiene un grupo de usuarios que poseen una autorización de acceso.
• Un usuario puede pertenecer a varios grupos.
Transferencia de datos encriptada (HTTPS)

Es posible acceder al servidor web mediante una conexión HTTP o HTTPS. Gracias al protocolo
Transport Layer Security (TLS) en HTTPS, se permite la transferencia de datos cifrada entre un
cliente (navegador web) y el control SIMOTION (servidor web). Por razones de seguridad, la
transferencia segura puede forzarse desactivando el puerto HTTP.
La variante de comunicación cifrada entre el navegador y el servidor web vía HTTPS requiere
la creación e instalación de certificados. En el estado de fábrica, un equipo incluye un
certificado raíz estándar y una clave privada (Private Key) del servidor web en forma de
ficheros. Estos ficheros deben ser sustituidos por otros propios para aumentar la seguridad
del acceso HTTPS al equipo.
Industrial Security
8.3 SIMOTION
Ficheros de clave
• Estado de suministro
Para que pueda acceder al control SIMOTION vía HTTPS en el estado de suministro de las
páginas estándar de diagnóstico de SIMOTION IT, se proporcionan un certificado raíz y una
clave privada en forma de ficheros en el equipo.
• Generación propia de un certificado TLS
Con ayuda de la herramienta Perl y del script Perl (cert.pl) suministrado, es posible generar
los certificados necesarios para las plantas del cliente (Sites) y agrupar esos certificados en
paquetes de carga.
Hay dos formas de obtener un certificado de servidor (certificado TLS) propio:
• Generar un certificado raíz (autofirmado) y una clave privada (Private Key) mediante un
software adecuado para ello.
• Adquirir un certificado de servidor de una autoridad de certificación (Certificate Authority)
Importación de un certificado TLS en el navegador web

Si utiliza TLS con una autoridad de certificación propia, debe preparar sus PC para la
comunicación con el control SIMOTION. Para ello debe añadir el certificado raíz a la lista
de certificados de su navegador.
Más información
Encontrará más información sobre el servidor web SIMOTION IT en la siguiente documentación:
• Manual de diagnóstico SIMOTION IT Diagnóstico y configuración (https://
• Manual de programación SIMOTION IT OPC UA (https://
• Manual de programación SIMOTION IT Programación y servicios web (https://
support.industry.siemens.com/cs/es/es/view/109801546)
• Manual de programación SIMOTION IT Virtual Machine y Servlets (https://
8.3.6 Servidor OPC UA
Introducción
SIMOTION ha implementado un servidor OPC UA con DA (Data Access).
Se soporta la codificación binaria OPC UA. El acceso de un cliente OPC UA cualquiera se
puede proteger mediante autenticación y transferencia de datos cifrada.
Industrial Security
8.3 SIMOTION
Configuración
Nota
Antes de la conexión al servidor OPC UA, debe garantizar un entorno seguro e instalar una capa
intermedia basada en hardware (p. ej., red DMZ, cortafuegos, módulo SCALANCE S, etc.).
El servidor OPC UA se puede activar o desactivar mediante HW Config del TIA Portal o de Step
7.
Figura 8-10 Activación de las funciones del servidor web SIMOTION IT en SIMOTION SCOUT o SIMOTION SCOUT TIA
Otros ajustes se llevan a cabo mediante las pantallas de configuración del servidor web
SIMOTION IT:
• Habilitación de la interfaz Ethernet y del puerto correspondiente de SIMOTION para el acceso
OPC UA.
• Definición de nombre de usuario, contraseña y grupo de usuarios en el marco de la
administración de usuarios del servidor web SIMOTION IT.
• Manejo de los certificados para el cifrado de la transmisión de datos.
Más información
Encontrará más información sobre el servidor OPC UA en el Manual de programación SIMOTION
IT OPC UA (https://support.industry.siemens.com/cs/ww/es/view/109801547).
Industrial Security
8.3 SIMOTION
8.3.7 Eliminación
ATENCIÓN
Uso indebido de los datos
La eliminación no segura de soportes de memoria (tarjeta CF/CFast/SSD) puede dar lugar a un
uso indebido de datos de los programas de pieza, archivos, etc., por parte de terceros.
• Por esta razón, antes de eliminar el producto debe borrar de forma segura los soportes de
memoria utilizados.
Utilice para ello programas que faciliten el borrado/formateo seguro de los soportes de
memoria.
Industrial Security
8.4 SINAMICS
8.4 SINAMICS
El siguiente capítulo ofrece un resumen de las funciones de seguridad industrial para SINAMICS
que deben adoptarse para proteger su convertidor frente a amenazas. Asimismo, se tratan
temas que requieren especial atención a la seguridad industrial:
• Protección contra escritura y protección de know-how
• Parámetros: Niveles de acceso
• Uso de la tarjeta de memoria
• Nota sobre Safety Integrated
• Servicios de comunicación y números de puerto utilizados
• Servidor web
• Notas sobre interfaces
• SINAMICS Startdrive y STARTER
• SINAMICS Drive Control Chart (DCC)
En la correspondiente documentación SINAMICS especificada encontrará descripciones
exhaustivas y procedimientos detallados.
Young.
8.4.1 Seguridad de red
Nota
Los productos SINAMICS solo debe utilizarse en una red protegida y de confianza. A este
respecto, observe las indicaciones del capítulo "Segmentación de la red (Página 38)".

Algunos convertidores SINAMICS ofrecen la función "Protección de know-how": La protección de
know-how sirve como protección de la propiedad intelectual, especialmente del know-how de
fabricantes de máquinas contra uso no autorizado, alteración o reproducción de sus productos.
Industrial Security
8.4 SINAMICS
Efecto
Los parámetros de ajuste que no se encuentran en una lista de excepciones no pueden leerse ni
escribirse.
Excepciones
• La protección de know-how no afecta a los parámetros que poseen los siguientes atributos:
• KHP_WRITE_NO_LOCK
– Estos parámetros están excluidos de la protección de know-how y, por tanto, pueden escribirse a pesar
de dicha protección.
– Encontrará una lista de estos parámetros en el manual de listas del producto correspondiente.
– Estos parámetros no están incluidos en la lista de excepciones.
• KHP_ACTIVE_READ
– Estos parámetros pueden leerse, aunque la protección de know-how esté activada, pero no pueden
escribirse.
– Encontrará una lista de estos parámetros en el manual de listas del producto correspondiente.
– Estos parámetros no están incluidos en la lista de excepciones.
• La protección de know-how impide que se ejecuten algunas funciones:
• Entre otras, la función "Restaurar ajustes de fábrica" se puede ejecutar a pesar de la protección de know-
how.
• Encontrará una lista completa de las funciones ejecutables en la siguiente bibliografía.
Más información
Para más información sobre este tema, consulte la siguiente bibliografía:
• Manual de funciones SINAMICS S120 Funciones de accionamiento (https://
support.industry.siemens.com/cs/de/de/view/109781535)
Capítulo "Protección de know-how"
• Instrucciones de servicio SINAMICS G110M (https://support.industry.siemens.com/cs/de/de/
view/109782996/es)
• Instrucciones de servicio SINAMICS G120
• Manuales de listas SINAMICS S y SINAMICS G
Capítulo "Parámetros para protección contra escritura y protección de know-how"
• Instrucciones de servicio SINAMICS G130, G150 y S150
Industrial Security
8.4 SINAMICS
8.4.3 Parámetros: Niveles de acceso y contraseña

En los equipos de las series G110M, G120, G130, G150, S110, S120 y S150, los parámetros
SINAMICS están divididos en los niveles de acceso 0 a 4. Los niveles de acceso determinan los
parámetros que puede editar cada usuario o equipo de entrada/salida:
• Con el parámetro p0003 se especifica, p. ej., qué niveles de acceso se pueden seleccionar con
el BOP o IOP.
• Hasta SINAMICS RT V4.9, los parámetros del nivel de acceso 4 están protegidos por
contraseña y solo son visibles para expertos.
En los manuales de listas SINAMICS S y SINAMICS G se especifica en qué nivel de acceso
puede visualizarse y modificarse el parámetro.
Más información
Encontrará información detallada sobre este tema en la siguiente bibliografía:
Capítulo "Parámetros"
• Manual de funciones SINAMICS S120 Safety Integrated (https://
support.industry.siemens.com/cs/de/en/view/109781722/es)
Capítulo "Manejo de la contraseña Safety"
• Manual de listas SINAMICS G110M
Capítulo "Vista general de parámetros"
• Instrucciones de servicio SINAMICS G120
• Manuales de listas SINAMICS S y SINAMICS G
Capítulo "Explicaciones sobre la lista de parámetros"
Industrial Security
8.4 SINAMICS
8.4.4 Uso de la tarjeta de memoria

En todos los equipos SINAMICS que disponen de tarjeta de memoria, esta debe manejarse con
especial cuidado para evitar la propagación de software malicioso o parametrizaciones
incorrectas entre los distintos PC de puesta en marcha o convertidores.
ADVERTENCIA
El almacenamiento de ficheros en dispositivos de almacenamiento extraíbles aumenta el
riesgo de infecciones en los PC de puesta en marcha, p. ej., por virus o malware. Una
parametrización errónea puede provocar fallos de funcionamiento en máquinas que pueden
ocasionar lesiones graves e incluso la muerte.
• Proteja los ficheros guardados en dispositivos de almacenamiento extraíbles contra el
software malicioso mediante las correspondientes medidas de protección (p. ej., programa
antivirus).
ADVERTENCIA
Guardar la parametrización (incluida la parametrización Safety Integrated) en dispositivos de
almacenamiento extraíbles entraña el riesgo de que la parametrización original (con Safety
Integrated) se sobrescriba, p. ej., con la tarjeta de memoria de otro accionamiento sin Safety
Integrated. Una parametrización errónea puede provocar fallos de funcionamiento en
máquinas que pueden ocasionar lesiones graves e incluso la muerte.
• Asegúrese de que tan solo se utiliza la tarjeta de memoria perteneciente al convertidor.
• Asegúrese de que el acceso a las cajas, armarios o cuartos eléctricos solo está permitido a
personal autorizado o adecuadamente instruido.
8.4.5 Safety Integrated

Para reducir el riesgo al que están expuestas máquinas e instalaciones debido al uso de las
funciones Safety Integrated, estas funciones deben utilizarse con especial cuidado en todos los
equipos SINAMICS que dispongan de ellas.
Industrial Security
8.4 SINAMICS
PELIGRO
Movimiento inesperado de máquinas por funciones de seguridad inactivas
Las funciones de seguridad inactivas o no adaptadas pueden provocar movimientos
inesperados en las máquinas que podrían causar lesiones graves o incluso la muerte.
• Antes de la puesta en marcha, tenga en cuenta la información de la documentación del
producto correspondiente.
• Realice un análisis de las funciones relevantes para la seguridad del sistema completo,
incluidos todos los componentes relevantes para la seguridad.
• Mediante la parametrización correspondiente, asegúrese de que las funciones de seguridad
utilizadas están activadas y adaptadas a su tarea de accionamiento y automatización.
• Realice una prueba de funcionamiento.
• No inicie la producción hasta haber comprobado si las funciones relevantes para la
seguridad funcionan correctamente.
Nota
Consignas de seguridad importantes sobre las funciones Safety Integrated
Si desea utilizar las funciones Safety Integrated, observe las consignas de seguridad de los
manuales Safety Integrated.
8.4.6 Backup y restauración de datos
8.4.6.1 Backup y restauración

SINAMICS ofrece varios procedimientos para realizar copias de seguridad y restaurar datos. En
la documentación "Más información" se indican los procedimientos que pueden utilizarse con
los distintos equipos.
Servidor Web/Startdrive
Con la función "Backup y restauración" dispone de las siguientes opciones:
• Guardar parámetros ya ajustados
• Asignar un nombre al fichero de copia de seguridad
• Restaurar parámetros de una copia de seguridad de parámetros válida y cargarlos en el
accionamiento
• Restablecer los ajustes de fábrica del accionamiento
Industrial Security
8.4 SINAMICS
Smart Access Module

• Mediante la página web para copia de seguridad puede realizar una copia de seguridad de los
parámetros del Smart Access Module y descargar el fichero de copia de seguridad en su disco
duro local.
• Mediante la página web para restauración puede cargar, descargar, borrar o restaurar el
fichero seleccionado.
Cargador de parámetros SINAMICS V20

Hasta 100 juegos con ajustes de parámetros pueden copiarse de la tarjeta de memoria al
convertidor o bien del convertidor a la tarjeta de memoria sin necesidad de conectar el
convertidor a la red eléctrica.
Más información
Encontrará información detallada sobre este tema en la siguiente bibliografía.
Capítulo "Servidor web"
• SINAMICS S120 Manual de puesta en marcha con Startdrive (https://
support.industry.siemens.com/cs/ww/de/view/109781583/es)
Capítulo "Guardar ajustes en la tarjeta de memoria del accionamiento"
• Instrucciones de servicio SINAMICS S210 (https://support.industry.siemens.com/cs/ww/es/
view/109771824)
Capítulo "Backup y restauración"
• Instrucciones de servicio SINAMICS G120 "SINAMICS G120 Smart Access" (https://
• Instrucciones de servicio SINAMICS V20 (https://support.industry.siemens.com/cs/de/de/
view/109768394/es)
Capítulos "Puesta en marcha mediante SINAMICS V20 Smart Access" y "Cargador de
parámetros"
8.4.6.2 Copia de seguridad redundante
Almacenamiento de ajustes fuera del convertidor

Recomendamos guardar una copia de seguridad adicional de los ajustes en un medio de
almacenamiento fuera del convertidor. De no existir copia de seguridad, los ajustes se pierden
en caso de fallo del convertidor.
Industrial Security
8.4 SINAMICS
Existen los siguientes medios de almacenamiento para los ajustes:

• Tarjeta de memoria
• PC/PG
• Operator Panel
En la documentación "Más información" se indican los procedimientos que pueden utilizarse
con los distintos equipos.
SINAMICS S120
La "Copia de seguridad redundante en tarjeta de memoria" permite, en relación con la
"Actualización del firmware a través del servidor web" y el acceso remoto asociado, volver a
acceder de forma segura al equipo en caso de interrupción de la conexión o de la alimentación.
Esta copia de seguridad redundante no se puede desactivar.
8.4.6.3 Redundante Datensicherung_Weitere_Infos
Más información
Encontrará información detallada sobre este tema en la siguiente bibliografía.
Capítulo "Copia de seguridad redundante en tarjeta de memoria"
• SINAMICS S120 Manual de puesta en marcha con Startdrive (https://
support.industry.siemens.com/cs/ww/de/view/109781583/es)
Capítulo "Guardar ajustes en la tarjeta de memoria del accionamiento"
view/109771824)
• Instrucciones de servicio SINAMICS G
view/109768394/es)
Industrial Security
8.4 SINAMICS
8.4.7 Kommunikationsdienste und verwendete Portnummern_Weitere_Infos

• SINAMICS S120
– A partir de la versión de firmware 5.2
Manual de funciones SINAMICS S120 Comunicación (https://
– Versiones de firmware anteriores
Manual de funciones SINAMICS S120 Funciones de accionamiento (https://
– En cada caso: capítulo "Servicios de comunicación y números de puerto utilizados"
• Manual de funciones SINAMICS G Buses de campo (https://
support.industry.siemens.com/cs/ww/de/view/109757336/en)
Capítulo "Protocolos Ethernet y PROFINET utilizados"
capítulo "Servicios de comunicación y números de puerto utilizados"
8.4.8 Servicios de comunicación y números de puerto utilizados

Los convertidores SINAMICS soportan determinados protocolos de comunicación. Para cada
protocolo se indican los parámetros de dirección, el nivel y la función de comunicación
afectados, así como el sentido de la comunicación. Esta información es necesaria para coordinar
las medidas Security de protección del sistema de automatización con los protocolos utilizados
(p. ej., Firewall). Algunas de las medidas Security aquí descritas se limitan a redes Ethernet y
PROFINET.
8.4.9 Servidor web integrado
El servidor web SINAMICS proporciona información de un equipo SINAMICS a través de sus

páginas web. Se accede con un navegador de Internet.
Transferencia de datos
Además de la transferencia normal (no segura) (http), el servidor web soporta la transferencia
segura (HTTPS). La transferencia segura (HTTPS) es el ajuste recomendado.
Nota
Smart Access Module
El servidor web del Smart Access Module no soporta la transferencia segura (HTTPS). Como
alternativa puede utilizar una transferencia WLAN encriptada.
Industrial Security
8.4 SINAMICS
Escribiendo "HTTP://" o "HTTPS://" delante de la dirección del accionamiento, puede decidir si

desea acceder a los datos a través de una transferencia normal o segura.
Por razones de seguridad, la transferencia segura puede forzarse desactivando el puerto http.
Derechos de acceso
Para el acceso mediante el servidor web se aplican los mecanismos de protección normales de
SINAMICS, incluida la protección por contraseña. Se han implementado mecanismos de
protección adicionales especialmente para el servidor web. Hay ajustadas diferentes
posibilidades de acceso para distintos usuarios según la función. Las listas de parámetros están
protegidas de manera que solo los usuarios con los correspondientes derechos pueden acceder
a los datos o modificarlos.
Más información
Encontrará información detallada sobre este tema (p. ej., los navegadores de Internet
soportados) en la siguiente bibliografía:
view/109771824)
view/109768394/es)
• Instrucciones de servicio SINAMICS G120 Smart Access (https://
8.4.9.1 Certificados para la transferencia de datos protegida
Protección del acceso HTTPS

El protocolo "Transport Layer Security" (TLS) permite la transferencia de datos cifrada entre un
cliente y el accionamiento SINAMICS. Transport Layer Security constituye la base para los
accesos HTTPS del navegador al accionamiento.
La variante de comunicación cifrada entre el navegador y el servidor web vía HTTPS requiere
la creación e instalación de certificados (configuración predeterminada, certificados propios o
certificado de servidor de una autoridad de certificación).
TLS
Transport Layer Security (TLS V1.2 o más reciente, "Seguridad de capa de transporte") es un
protocolo de cifrado híbrido para la transferencia de datos segura en Internet.
Industrial Security
8.4 SINAMICS
Ficheros de clave
Para el método de cifrado en el que se basa el protocolo Transport Layer Security se necesitan 2
ficheros de clave (un certificado público y una clave privada).
Gestión de certificados
Para que pueda acceder al accionamiento mediante HTTPS en el estado de suministro
de SINAMICS, en el accionamiento se genera el certificado necesario y la clave. Utilice
el certificado de firmware solo en redes protegidas (p. ej., PROFINET bajo un PLC) o en
conexiones directas punto a punto con la interfaz de servicio X127.
Utilice en su lugar un certificado confirmado por una autoridad de certificación externa.
Encontrará una descripción detallada del procedimiento en la bibliografía abajo indicada.
Más información
Capítulo "Certificados para la transferencia de datos protegida"
8.4.10 Notas sobre interfaces
X127 LAN (Ethernet)

La interfaz Ethernet X127 está prevista para la puesta en marcha y el diagnóstico, y por ello debe
estar siempre accesible. Tenga en cuenta las siguientes restricciones de la interfaz X127:
• Solo se admite el acceso local.
• En el armario eléctrico cerrado no se admite la interconexión, o solo la interconexión local.
En caso de que necesite un acceso remoto al armario eléctrico, deberá adoptar medidas de
seguridad adicionales para evitar la posibilidad de uso indebido por sabotaje, manipulación
de datos no cualificada o robo de datos confidenciales.
Industrial Security
8.4 SINAMICS
Interfaz serie (RS232) X140

Mediante la interfaz serie X140 se conecta un aparato de mando y visualización externo para el
manejo o la parametrización.
ATENCIÓN
Acceso a los convertidores únicamente para personal autorizado
Si hay lagunas en la seguridad física de una empresa, existe la posibilidad de que personas no
autorizadas dañen o alteren los equipos de producción, o incluso se pierda o modifique
información confidencial. Esto puede impedirse protegiendo debidamente el lugar donde se
encuentra la empresa y las zonas de producción.
• Encontrará información sobre las medidas de protección adecuadas en el capítulo
"Protección física de las áreas de producción críticas (Página 36)".
X150 LAN (Ethernet)

De acuerdo con el principio "Defense in Depth" (ver el capítulo "Medidas de seguridad generales
(Página 33)"), la red a la que está conectada la interfaz X150 debe estar aislada del resto de la
red de la instalación. El acceso a los cables y a las posibles conexiones abiertas debe realizarse
de modo protegido, como en un armario eléctrico.
X1400 LAN (Ethernet)

De acuerdo con el principio "Defense in Depth" (ver el capítulo "Medidas de seguridad generales
(Página 33)"), la red a la que está conectada la interfaz X1400 debe estar aislada del resto de la
red de la instalación. El acceso a los cables y a las posibles conexiones abiertas debe realizarse
de modo protegido, como en un armario eléctrico.
Más información
• SINAMICS S120
– Manual de producto SINAMICS S120 Control Units y componentes del sistema
complementarios (https://support.industry.siemens.com/cs/de/en/view/109771804)
Capítulo sobre las interfaces correspondientes
– A partir de la versión de firmware 5.2: Manual de funciones SINAMICS S120
Comunicación (https://support.industry.siemens.com/cs/de/en/view/109781721/es)
– Versiones de firmware anteriores:
Manual de funciones SINAMICS S120 Funciones de accionamiento (https://
• Instrucciones de servicio SINAMICS G y SINAMICS S
• Instrucciones de servicio SINAMICS V90
Industrial Security
8.4 SINAMICS
8.4.11 Eliminación
ATENCIÓN
Uso indebido de datos por culpa de la eliminación no segura del producto
La eliminación no segura del producto puede dar lugar a un uso indebido de los datos de
parámetros por parte de terceros.
• Por esta razón, antes de eliminar un producto debe restablecer los ajustes de fábrica de
todos los parámetros.
Encontrará información sobre el restablecimiento de los ajustes de fábrica en el manual de
funciones o en las instrucciones de servicio del producto correspondiente.
ATENCIÓN
Uso indebido de datos por culpa de la eliminación no segura de la tarjeta de memoria
La eliminación no segura de la tarjeta de memoria puede dar lugar a un uso indebido de datos,
etc., por parte de terceros. La tarjeta de memoria contiene, entre otros datos, las copias de
seguridad necesarias para el funcionamiento del convertidor.
• Por esta razón, antes de eliminar el producto debe borrar de forma segura la tarjeta de
memoria. Existen programas que facilitan el borrado/formateo seguro de la tarjeta de
memoria.
• Esto afecta a todos los productos que disponen de una tarjeta de memoria.
Nota
Borrado de certificados definidos por el usuario
Antes de eliminar un producto SINAMICS, asegúrese de eliminar de forma segura todos los
certificados definidos por el usuario. Con estos certificados, un atacante puede acceder a la
transferencia de datos protegida.
• Productos con tarjeta de memoria
– Borre los ficheros SINAMICS.key y SINAMICS.crt del directorio
OEM\SINAMICS\WEB\WEBCONF\CERT de la tarjeta de memoria.
• Productos con tarjeta de memoria opcional (p. ej.,. SINAMICS S210)
– Cree ficheros vacíos ("SINAMICS.key" y "SINAMICS.crt") con los nombres de fichero
correspondientes.
– Copie estos ficheros en la tarjeta de memoria.
– Inserte la tarjeta de memoria en el convertidor.
– Ponga de nuevo en marcha el convertidor.
– Alternativa si ya no necesita los datos de la tarjeta de memoria: formatee de nuevo la
tarjeta de memoria.
Encontrará más información en el manual de funciones o en las instrucciones de servicio del
producto correspondiente.
Industrial Security
8.4 SINAMICS
8.4.12 SINAMICS Startdrive y STARTER
8.4.12.1 Fallos de funcionamiento de la máquina a consecuencia de una parametrización

errónea o modificada
ADVERTENCIA
Fallos de funcionamiento de la máquina a consecuencia de una parametrización errónea
o modificada
• Proteja las parametrizaciones del acceso no autorizado.
• Controle los posibles fallos de funcionamiento con medidas apropiadas (p. ej.,
DESCONEXIÓN/PARADA DE EMERGENCIA).
8.4.12.2 SINAMICS Startdrive
Startdrive en el TIA Portal

SINAMICS Startdrive es un paquete de opciones en el TIA Portal con el que se ponen en marcha
accionamientos SINAMICS. En todo lo relativo a la seguridad industrial, deben cumplirse las
especificaciones para los accionamientos SINAMICS y para el TIA Portal.
Además de poner en marcha accionamientos individuales, Startdrive también permite
configurar accionamientos en controladores SIMATIC como el S7-1500. En la ayuda online
del TIA Portal, dentro de "Configuración de redes", se explica el procedimiento que se debe
seguir con los controladores SIMATIC.
Equipo de puesta en marcha

Debe garantizar la seguridad del equipo de puesta en marcha. Para ello, adopte las medidas de
seguridad (Página 33) generales.
Protección de know-how para equipos

• La función "Protección de know-how" permite proteger la parametrización del
accionamiento frente a accesos no autorizados.
• Esta función solo está disponible online.
• La protección de know-how para equipos está soportada a partir de Startdrive V16.
Industrial Security
8.4 SINAMICS
• Activación/desactivación de funciones no utilizadas (servidor web, puertos)
• Protección contra escritura para la parametrización, los parámetros p pueden leerse, pero no
escribirse, protección contra modificaciones accidentales de la parametrización (solo
disponible online)
Protección de los ficheros de copia de seguridad en el sistema de ficheros de Windows

Si genera ficheros de copia de seguridad de esquemas o proyectos con medios de Windows, debe
proteger esos ficheros mediante contraseñas seguras para evitar accesos no autorizados,
utilizando igualmente para ello medios de Windows. La integridad del propio proyecto de
Startdrive está protegida.
Scripts (Openness)
Los scripts (Openness) sirven para automatizar procesos en Startdrive. Los scripts deben
probarse antes de ser utilizados en la máquina.
ADVERTENCIA
Peligro por configuraciones erróneas en acciones de manejo automatizadas
Gracias a sus amplias posibilidades de automatización, los scripts permiten automatizar
acciones de manejo manual de la herramienta Startdrive y, con ello, optimizar el tiempo
necesario para la configuración repetitiva de proyectos y tareas.
Los creadores y usuarios de scripts son responsables de las acciones de manejo implementadas
en los scripts.
Las configuraciones erróneas que no se detecten por medio de pruebas pueden provocar
lesiones graves e incluso la muerte.
• Someta a pruebas sistemáticas los scripts nuevos o modificados a fin de verificarlos y
validarlos.
• Antes de ejecutar un script, asegúrese de que su contenido sea correcto. Verifique y valide
los resultados de la ejecución del script mediante pruebas en la máquina.
Los scripts, igual que los esquemas DCC, se pueden proteger mediante la protección de
know-how.
8.4.12.3 SINAMICS STARTER
Puesta en marcha de accionamientos con STARTER

STARTER sirve para poner en marcha los accionamientos de las familias MICROMASTER y
SINAMICS. SIMOTION SCOUT contiene una versión integrada de STARTER. Encontrará
información sobre SIMOTION SCOUT en "SIMOTION (Página 90)".
Industrial Security
8.4 SINAMICS


utilizando igualmente para ello medios de Windows.
• Protección de know-how para la parametrización, scripts, esquemas DCC y librerías DCC con
contraseña y cifrado
• Protección anticopia de la configuración en la unidad de accionamiento. El proyecto solo se
puede abrir con la tarjeta original.
• Detección de manipulaciones de parámetros con STARTER mediante la comparación de
proyectos, ver también "Comparación offline/online (Página 97)"
• Activación/desactivación de funciones no utilizadas (servidor web, puertos), ver también
"Servidor web integrado (Página 112)"
• Protección contra escritura para la parametrización, los parámetros p pueden leerse, pero no
escribirse, protección contra modificaciones accidentales de la parametrización (solo
disponible online)
Protección de know-how para unidades de accionamiento

Además de la protección de know-how para esquemas DCC, librerías DCC y scripts, la función
"Protección de know-how" del accionamiento permite proteger la parametrización de este frente
a accesos no autorizados. Esta función solo está disponible online. Ver también "Protección de
know-how (Página 105)".
Industrial Security
8.4 SINAMICS
Scripts
Los scripts sirven para automatizar procesos en STARTER. Los scripts deben probarse antes de ser
utilizados en la máquina.
ADVERTENCIA
Peligro por configuraciones erróneas en acciones de manejo automatizadas
Gracias a sus amplias posibilidades de automatización, el scripting permite automatizar
acciones de manejo manual de las herramientas STARTER/SCOUT y, con ello, optimizar el
tiempo necesario para la configuración repetitiva de proyectos y tareas.
Los creadores y usuarios de scripts son responsables de las acciones de manejo implementadas
en los scripts.
Las configuraciones erróneas que no se detecten por medio de pruebas pueden provocar
lesiones graves e incluso la muerte.
• Someta a pruebas sistemáticas los scripts nuevos o modificados a fin de verificarlos y
validarlos.
• Antes de ejecutar un script, asegúrese de que su contenido sea correcto. Verifique y valide
los resultados de la ejecución del script mediante pruebas en la máquina.
Los scripts, igual que los esquemas DCC, se pueden proteger mediante la protección de
know-how.
8.4.13 SINAMICS Drive Control Chart (DCC)
8.4.13.1 Seguridad industrial con SINAMICS DCC
Vista general
SINAMICS Drive Control Chart (DCC) ofrece una opción tecnológica escalable y modular,
desarrollada principalmente para tareas técnicas de control y regulación continuas a pie de
accionamiento.
Industrial Security
8.4 SINAMICS
El editor Drive Control Chart, basado en CFC, permite configurar de manera gráfica funciones
tecnológicas con DCC para accionamientos SINAMICS.
• Startdrive
La figura siguiente muestra el flujo de los datos de configuración en la configuración con
SINAMICS DCC:
7,$3RUWDO
3URMHNWWUHH 3ODQ 7DVN&DUGV

3URMHFW '&&6WDQGDUGEORFNV
'ULYHXQLW $OO%ORFNV

, $''
, ,
, ,
,
$''
/LEUDULHV
08/

① Cargar
② Importación de librerías DCB
Figura 8-11 Flujo de los datos de configuración: TIA-DCC
• STARTER
La figura siguiente muestra el flujo de los datos de configuración con SINAMICS DCC, así
como las maneras de proteger las fuentes DCC configuradas/programadas:
Industrial Security
8.4 SINAMICS
'&&&)&
$GG
0XO
&RQILJXUDFLµQ &RPSLODFLµQ
&RSLDGHVHJXULGDGHQHO
67$57(5HVTXHPDV\OLEUHU¯DV VLVWHPDGHILFKHURV
,PSRUWDFLµQGHWLSRVGH &DUJD
EORTXHV
/LEUHU¯D'&%
6,1$0,&6
6,1$0,&6
/LEUHU¯D'&&
6,1$0,&6
Figura 8-12 Flujo de los datos de configuración: Ejemplo para DCC Classic V2.1 ... V3.4 (STARTER)
Startdrive: Paquete de opciones DCC

Tenga en cuenta las siguientes particularidades sobre Startdrive:
• DCC no ofrece copia de seguridad en el sistema de ficheros.
• Las librerías DCB utilizadas se cargan de manera implícita junto con el proyecto en el
dispositivo de destino
• DCC no ofrece protección de know-how para esquemas

Industrial Security
8.4 SINAMICS
Uso de la protección de know-how

Los esquemas DCC, las librerías DCC, los programas y los ficheros de copia de seguridad entrañan
un alto riesgo de manipulación. Por esa razón, en STARTER debe utilizarse la protección de know-
how, la protección contra escritura para unidades de accionamiento y la protección de know-
how para esquemas DCC y librerías DCC, ver también Uso de la protección de know-how y
protección contra escritura (Página 123).
También encontrará información sobre la protección de know-how en el Manual de
programación y de manejo "Motion Control SINAMICS/SIMOTION Descripción del editor DCC".

utilizando igualmente para ello medios de Windows.
Consignas de obligado cumplimiento en relación con SINAMICS y los sistemas de ingeniería

Asimismo, debe respetar las consignas de seguridad industrial para los accionamientos
SINAMICS y los sistemas de ingeniería con los que se ponen en marcha accionamientos
SINAMICS. Son especialmente importantes las consignas sobre seguridad de redes, ver
también Seguridad de red (Página 38).
8.4.13.2 Uso de la protección de know-how y protección contra escritura
Usar la protección de know-how para impedir cambios no autorizados
ADVERTENCIA
Peligro de muerte por manipulación de esquemas DCC y librerías DCC
La utilización de esquemas y librerías DCC que no están protegidos alberga un riesgo
aumentado en cuanto a la manipulación de esquemas DCC, librerías DCC e archivos de backup.
• Proteja los esquemas DCC y librerías DCC importantes usando la función "Protección de
know-how de programas" o "Protección de know-how de unidades de accionamiento" en
SCOUT o STARTER. Asigne una contraseña robusta para impedir manipulaciones.
• Proteja los esquemas DCC y librerías DCC importantes usando la función "Protección de
know-how de unidades de accionamiento" en Startdrive V16 o superior. Asigne una
contraseña robusta para impedir manipulaciones.
• Por esta razón, para "Protección de know-how de programas" o "Protección de know-how de
unidades de accionamiento", use contraseñas de 8 caracteres como mínimo que contengan
mayúsculas y minúsculas, cifras y caracteres especiales.
• Asegúrese de que solo las personas autorizadas tengas acceso a las contraseñas.
• Proteja contra escritura los archivos de backup que se guardan en su sistema de archivos.
Industrial Security
8.4 SINAMICS
8.4.14 SINAMICS Smart Access Module
El Smart Access Module opcional es una solución inteligente para la puesta en marcha del
convertidor SINAMICS V20 o G120.
El Smart Access Module es un módulo de servidor web con conectividad WLAN integrada.
Permite el acceso basado en web al convertidor desde un equipo conectado (un PC
convencional con adaptador WLAN, una tableta o un smartphone). Este equipo solamente
está concebido para la puesta en marcha, de manera que no debe seguir conectado al
convertidor de manera permanente.
ATENCIÓN
WLAN: cambio de la contraseña estándar
El mal uso de las contraseñas también puede suponer un riesgo importante para la seguridad.
• Después de iniciar sesión por primera vez en el Smart Access Module, debe cambiar su
contraseña estándar.
• Asigne una contraseña segura. Encontrará información al respecto en las instrucciones de
servicio del convertidor correspondiente.
ATENCIÓN
Acceso no autorizado al convertidor a través del SINAMICS Smart Access Module
Un acceso no autorizado al convertidor a través del Smart Access Module como resultado de un
ciberataque podría causar interrupciones del proceso y, por tanto, daños materiales o lesiones.
• Antes de iniciar sesión en las páginas web, compruebe el LED de estado en el Smart Access
Module. Si el LED de estado está encendido o parpadea en verde, podría haberse producido
un acceso no autorizado: apague el SINAMICS Smart Access Module mediante el interruptor
de encendido/apagado y acto seguido vuelva a encenderlo para restablecer la conexión
WLAN.

• Instrucciones de servicio Convertidor SINAMICS V20 (https://
• Instrucciones de servicio SINAMICS G120 Smart Access (https://
Industrial Security
8.5 SIMOCRANE
8.5 SIMOCRANE
En las aplicaciones de grúa, los tres factores clave son disponibilidad, productividad y seguridad.
Como los productos SIMOCRANE están basados en productos de SIMOTION y SINAMICS, para su
refuerzo debe observar las medidas específicas de producto que figuran en los
capítulos SIMOTION (Página 90) y SINAMICS (Página 105).
Industrial Security
8.5 SIMOCRANE
Industrial Security
Referencias A
Información general
Encontrará información general sobre seguridad industrial en Internet:
• Industrial Security (https://www.siemens.com/industrialsecurity)
• Ciberseguridad (https://new.siemens.com/global/en/company/topic-areas/
cybersecurity.html)
• Ciberseguridad industrial (https://new.siemens.com/global/en/products/automation/topic-
areas/industrial-security/planning.html)
• Secure Digitalization (https://new.siemens.com/global/en/products/automation/topic-areas/
industrial-security/certification-standards.html#Alwaysactive)
• Certificaciones y normas (https://new.siemens.com/global/en/products/automation/topic-
areas/industrial-security/certification-standards.html)
• Whitepapers y descargas (https://new.siemens.com/global/en/products/automation/topic-
areas/industrial-security/downloads.html)
Contraseñas seguras
Encontrará más información sobre la asignación de contraseñas seguras en las siguientes
direcciones de Internet:
• Agencia Europea de Seguridad de las Redes y de la Información (ENISA) (https://
www.enisa.europa.eu/media/news-items/basic-security-practices-regarding-passwords-
and-online-identities)
• Instituto Nacional de Normas y Tecnología (NIST) (https://nvlpubs.nist.gov/nistpubs/
SpecialPublications/NIST.SP.800-63b.pdf)
• Oficina Federal alemana de Seguridad en la Tecnología de la Información (Bundesamt für
Sicherheit in der Informationstechnik, BSI) (https://www.bsi.bund.de/EN/Themen/
Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-
Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/sichere-
passwoerter-erstellen_node.html)(solo relevante para Alemania)
Páginas de Internet de los productos

Encontrará información específica de producto sobre seguridad industrial en las páginas de
Internet de los distintos productos:
• SINUMERIK: Página web SINUMERIK (https://www.siemens.com/sinumerik)
• SIMOTION: Página web SIMOTION (https://www.siemens.com/simotion)
• SINAMICS: Página web SINAMICS (https://www.siemens.com/sinamics)
Industrial Security
Referencias
Manuales específicos de producto

Los manuales específicos de producto para cada uno de ellos se encuentran en Internet:
• Manual de producto "SINUMERIK 840D sl NCU 7x0.3 PN" (https://
• Manual de puesta en marcha "Puesta en marcha CNC: CN, PLC, accionamiento" (https://
• Manual de puesta en marcha "SINUMERIK 840D sl Sistema operativo NCU (IM7)" (https://
• Manual de puesta en marcha "SINUMERIK 840D sl Software básico y HMI sl" (https://
• Manual de puesta en marcha SINUMERIK 840Dsl Safety Integrated plus (https://
• Manual de puesta en marcha "SINUMERIK Operate (IM9)" (https://
• Manual de puesta en marcha Software básico PCU (IM8) (https://
• Manual de puesta en marcha "Software básico PCU (IM10)" (https://
• Manual del usuario SINUMERIK Access MyMachine /P2P (PC) (https://
• Manual de configuración SINUMERIK Access MyMachine/OPC UA (https://
• Manual de funciones Manage MyMachines/Remote (https://
support.industry.siemens.com/cs/ww/en/view/109759394)
• Manual de diagnóstico 808D (https://support.industry.siemens.com/cs/de/en/view/
109763685)
• Manual de programación SIMOTION IT Programación y servicios web (https://
• Manual de diagnóstico SIMOTION IT Diagnóstico y configuración (https://
• Manual de programación SIMOTION IT Virtual Machine y Servlets (https://
• Manual de programación SIMOTION IT OPC UA (https://
• BA_G110M (https://support.industry.siemens.com/cs/ww/es/view/109782996)
• Manual de sistema Comunicación con SIMOTION (https://
• Manual de producto SINAMICS S120 Control Units y componentes del sistema
complementarios (https://support.industry.siemens.com/cs/ww/es/view/109782370)
Industrial Security
Referencias
• Manual de funciones SINAMICS S120 Safety Integrated (https://

• Manual de funciones SINAMICS S120 Comunicación (https://
• Manual de listas SINAMICS S120/S150 (https://support.industry.siemens.com/cs/ww/es/
view/109781807)
• Instrucciones de servicio G110M (https://support.industry.siemens.com/cs/ww/es/view/
109782996)
• Instrucciones de servicio G120 (https://support.industry.siemens.com/cs/ww/es/view/
109771299)
• Manual de funciones SINAMICS G Buses de campo (https://
support.industry.siemens.com/cs/ww/de/view/109757336/en)
• Instrucciones de servicio S210 (https://support.industry.siemens.com/cs/ww/es/view/
109801184)
• Instrucciones de servicio V20 (https://support.industry.siemens.com/cs/es/es/view/
109811111)
• Manual de funciones S7-1500, ET 200SP, ET200pro Servidor web (https://
• Manual de programación y de manejo SIMATIC Programar con STEP 7 (https://
• Manual de producto SIMATIC S7-300 CPU 31xC y CPU 31x: Datos técnicos (https://
• Manual de configuración SIMATIC NET: Switches para Industrial Ethernet SCALANCE X-200
(https://support.industry.siemens.com/cs/de/en/view/109757352/es)
Consulte también
Manual de puesta en marcha Safety Integrated plus (https://
Industrial Security
Referencias
Industrial Security
Glosario
Acceso remoto
Empleo de sistemas que se encuentran dentro del perímetro de la zona de seguridad y a los
que se accede desde otro lugar geográfico con los mismos derechos que si los sistemas se
encontraran físicamente en el mismo emplazamiento.
AMC
Abreviatura de Analyze MyCondition de SINUMERIK Integrate
AMD
Abreviatura de Access MyData de SINUMERIK Integrate
Amenaza
Causa potencial de un incidente no deseado que puede producir daños en un sistema o una
organización.
AMM
Abreviatura de Access MyMachine de SINUMERIK Integrate
AMP
Abreviatura de Analyze MyPerformance de SINUMERIK Integrate
AMT
Abreviatura de Active Management Technology de Intel®
Análisis de amenazas y riesgos (TRA)

El análisis de amenazas y riesgos es una metodología estandarizada en Siemens para uso en
el área de negocio de productos, soluciones y servicio técnico en proyectos de desarrollo
de productos, ingeniería o servicio técnico. Esta metodología ayuda a los participantes
del proyecto a detectar los fallos de seguridad y puntos débiles más comunes, a analizar
los peligros que dichos fallos y puntos débiles podrían aprovechar, y a valorar los riesgos
resultantes.
Industrial Security
Glosario
Ataque
Intento de destruir un recurso; de retirar, modificar, desactivar o robar la protección de un
recurso; de conseguir un acceso no autorizado a un recurso, o de utilizar un recurso de una
manera no autorizada.
Ataque Man-in-the-disk
El concepto de un ataque "Man-in-the-disk" es similar al de un ataque "Man-in-the-middle",
ya que implica la intercepción y manipulación de los datos intercambiados entre la memoria
externa y una aplicación.
Ataque Man-in-the-middle
En la criptografía y la seguridad informática, un ataque "Man-in-the-middle" es un ataque
informático en el que el atacante retransmite y posiblemente altera clandestinamente la
comunicación entre dos partes que creen que se están comunicando directamente entre sí
porque el atacante se ha interpuesto entre las dos partes.
Autenticación
Comprobación de la identidad de un usuario, proceso o equipo, generalmente como
condición previa para dar acceso a recursos en un sistema de información.
Autorización
El derecho concedido a una entidad del sistema para acceder a un recurso del sistema.
Ciberseguridad
Se entiende por ciberseguridad las medidas destinadas a defender equipos, servidores,
dispositivos móviles, sistemas electrónicos, redes y datos frente a ataques maliciosos.
También incluye la seguridad de tecnologías de la información y datos electrónicos. El
término tiene un sentido amplio y se aplica a todo, desde la seguridad de ordenadores
hasta la formación de usuarios finales, pasando por la recuperación ante desastres, es decir,
la restauración tras un incidente.
Computación en la nube
Se entiende por computación en la nube el almacenamiento de datos en un centro de
cálculo remoto, o bien la ejecución de programas que no están instalados en el equipo local,
sino en lo que metafóricamente se llama la nube (en inglés: cloud).
Confidencialidad
Característica en virtud de la cual no se facilitan ni se divulgan datos a particulares, entidades
o procesos no autorizados.
Industrial Security
Glosario
Cortafuegos
Equipo que conecta redes entre sí y que limita el tráfico de datos entre dos redes conectadas.
Defensa en profundidad
Creación de varios mecanismos de seguridad, en particular, en una estructura por capas, con
el fin de frenar o impedir del todo un ataque.
Denegación de servicio (DoS)

En informática, la denegación de servicio (abreviada como DoS en inglés) es la no
disponibilidad de un servicio que, en circunstancias normales, debería estar disponible.
Aunque la no disponibilidad puede obedecer a varios motivos, generalmente la DoS es la
consecuencia de una sobrecarga de la infraestructura del sistema. Esto puede deberse a
sobrecargas involuntarias o a un ataque intencionado a un servidor, un equipo u otros
componentes de una red de datos.
Disponibilidad
Accesibilidad y posibilidad de uso a petición de una entidad autorizada.
DMZ
Una zona desmilitarizada es una subred independiente que separa la red local (LAN) de
Internet mediante routers cortafuegos (A y B). Los routers cortafuegos están configurados de
manera que descartan los paquetes de datos para los que no haya otros paquetes anteriores.
Así pues, si desde Internet se envía un paquete de datos al servidor, el router cortafuegos A
lo rechaza. Si un hacker lograra acceder a un servidor situado dentro de una DMZ y quisiera
enviar paquetes de datos a la LAN para husmear o explotar vulnerabilidades (hackear), el
router cortafuegos B los rechazaría.
Fuerza bruta
En informática, para muchos problemas no se conocen algoritmos eficientes. El enfoque más
natural y sencillo para resolver un problema de manera algorítmica consiste sencillamente
en probar todas las soluciones posibles hasta encontrar la correcta. Este método se llama
"búsqueda por fuerza bruta" (en inglés: brute-force search). Una aplicación del método de
fuerza bruta que se cita a menudo como ejemplo es el descifrado de contraseñas. Con
frecuencia, las contraseñas están encriptadas con funciones hash criptográficas. Calcular
directamente la contraseña a partir del valor hash es algo casi imposible de realizar. Sin
embargo, un programa "crack" sí puede calcular los valores hash de muchas contraseñas. Si
un valor coincide con el valor de la contraseña guardada, habrá encontrado la contraseña
(u otra contraseña que funcione por casualidad). Por lo tanto, la fuerza bruta en este caso
consiste simplemente en probar contraseñas posibles.
Gestión de parches
Ámbito de la gestión de sistemas entre cuyos cometidos se encuentran la obtención,
comprobación e instalación de varios parches (modificaciones del código) para o dentro
Industrial Security
Glosario
de un sistema informático administrado. Al mismo tiempo, se trata de un subproceso de la

gestión de vulnerabilidades del sistema, entre cuyos cometidos se encuentran la corrección
y reducción de lagunas de seguridad en productos de Siemens mediante correcciones del
software.
Hacker
Persona que realiza intencionadamente una actividad de hacking. Estas actividades pueden
tener o no una intención maliciosa, y algunas se consideran dentro de los límites de lo ética y
jurídicamente aceptable.
IANA
La Internet Assigned Numbers Authority (IANA) es un departamento de la ICANN que se
encarga de asignar números y nombres en Internet, en particular, de direcciones IP. Es una de
las instituciones más antiguas de Internet.
Incidente
Uno o varios sucesos indeseados o inesperados que afectan a la actividad empresarial y
ponen en peligro la seguridad de la información. Pueden deberse a lagunas de seguridad,
configuraciones erróneas o comportamientos erróneos y de su aprovechamiento.
Industrial Security
Medidas para mejorar los estándares de seguridad industrial de una instalación. Estas
medidas protegen contra accesos no autorizados a sistemas de control, controladores
industriales y sistemas basados en PC de la instalación, y también contra ciberataques.
Integridad
Característica que garantiza la ausencia de errores y la integridad de los recursos.
Internet de las cosas / Internet of Things (IoT)

Término genérico para referirse a tecnologías de una infraestructura global de las sociedades
de la información que permite interconectar objetos físicos y virtuales y permitir que
colaboren utilizando tecnologías de la información y la comunicación.
Inyección de código
La inyección de código es la utilización de un fallo del ordenador debido al procesamiento
de datos no válidos. La inyección es un método que emplean los atacantes para introducir
clandestinamente código en un programa informático vulnerable y ejecutarlo.
Industrial Security
Glosario
IPsec (Internet Protocol Security)

IPsec es una ampliación del protocolo de Internet (IP) que incorpora mecanismos de cifrado
y autenticación. De este modo, el protocolo de Internet adquiere la capacidad de transportar
paquetes IP criptográficamente seguros a través de redes públicas no seguras.
Laguna de seguridad
Punto débil de un sistema informático que permite a un atacante vulnerar la integridad del
sistema. Por lo general, es la consecuencia de errores de programación o defectos de diseño
del sistema.
Un punto débil de un recurso o de un elemento de mando que puede ser aprovechado por
una o varias amenazas.
Lista de bloqueados
Una lista de permitidos o lista de bloqueados es una lista positiva o negativa que se puede
utilizar para proteger los sistemas en el entorno de TI. La lista de permitidos y la lista de
bloqueados aplican estrategias opuestas y se utilizan en una gran variedad de áreas.
En el caso de una lista de bloqueados, en principio todo lo que no figura en la lista está
permitido. La lista de bloqueados representa una lista negativa y enumera los destinos,
programas o direcciones que no son de confianza o no están permitidos. Mediante la lista
negativa, es posible prohibir de forma selectiva determinadas aplicaciones o destinos de
comunicación.
Lista de permitidos
Una lista de permitidos o lista de bloqueados es una lista positiva o negativa que se puede
utilizar para proteger los sistemas en el entorno de TI. La lista de permitidos y la lista de
bloqueados aplican estrategias opuestas y se utilizan en una gran variedad de áreas.
La lista de permitidos sigue el planteamiento de que, en principio, todo lo que no esté
explícitamente introducido en la lista está prohibido. Por consiguiente, en la lista de
permitidos solo figuran las entradas deseadas y de confianza. Las entradas de la lista
constituyen, por tanto, las excepciones a la norma de prohibición general.
Malware
Malware es un término genérico para los programas que se desarrollan con la intención
de causar algún daño a los usuarios. Existen muchísimos tipos de malware; p. ej., virus,
troyanos, rootkits o programas espía.
MMP
Abreviatura de Manage MyPrograms de SINUMERIK Integrate
MMT
Abreviatura de Manage MyTools de SINUMERIK Integrate
Industrial Security
Glosario
NAT (Network Address Translation)

Procedimiento empleado en routers IP que conectan redes locales con Internet. Por lo
general, los accesos a Internet solo disponen de una dirección IP (IPv4), de manera que
el resto de estaciones de la red local tienen que conformarse con una dirección IP privada.
Aunque las direcciones IP privadas pueden utilizarse varias veces, no son válidas en redes
públicas. Por esta razón, las estaciones con una dirección IP privada no pueden comunicarse
con estaciones situadas fuera de la red local. Para que todos los ordenadores con dirección
IP privada puedan tener acceso a Internet, el router de acceso a Internet debe sustituir las
direcciones IP de las estaciones locales por sus propias direcciones IP públicas en todos los
paquetes de datos salientes. Para que los paquetes de datos entrantes sean asignados a la
estación correcta, el router almacena las conexiones TCP actuales en una tabla. El router NAT,
por así decirlo, toma nota de la conexión TCP a la que pertenece cada paquete de datos. Este
procedimiento se denomina NAT (Network Address Translation).
NCU
Módulo de control central de un controlador CNC para CN, HMI, PLC y regulación.
OpenVPN
OpenVPN es un programa para crear una red privada virtual (VPN) mediante una conexión
TLS cifrada. Para el cifrado se utilizan las librerías del programa OpenSSL. OpenVPN puede
utilizar UDP o TCP para el transporte.
Patrones de virus
Denominación de la base de datos utilizada por los antivirus, que contiene la estructura
esquemática y específica de todos los virus conocidos. Generalmente se trata de un fichero
que el antivirus utiliza y procesa. Los esquemas contenidos en el fichero se utilizan para la
comprobación de virus, comparándose con los ficheros que haya que verificar.
PCU
PC industrial de alta integración para interfaz de usuario o bien software de sistema e
interfaz de usuario de un CNC.
Phishing
El phishing describe el peligro de "pescar contraseñas con cebo" en correos electrónicos
mediante enlaces falsificados o mensajes breves (p. ej., SMS). Los suplantadores de identidad
intentan acceder a los datos mediante correos electrónicos y páginas web que parecen serios
y legítimos. Para ello aprovechan puntos débiles, p. ej., del sistema operativo o del navegador
web, con ayuda de software malicioso infiltrado.
Refuerzo
Procedimiento mediante el cual se incrementa la seguridad de un sistema reduciendo la
superficie de ataque.
Industrial Security
Glosario
SCADA
Se entiende por Supervisory Control and Data Acquisition (SCADA) la supervisión y control
de procesos técnicos mediante un sistema informático.
Seguridad
Mantenimiento de la confidencialidad, integridad y disponibilidad de un producto, solución o
servicio.
Seguridad de la información
Mantenimiento de la confidencialidad, integridad y disponibilidad de la información.
Sistema SIEM
SIEM es el acrónimo de Security Information and Event Management, y se ha convertido
en un término de uso habitual en seguridad TI. Estos sistemas son capaces de identificar y
valorar eventos relevantes para la seguridad, y avisar de ellos al administrador.
Superficie de ataque
El alcance en que se ha desprotegido un sistema, de forma que es posible atacar dicho
sistema.
Switch
Componente de red para la conexión de varios terminales o segmentos de red en una red
local (LAN).
TIA Portal
TIA Portal es un framework de automatización para las familias de CPU SIMATIC S7-1200,
S7-300, S7-400 y S7-1500 de Siemens.
"TIA" significa Totally Integrated Automation. En TIA Portal, todas las herramientas de
software necesarias están agrupadas en una sola interfaz de usuario.
TLS
Transport Layer Security (TLS V1.2 o más reciente, "Seguridad de capa de transporte") es un
protocolo de cifrado híbrido para la transferencia de datos segura en Internet.
VPN (Virtual Private Network)

Una conexión cifrada de ordenadores o redes por medio de Internet. Permite intercambiar
datos confidenciales utilizando redes públicas.
Industrial Security
Glosario
WSUS (Windows Server Update Services)

Windows Server Update Services (abreviado como WSUS) es el componente de software
de Microsoft Windows Server, desde la versión 2003, que se encarga de parches y
actualizaciones. Es la versión sucesora del componente de software Software Update
Services.
Industrial Security
Índice alfabético
Carácter, 48
Complejidad, 48
A Especificaciones, 48
Longitud, 48
Acceso remoto, 23
Segura, 48
Actualización de firmware
Contraseña BIOS
MCP/MPP, 56
PCU 50, 66
Actualización de Security, 61
Contraseña BIOS PCU 50, 66
Actualización de seguridad, 61
Contraseña HMI, 64
IPC, 61
Contraseña Linux, 64
PCU, 61
Contraseña NCK, 64
Administración de parches, 26
Cortafuegos, 38, 47
Almacenamiento de datos, 47
Cuentas de usuario, 46
Encriptar, 47
Amenazas, 24
Análisis de amenazas y riesgos, 26
Análisis de código, 26
D
Antivirus, 49 Datos
Aplicaciones en la nube, 42 Transportar, 48
Application Security, 25 Defensa en profundidad, 34
Aseguramiento de la integridad, 26 Desactivar interfaz PROFINET
Avisos de seguridad de productos, 49 SINUMERIK 840D sl, 58
SINUMERIK ONE, 58
Disco duro, 48
B Encriptar, 47
Dispositivo de almacenamiento extraíble, 48
Bloquear
Dispositivo móvil
Interfaz USB, 57
Medidas, 47
Bloquear interfaz USB
Dispositivos de almacenamiento extraíbles
SINUMERIK, 57
SINAMICS, 108
SINUMERIK, 61
Dispositivos móviles, 23
C
Calidad de la contraseña, 48
Cambiar E
Contraseña, 48
Efectos, 24
Cambio de contraseñas
Encriptación de bloques
SINUMERIK, 64
SINUMERIK, 69
Candado para puerto USB, 47
Encriptar ciclos
Certificados
SINUMERIK, 67
SIMOTION, 102
Entrada principal, 69
SINAMICS, 113
Estándares de telefonía móvil, 23
Cloud Security, 42
Computación en la nube, 23
Comunicación
Números de puerto utilizados, 58
G
Servicios de comunicación, 58 Gestión de hotfixes, 26
Concepto Defense in Depth, 34 Gusanos, 49
Contraseña
Cambiar, 48
Industrial Security
Índice alfabético
Nube, 42
Números de puerto utilizados
H SINAMICS, 112
HTTPS
Servidor web SIMOTION, 101
O
Ordenador portátil
I Medidas, 47
IEC 62443, 29
Industrial Holistic Security Concept de Siemens, 28
Alcance, 28
P
Business Impact Assessment, 28 Parámetros: Niveles de acceso
Monitoring of Residual Risk, 28 SINAMICS, 107
Target Protection Level, 28 Parches, 61
Industrial Security PC
Amenazas, 24 Medidas, 47
definición, 21 PLM, 26
objetivos, 21 Proceso Product Lifecycle Management, 26
posibles efectos, 24 Proceso Security Management, 31
Integridad del sistema, 35 ProductCERT, 26
Interfaces Programa antivirus, 49
Proteger, 47 Protección antivirus
Internet de las cosas, 23 SINAMICS, 108
Internet of Things, 23 SINUMERIK, 60, 61
IoT, 23 Protección contra copia
ISO 27005, 29 SINUMERIK, 67
Protección de bloques, 68
SINUMERIK, 68
L Protección de datos, 24
Protección de know-how
Lagunas de seguridad, 24
SINAMICS, 105
Listas blancas, (SINUMERIK)
Puertos, 46
Lock MyCycles
SINUMERIK Integrate, 68
Lock MyPLC
SINUMERIK Integrate, 68
R
Red DMZ, 38
Redes de telefonía móvil, 23
M Reglamentos, 29
Manipulación de software
SINAMICS, 108
SINUMERIK, 61
S
MCP/MPP SCALANCE S, 39
Actualización de firmware, 56 Security Module
Memoria USB, 48 SCALANCE S, 39
Security Service, 25
Security Support, 25
N Seguridad de la empresa, 36
Seguridad de la instalación, 35
Niveles de confidencialidad, 47
Seguridad de red, 35
Niveles de protección, 35
Seguridad física de la producción, 36
Normas, 29
Industrial Security
Índice alfabético
Servicios, 46 Smart Access Module

Servicios de comunicación SINAMICS G120, 124
SINAMICS, 112 SINAMICS V20, 124
Servidor web
SIMOTION, 100
SINAMICS, 112 T
SINUMERIK, 66
Tabletas, 23
SI HSC, 28
Tecnología inalámbrica, 23
SIMATIC Logon, 95
Terminal móvil
SIMOTION
Bloquear, 47
Almacenamiento de proyectos, 93
cerrar, 47
Antivirus, 92
Terminales móviles
Comparación de proyectos, 97
Medidas, 47
Industrial Security, 90
TLS, 113
Protección contra copia, 96
TRA, 26
Protección de know-how, 95
Transport Layer Security
Puertos, 92
SINAMICS, 113
Servidor web, 99
Transporte
SINAMICS
Datos, 48
Certificados, 113
Troyanos, 49
Dispositivos de almacenamiento extraíbles, 108
Manipulación de software, 108
Números de puerto utilizados, 112
Parámetros: Niveles de acceso, 107
V
Protección antivirus, 108 Virus, 49
Protección de know-how, 105
Servicios de comunicación, 112
Servidor web, 112 W
Transport Layer Security, 113
Windows Server Update Services, 50
X140, 115
WSUS, 50
SINUMERIK
Bloquear interfaz USB, 57
Cambio de contraseñas, 64
Desactivar puerto PROFINET, 58
X
Dispositivos de almacenamiento extraíbles, 61 X140
Encriptación de bloques, 69 SINAMICS, 115
Encriptar ciclos, 67
Listas blancas, 60
Manipulación de software, 61 Z
Protección antivirus, 60, 61
Zona protegida, 38
Protección contra copia, 67
Protección de bloques, 68
Servidor web, 66
SINUMERIK 808D, 54
SINUMERIK 828D, 54
SINUMERIK 840D sl, 54
SINUMERIK Integrate
Lock MyCycles, 68
Lock MyPLC, 68
SINUMERIK MC, 54
SINUMERIK ONE, 54
Sistema SIEM, 27
Industrial Security
Índice alfabético
Industrial Security

IndustrialSecurity Config Man 0123 Es-ES

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

IndustrialSecurity Config Man 0123 Es-ES

Cargado por

Copyright:

Formatos disponibles

Introducción 1

¿Qué es Industrial Security? 3

Siemens AG Referencia del documento: 6FC5397-5EP40-6EA2 Copyright © Siemens AG 2015 - 2023.

7.4.1.1 Servicios y puertos............................................................................................................. 46

1.2 Acerca de esta documentación

El fabricante de la máquina documentará las posibles ampliaciones o modificaciones que

Páginas web de terceros

1.3 Opinión sobre la documentación técnica

1.4 Documentación de mySupport

El manual configurado puede exportarse a los formatos RTF, PDF o XML.

1.5 Service and Support

Siemens Support en cualquier lugar

Con la galardonada aplicación "Siemens Industry Online Support" se puede acceder en

Código de matriz de datos de la placa de características

1.7 Reglamento general de protección de datos

2.2 Garantía y responsabilidad para ejemplos de aplicación

2.3 Información de seguridad

Objetivos de Industrial Security

4.2 Posibles lagunas de seguridad en una empresa

Posibles lagunas de seguridad en una empresa

Posibles efectos de un incidente de seguridad

5.1 Medidas de seguridad

Integración de la seguridad en los productos

Aseguramiento de la infraestructura de desarrollo y la cadena de suministro

Suministro de parches, componentes de seguridad y servicios adecuados

5.2 Industrial Holistic Security Concept de Siemens

Figura 5-1 Proceso SI HSC Security Management

5.3 Normas y reglamentos

Figura 6-1 Proceso Security Management

7.1 Concepto Defense in Depth

Figura 7-1 Estrategia Defense in Depth

Encontrará más información sobre el concepto Defense in Depth y sobre la planificación

7.2 Seguridad de la instalación

7.2.1 Protección física de las áreas de producción críticas

Seguridad física de la producción

7.3 Seguridad de red

La seguridad de red incluye todas las medidas de planificación, ejecución y vigilancia de la

7.3.1 Segmentación de la red

7.3.1.1 Separación entre redes de producción y redes de oficina

Separación mediante sistema cortafuegos

Separación mediante red DMZ

Medidas de seguridad generales

7.3.1.2 Segmentación de redes con SCALANCE S

Módulos de seguridad SCALANCE S

5HGGHRILFLQD '0= *356 6&$/$1&(

352),1(7 352),1(7 352),1(7 352),1(7 352),1(7

6,0$7,& 6,0$7,& 6,0$7,&

6,0$7,& 6,1$0,&6 6,0$7,& 6,1$0,&6 6,0$7,& 6,027,21'[FRQ 6,1$0,&6

Figura 7-2 Ejemplo de aplicación SCALANCE S

7.3.2 Productos PROFINET y SNMP

7.3.3 Cloud Security

Soluciones en la nube de Siemens

Figura 7-3 Soluciones en la nube de Siemens

• Resumen de la gama en la nube de Siemens (https://www.sw.siemens.com/portfolio/cloud)

7.3.4 Sensores inteligentes (IoT) en la red

Medidas al utilizar sensores IoT

Figura 7-4 Sensores inteligentes

7.4 Integridad del sistema

La integridad del sistema es la "ausencia de defectos" o "corrección" de los datos, o el

7.4.1 Refuerzo del sistema

7.4.1.1 Servicios y puertos

7.4.1.2 Cuentas de usuario

7.4.1.3 PC/portátiles y dispositivos móviles en el entorno industrial

7.4.1.4 Almacenamiento de datos

5HGGHRILFLQD '0= *356 6&$/$1&(

6,0$7,& 6,1$0,&6 6,0$7,& 6,1$0,&6 6,0$7,& 6,027,21'[FRQ 6,1$0,&6