Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Consignas básicas de
seguridad 2
Manual de configuración
Security Management 6
Medidas de seguridad
generales 7
Medidas de seguridad
específicas de producto 8
Referencias A
01/2023
6FC5397-5EP40-6EA2
Notas jurídicas
Filosofía en la señalización de advertencias y peligros
Este manual contiene las informaciones necesarias para la seguridad personal así como para la prevención de
daños materiales. Las informaciones para su seguridad personal están resaltadas con un triángulo de advertencia;
las informaciones para evitar únicamente daños materiales no llevan dicho triángulo. De acuerdo al grado de
peligro las consignas se representan, de mayor a menor peligro, como sigue.
PELIGRO
Significa que si no se adoptan las medidas preventivas adecuadas se producirá la muerte o bien lesiones corporales
graves.
ADVERTENCIA
Significa que si no se adoptan las medidas preventivas adecuadas puede producirse la muerte o bien lesiones
corporales graves.
PRECAUCIÓN
Significa que si no se adoptan las medidas preventivas adecuadas pueden producirse lesiones corporales.
ATENCIÓN
Significa que si no se adoptan las medidas preventivas adecuadas pueden producirse daños materiales.
Si se dan varios niveles de peligro se usa siempre la consigna de seguridad más estricta en cada caso. Si en una
consigna de seguridad con triángulo de advertencia de alarma de posibles daños personales, la misma consigna
puede contener también una advertencia sobre posibles daños materiales.
Personal cualificado
El producto/sistema tratado en esta documentación sólo deberá ser manejado o manipulado por personal
cualificado para la tarea encomendada y observando lo indicado en la documentación correspondiente a la
misma, particularmente las consignas de seguridad y advertencias en ella incluidas. Debido a su formación
y experiencia, el personal cualificado está en condiciones de reconocer riesgos resultantes del manejo o
manipulación de dichos productos/sistemas y de evitar posibles peligros.
Uso previsto de los productos de Siemens
Considere lo siguiente:
ADVERTENCIA
Los productos de Siemens sólo deberán usarse para los casos de aplicación previstos en el catálogo y la
documentación técnica asociada. De usarse productos y componentes de terceros, éstos deberán haber sido
recomendados u homologados por Siemens. El funcionamiento correcto y seguro de los productos exige que su
transporte, almacenamiento, instalación, montaje, manejo y mantenimiento hayan sido realizados de forma
correcta. Es preciso respetar las condiciones ambientales permitidas. También deberán seguirse las indicaciones y
advertencias que figuran en la documentación asociada.
Marcas registradas
Todos los nombres marcados con ® son marcas registradas de Siemens AG. Los restantes nombres y designaciones
contenidos en el presente documento pueden ser marcas registradas cuya utilización por terceros para sus propios
fines puede violar los derechos de sus titulares.
Exención de responsabilidad
Hemos comprobado la concordancia del contenido de esta publicación con el hardware y el software descritos. Sin
embargo, como es imposible excluir desviaciones, no podemos hacernos responsable de la plena concordancia. El
contenido de esta publicación se revisa periódicamente; si es necesario, las posibles correcciones se incluyen en la
siguiente edición.
1 Introducción........................................................................................................................................... 7
1.1 Acerca de Industrial Security ................................................................................................ 7
1.2 Acerca de esta documentación............................................................................................. 8
1.3 Opinión sobre la documentación técnica ............................................................................ 10
1.4 Documentación de mySupport ........................................................................................... 11
1.5 Service and Support........................................................................................................... 12
1.6 OpenSSL ............................................................................................................................ 14
1.7 Reglamento general de protección de datos ....................................................................... 15
2 Consignas básicas de seguridad .......................................................................................................... 17
2.1 Consignas generales de seguridad...................................................................................... 17
2.2 Garantía y responsabilidad para ejemplos de aplicación ...................................................... 18
2.3 Información de seguridad .................................................................................................. 19
3 ¿Qué es Industrial Security?................................................................................................................. 21
4 ¿Por qué es tan importante Industrial Security?.................................................................................. 23
4.1 Tendencias con repercusiones en la seguridad industrial..................................................... 23
4.2 Posibles lagunas de seguridad en una empresa................................................................... 24
5 Medidas de seguridad en automatización y accionamientos.............................................................. 25
5.1 Medidas de seguridad ........................................................................................................ 26
5.2 Industrial Holistic Security Concept de Siemens .................................................................. 28
5.3 Normas y reglamentos ....................................................................................................... 29
6 Security Management ......................................................................................................................... 31
7 Medidas de seguridad generales......................................................................................................... 33
7.1 Concepto Defense in Depth ................................................................................................ 34
7.2 Seguridad de la instalación................................................................................................. 36
7.2.1 Protección física de las áreas de producción críticas ............................................................ 36
7.3 Seguridad de red................................................................................................................ 38
7.3.1 Segmentación de la red ..................................................................................................... 38
7.3.1.1 Separación entre redes de producción y redes de oficina..................................................... 38
7.3.1.2 Segmentación de redes con SCALANCE S ........................................................................... 39
7.3.2 Productos PROFINET y SNMP .............................................................................................. 42
7.3.3 Cloud Security ................................................................................................................... 42
7.3.4 Sensores inteligentes (IoT) en la red ................................................................................... 43
7.4 Integridad del sistema........................................................................................................ 46
7.4.1 Refuerzo del sistema .......................................................................................................... 46
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 3
Índice
Industrial Security
4 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Índice
8.2.3.1 Mcenter............................................................................................................................. 76
8.2.3.2 Operación en la nube......................................................................................................... 80
8.2.4 Aplicaciones cercanas al control (In Machine, Industrial Edge for Machine Tools)................. 82
8.2.4.1 Industrial Edge for Machine Tools ....................................................................................... 82
8.2.4.2 Analyze MyWorkpiece/Monitor ........................................................................................... 86
8.2.4.3 Analyze MyMachine /Condition .......................................................................................... 87
8.2.4.4 Protect MyMachine /3D Twin .............................................................................................. 88
8.3 SIMOTION.......................................................................................................................... 90
8.3.1 Refuerzo del sistema .......................................................................................................... 92
8.3.1.1 Seguridad de puertos ......................................................................................................... 92
8.3.1.2 Análisis de virus, parches de seguridad de Windows SIMOTION P ........................................ 92
8.3.2 Almacenamiento seguro de proyectos ................................................................................ 93
8.3.3 Protección de know-how.................................................................................................... 95
8.3.3.1 Control de accesos seguro con SIMATIC Logon.................................................................... 95
8.3.3.2 Protección de know-how en la ingeniería ........................................................................... 95
8.3.3.3 Protección anticopia de la configuración en el sistema de control ........................................ 96
8.3.4 Comparación offline/online ................................................................................................ 97
8.3.5 Servidor web SIMOTION IT ................................................................................................. 99
8.3.6 Servidor OPC UA .............................................................................................................. 102
8.3.7 Eliminación...................................................................................................................... 104
8.4 SINAMICS ........................................................................................................................ 105
8.4.1 Seguridad de red.............................................................................................................. 105
8.4.2 Protección de know-how.................................................................................................. 105
8.4.3 Parámetros: Niveles de acceso y contraseña ..................................................................... 107
8.4.4 Uso de la tarjeta de memoria............................................................................................ 108
8.4.5 Safety Integrated ............................................................................................................. 108
8.4.6 Backup y restauración de datos ........................................................................................ 109
8.4.6.1 Backup y restauración ...................................................................................................... 109
8.4.6.2 Copia de seguridad redundante........................................................................................ 110
8.4.6.3 Redundante Datensicherung_Weitere_Infos...................................................................... 111
8.4.7 Kommunikationsdienste und verwendete Portnummern_Weitere_Infos ............................ 112
8.4.8 Servicios de comunicación y números de puerto utilizados ............................................... 112
8.4.9 Servidor web integrado.................................................................................................... 112
8.4.9.1 Certificados para la transferencia de datos protegida......................................................... 113
8.4.10 Notas sobre interfaces ..................................................................................................... 114
8.4.11 Eliminación...................................................................................................................... 116
8.4.12 SINAMICS Startdrive y STARTER ........................................................................................ 117
8.4.12.1 Fallos de funcionamiento de la máquina a consecuencia de una parametrización errónea
o modificada .................................................................................................................... 117
8.4.12.2 SINAMICS Startdrive......................................................................................................... 117
8.4.12.3 SINAMICS STARTER........................................................................................................... 118
8.4.13 SINAMICS Drive Control Chart (DCC)................................................................................. 120
8.4.13.1 Seguridad industrial con SINAMICS DCC ........................................................................... 120
8.4.13.2 Uso de la protección de know-how y protección contra escritura....................................... 123
8.4.14 SINAMICS Smart Access Module ....................................................................................... 124
8.5 SIMOCRANE ..................................................................................................................... 125
A Referencias ........................................................................................................................................ 127
Glosario.............................................................................................................................................. 131
Índice alfabético ................................................................................................................................ 139
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 5
Índice
Industrial Security
6 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Introducción 1
1.1 Acerca de Industrial Security
La digitalización y la creciente interconexión de máquinas y plantas industriales conlleva un
peligro cada vez mayor de ciberataques. Por esta razón, adoptar las medidas de protección
oportunas se ha convertido en una obligación, en particular, cuando se trata de infraestructuras
críticas. Para proteger por completo las plantas industriales frente a ciberataques desde el
interior y el exterior, la seguridad debe aplicarse simultáneamente a todos los niveles, desde el
nivel de operación al de campo, desde el control de acceso hasta la protección anticopia.
Para más información visite la página web de Industrial Security (https://www.siemens.com/
industrialsecurity).
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 7
Introducción
1.2 Acerca de esta documentación
Contenido
La documentación "Industrial Security" contiene medidas necesarias y consignas para la
planificación y diseño de sistemas e instalaciones. La documentación sirve a la vez como guía y
manual de referencia. Esta documentación no puede ni pretende prometer una seguridad
absoluta, ya que las amenazas actuales son demasiado variadas y complejas. Más bien contiene
todas las precauciones necesarias que deben tomarse para la configuración de sistemas en un
entorno seguro. Tiene el propósito de orientar a los fabricantes de maquinaria de cara al
funcionamiento seguro de su controlador o instalación. El operador asume la responsabilidad
de poner en práctica las medidas de seguridad.
Destinatarios
La presente documentación se dirige a los fabricantes de máquinas herramienta y máquinas de
producción, en particular:
• Planificadores y proyectistas
• Departamento de TI de clientes finales y OEM
Para poner en práctica los sistemas de seguridad descritos se requieren los siguientes
conocimientos:
• Administración de las tecnologías de la información empleadas en oficinas
• Configuración de los productos SINUMERIK / SIMOTION / SINAMICS utilizados
Estructura
El manual está dividido en tres grandes partes:
• Descripción del tema Industrial Security en el contexto industrial
• Medidas de seguridad generales: este capítulo describe las medidas que pueden tomarse de
forma general, con independencia del producto utilizado, para que un sistema sea seguro.
• Medidas específicas de producto: este capítulo aclara las funciones especiales de los
productos (clasificadas por productos MC) con las que se puede trabajar para proteger un
sistema.
Alcance estándar
La presente documentación contiene una descripción de las funciones del alcance estándar.
Este puede diferir del alcance de las funciones del sistema suministrado. Las funciones del
sistema suministrado se obtienen exclusivamente de la documentación del pedido.
En el sistema pueden ejecutarse otras funciones adicionales no descritas en la presente
documentación. Sin embargo, no existe derecho a reclamar estas funciones en nuevos
suministros o en intervenciones de servicio técnico.
Por motivos de claridad expositiva, puede que en esta documentación no se detallen todos
los datos referentes a todos los tipos de producto. Tampoco se pueden considerar aquí todos
los casos posibles de instalación, servicio y mantenimiento.
Industrial Security
8 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Introducción
1.2 Acerca de esta documentación
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 9
Introducción
1.3 Opinión sobre la documentación técnica
Industrial Security
10 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Introducción
1.4 Documentación de mySupport
Nota
Los contenidos de Siemens que soportan la aplicación Documentación de mySupport se
identifican por la presencia del enlace "Configurar".
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 11
Introducción
1.5 Service and Support
Product Support
Encontrará más información sobre el producto en Internet:
Product Support (https://support.industry.siemens.com/cs/ww/es/)
En esta dirección encontrará lo siguiente:
• Información actual sobre productos (notificaciones sobre productos)
• FAQ (preguntas frecuentes)
• Manuales
• Descargas
• Newsletter con la información más reciente sobre sus productos
• Foro de intercambio a escala mundial de información y experiencia para usuarios y expertos
• Personas de contacto locales a través de nuestra base de datos de personas de contacto (→
"Contacto")
• Información sobre servicio técnico in situ, reparaciones, repuestos y mucho más (→
"Servicios")
Technical Support
Los números de teléfono específicos de cada país para el asesoramiento técnico se encuentran
en Internet, en la dirección (https://support.industry.siemens.com/cs/ww/es/sc/4868), en el
área "Contacto".
Para formular una pregunta técnica, utilice el formulario online en el área "Support Request".
Formación
En esta dirección (https://www.siemens.com/sitrain) encontrará información sobre SITRAIN.
SITRAIN ofrece formación sobre productos de Siemens, sistemas y soluciones de
accionamientos y automatización.
Industrial Security
12 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Introducción
1.5 Service and Support
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 13
Introducción
1.6 OpenSSL
1.6 OpenSSL
Este producto puede contener el software siguiente:
• Software desarrollado por el Proyecto OpenSSL para su uso en el toolkit OpenSSL
• Software criptográfico creado por Eric Young
• Software desarrollado por Eric Young
Encontrará más información en Internet:
• OpenSSL (https://www.openssl.org)
• Cryptsoft (https://www.cryptsoft.com)
Industrial Security
14 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Introducción
1.7 Reglamento general de protección de datos
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 15
Introducción
1.7 Reglamento general de protección de datos
Industrial Security
16 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Consignas básicas de seguridad 2
2.1 Consignas generales de seguridad
ADVERTENCIA
Peligro de muerte en caso de incumplimiento de las consignas de seguridad e
inobservancia de los riesgos residuales
Si no se cumplen las consignas de seguridad ni se tienen en cuenta los riesgos residuales de la
documentación de hardware correspondiente, pueden producirse accidentes con
consecuencias mortales o lesiones graves.
• Respete las consignas de seguridad de la documentación de hardware.
• Tenga en cuenta los riesgos residuales durante la evaluación de riesgos.
ADVERTENCIA
Fallos de funcionamiento de la máquina a consecuencia de una parametrización errónea
o modificada
Una parametrización errónea o modificada puede provocar en máquinas fallos de
funcionamiento que pueden producir lesiones graves o la muerte.
• Proteja la parametrización del acceso no autorizado.
• Controle los posibles fallos de funcionamiento con medidas apropiadas, p. ej.,
DESCONEXIÓN o PARADA DE EMERGENCIA.
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 17
Consignas básicas de seguridad
2.2 Garantía y responsabilidad para ejemplos de aplicación
Industrial Security
18 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Consignas básicas de seguridad
2.3 Información de seguridad
ADVERTENCIA
Estados operativos no seguros debidos a una manipulación del software
Las manipulaciones del software (p. ej. mediante virus, troyanos o gusanos) pueden provocar
estados operativos inseguros en la instalación, con consecuencias mortales, lesiones graves o
daños materiales.
• Mantenga actualizado el software.
• Integre los componentes de automatización y accionamiento en un sistema global de
seguridad industrial de la instalación o máquina conforme a las últimas tecnologías.
• En su sistema global de seguridad industrial, tenga en cuenta todos los productos utilizados.
• Proteja los archivos almacenados en dispositivos de almacenamiento extraíbles contra
software malicioso tomando las correspondientes medidas de protección, p. ej. programas
antivirus.
• Al finalizar la puesta en marcha, compruebe todos los ajustes relevantes para la seguridad.
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 19
Consignas básicas de seguridad
2.3 Información de seguridad
Industrial Security
20 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
¿Qué es Industrial Security? 3
Definición de Industrial Security
En general, se entiende por seguridad industrial (Industrial Security) el conjunto de las medidas
destinadas a protegerse de lo siguiente:
• Pérdida de confidencialidad por acceso no autorizado a datos
• Pérdida de integridad por manipulación de datos
• Pérdida de disponibilidad (p. ej., debido a destrucción de datos o denegación de servicio
(DoS))
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 21
¿Qué es Industrial Security?
Industrial Security
22 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
¿Por qué es tan importante Industrial Security? 4
4.1 Tendencias con repercusiones en la seguridad industrial
Tendencias globales
Actualmente existen muchas tendencias diferentes que afectan a la seguridad industrial. Sus
efectos subrayan la relevancia de las funciones y medidas de seguridad.
• Enfoques de computación en la nube
El número de conexiones de red no deja de aumentar en todo el mundo. Esto permite el
desarrollo de cada vez más tecnologías, como la computación en la nube y las aplicaciones
relacionadas. En relación con la computación en la nube, se está produciendo un enorme
incremento en el uso de dispositivos móviles como teléfonos móviles y tabletas.
• Tecnología inalámbrica
El empleo cada vez mayor de dispositivos móviles está siendo posible, a su vez, gracias a la
disponibilidad de redes de telefonía móvil con amplia cobertura. Asimismo, la tecnología
LAN inalámbrica se está expandiendo cada vez más. El desarrollo de nuevos estándares
WLAN y de telefonía móvil avanza continuamente.
• Acceso remoto a instalaciones, máquinas y aplicaciones móviles desde cualquier lugar del
mundo
• El Internet de las cosas/Internet of Things (IoT)
En la actualidad, millones de equipos electrónicos tienen conectividad en red y se comunican
a través de Internet.
Para que los componentes y aplicaciones interconectados funcionen sin fallos, la instalación
necesita una infraestructura de red y aplicaciones que la protejan eficazmente contra
ciberataques.
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 23
¿Por qué es tan importante Industrial Security?
4.2 Posibles lagunas de seguridad en una empresa
Posibles amenazas
Las posibles amenazas en el terreno de la seguridad abarcan aspectos como la
confidencialidad, la integridad y la disponibilidad. Ejemplos de amenazas:
• Espionaje de datos
• Manipulación de datos o software
• Sabotaje de plantas de producción
• Paradas de instalaciones, p. ej., por virus o software malicioso
• Uso no autorizado de funciones del sistema
Industrial Security
24 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad en automatización y
accionamientos 5
En automatización y accionamientos, Siemens se ocupa de los aspectos de seguridad en tres
niveles:
• Application Security designa a los productos y funciones que atienden a las necesidades de
seguridad industrial en el entorno de automatización, en particular, teniendo en cuenta la
aplicación y la tarea, así como a las personas que trabajan en una instalación de
automatización. Esto permite implementar fácilmente la seguridad industrial en los procesos
de fabricación.
• El servicio Security Support, prestado por especialistas en redes que conocen las
necesidades particulares del sector, proporciona ayuda para el análisis, planificación,
implementación, verificación y optimización de la seguridad industrial. Este servicio conduce
a un nivel máximo en cuanto a seguridad industrial y operatividad de la planta de producción.
Mediante el servicio "Industrial Cybersecurity Services", Siemens ofrece un amplio soporte al
cliente: esto le permite aplicar medidas de protección para incrementar el nivel de seguridad
de las plantas y centros de producción. En Internet (https://new.siemens.com/uk/en/
products/services/digital-enterprise-services/industrial-security-services.html) encontrará
más información sobre la oferta completa de "Industrial Cybersecurity Services".
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 25
Medidas de seguridad en automatización y accionamientos
5.1 Medidas de seguridad
Industrial Security
26 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad en automatización y accionamientos
5.1 Medidas de seguridad
Consulte también
Always active (https://new.siemens.com/global/en/products/automation/topic-areas/industrial-
security/certification-standards.html#Alwaysactive)
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 27
Medidas de seguridad en automatización y accionamientos
5.2 Industrial Holistic Security Concept de Siemens
0RQLWRULQJRI
5HVLGXDO5LVN
3URWHFWLRQ
&RQFHSW 0RQLWRUL]DFLµQGHO
7DUJHW ULHVJRUHVLGXDOSDUD
3URWHFWLRQ PHMRUDUHOFRQFHSWRGH
6HOHFFLµQHLPSODQWD SURWHFFLµQVLHV
/HYHO FLµQGHPHGLGDV
%XVLQHVV DGHFXDGDVSDUD
QHFHVDULRSbHMVL
VXUJHQQXHYDV
,PSDFW /DLQIUDHVWUXFWXUD7,\ FXPSOLUORVUHTXLVLWRV DPHQD]DV
$VVHVVPHQW ORVSURFHVRV7,GHEHQ HVWDEOHFLGRVSbHM
FXPSOLUORVUHTXLVLWRV VLVWHPDGHSURWHFFLµQ
6FRSH GHF«OXODV
,PSRUWDQFLDGHOD GHVHJXULGDGVREUHOD
SURWHFFLµQGH EDVHGHODVQRUPDV
NQRZKRZ\OD LQWHUQDFLRQDOHV,(&
3URGXFWRV\£UHDVGH LQWHJULGDGGHO H,62
QHJRFLRTXHGHEHQ SURGXFWRSDUDOD
WHQHUVHHQFXHQWDHQ HPSUHVD
HO+ROLVWLF6HFXULW\
&RQFHSW
Consulte también
Secure Digitalization: Enfoque integral (https://securing-digitalization.dc.siemens.com/de/)
Industrial Security
28 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad en automatización y accionamientos
5.3 Normas y reglamentos
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 29
Medidas de seguridad en automatización y accionamientos
5.3 Normas y reglamentos
Industrial Security
30 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Security Management 6
Un proceso Security Management conforme con las normas IEC 62443 e ISO 27001 es la base
para la implantación eficaz de Industrial Security.
"O¡MJTJTEF
BNFOB[BT
ZSJFTHPT
7BMJEBDJ³OZ %JSFDUJWBTZ
NFKPSB NFEJEBT
PSHBOJ[BUJWBT
.FEJEBT
U©DOJDBT
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 31
Security Management
Procedimiento
1. Realice un análisis de amenazas y riesgos (TRA). Determine todos los riesgos potenciales y
defina contramedidas que reduzcan el riesgo a un nivel aceptable.
Un análisis de amenazas y riesgos abarca los siguientes pasos:
– Identificación de objetos amenazados
– Análisis de valor y potencial de daño
– Análisis de amenazas y puntos débiles
– Identificación de medidas de seguridad existentes
– Valoración de riesgos
– Valoración de los efectos en lo referente a los objetivos de protección: confidencialidad,
integridad y disponibilidad
2. Establezca unas directrices e introduzca medidas organizativas coordinadas.
Fomente la conciencia de la importancia de Industrial Security en todos los niveles de la
empresa. Defina directivas y procesos para asegurar un procedimiento homogéneo en
cuanto al cumplimiento de las medidas de seguridad.
3. En tercer lugar, hay que introducir las medidas técnicas acordadas.
4. Realice una auditoría de seguridad para cerciorarse de que se han aplicado todas las medidas
y estas han servido para eliminar o reducir los riesgos identificados.
Nota
Proceso continuo
Dado que los escenarios de amenaza cambian constantemente, este proceso debe repetirse
una y otra vez. Implante el proceso Security Management como proceso continuo.
Consulte también
Medidas de seguridad generales (Página 33)
Medidas de seguridad específicas de producto (Página 53)
Industrial Security
32 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad generales 7
En este capítulo le mostraremos las medidas de seguridad generales que debe adoptar para
proteger su sistema frente a amenazas.
Las medidas de seguridad adicionales que son específicas para los productos SINUMERIK,
SIMOTION y SINAMICS figuran en el capítulo Medidas de seguridad específicas de producto
(Página 53).
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 33
Medidas de seguridad generales
7.1 Concepto Defense in Depth
%FGFOTFJO%FQUI
4FHVSJEBEEFMB
JOTUBMBDJ³O
-PTSJFTHPTEFTFHVSJEBE 4FHVSJEBEEFMBSFE
PCMJHBOBBDUVBS
*OUFHSJEBEEFM
TJTUFNB
Industrial Security
34 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad generales
7.1 Concepto Defense in Depth
Niveles de protección
El modelo Defense in Depth consta de tres niveles:
• Seguridad de la instalación
La "seguridad de la instalación" representa el anillo protector más exterior. Consiste en
amplias medidas de protección físicas, p. ej., controles de entrada, que deben estar
perfectamente coordinadas con las medidas encaminadas a la seguridad de TI.
• Seguridad de red
Las medidas englobadas dentro del término "seguridad de red" constituyen el núcleo de las
medidas de protección. Se trata de segmentar la red de la red de planta con comunicación
limitada y segura de las subredes ("Secure Islands"), y además controlar las interfaces
mediante el uso de cortafuegos.
• Integridad del sistema
La "integridad del sistema" combina dos aspectos de protección fundamentales. Los sistemas
basados en PC y el nivel de control deben estar protegidos contra ataques. Ello incluye, por
ejemplo, las siguientes medidas:
– Mecanismos integrados de protección de acceso en componentes de automatización
para impedir modificaciones no autorizadas a través del sistema de ingeniería o durante
el mantenimiento.
– Uso de software antivirus y listas de excepción para proteger los sistemas PC contra
malware.
– Procesos de mantenimiento y actualización para mantener actualizados los sistemas de
automatización
(p. ej., gestión de parches, actualizaciones de firmware, etc.)
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 35
Medidas de seguridad generales
7.2 Seguridad de la instalación
$QODJHQVLFKHUKHLW
Si hay agujeros en la seguridad física de una empresa, existe la posibilidad de que personas
no autorizadas entren en la zona/edificio de producción y causen daños o alteraciones en los
equipos de producción, o incluso se lleven información confidencial. Esto puede impedirse
protegiendo debidamente el lugar donde se encuentra la empresa y las zonas de producción.
Seguridad de la empresa
La seguridad física de la empresa debe garantizarse con las medidas siguientes:
• Cerramiento y vigilancia de los terrenos de la empresa
• Control de entrada, cerraduras/lectores de tarjetas o vigilantes
• Acompañamiento de personas ajenas por parte de personas pertenecientes a la empresa
• Formación sobre los procesos de seguridad de la empresa para todos los empleados
Industrial Security
36 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad generales
7.2 Seguridad de la instalación
Más información
Encontrará más información sobre las soluciones de seguridad integradas de Siemens en la
Página de Siveillance (https://new.siemens.com/global/en/products/buildings/security/security-
management.html).
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 37
Medidas de seguridad generales
7.3 Seguridad de red
6HJXULGDGGHUHG
Nota
Los productos que se describen en este manual solo deben utilizarse en zonas protegidas
definidas.
Nota
Las redes de producción también deberían dividirse en células de automatización separadas
para proteger mecanismos de comunicación críticos.
Industrial Security
38 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad generales
7.3 Seguridad de red
Requisitos
ATENCIÓN
Uso indebido de los datos
Un trayecto demasiado largo entre el equipo que se pretende proteger y el Security Module
conectado aguas arriba puede dar lugar a un uso indebido de los datos.
• Tenga en cuenta que los Security Modules conectados aguas arriba, como p. ej.,
SCALANCE S, deben instalarse cerca del equipo que se desea proteger, en el armario
eléctrico cerrado con llave. De esta manera se garantiza que en ese punto no se manipulen
los datos de forma inadvertida.
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 39
Medidas de seguridad generales
7.3 Seguridad de red
Principio
El siguiente ejemplo de aplicación muestra la segmentación de células mediante varios módulos
SCALANCE S situados antes de cada célula de automatización. Con el cortafuegos de SCALANCE
S, el tráfico de datos desde y hacia los equipos se puede posible filtrar y controlar dentro de las
células de automatización. Si es necesario, es posible cifrar y autenticar el tráfico entre células.
Con SOFTNET Security Client, un software de cliente VPN para PC, es posible establecer canales
seguros y el acceso de cliente a las células desde los PC.
Industrial Security
40 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad generales
6HJXULGDGGHOD
7.3 Seguridad de red
LQVWDODFLµQ
&RSLDGHVHJXULGDGGHREMHWRV
6HFXULW\0DQDJHPHQW
5RXWHUGH
66&
,QWHUQHW
6&$/$1&( 6HUYLGRU
6 6HUYLGRU FHQWUDO
:(% GHDUFKLYRV ,QWHUQHW 6,0$7,&)LHOG3*
FRQ62)71(7
6HFXULW\&OLHQW
6&$/$1&(
0
,QGXVWULDO(WKHUQHW
6&$/$1&(6 6&$/$1&(6
5HGGHSURGXFFLµQ
3URGXFFLµQ 3URGXFFLµQ 3URGXFFLµQ 3URGXFFLµQ 3URGXFFLµQ
6,180(5,.
6,0$7,& 6,0$7,& 'VO
6,0$7,& 6FRQ 6FRQ
6FRQ 6FRQ &3 &3
&60 &3 $GYDQFHG $GYDQFHG
,QWHJULGDGGHOVLVWHPD
6,0$7,&
6
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 41
Medidas de seguridad generales
7.3 Seguridad de red
Acceso VPN
Nota
Tenga en cuenta que un acceso VPN debe llevarse a cabo siempre con un módulo de seguridad
SCALANCE S.
Nota
Los productos con PROFINET ofrecen la posibilidad de leer y, si es necesario, escribir parámetros
mediante SNMP (Simple Network Management Protocol, puerto 160/161).
• El componente no debe identificarse exclusivamente mediante parámetros SNMP, sino que
para la identificación es necesario utilizar también la información que figura en la placa de
características (p. ej., dirección MAC, número de serie, etc.).
Primera orientación
• Companion Guide for Cloud - CIS Organisation (https://www.cisecurity.org/press-release/cis-
controls-companion-guide-for-cloud-now-available/)
• Matrix Cloud Control - CSA Organisation (https://cloudsecurityalliance.org/artifacts/cloud-
controls-matrix-v4/)
• Cuestionario Cloud Security - CSA Organisation (https://cloudsecurityalliance.org/artifacts/
consensus-assessments-initiative-questionnaire-v3-1)
• Top Threats Cloud Security - CSA Organisation (https://cloudsecurityalliance.org/research/
working-groups/top-threats/)
Industrial Security
42 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad generales
7.3 Seguridad de red
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 43
Medidas de seguridad generales
7.3 Seguridad de red
Esta interacción con el mundo físico que los sensores IoT hacen posible puede dar lugar a
riesgos de seguridad y riesgos privados considerables.
ADVERTENCIA
Riesgos de utilizar sensores IoT
• Las mediciones analógicas se pueden manipular fácilmente (la intensidad luminosa, la
temperatura y la tensión se pueden falsear).
• El uso creciente de sensores IoT puede hacer que se acumule una enorme cantidad de datos
privados y sensibles que deben tratarse de forma confidencial.
• Los sensores IoT también se utilizan para proteger zonas sensibles. En el peor de los casos,
un ataque a la seguridad de un equipo de este tipo puede poner en peligro la vida de
personas, causar daños materiales considerables o provocar caídas de producción o
similares.
• Las interfaces de red IoT a menudo permiten el acceso remoto a sistemas físicos. Por lo
tanto, fabricantes, distribuidores y terceros pueden acceder de forma remota a equipos IoT
con fines de administración, vigilancia, mantenimiento y corrección de errores. Como
consecuencia, los sistemas físicos que son accesibles a través del IoT están expuestos a un
riesgo de ataque de seguridad mucho mayor que antes.
• Muchos equipos IoT deben cumplir requisitos estrictos en cuanto a rendimiento, fiabilidad,
capacidad de carga, seguridad y otros objetivos. Estos requisitos pueden ser incongruentes
con los requisitos y reglas generales de seguridad de la empresa (p. ej., parches y
actualizaciones de seguridad periódicos).
Mientras que en el caso de los sensores no inteligentes la conexión en red es exclusivamente
local, la conexión a Internet de los sensores inteligentes permite ataques desde cualquier
lugar del mundo que tenga acceso a Internet, con lo que aumenta el nivel de exposición de
la máquina y, por tanto, el riesgo de ataque.
Es necesario tomar conciencia de estos riesgos, incluirlos en el análisis de riesgos y adoptar
medidas oportunas para proteger el sistema/instalación.
Industrial Security
44 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad generales
7.3 Seguridad de red
Debido a los riesgos arriba mencionados, si utiliza sensores IoT, la superficie de ataque debe
ser lo más pequeña posible, y debe adoptar las medidas siguientes:
• Establezca una transmisión segura entre el sensor y nuestro producto (SINUMERIK, Edge,
SINAMICS). Si es posible, utilice sensores inteligentes con medidas de seguridad integradas
(p. ej., protección de la integridad de la comunicación).
• Asegúrese de la autoprotección del sensor (p. ej., identificación unívoca, redundancia en el
procesamiento de señal (principio Functional Safety)).
• Utilice exclusivamente sensores inteligentes que cumplan la normativa.
• Tome medidas físicas (Industrial Holistic Security Concept de Siemens (Página 28), Concepto
Defense in Depth (Página 34)) para asegurar los puntos vulnerables a ataques físicos.
Más información
Si desea más información sobre el "Uso seguro de sensores IoT", visite las siguientes páginas de
Internet:
• Solo relevante para Alemania: Compendio sobre protección básica de TI de la Oficina Federal
alemana de Seguridad en la Tecnología de la Información (Bundesamt für Sicherheit in der
Informationstechnik, BSI). (https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/
Grundschutz/International/bsi-it-gs-comp-2019.html?nn=409850)
• Open Web Application Security Project® (OWASP) (https://owasp.org/www-project-internet-
of-things/#div-seek_and_understand)
• Internal Report NISTIR 8228 (https://nvlpubs.nist.gov/nistpubs/ir/2019/NIST.IR.8228.pdf).
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 45
Medidas de seguridad generales
7.4 Integridad del sistema
,QWHJULGDGGHO
VLVWHPD
Industrial Security
46 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad generales
7.4 Integridad del sistema
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 47
Medidas de seguridad generales
7.4 Integridad del sistema
7.4.1.6 Contraseñas
ATENCIÓN
Uso indebido de datos por culpa de contraseñas no seguras
Si se asignan contraseñas no seguras, es fácil que se produzca un uso indebido de datos. Las
contraseñas no seguras pueden adivinarse o descifrarse fácilmente.
• Por lo tanto, cambie siempre las contraseñas predeterminadas durante la puesta en marcha
y luego cámbielas regularmente a intervalos definidos.
• Cambie también las contraseñas de funciones que usted no utilice, para de este modo evitar
también un uso indebido de esas funciones no utilizadas.
• Mantenga sus contraseñas siempre en secreto y procure que únicamente tengan acceso a
ellas las personas autorizadas.
Industrial Security
48 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad generales
7.4 Integridad del sistema
Nota
Cumplimiento de los avisos de seguridad de productos
Las amenazas son muy diversas y cambian constantemente. Por esta razón, debe acudir
regularmente a Industry Online Support (https://support.industry.siemens.com/sc/ww/es/sc/
asistencia-tecnica/oid2090) para mantenerse informado sobre los nuevos avisos de seguridad
que afecten a sus productos. Siga las instrucciones de los avisos de seguridad de productos.
7.4.1.8 Antivirus
Un antivirus o programa antivirus es un software que detecta, bloquea y, en su caso, elimina los
virus informáticos, gusanos y troyanos conocidos.
Los antivirus únicamente son capaces de detectar programas y códigos maliciosos (virus,
gusanos, troyanos, etc.) conocidos, de manera que no protegen contra todos los virus y
gusanos. Por eso los antivirus deben considerarse siempre un complemento a las medidas de
precaución generales.
El uso de un antivirus no debe afectar a la producción de una instalación. En último término,
esto significa que un ordenador infectado no debe desconectarse automáticamente de forma
inmediata si con ello se pierde el control del proceso de producción.
ATENCIÓN
Uso indebido de datos con antivirus online
Si utiliza un antivirus online, existe la posibilidad de que datos relevantes para la seguridad o
confidenciales caigan en las manos equivocadas y se usen indebidamente.
• Así pues, no utilice antivirus online para comprobar datos que sean relevantes para la
seguridad o confidenciales.
Nota
Mantener actualizado el programa antivirus
La base de datos del programa antivirus debe estar siempre actualizada.
Nota
No instalar simultáneamente varios antivirus
Debe evitarse la instalación simultánea de varios antivirus en un sistema.
Nota
Funcionamiento en la red local
Utilice siempre un antivirus para la conexión local con la red de la instalación.
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 49
Medidas de seguridad generales
7.4 Integridad del sistema
WSUS
Los sistemas Windows actuales disponen de la función WSUS (Windows Server Update
Services), ofrecida por Microsoft. WSUS ayuda a los administradores a distribuir las
actualizaciones de Microsoft en redes locales de gran tamaño. WSUS carga automáticamente los
paquetes de actualización (Microsoft Update) y los ofrece a los clientes de Windows para que los
instalen.
El proceso de actualización totalmente automático garantiza que los clientes de Siemens
dispongan siempre de las actualizaciones de seguridad de Microsoft más recientes.
ATENCIÓN
Lagunas de seguridad en sistemas operativos antiguos
Tenga en cuenta que Microsoft ya no facilita actualizaciones de seguridad automáticas,
hotfixes. etc., para los sistemas operativos anteriores a Windows 10. Esto puede dar lugar a
lagunas de seguridad peligrosas en su sistema operativo.
• Por eso, actualice su sistema operativo a la versión más reciente siempre que sea posible.
• Si trabaja con un sistema operativo antiguo, adopte medidas adicionales (p. ej., lista de
permitidos) para proteger el sistema.
Nota
Antes de instalar actualizaciones de Microsoft, tenga en cuenta lo siguiente:
• Antes de aplicar la actualización, guarde el estado del sistema para el caso de que sea
necesaria una restauración. El cliente es responsable de que la actualización sea compatible
con la configuración de la instalación.
• No conecte nunca directamente con el servidor WSUS de Internet. Garantice un entorno
seguro e instale una capa intermedia (p. ej., red DMZ, cortafuegos, módulo SCALANCE S,
etc.).
Industrial Security
50 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad generales
7.4 Integridad del sistema
Nota
El software de producto obsoleto también es una posible superficie de ataque.
• Por eso, instale siempre las versiones de software de producto más recientes que estén
disponibles.
ATENCIÓN
Corrupción de datos y consiguiente mal funcionamiento del sistema
En los sistemas de automatización y accionamiento, y también en los componentes de control,
se pueden cargar datos, p. ej., ficheros y programas, procedentes de fuentes externas. Estos
datos afectan al comportamiento de estos sistemas, y por eso deben protegerse contra
modificaciones no autorizadas.
Asimismo, es posible guardar y archivar datos, p. ej., ficheros, programas y aplicaciones OA.
Actualmente los sistemas no permiten asegurar la integridad de programas, ficheros y
aplicaciones OA.
Por esta razón es necesario que usted mismo adopte medidas para garantizar la integridad de
datos de sus ficheros, sus aplicaciones OA u otros datos guardados:
• Utilice el Industrial Holistic Security Concept de Siemens.
• Utilice firmas digitales para proteger los datos.
• Garantice una protección de acceso suficiente:
– Limite los derechos de acceso, p. ej., en archivos de datos/sharepoints.
– No envíe correos electrónicos sin encriptar/sin firmar.
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 51
Medidas de seguridad generales
7.4 Integridad del sistema
7.4.4 Eliminación
La eliminación de los productos debe llevarse a cabo conforme a las normas nacionales vigentes
que correspondan en cada caso. Los productos descritos en este manual pueden reciclarse en su
mayor parte gracias a sus materiales poco contaminantes. Para un reciclaje ecológico y la
eliminación de su antiguo equipo, le rogamos que se dirija a una empresa de eliminación de
residuos.
ATENCIÓN
Uso indebido de datos por culpa de un borrado no seguro
El borrado incompleto o no seguro de los datos almacenados en tarjetas de memoria o discos
duros del producto puede dar lugar a un uso indebido de los datos de programas de pieza,
ficheros, etc., por parte de terceros.
• Por esta razón, antes de eliminar el producto debe borrar de forma segura todos los
soportes de memoria utilizados:
• Existen programas que facilitan el borrado/formateo seguro de los soportes de memoria. O
también puede acudir a una empresa certificada de gestión de residuos que preste este
servicio.
Tenga en cuenta también las consignas de eliminación específicas del capítulo Medidas de
seguridad específicas de producto (Página 53).
Industrial Security
52 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad específicas de producto 8
En este capítulo encontrará medidas de seguridad adicionales para los productos SINUMERIK y
CNC Shopfloor Management Software, SIMOTION, SINAMICS y SIMOCRANE.
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 53
Medidas de seguridad específicas de producto
8.1 SINUMERIK
8.1 SINUMERIK
El siguiente capítulo ofrece una sinopsis de las medidas de seguridad que deben adoptarse para
proteger un control SINUMERIK clásico frente a amenazas. En la correspondiente
documentación SINUMERIK especificada encontrará descripciones exhaustivas y
procedimientos detallados.
Las medidas específicas del producto relevantes para la seguridad y las funciones especiales
para el control SINUMERIK ONE se resumen actualmente en una documentación adicional.
Este manual de configuración está especialmente orientado a los requisitos de la nueva
norma de seguridad IEC 62443. Está disponible para referencia futura en la siguiente
dirección de Internet: Manual de configuración Industrial Security SINUMERIK ONE (https://
support.industry.siemens.com/cs/ww/es/view/109808781).
Asimismo, encontrará descripciones detalladas de las funciones de seguridad existentes en la
documentación de producto/ayuda en pantalla de SINUMERIK ONE.
Muchos productos (SINUMERIK, SIMOTION, SINAMICS) contienen OpenSSL. Para esos
productos debe recordar que:
• Este producto contiene software (https://www.openssl.org/) desarrollado por el Proyecto
OpenSSL para su uso en el toolkit OpenSSL.
• Este producto contiene software (mailto:eay@cryptsoft.com) criptográfico creado por Eric
Young.
• Este producto contiene software (mailto:eay@cryptsoft.com) desarrollado por Eric Young.
ATENCIÓN
Uso indebido de datos por culpa de una interfaz no segura
Como la interfaz X120 de la NCU y la interfaz eth2 del IPC no están protegidas por un
cortafuegos, existe el peligro de uso indebido de datos. La interfaz únicamente representa
exclusivamente una posibilidad de conexión para la red local.
• Por lo tanto, no conecte nunca esta red local con Internet ni con la red corporativa.
Industrial Security
54 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad específicas de producto
8.1 SINUMERIK
(WKHUQHW 5HGFRUSRUDWLYD
HWKFRQ &RUWDIXHJRV
FRUWDIXHJRV 6HUYLGRU
6,180(5,.23
3&87&8
HWK
3DQHOGHRSHUDGRU
6,180(5,.
5HGFRUSRUDWLYD;
FRQFRUWDIXHJRV 5HGFRUSRUDWLYD;
5HGGH FRQFRUWDIXHJRV
SODQWD+0,
ORFDO
;
6,180(5,.['
;
6HUYLFLRW«FQLFRORFDO
;
;EHL6,180(5,.21(
352),1(7
6,180(5,.21(
6,180(5,.'VO
Más información
Encontrará más información sobre la configuración del cortafuegos y sobre los ajustes
predeterminados en los siguientes manuales:
• SINUMERIK Operate (IM9) (https://support.industry.siemens.com/cs/de/de/view/
109801207/es)
• Manual de diagnóstico (808D) (https://support.industry.siemens.com/cs/de/en/view/
109763685)
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 55
Medidas de seguridad específicas de producto
8.1 SINUMERIK
ATENCIÓN
Uso indebido, manipulación y robo
Hay módulos como, p. ej., la NCU que son equipos abiertos. Al no estar protegidos, existe el
peligro de uso indebido por parte de personal no autorizado, manipulación o robo de datos
(p. ej., tarjeta CompactFlash).
• Por esta razón, las NCU deben montarse siempre en cajas y armarios eléctricos cerrados o
en cuartos eléctricos. El acceso a las cajas, armarios o cuartos eléctricos solo debe estar
permitido a personal autorizado o adecuadamente instruido. En el capítulo Protección física
de las áreas de producción críticas (Página 36) encontrará información sobre las cerraduras
permitidas.
• Para obtener más información sobre el montaje de la NCU en armario eléctrico, consulte
el Manual de producto SINUMERIK 840D sl NCU 7x0.3 PN (https://
support.industry.siemens.com/cs/ww/es/view/109782727) o los manuales de producto
correspondientes para SINUMERIK ONE: "NCU1750" y "NCU1760".
Nota
Los paneles de mando de máquina deben utilizarse exclusivamente en la red de máquinas local,
y deben protegerse contra accesos externos.
Nota
Actualización de firmware
Para actualizar el firmware del MCP/MPP/PP72-48 o realizar un diagnóstico de los módulos
(puerto 3845), póngase en contacto con Service&Support de Siemens (https://
support.industry.siemens.com/cs/ww/es/sc).
Consulte también
Contraseñas (Página 48)
Industrial Security
56 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad específicas de producto
8.1 SINUMERIK
Desactivación de interfaces
Acción Descripción
Desactivar/activar las inter‐ Existe la posibilidad de activar o desactivar las interfaces Ethernet en la BIOS de la PCU.
faces Ethernet en la BIOS de Encontrará información detallada sobre este tema en el Manual de puesta en marcha Software
la PCU básico PCU (IM8) (https://support.industry.siemens.com/cs/de/en/view/109748542/es), capítu‐
lo "Ajustes de la BIOS".
Las interfaces USB de la NCU se pueden desconectar para evitar que a través de ellas pueda
Desactivar/activar interfaces propagarse software malicioso al control o a la red de la instalación. Utilice para ello el comando
USB de servicio técnico "sc_usb disable". El comando se introduce en el escritorio de servicio técnico,
en el cuadro de diálogo "Run" o en el símbolo del sistema. Utilice esta función para hacer el
sistema más seguro y protegerlo frente a manipulaciones indeseadas y software malicioso.
Encontrará más información en el Manual de puesta en marcha Software básico PCU (IM8)
(https://support.industry.siemens.com/cs/de/en/view/109748542/es), capítulo "Procedimiento
para desconectar las interfaces USB".
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 57
Medidas de seguridad específicas de producto
8.1 SINUMERIK
Desactivar puertos
Acción Descripción
Desactivar el puerto PROFI‐ En STEP 7 HW Config se puede desactivar un puerto de la interfaz PROFINET de un PLC SINU‐
NET con MERIK (X150). De forma predeterminada está activado. A través de un puerto desactivado de la
PLC SINUMERIK 840D sl interfaz PROFINET no se puede acceder al PLC SINUMERIK.
Encontrará más información en el Manual de producto SIMATIC S7-300 CPU 31xC y CPU 31x:
Datos técnicos (https://support.industry.siemens.com/cs/de/en/view/12996906/es), capítulo
"Configuración de las propiedades del puerto".
Ninguna función de comunicación
Hay que tener presente que a través de un puerto desactivado no pueden existir funciones de
comunicación como, p. ej., funciones PG/OP, comunicación IE abierta o comunicación S7 (PRO‐
FINET I/O).
Desactivar el puerto PROFI‐ El puerto PROFINET se puede desactivar en el TIA Portal en "Configuración de dispositivos".
NET con PLC SINUMERIK ONE Seleccione el PLC y seguidamente cambie al menú "General > Interfaz PROFINET > Opciones
avanzadas > Puerto > Opciones de puerto". Desmarque la casilla "Activar este puerto para el uso".
Encontrará más información en la ayuda en pantalla del TIA Portal.
Desactivar puerto Para un funcionamiento seguro, tan solo debería estar disponible un determinado punto de
PROFINET de acceso a la red para diagnóstico/mantenimiento. El resto de los puertos de los controladores,
switch SCALANCE X dispositivos o switches (Scalance X) deberían estar desactivados. De este modo se impiden
(posible a partir de la serie accesos no autorizados.
X200) Encontrará más información en el Manual de configuración SIMATIC NET: Switches para In‐
dustrial Ethernet SCALANCE X-200 (https://support.industry.siemens.com/cs/de/en/view/
109757352/es), capítulo "Puertos".
Industrial Security
58 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad específicas de producto
8.1 SINUMERIK
Nota
Refuerzo del sistema con soluciones de software
Si utiliza el software SINUMERIK Integrate y otras aplicaciones de PC como, p. ej., Create
MyConfig (CMC) o Access MyMachine (AMM), debe asegurarse siempre de que el PC en el que
se utilice el software cumple los requisitos de Industrial Security más recientes.
Ello incluye, p. ej.:
• las últimas actualizaciones de seguridad de Microsoft
• programa antivirus actualizado
• cortafuegos activado, etc.
Encontrará más información en el capítulo Integridad del sistema (Página 46).
Nota
Únicamente software firmado
Las NCU de SINUMERIK ONE disponen de un proceso de arranque seguro (Secure Boot) que
garantiza que en la NCU solo pueda cargarse software firmado de Siemens. Esto afecta tanto a
versiones de software GIV del control como a cualquier otro software (p. ej., SINAMICS TEC). En
cuanto se carga un fichero *.tgz y no hay un fichero *.sig, la NCU interrumpe el arranque.
En esa situación ya no se puede acceder al control a través de ninguna interfaz. El software
instalado previamente ya no se puede eliminar.
En el contexto de la larga vida útil de una máquina herramienta, el uso de un programa antivirus
no tiene sentido.
Las razones para ello son las siguientes:
• Necesidad de actualizar continuamente los patrones
La protección de un programa antivirus depende de lo actualizados que estén sus patrones
de virus. Acceder a dichos patrones durante el uso cotidiano de la máquina sin conexión
directa a Internet no es posible sin más.
• Influencia de los cambios de patrones y de los análisis en segundo plano sobre el
comportamiento del control en cuanto a tiempo de ejecución
Los análisis que se realizan en segundo plano pueden incrementar la carga del sistema y, por
tanto, afectar al comportamiento del sistema de la máquina. Cuanto más larga sea la lista de
patrones, más recursos consume el análisis, de manera que el efecto es mayor cuanto más
antigua es la máquina.
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 59
Medidas de seguridad específicas de producto
8.1 SINUMERIK
Nota
Medidas para protección antivirus en el entorno CNC
Debe adoptar todas las medidas que sean necesarias para impedir la entrada de virus en el
entorno del control CNC. Ello incluye tomar las debidas precauciones con soportes de datos,
memorias USB, conexiones de red, transferencias de datos, instalaciones de software, etc.
Consulte también
Definiciones de virus (https://support.industry.siemens.com/cs/ww/es/view/19577116)
Industrial Security
60 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad específicas de producto
8.1 SINUMERIK
ADVERTENCIA
Peligro de muerte por manipulación de software cuando se utilizan dispositivos de
almacenamiento extraíbles
El almacenamiento de ficheros en dispositivos de almacenamiento extraíbles aumenta el
riesgo de infecciones, p. ej., por virus o malware. Una parametrización errónea puede provocar
fallos de funcionamiento en máquinas que pueden ocasionar lesiones graves e incluso la
muerte.
• Proteja los ficheros guardados en dispositivos de almacenamiento extraíbles contra el
software malicioso mediante las correspondientes medidas de protección (p. ej., programa
antivirus).
Nota
Antes de instalar actualizaciones de Microsoft, tenga en cuenta lo siguiente:
• Antes de aplicar la actualización, guarde un punto de restauración para volver atrás si es
necesario. El cliente es responsable de que la actualización sea compatible con la
configuración de la instalación.
• No conecte nunca directamente con el servidor WSUS de Internet. Garantice un entorno
seguro e instale una capa intermedia (p. ej., red DMZ, cortafuegos, módulo SCALANCE S,
etc.).
En muchos casos, la actualización periódica del sistema operativo Windows de un IPC como
componente de una máquina resulta complicada, y además las actualizaciones dejan de estar
disponibles, como muy tarde, al terminar el soporte técnico del sistema operativo. Por esta
razón, el IPC debe protegerse de acuerdo con el principio Defense in Depth (Página 34), p. ej.,
utilizando un router de seguridad y una solución de listas de excepción.
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 61
Medidas de seguridad específicas de producto
8.1 SINUMERIK
La versión de software CNC más reciente tiene en cuenta o resuelve los puntos débiles
conocidos en cuanto a la seguridad de la NCU.
Nota
Disponibilidad
La disponibilidad de actualizaciones de seguridad de Microsoft se comunica a través de los
Boletines de Seguridad de Microsoft. El empleo de las actualizaciones de seguridad queda
enteramente a la discreción y bajo la responsabilidad del cliente, quien puede tomar una
decisión en función de la "Evaluación de la gravedad máxima" indicada en el Boletín de
Seguridad de Microsoft. Microsoft publica información sobre actualizaciones de seguridad para
la PCU y enlaces de descarga en Internet (https://docs.microsoft.com/es-es/security-updates/).
Consulte también
Administración de parches (Página 50)
Industrial Security
62 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad específicas de producto
8.1 SINUMERIK
Contraseñas Linux/NCK
Para cada usuario mencionado existe siempre un grupo Unix de igual nombre (también
con los mismos GID que los UID). Cada usuario es miembro de su propio grupo y de todos
los grupos "inferiores". Por ejemplo, "operator2" es miembro de los grupos "operator2",
"operator1" y "operator". Con estos grupos se regulan principalmente los derechos de acceso
a ficheros.
ATENCIÓN
Uso indebido de datos por culpa de contraseñas no seguras
La asignación de contraseñas no seguras puede dar lugar fácilmente a un uso indebido de
datos. Las contraseñas no seguras se pueden descifrar fácilmente.
Para la puesta en marcha sencilla están preajustadas las contraseñas documentadas.
• Las contraseñas predeterminadas deben cambiarse siempre durante la puesta en marcha
• Las contraseñas deben cambiarse a intervalos regulares definidos
• Para software CNC <V4.8: durante la puesta en marcha debe cambiarse la contraseña Linux
además de las contraseñas SINUMERIK Operate. Encontrará más información en el manual
de puesta en marcha "Sistema operativo NCU".
• Con SINUMERIK ONE se muestra una advertencia continua hasta que se hayan cambiado las
contraseñas predeterminadas.
Encontrará más información sobre la asignación de contraseñas seguras en el
capítulo Contraseñas (Página 48).
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 63
Medidas de seguridad específicas de producto
8.1 SINUMERIK
Nota
Cambio de contraseña entre SINUMERIK Operate y Linux
Los niveles de acceso para SINUMERIK Operate y para Linux están agrupados desde la versión de
software 4.8 SP3 (840D sl/828D) y la versión de software 6.13 (SINUMERIK ONE). Al cambiar una
contraseña de SINUMERIK Operate, también cambia automáticamente la contraseña
correspondiente de Linux, y viceversa. Debe tener en cuenta el siguiente comportamiento:
• Al borrar totalmente el CN no se restablecen las contraseñas a los valores predefinidos.
• Después de actualizar el software, para el CN siguen siendo válidas las contraseñas de
SINUMERIK Operate.
• Una vez que se ha cambiado una contraseña, ya no es posible devolverla a su estado de
suministro.
• Si se lleva a cabo una nueva puesta en marcha del sistema con Restore [-full] (comando de
menú en el Emergency Boot System "Recover system from USB memory stick (reformat CF
card)"), se formatea la tarjeta CF y el sistema regresa a su estado de suministro. Las
contraseñas no se encuentran en el fichero SINUMERIK. Por consiguiente, después de un
Restore [-full], es necesario cambiar las contraseñas predeterminadas y sustituirlas por
contraseñas personales.
Nota
La contraseña de SINAMICS Safety se debe aplicar en SINUMERIK Safety
Es posible asignar la contraseña de Safety Integrated mediante la pantalla de
SINUMERIK Operate a partir de V4.8 SP2 HF1. Asimismo, es posible asignar la contraseña de
Safety Integrated mediante una pantalla de la SINUMERIK ONE Commissioning Tool.
• Utilice siempre una contraseña Safety para que no sea posible modificar parámetros con el
software de configuración externo Starter o con el software de puesta en marcha SINAMICS
Startdrive.
Encontrará más información en el Manual de puesta en marcha Safety Integrated plus (https://
support.industry.siemens.com/cs/de/en/view/109777982/es).
Más información
Para más información sobre la forma de cambiar las contraseñas de los niveles de acceso, sobre
los distintos niveles de acceso para programas y pulsadores de menú y sobre los derechos de
acceso para ficheros, consulte el Manual de puesta en marcha SINUMERIK Operate (IM9) (https://
support.industry.siemens.com/cs/ww/es/view/109801207), capítulo "Ajustes
generales > Niveles de acceso".
Industrial Security
64 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad específicas de producto
8.1 SINUMERIK
Nota
Únicamente para SINUMERIK 828D
Tenga en cuenta que la función de bloqueo de CNC solo está disponible en el control SINUMERIK
828D.
Encontrará más información sobre la función de bloqueo de CNC y sobre la creación del
fichero encriptado Lockset en:
• Manual del usuario SINUMERIK Integrate Access MyMachine /P2P (PC) (https://
support.industry.siemens.com/cs/de/en/view/109811131)
• Manual de funciones "PLC", capítulo "P4: PLC para SINUMERIK 828D > Función de bloqueo de
CNC"
Caso de aplicación
Eliminando las claves SSH preinstaladas por Siemens se puede reducir el riesgo de uso indebido
de datos. No obstante, para seguir disponiendo de acceso suficiente al sistema, es posible
definir e instalar claves SSH propias.
Este comando borra todas las claves SSH preinstaladas de Siemens en el controlador. En la
llamada desde el sistema de servicio esto afecta a las claves de la tarjeta CompactFlash, pero
no a las claves SSH del propio sistema de servicio.
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 65
Medidas de seguridad específicas de producto
8.1 SINUMERIK
Más información
Encontrará más información en el Manual de puesta en marcha del software básico y el software
de manejo (https://support.industry.siemens.com/cs/de/de/view/109783230/es).
Nota
• Si se activa el servidor web del PLC en el proyecto S7, es imprescindible asignarle un usuario
y la correspondiente contraseña. Asigne una contraseña segura. A la hora de asignar una
contraseña, tenga en cuenta las indicaciones del capítulo Contraseñas (Página 48).
• Para que la comunicación sea confidencial y segura, utilice exclusivamente el protocolo
HTTPS.
Más información
Encontrará más información sobre el servidor web del PLC en el Manual de funciones S7-1500,
ET 200SP, ET200pro Servidor web (https://support.industry.siemens.com/cs/ww/es/view/
59193560).
Nota
Aplicación de niveles de acceso modificados para pulsadores de menú
La configuración de determinados niveles de acceso para pulsadores de menú en una PCU afecta
exclusivamente a los pulsadores de menú correspondientes de la PCU. Para implementar
derechos de acceso en la NCU, tanto el fabricante como el usuario deben emplear los
mecanismos adecuados y definir las autorizaciones de la forma correspondiente.
Encontrará más información en el Manual de puesta en marcha SINUMERIK Operate (IM9)
(https://support.industry.siemens.com/cs/ww/es/view/109801207), capítulo "Niveles de
acceso para programas".
Industrial Security
66 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad específicas de producto
8.1 SINUMERIK
Más información
Encontrará más información sobre los ajustes de la BIOS de la PCU 50 en el Manual de puesta
en marcha Software básico PCU (IM8) (https://support.industry.siemens.com/cs/de/en/view/
109748542/es).
ATENCIÓN
Uso indebido de datos por culpa de una asignación de derechos errónea
Los datos de acceso, igual que las contraseñas preconfiguradas para acceder al control, pueden
ser robados y utilizados indebidamente.
• Por ello, debe tomar las medidas organizativas oportunas para asegurarse de que
únicamente personas autorizadas puedan acceder a esos ficheros.
Nota
Protección por contraseña con ficheros externos vinculados
Los mecanismos de protección integrados en CMC (protección por contraseña) no sirven para
ficheros externos vinculados que estén integrados en el contexto CMC.
Nota
Protección de paquetes CMC contra reimportación
Los paquetes CMC deben protegerse con una contraseña contra reimportación.
• Por ello, cuando asigne una contraseña para un nuevo proyecto debe establecer siempre una
contraseña contra reimportación.
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 67
Medidas de seguridad específicas de producto
8.1 SINUMERIK
Más información
Encontrará más información sobre la protección de ciclos en el Manual del usuario SINUMERIK
Access MyMachine /P2P (PC) (https://support.industry.siemens.com/cs/ww/es/view/
109811131).
Más información
Encontrará más información sobre protección de bloques en el Manual de programación y de
manejo SIMATIC Programar con STEP 7 (https://support.industry.siemens.com/cs/es/es/view/
109751825), capítulo "Propiedades de bloque".
Nota
El procesador de comunicaciones integrado en el SINUMERIK 840D sl no soporta la opción
"Protección de acceso/nivel de protección módulos".
Industrial Security
68 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad específicas de producto
8.1 SINUMERIK
Encriptación de bloques
A partir de la versión 5.5 SP3 de STEP 7 y de la versión V4.5 SP2 del software de sistema CNC para
840D sl/840D sl, o la versión V6.13 para SINUMERIK ONE, se puede configurar una protección de
bloques encriptada para funciones y bloques de función para las vistas offline y online. Esta
función permite encriptar los bloques y proteger el código de los bloques frente a accesos
externos.
En el caso de SINUMERIK, para la encriptación debe elegirse la opción "SINUMERIK" y además,
si procede, SIMATIC.
El procedimiento para encriptar bloques se describe de forma detallada en Internet (https://
support.automation.siemens.com/WW/view/es/45632073).
8.1.8.3 OPC UA
OPC UA (Unified Architecture) es un protocolo de comunicación industrial que se ha
estandarizado para el acceso a datos de control, por ejemplo, desde sistemas de control. La
opción de software SINUMERIK Integrate Access MyMachine /OPC UA permite leer y escribir
variables en un SINUMERIK 840D sl, un SINUMERIK 828D o un SINUMERIK ONE mediante este
protocolo de comunicación.
ATENCIÓN
Uso indebido de datos por culpa de una conexión no segura con el cliente
Si la conexión con el cliente OPC UA no está encriptada, existe el peligro de uso indebido de
datos.
• Por ello, encripte siempre la conexión con el cliente OPC UA
• Encontrará información sobre la encriptación de la conexión de datos en el Manual de
configuración SINUMERIK Access MyMachine/OPC UA (https://
support.industry.siemens.com/cs/ww/es/view/109807257)
ATENCIÓN
Uso indebido de datos por culpa de una administración de usuarios/asignación de
derechos errónea
Los errores en la administración de usuarios y la asignación de derechos suponen un riesgo de
seguridad considerable. Los usuarios pueden conseguir acceso a datos o acciones para las que
no están autorizados.
• Piense detenidamente qué derechos deben asignarse a cada usuario. Como administrador,
es usted el responsable de que la administración de usuarios y la asignación de derechos
sean correctas.
Nota
Elección de una contraseña segura
Defina siempre una contraseña segura para la conexión con el cliente OPC UA. Encontrará más
información sobre cómo elegir una contraseña segura en el capítulo Contraseñas (Página 48).
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 69
Medidas de seguridad específicas de producto
8.1 SINUMERIK
Más información
Encontrará más información sobre la administración de usuarios segura en la ayuda en pantalla
del TIA Portal.
Industrial Security
70 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad específicas de producto
8.1 SINUMERIK
ATENCIÓN
Uso indebido de datos confidenciales cargados en el control
En el control existe el peligro de uso indebido de datos confidenciales.
• Por ello, los datos confidenciales no deben cargarse en el control (p. ej., mediante el
software "SINUMERIK Integrate Access MyMachine/P2P").
• Guarde los datos confidenciales siempre encriptados y en una ubicación local, o bien en un
espacio de memoria encriptado en la red.
8.1.10 Eliminación
ATENCIÓN
Uso indebido de datos por culpa de un borrado no seguro
El borrado incompleto o no seguro de los datos almacenados en tarjetas de memoria o discos
duros del producto puede dar lugar a un uso indebido de los datos de programas de pieza,
ficheros, etc., por parte de terceros.
• Por esta razón, antes de eliminar el producto debe borrar de forma segura todos los
soportes de memoria utilizados:
• Existen programas que facilitan el borrado/formateo seguro de los soportes de memoria. O
también puede acudir a una empresa certificada de gestión de residuos que preste este
servicio.
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 71
Medidas de seguridad específicas de producto
8.2 CNC Shopfloor Management Software
In
Cloud MindSphere
In MCenter
Line
In SINUMERIK
SINUMERIK
Machine Edge
Industrial Security
72 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad específicas de producto
8.2 CNC Shopfloor Management Software
Los datos se almacenan siempre en servidores de alto rendimiento situados en los centros
de cálculo de los proveedores de infraestructuras de Siemens. Todos los centros de cálculo
cumplen los requisitos más estrictos en cuanto a seguridad de datos y están protegidos
contra ciberamenazas. Como proveedores comerciales de una infraestructura como servicio
en la nube (IaaS, Infrastructure as a Service), ofrecen estándares de seguridad más altos
que los equipos privados locales que suelen utilizarse para el almacenamiento de datos. Los
centros de cálculo operan de acuerdo con las mejores prácticas del sector.
Como capa de seguridad adicional, todas las empresas que participan en la infraestructura en
la nube deben adoptar medidas de seguridad locales como, p. ej., tarjetas de identificación
electrónicas, control de acceso por tarjetas, biometría, videovigilancia digital con grabación y
monitorización de alarmas.
Figura 8-3 MindSphere
Estándares de seguridad para SINUMERIK y otros controles soportados con conexión MindSphere
La conexión de los controles a MindSphere vía TLS 1.2 /HTTPS satisface los estándares de
seguridad más estrictos.
Las versiones de SINUMERIK y de software de otros controles soportados que no cumplen
estos estándares no forman parte del producto. Para estas versiones deben adoptarse
medidas de seguridad adicionales.
El usuario es el único responsable de impedir el acceso no autorizado a sus instalaciones,
sistemas, máquinas y redes. Dichos sistemas, máquinas y componentes solo deben estar
conectados a la red corporativa o a Internet cuando y en la medida que sea necesario, y
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 73
Medidas de seguridad específicas de producto
8.2 CNC Shopfloor Management Software
siempre que se hayan tomado las medidas de protección adecuadas (p. ej., cortafuegos y
segmentación de la red).
ATENCIÓN
Uso indebido de datos por culpa de una conexión a Internet no segura
Una conexión a Internet no segura puede dar lugar a un uso indebido de los datos, p. ej., al
transferir los datos de Assets.
Por ello, antes de establecer una conexión de red, asegúrese de que su PC esté conectado a
Internet exclusivamente a través de una conexión segura. Tenga en cuenta las consignas de
seguridad.
Nota
Como usuario de Manage MyMachines /Remote, debe cerciorarse siempre de que utiliza el
producto con las versiones más recientes del cliente SINUMERIK Integrate/cliente de otros
controles soportados, así como de los clientes Manage MyMachines /Remote Service Engineer
y Machine Operator. Asimismo, debe cumplir las directrices de seguridad industrial que figuran
en los apartados 1.3 y 2.3 del Manual de funciones de Manage MyMachines/Remote (https://
support.industry.siemens.com/cs/ww/es/view/109759394).
Industrial Security
74 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad específicas de producto
8.2 CNC Shopfloor Management Software
Eliminación
Para eliminar por completo una instalación de Manage MyMachines /Remote, hay que
cerciorarse de que todo el software y todos los certificados hayan sido debidamente eliminados
del equipo Microsoft Windows o del sistema de control SINUMERIK u otros sistemas de control
soportados, incluidos los sistemas de copia de seguridad. Los datos continuarán estando
disponibles dentro de MindSphere a menos que se cierre el Tenant.
Encontrará más información sobre eliminación en el Manual de funciones Manage
MyMachines/Remote (https://support.industry.siemens.com/cs/ww/es/view/109759394).
Para más información sobre conceptos generales para el acceso remoto seguro a
instalaciones industriales, consulte los siguientes documentos:
• cRSP IT Security Concept (https://support.industry.siemens.com/cs/ww/es/view/109759394)
• common Remote Service Platform (cRSP) de Siemens (https://
www.downloads.siemens.com/download-center/Download.aspx?
pos=download&fct=getasset&id1=A6V11272777)
Archivado seguro
En caso de archivar los datos exportados, tenga en cuenta que usted es responsable de que
dichos datos se archiven de forma segura.
Esto incluye, p. ej., las siguientes medidas:
• Guarde los datos exportados en una zona con acceso restringido dentro de la ubicación de
OEM/cliente final:
– P. ej., en sharepoints con restricciones de acceso
– O bien en bases de datos con administración de usuarios/autorización
• Proteja las ubicaciones de almacenamiento de datos cifradas, p. ej., sharepoints, contra
manipulaciones.
• Guarde los datos confidenciales o relevantes para la seguridad solo de forma codificada en su
PC/sistema o en la red. Los datos relevantes para la seguridad incluyen datos sensibles como
ficheros, contraseñas o ficheros ejecutables (*.exe).
• Haga una copia de seguridad periódica de los datos relevantes para la seguridad y protéjalos
cuidadosamente contra pérdida o manipulación.
Consulte también
cRSP IT security concept (https://www.downloads.siemens.com/download-center/
Download.aspx?pos=download&fct=getasset&id1=A6V11272775)
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 75
Medidas de seguridad específicas de producto
8.2 CNC Shopfloor Management Software
Nota
Para conocer las medidas de seguridad recomendadas para el producto Analyze
MyPerformance, tenga en cuenta las recomendaciones y medidas para Manage MyMachines
(Página 73).
8.2.3.1 Mcenter
Nota
Acceso a los recursos del servidor Mcenter
El acceso de escritura y lectura al sistema de ficheros y a los recursos del sistema operativo (en
especial, al registro de Microsoft Windows) del servidor Mcenter solo está habilitado para
usuarios con derechos de administrador. Asegúrese de que estas identificaciones de
administrador tengan asignadas contraseñas suficientemente seguras.
ATENCIÓN
Posible manipulación de datos
Existe el riesgo de que un atacante consiga acceder al sistema de ficheros del servidor Mcenter
o de los distintos clientes Mcenter desde la red de producción/de maquinaria (intranet). Allí, el
atacante puede manipular diversos componentes del sistema (p. ej., contenidos de la base de
datos). De este modo, el atacante puede alterar, por ejemplo, datos de herramienta, programas
CN, ficheros de máquina o la estructura de la instalación. Mcenter no es capaz de impedir esta
forma de ataque.
• Por tanto, como responsable de la red de maquinaria, es imprescindible que adopte las
medidas de seguridad industrial adecuadas para la red de producción/maquinaria.
Industrial Security
76 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad específicas de producto
8.2 CNC Shopfloor Management Software
ATENCIÓN
Uso indebido de datos por utilizar interfaces de programación abiertas
Si se utilizan interfaces de programación abiertas, existe el peligro de uso indebido de datos.
• Por lo tanto, si utiliza interfaces de programación abiertas, use exclusivamente clientes que
se comuniquen con el servidor Mcenter mediante vías de comunicación "TLS /https" como
mínimo.
Nota
• Para una comunicación segura (HTTPS) entre un cliente y el servidor se necesita un
certificado digital que confirme la identidad del servidor.
• Si la base de datos se ejecuta en un servidor independiente, se necesita un certificado en el
servidor de la base de datos para la comunicación SQL cifrada.
Encontrará más información en el manual de instalación de Mcenter, en los apartados
"Configuración de una conexión cifrada" y "Configuración de la comunicación cifrada para SQL
Server".
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 77
Medidas de seguridad específicas de producto
8.2 CNC Shopfloor Management Software
Ejemplos:
• Si se proporciona una conexión a un escritorio remoto, debe garantizarse la máxima
configuración de seguridad posible para evitar un posible ataque MITM (Man-In-The-Middle).
• Proteja su sistema contra la inyección de código utilizando tecnología y conocimientos
acordes con los últimos avances tecnológicos.
• Almacene los certificados de forma segura para que no puedan ser exportados por instancias
no autorizadas. En esos casos, deben observarse las directrices de refuerzo al realizar la
configuración.
• Los servidores deben funcionar en una zona/sala de servidores segura y restringida a la que
solo pueda acceder personal autorizado.
• Codifique la memoria de los servidores o los datos que contienen para evitar ataques al
sistema, en caso de que este se vea comprometido físicamente.
• Realice periódicamente copias de seguridad del sistema para proteger los datos.
• El servidor de licencias se pone a disposición o está disponible exclusivamente de manera
local.
Industrial Security
78 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad específicas de producto
8.2 CNC Shopfloor Management Software
Nota
Intercambio de ficheros de red mediante unidades comunes (Server Message Block, SMB)
Si utiliza SMB para el intercambio de ficheros con funciones Mcenter, utilice únicamente los
mecanismos de autenticación estándar (nombre de usuario/contraseña). Asimismo, debe
limitar los accesos por cada usuario. El almacenamiento de datos en unidades comunes debe
restringirse al mínimo necesario.
Antivirus
Proteja los ficheros contra software malicioso con medidas de protección adecuadas, p. ej.,
antivirus.
Utilice un antivirus externo si carga ficheros con Mcenter y sus aplicaciones.
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 79
Medidas de seguridad específicas de producto
8.2 CNC Shopfloor Management Software
Phishing de contraseñas
Un hacker podría intentar conseguir los datos de inicio de sesión que le permitieran realizar
acciones dentro de Mcenter con el nombre del usuario. Los hackers podrían, p. ej., falsear
direcciones de correo electrónico y páginas web de Siemens con el fin de apropiarse de
información confidencial de usuarios de Mcenter. En ese caso, podría pedirse a los usuarios,
por ejemplo, que introdujeran sus datos de acceso en un formulario y que los enviasen a su
organización Mcenter.
Nota
En caso de recibir correos electrónicos sospechosos, se debe observar lo siguiente:
• Esté alerta cuando reciba correos electrónicos de alguien que no conoce, en especial, si estos
contienen enlaces y archivos adjuntos. Nunca abra archivos adjuntos sospechosos ni haga
clic en los enlaces de los mensajes de correo electrónico.
• Revise cuidadosamente la dirección de correo electrónico completa del remitente.
• Compruebe la integridad de los enlaces incluidos en el mensaje de correo electrónico (p. ej.,
desplazando el puntero del ratón sobre el enlace). Algunos signos reveladores son las faltas
de ortografía o cuando los enlaces contienen un nombre de empresa confuso.
• Utilice firmas digitales en sus correos electrónicos.
• En caso de duda, nunca revele información confidencial.
Industrial Security
80 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad específicas de producto
8.2 CNC Shopfloor Management Software
Phishing de contraseñas
Un "phisher" podría intentar conseguir datos de inicio de sesión que le permitieran realizar
acciones dentro de SINUMERIK Integrate bajo el nombre del usuario. Los atacantes podrían,
p. ej., falsear direcciones de correo electrónico y páginas web de Siemens con el fin de apropiarse
de información confidencial de usuarios de SINUMERIK Integrate. En ese caso, se pide a los
usuarios, p. ej., que introduzcan los datos de acceso a su organización SINUMERIK Integrate en
un formulario y lo envíen.
Nota
En caso de recibir un mensaje de correo electrónico sospechoso, tenga en cuenta lo
siguiente:
• Actúe con precaución si recibe un correo electrónico de un desconocido, sobre todo si
contiene enlaces y archivos adjuntos. Nunca abra archivos adjuntos sospechosos, y no haga
clic en los enlaces que aparezcan en los mensajes de correo electrónico.
• Compruebe cuidadosamente la dirección de correo electrónico completa del remitente.
• Compruebe la integridad de los enlaces incluidos en el mensaje de correo electrónico (p. ej.,
situando el puntero del ratón encima del enlace). Son indicios típicos la presencia de errores
ortográficos y que el enlace incluya un nombre de empresa engañoso.
• Utilice firmas digitales en sus mensajes de correo electrónico.
• En caso de duda, nunca facilite información confidencial.
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 81
Medidas de seguridad específicas de producto
8.2 CNC Shopfloor Management Software
8.2.4 Aplicaciones cercanas al control (In Machine, Industrial Edge for Machine
Tools)
Sinopsis
Industrial Edge for Machine Tools es un dispositivo Edge controlado de forma remota que actúa
como fieldgateway y también como nodo de computación para cualquier carga de trabajo de
usuario dentro de una arquitectura IoT/OT ampliada. De este modo, Industrial Edge for Machine
Tools permite un flujo vertical de procesamiento de información y datos entre todas las capas:
• In Machine
• In Line
• In Cloud
Esto incluye también el almacenamiento temporal y permanente de datos de proceso. Así
pues, Industrial Edge for Machine Tools, mediante su arquitectura de seguridad, tiene la
misión de impedir la regresión/erosión de la seguridad de red existente y del nivel de
protección de datos. También se requiere soporte organizativo para no eludir los distintos
mecanismos de seguridad de Industrial Edge for Machine Tools.
Industrial Security
82 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad específicas de producto
8.2 CNC Shopfloor Management Software
)OXMRGHGDWRVGH,QGXVWULDO(GJHIRU0DFKLQH )OXMRGHGDWRVGH0LQG6SKHUHD
7RROVD0LQG6SKHUH+7736#
,QWHUQHW
,QGXVWULDO(GJHIRU0DFKLQH7RROV
,QIRUPDFLµQGH2QERDUGLQJ +7736#LQLFLDGRSRU
'DWRVGHXVR\GHIDFWXUDFLµQ
7/6
,QGXVWULDO(GJHIRU0DFKLQH7RROV
5HJLVWURVGHHTXLSR\DSOLFDFLRQHV 'DWRVGHFRQILJXUDFLµQ
2SFLRQDOPHQWHGDWRV,R7 )LUPZDUH\DSOLFDFLRQHV
2SFLRQDOPHQWH
3UR[\FRUSRUDWLYRLQFOFRUWDIXHJRV 1DYHJDGRU
(VQHFHVDULRKDELOLWDU
PLQGVSKHUHLR\HOSXHUWR7&3 EDVHGH
GDWRV
5HGFRUSRUDWLYD
)OXMRGHGDWRVGH,QGXVWULDO(GJHIRU0DFKLQH
7RROVDHTXLSRVGHODUHGFRUSRUDWLYD
7/6
'DWRV,R7DWUDY«VGHOVHUYLGRU23&8$GH
,QGXVWULDO(GJHIRU0DFKLQH7RROV
23&7&3#
'DWRV,R7\FRQWHQLGRVZHEDWUDY«VGHO
5HYHUVH3UR[\GH,QGXVWULDO(GJHIRU0DFKLQH
7RROV+7736#
$OLPHQWDFLµQGH9 6,180(5,.1&8
;3
;3
HQHODUPDULRHO«FWULFR
5HGGHP£TXLQD
;
)OXMRGHGDWRVHQWUH,QGXVWULDO(GJHIRU
0DFKLQH7RROV\OD1&8
)OXMRGHGDWRVGHOVHUYLGRU23&8$ 3URJUDPDVGH&1HMHFXWDGRVSRU
GH,QGXVWULDO(GJHIRU0DFKLQH7RROV ,QGXVWULDO(GJHIRU0DFKLQH7RROV
'DWRV,R7 'DWRVGHODVRQGD+)\VH³DO+HDUWEHDW
'DWRV,R7
2SFLRQDOPHQWH6HUYLGRU 6&$/$1&(
23&8$
)OXMRGHGDWRV
&DEOHDGR
3RUUD]RQHVGHVHJXULGDGVHDFWLYDXQDUHGXFFLµQGHOIOXMRGHGDWRV\XQDDXWHQWLFDFLµQEDVDGDHQFHUWLILFDGRV
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 83
Medidas de seguridad específicas de producto
8.2 CNC Shopfloor Management Software
Industrial Edge for Machine Tools dispone de 2 conexiones de red físicas (RJ45) que deben
utilizarse conforme al manual para conectar con el nivel In Machine y el nivel In Line.
Asegúrese de que la asignación de puertos es correcta por los siguientes motivos:
• Para la red "In Machine" se presupone una comunicación desprotegida en gran medida.
• Para la red "In Machine" no es posible la conectividad no controlada a redes superiores (In
Line, In Cloud).
Gracias a una arquitectura de red con varios niveles, Industrial Edge for Machine Tools
garantiza el aislamiento de las dos redes, el cual se puede anular únicamente con un
flujo de datos definido por la aplicación. Utilizando la tecnología de contenedores, existen
otros mecanismos para aislar la carga de trabajo (aplicación Edge) respecto de la red, el
almacenamiento y los recursos de la CPU.
La comunicación de Industrial Edge for Machine Tools en el sentido "In Cloud" e "In
Line" tiene lugar siempre a través de un canal End-to-End cifrado (TLS 1.3). Además, la
comunicación de Industrial Edge for Machine Tools con el bus de datos también está
protegida por medio de un canal End-to-End cifrado (TLS 1.3). De forma complementaria, se
soporta la integración en una Trust-Chain basada en KPI. De este modo se garantiza tanto la
limitación a interlocutores autorizados como la transmisión de confianza. Para el intercambio
de datos In Line en entornos sujetos a requisitos de seguridad especiales, es posible también
una autorización basada en el cliente mediante certificados de cliente.
El intercambio inicial de los certificados necesarios para la comunicación segura entre Edge
Management System (MindSphere/In Cloud) e Industrial Edge for Machine Tools (In Line)
tiene lugar durante el proceso de Onboarding o integración. El proceso de Onboarding
incluye el intercambio de un "Shared Secret" que conecta un dispositivo lógico (MindSphere
Asset) con un dispositivo físico (Industrial Edge for Machine Tools). Como este intercambio
no tiene lugar a través de la misma infraestructura de comunicación, la posibilidad de
exposición a riesgos se puede excluir ya desde el Onboarding. Un segundo aspecto del
Onboarding es el enlace/integración de los servicios IoT de MindSphere (Timeseries Store,
FileStore, Fleetmanager…) en los Tenants correctos de MindSphere. Además, la plataforma
Industrial Edge for Machine Tools garantiza que en ningún momento se pueda establecer un
flujo de datos en un Tenant o un Asset en el que no corresponda.
Nota
El requisito para utilizar Industrial Edge for Machine Tools es un Tenant de MindSphere que
incluya una cuenta MindAccess válida (como mínimo, IoT value plan S).
Industrial Security
84 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad específicas de producto
8.2 CNC Shopfloor Management Software
La comunicación de Industrial Edge for Machine Tools con SINUMERIK solo tiene lugar a
través de la red "In Machine", y está cifrada según los protocolos correspondientes. No
obstante, los mecanismos de autorización varían en función del protocolo empleado. Dado
que para algunos protocolos se utilizan mecanismos de protección débiles, en esos casos
es importante observar unas reglas adecuadas para las contraseñas y adoptar las medidas
organizativas oportunas para que las contraseñas no se almacenen nunca o solamente en
casos absolutamente necesarios.
Además, Industrial Edge for Machine Tools está protegido frente a manipulaciones
indeseadas o debilitamiento de las funciones de seguridad, tanto a nivel de firmware como a
nivel de aplicación, por medio de las siguientes funcionalidades:
• Measured/Secured Boot
• Full Disk Encryption
• Rootless Access
A fin de garantizar un elevado nivel de seguridad de Industrial Edge for Machine Tools
durante un largo período de tiempo, el firmware se perfecciona y se refuerza continuamente.
Esto es necesario para adaptarse a las amenazas de ciberseguridad cada vez mayores. Para
ello, una parte del firmware de Industrial Edge for Machine Tools consiste en un mecanismo
de actualización que se integra en el proceso de TI correspondiente como parte de una
estrategia continua de seguridad.
Nota
Industrial Edge for Machine Tools versión 3.4.0 o superior ofrece MQTT con funciones de
autenticación.
Nota
Se puede utilizar una suscripción al tema "AmazonIpSpaceChanged" para ser informado en caso
de cambios en los rangos de direcciones IP, de modo que se puedan actualizar automáticamente
los conjuntos de reglas de cortafuegos: AmazonIpSpaceChanged (https://aws.amazon.com/
blogs/aws/subscribe-to-aws-public-ip-address-changes-via-amazon-sns/).
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 85
Medidas de seguridad específicas de producto
8.2 CNC Shopfloor Management Software
Sinopsis
Analyze MyWorkpiece /Monitor es una aplicación "Industrial Edge for Machine Tools" para la
vigilancia y evaluación cualitativas del método de mecanizado. Para ello se almacenan distintos
valores medidos durante el mecanizado.
Usuarios y derechos
Para acceder a la aplicación Analyze MyWorkpiece /Monitor, en Industrial Edge for Machine Tools
se debe haber asignado un usuario local al grupo de usuarios que se indica más abajo. Para ello,
el administrador del sistema crea primero un grupo de usuarios para el dispositivo Industrial
Edge for Machine Tools. A continuación, crea uno o varios usuarios que se asignan a ese grupo
de usuarios.
Encontrará más información sobre el grupo de usuarios en Manual de instalación Analyze
MyWorkpiece /Monitor (https://support.industry.siemens.com/cs/ww/en/view/109775323).
El siguiente grupo de usuarios está disponible para Analyze MyWorkpiece /Monitor:
Modificación de la contraseña
Modifique la contraseña periódicamente.
1. Abra la lista desplegable situada en la parte superior derecha de la barra de título.
2. Haga clic en "Modificar contraseña". (Será redirigido al entorno de administración "miniweb")
3. Modifique la contraseña.
Encontrará más información sobre el cambio de contraseña en la documentación de usuario
de Industrial Edge.
Industrial Security
86 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad específicas de producto
8.2 CNC Shopfloor Management Software
Sinopsis
Analyze MyMachine /Condition es una aplicación que analiza y hace un seguimiento del estado
de su máquina. Para ello se emplean pruebas mecatrónicas específicas y procedimientos de
análisis de datos. La aplicación híbrida consta de una aplicación Industrial Edge for Machine
Tools y una aplicación MindSphere.
Usuarios y derechos
El administrador del sistema crea grupos de usuarios y usuarios. Después asigna los distintos
usuarios a los grupos de usuarios correspondientes.
Para la aplicación Industrial Edge for Machine Tools se dispone de los siguientes grupos de
usuarios:
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 87
Medidas de seguridad específicas de producto
8.2 CNC Shopfloor Management Software
Sinopsis
Protect MyMachine /3D Twin representa visualmente el proceso de mecanizado y los
movimientos de la máquina mediante una simulación en 3D, calcula posibles colisiones con
antelación y detiene el mecanizado en caso de detectarlas. Por ejemplo, permite simular y vigilar
la ejecución de programas de CN en modo AUTOMÁTICO, MDI o, en el caso de cambios de
herramienta y desplazamientos manuales, en modo JOG. La prevención de colisiones se basa en
un modelo de la máquina real. Este modelo describe también las zonas protegidas de la máquina
y lo facilita el fabricante de la máquina.
Los operadores de PMM /3D Twin pueden definir las zonas protegidas variables, como
herramientas con soportes, stock y operaciones de amarre. Estas se almacenan en una
librería. La función "Prevención de colisiones" calcula regularmente la distancia en relación
con las zonas protegidas de pares de colisiones. Si dos zonas protegidas se aproximan entre
sí y se ha alcanzado una distancia de seguridad definida, se emite una alarma y el programa
se detiene antes de que se detengan el bloque de desplazamiento o el desplazamiento
correspondiente.
Industrial Security
88 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad específicas de producto
8.2 CNC Shopfloor Management Software
Nota
Los archivos solo se pueden importar/exportar cuando la simulación en 3D no está activa.
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 89
Medidas de seguridad específicas de producto
8.3 SIMOTION
8.3 SIMOTION
Funciones de seguridad
• De forma predeterminada, el control únicamente contiene código compilado. Esto hace
imposible cargar datos y, por tanto, la reingeniería.
• Sin el proyecto de ingeniería adecuado no es posible modificar la configuración.
• Protección de know-how para programas fuente con contraseña y cifrado
• Protección anticopia de la configuración en el sistema de control mediante aplicación
• Detección de manipulaciones del código fuente con el sistema de ingeniería SIMOTION
SCOUT
• Activación/desactivación de funciones no utilizadas (servidor web, servidor OPC UA, puertos,
etc.)
• Uso de SIMATIC Logon para acceder a un proyecto solamente con los derechos
correspondientes
• Análisis de virus y actualizaciones de seguridad para controles basados en SIMOTION PC
(SIMOTION P)
La planta de producción generalmente se divide en varios segmentos de red. Aguas arriba de
estos segmentos se conectan componentes con las funciones de seguridad necesarias. En el
diagrama resumen se representan con el símbolo de un candado.
Industrial Security
90 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad específicas de producto
8.3 SIMOTION
Operations level
PCS7 PCS7
WinCC WinCC UMTS
Softnet Securtiy
Internet
Client/Step 7…
Scalance
S623
Scalance XR324-12M DSL Modem Scalance M875
SIMATIC S7 SIMATIC S7
SIMATIC S7-1200
HMI HMI
Field level
Figura 8-5 Representación de una planta de producción típica con áreas seguras
Nota
Encontrará descripciones exhaustivas y más procedimientos en la documentación SIMOTION
correspondiente.
Muchos productos (SINUMERIK, SIMOTION, SINAMICS) contienen OpenSSL. Para esos
productos debe recordar que:
• Este producto contiene software (https://www.openssl.org/) desarrollado por el Proyecto
OpenSSL para su uso en el toolkit OpenSSL.
• Este producto contiene software (mailto:eay@cryptsoft.com) criptográfico creado por Eric
Young.
• Este producto contiene software (mailto:eay@cryptsoft.com) desarrollado por Eric Young.
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 91
Medidas de seguridad específicas de producto
8.3 SIMOTION
Nota
Una vez deshabilitado un puerto de hardware de la interfaz PROFINET, ya no es posible acceder
al equipo SIMOTION a través de dicho puerto.
Más información
Si desea más información sobre los puertos lógicos Ethernet y los protocolos utilizados con
SIMOTION, consulte el Manual de sistema Comunicación con SIMOTION (https://
support.industry.siemens.com/cs/ww/es/view/109801516), capítulo "Servicios utilizados".
Industrial Security
92 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad específicas de producto
8.3 SIMOTION
Nota
Debido a las mermas de rendimiento, no se permite instalar ni utilizar un programa antivirus
estándar en un SIMOTION P320 e el tiempo de ejecución del sistema.
Nota
FAQ portal de Service&Support
Si desea más información sobre el uso de un programa antivirus en un SIMOTION P320, consulte
la FAQ "¿Cómo se utiliza un programa antivirus en SIMOTION P3x0?" (https://
support.industry.siemens.com/cs/it/it/view/59381507/en), disponible para su descarga en el
portal de Service&Support.
Estructura de ficheros
Los datos de proyecto de SIMOTION SCOUT pueden estar disponibles en las siguientes variantes:
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 93
Medidas de seguridad específicas de producto
8.3 SIMOTION
Archivo ZIP
Fichero XML
Compilado en forma
binaria
Programas, librerías
Compilado en forma encriptados y módulos
binaria sin proyecto no protegidos por contraseña
se puede decompilar
Industrial Security
94 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad específicas de producto
8.3 SIMOTION
Informe de cambios
Si la protección de acceso está activada, se puede elaborar un informe de cambios. Este
incluye, por ejemplo:
• la activación
• la desactivación
• la configuración de la protección de acceso y el informe de cambios
• la apertura y cierre de proyectos y librerías, incluida la carga en el sistema de destino, así
como actividades destinadas a cambiar el estado operativo.
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 95
Medidas de seguridad específicas de producto
8.3 SIMOTION
Programas y librerías
La protección de know-how sirve para proteger los programas y las librerías del proyecto.
Cuando la protección de know-how está activada, se impide que personas no autorizadas vean
y editen sus programas. La protección de know-how se puede activar para determinados
programas o para todos los programas de un proyecto.
La protección de acceso y el cifrado se pueden activar en varios niveles para los siguientes
tipos:
• Programas (Units in Structured Text (ST), Motion Control Chart (MCC) y KOP/FUP que
contienen programas, bloques de función y funciones)
• Esquemas Drive Control Chart (DCC)
• Librerías
Industrial Security
96 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad específicas de producto
8.3 SIMOTION
Comparación de proyectos
Mediante la función de SIMOTION SCOUT/STARTER Comparación de proyectos (se inicia
mediante el botón Iniciar comparación de objetos) se pueden comparar entre sí objetos dentro
de un mismo proyecto o entre diferentes proyectos (online u offline).
La comparación offline/online permite detectar con detalle las manipulaciones posteriores
de los datos de proyecto en la instalación, comparándolos con los datos de ingeniería
guardados. De este modo se comprueba si un tercero ha accedido al sistema sin autorización.
Son posibles las siguientes comparaciones:
• Objeto offline con objeto offline del mismo proyecto
• Objeto offline con objeto offline de otro proyecto
• Objeto offline con objeto online
La comparación de proyectos en SIMOTION SCOUT incluye todos los objetos de un proyecto,
p. ej., equipos SIMOTION, unidades de accionamiento, librerías, programas (units), objetos
tecnológicos, E/S y la configuración del sistema de ejecución.
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 97
Medidas de seguridad específicas de producto
8.3 SIMOTION
Industrial Security
98 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad específicas de producto
8.3 SIMOTION
Introducción
Los equipos SIMOTION disponen de un servidor web con páginas web estándar predefinidas.
Estas páginas pueden visualizarse vía Ethernet mediante un navegador convencional.
Asimismo, es posible crear páginas HTML propias e incorporar información de servicio técnico
y diagnóstico. El servidor web se puede desactivar. Si el servidor web está activado, la operación
segura de la instalación está garantizada por el sistema de seguridad integrado y la
administración de usuarios.
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 99
Medidas de seguridad específicas de producto
8.3 SIMOTION
Figura 8-9 Activación de las funciones del servidor web SIMOTION IT en SIMOTION SCOUT o SIMOTION SCOUT TIA
Nota
Si se activa el servidor web, es necesario configurar una administración de usuarios con acceso
de los usuarios protegido por contraseña.
Sistema de seguridad del acceso al servidor web mediante HTTP/S, FTP y Telnet
A partir de la versión V4.4, el acceso al servidor web SIMOTION IT está protegido por un sistema
de seguridad de varios niveles.
El estado de seguridad del servidor web se indica mediante el nivel de seguridad (Security
Level) en la página web. Existen tres niveles de seguridad: Low, Normal, High.
Industrial Security
100 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad específicas de producto
8.3 SIMOTION
Administración de usuarios
Para proteger el acceso a un equipo, SIMOTION IT utiliza una base de datos de usuarios. En la
base de datos de usuarios están guardados los grupos con los usuarios asignados. Para cada
grupo de usuarios definido se pueden asignar derechos de acceso a las distintas páginas web del
servidor web. El acceso al servidor web tiene lugar después de la autenticación.
Autenticación
• Existen usuarios (USER).
• Cada usuario tiene una contraseña. La contraseña está encriptada.
• Los usuarios pertenecen a grupos (GROUP).
• Las páginas web, los directorios y las aplicaciones se protegen mediante zonas de seguridad
en función de los grupos.
• Tan solo los usuarios pertenecientes a la zona de seguridad pueden acceder a la página
protegida.
• Cada zona de seguridad tiene un grupo de usuarios que poseen una autorización de acceso.
• Un usuario puede pertenecer a varios grupos.
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 101
Medidas de seguridad específicas de producto
8.3 SIMOTION
Ficheros de clave
• Estado de suministro
Para que pueda acceder al control SIMOTION vía HTTPS en el estado de suministro de las
páginas estándar de diagnóstico de SIMOTION IT, se proporcionan un certificado raíz y una
clave privada en forma de ficheros en el equipo.
• Generación propia de un certificado TLS
Con ayuda de la herramienta Perl y del script Perl (cert.pl) suministrado, es posible generar
los certificados necesarios para las plantas del cliente (Sites) y agrupar esos certificados en
paquetes de carga.
Hay dos formas de obtener un certificado de servidor (certificado TLS) propio:
• Generar un certificado raíz (autofirmado) y una clave privada (Private Key) mediante un
software adecuado para ello.
• Adquirir un certificado de servidor de una autoridad de certificación (Certificate Authority)
Más información
Encontrará más información sobre el servidor web SIMOTION IT en la siguiente documentación:
• Manual de diagnóstico SIMOTION IT Diagnóstico y configuración (https://
support.industry.siemens.com/cs/de/en/view/109801545)
• Manual de programación SIMOTION IT OPC UA (https://
support.industry.siemens.com/cs/de/en/view/109801547)
• Manual de programación SIMOTION IT Programación y servicios web (https://
support.industry.siemens.com/cs/es/es/view/109801546)
• Manual de programación SIMOTION IT Virtual Machine y Servlets (https://
support.industry.siemens.com/cs/de/en/view/109767639)
Introducción
SIMOTION ha implementado un servidor OPC UA con DA (Data Access).
Se soporta la codificación binaria OPC UA. El acceso de un cliente OPC UA cualquiera se
puede proteger mediante autenticación y transferencia de datos cifrada.
Industrial Security
102 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad específicas de producto
8.3 SIMOTION
Configuración
Nota
Antes de la conexión al servidor OPC UA, debe garantizar un entorno seguro e instalar una capa
intermedia basada en hardware (p. ej., red DMZ, cortafuegos, módulo SCALANCE S, etc.).
El servidor OPC UA se puede activar o desactivar mediante HW Config del TIA Portal o de Step
7.
Figura 8-10 Activación de las funciones del servidor web SIMOTION IT en SIMOTION SCOUT o SIMOTION SCOUT TIA
Otros ajustes se llevan a cabo mediante las pantallas de configuración del servidor web
SIMOTION IT:
• Habilitación de la interfaz Ethernet y del puerto correspondiente de SIMOTION para el acceso
OPC UA.
• Definición de nombre de usuario, contraseña y grupo de usuarios en el marco de la
administración de usuarios del servidor web SIMOTION IT.
• Manejo de los certificados para el cifrado de la transmisión de datos.
Más información
Encontrará más información sobre el servidor OPC UA en el Manual de programación SIMOTION
IT OPC UA (https://support.industry.siemens.com/cs/ww/es/view/109801547).
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 103
Medidas de seguridad específicas de producto
8.3 SIMOTION
8.3.7 Eliminación
ATENCIÓN
Uso indebido de los datos
La eliminación no segura de soportes de memoria (tarjeta CF/CFast/SSD) puede dar lugar a un
uso indebido de datos de los programas de pieza, archivos, etc., por parte de terceros.
• Por esta razón, antes de eliminar el producto debe borrar de forma segura los soportes de
memoria utilizados.
Utilice para ello programas que faciliten el borrado/formateo seguro de los soportes de
memoria.
Industrial Security
104 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad específicas de producto
8.4 SINAMICS
8.4 SINAMICS
El siguiente capítulo ofrece un resumen de las funciones de seguridad industrial para SINAMICS
que deben adoptarse para proteger su convertidor frente a amenazas. Asimismo, se tratan
temas que requieren especial atención a la seguridad industrial:
• Protección contra escritura y protección de know-how
• Parámetros: Niveles de acceso
• Uso de la tarjeta de memoria
• Nota sobre Safety Integrated
• Servicios de comunicación y números de puerto utilizados
• Servidor web
• Notas sobre interfaces
• SINAMICS Startdrive y STARTER
• SINAMICS Drive Control Chart (DCC)
En la correspondiente documentación SINAMICS especificada encontrará descripciones
exhaustivas y procedimientos detallados.
Muchos productos (SINUMERIK, SIMOTION, SINAMICS) contienen OpenSSL. Para esos
productos debe recordar que:
• Este producto contiene software (https://www.openssl.org/) desarrollado por el Proyecto
OpenSSL para su uso en el toolkit OpenSSL.
• Este producto contiene software (mailto:eay@cryptsoft.com) criptográfico creado por Eric
Young.
• Este producto contiene software (mailto:eay@cryptsoft.com) desarrollado por Eric Young.
Nota
Los productos SINAMICS solo debe utilizarse en una red protegida y de confianza. A este
respecto, observe las indicaciones del capítulo "Segmentación de la red (Página 38)".
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 105
Medidas de seguridad específicas de producto
8.4 SINAMICS
Efecto
Los parámetros de ajuste que no se encuentran en una lista de excepciones no pueden leerse ni
escribirse.
Excepciones
• La protección de know-how no afecta a los parámetros que poseen los siguientes atributos:
• KHP_WRITE_NO_LOCK
– Estos parámetros están excluidos de la protección de know-how y, por tanto, pueden escribirse a pesar
de dicha protección.
– Encontrará una lista de estos parámetros en el manual de listas del producto correspondiente.
– Estos parámetros no están incluidos en la lista de excepciones.
• KHP_ACTIVE_READ
– Estos parámetros pueden leerse, aunque la protección de know-how esté activada, pero no pueden
escribirse.
– Encontrará una lista de estos parámetros en el manual de listas del producto correspondiente.
– Estos parámetros no están incluidos en la lista de excepciones.
• La protección de know-how impide que se ejecuten algunas funciones:
• Entre otras, la función "Restaurar ajustes de fábrica" se puede ejecutar a pesar de la protección de know-
how.
• Encontrará una lista completa de las funciones ejecutables en la siguiente bibliografía.
Más información
Para más información sobre este tema, consulte la siguiente bibliografía:
• Manual de funciones SINAMICS S120 Funciones de accionamiento (https://
support.industry.siemens.com/cs/de/de/view/109781535)
Capítulo "Protección de know-how"
• Instrucciones de servicio SINAMICS G110M (https://support.industry.siemens.com/cs/de/de/
view/109782996/es)
Capítulo "Protección de know-how"
• Instrucciones de servicio SINAMICS G120
Capítulo "Protección de know-how"
• Manuales de listas SINAMICS S y SINAMICS G
Capítulo "Parámetros para protección contra escritura y protección de know-how"
• Instrucciones de servicio SINAMICS G130, G150 y S150
Capítulo "Protección de know-how"
Industrial Security
106 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad específicas de producto
8.4 SINAMICS
Más información
Encontrará información detallada sobre este tema en la siguiente bibliografía:
• Manual de funciones SINAMICS S120 Funciones de accionamiento (https://
support.industry.siemens.com/cs/de/de/view/109781535)
Capítulo "Parámetros"
• Manual de funciones SINAMICS S120 Safety Integrated (https://
support.industry.siemens.com/cs/de/en/view/109781722/es)
Capítulo "Manejo de la contraseña Safety"
• Manual de listas SINAMICS G110M
Capítulo "Vista general de parámetros"
• Instrucciones de servicio SINAMICS G120
Capítulo "Parámetros"
• Manuales de listas SINAMICS S y SINAMICS G
Capítulo "Explicaciones sobre la lista de parámetros"
• Instrucciones de servicio SINAMICS G130, G150 y S150
Capítulo "Parámetros"
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 107
Medidas de seguridad específicas de producto
8.4 SINAMICS
ADVERTENCIA
Peligro de muerte por manipulación de software cuando se utilizan dispositivos de
almacenamiento extraíbles
El almacenamiento de ficheros en dispositivos de almacenamiento extraíbles aumenta el
riesgo de infecciones en los PC de puesta en marcha, p. ej., por virus o malware. Una
parametrización errónea puede provocar fallos de funcionamiento en máquinas que pueden
ocasionar lesiones graves e incluso la muerte.
• Proteja los ficheros guardados en dispositivos de almacenamiento extraíbles contra el
software malicioso mediante las correspondientes medidas de protección (p. ej., programa
antivirus).
ADVERTENCIA
Peligro de muerte por manipulación de software cuando se utilizan dispositivos de
almacenamiento extraíbles
Guardar la parametrización (incluida la parametrización Safety Integrated) en dispositivos de
almacenamiento extraíbles entraña el riesgo de que la parametrización original (con Safety
Integrated) se sobrescriba, p. ej., con la tarjeta de memoria de otro accionamiento sin Safety
Integrated. Una parametrización errónea puede provocar fallos de funcionamiento en
máquinas que pueden ocasionar lesiones graves e incluso la muerte.
• Asegúrese de que tan solo se utiliza la tarjeta de memoria perteneciente al convertidor.
• Asegúrese de que el acceso a las cajas, armarios o cuartos eléctricos solo está permitido a
personal autorizado o adecuadamente instruido.
Industrial Security
108 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad específicas de producto
8.4 SINAMICS
PELIGRO
Movimiento inesperado de máquinas por funciones de seguridad inactivas
Las funciones de seguridad inactivas o no adaptadas pueden provocar movimientos
inesperados en las máquinas que podrían causar lesiones graves o incluso la muerte.
• Antes de la puesta en marcha, tenga en cuenta la información de la documentación del
producto correspondiente.
• Realice un análisis de las funciones relevantes para la seguridad del sistema completo,
incluidos todos los componentes relevantes para la seguridad.
• Mediante la parametrización correspondiente, asegúrese de que las funciones de seguridad
utilizadas están activadas y adaptadas a su tarea de accionamiento y automatización.
• Realice una prueba de funcionamiento.
• No inicie la producción hasta haber comprobado si las funciones relevantes para la
seguridad funcionan correctamente.
Nota
Consignas de seguridad importantes sobre las funciones Safety Integrated
Si desea utilizar las funciones Safety Integrated, observe las consignas de seguridad de los
manuales Safety Integrated.
Servidor Web/Startdrive
Con la función "Backup y restauración" dispone de las siguientes opciones:
• Guardar parámetros ya ajustados
• Asignar un nombre al fichero de copia de seguridad
• Restaurar parámetros de una copia de seguridad de parámetros válida y cargarlos en el
accionamiento
• Restablecer los ajustes de fábrica del accionamiento
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 109
Medidas de seguridad específicas de producto
8.4 SINAMICS
Más información
Encontrará información detallada sobre este tema en la siguiente bibliografía.
• Manual de funciones SINAMICS S120 Funciones de accionamiento (https://
support.industry.siemens.com/cs/es/es/view/109781535)
Capítulo "Servidor web"
• SINAMICS S120 Manual de puesta en marcha con Startdrive (https://
support.industry.siemens.com/cs/ww/de/view/109781583/es)
Capítulo "Guardar ajustes en la tarjeta de memoria del accionamiento"
• Instrucciones de servicio SINAMICS S210 (https://support.industry.siemens.com/cs/ww/es/
view/109771824)
Capítulo "Backup y restauración"
• Instrucciones de servicio SINAMICS G120 "SINAMICS G120 Smart Access" (https://
support.industry.siemens.com/cs/ww/es/view/109771299)
Capítulo "Backup y restauración"
• Instrucciones de servicio SINAMICS G130, G150 y S150
Capítulo "Servidor web"
• Instrucciones de servicio SINAMICS V20 (https://support.industry.siemens.com/cs/de/de/
view/109768394/es)
Capítulos "Puesta en marcha mediante SINAMICS V20 Smart Access" y "Cargador de
parámetros"
Industrial Security
110 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad específicas de producto
8.4 SINAMICS
SINAMICS S120
La "Copia de seguridad redundante en tarjeta de memoria" permite, en relación con la
"Actualización del firmware a través del servidor web" y el acceso remoto asociado, volver a
acceder de forma segura al equipo en caso de interrupción de la conexión o de la alimentación.
Esta copia de seguridad redundante no se puede desactivar.
Más información
Encontrará información detallada sobre este tema en la siguiente bibliografía.
• Manual de funciones SINAMICS S120 Funciones de accionamiento (https://
support.industry.siemens.com/cs/es/es/view/109781535)
Capítulo "Copia de seguridad redundante en tarjeta de memoria"
• SINAMICS S120 Manual de puesta en marcha con Startdrive (https://
support.industry.siemens.com/cs/ww/de/view/109781583/es)
Capítulo "Guardar ajustes en la tarjeta de memoria del accionamiento"
• Instrucciones de servicio SINAMICS S210 (https://support.industry.siemens.com/cs/ww/es/
view/109771824)
Capítulo "Backup y restauración"
• Instrucciones de servicio SINAMICS G
• Instrucciones de servicio SINAMICS G130, G150 y S150
• Instrucciones de servicio SINAMICS V20 (https://support.industry.siemens.com/cs/de/de/
view/109768394/es)
Capítulo "Backup y restauración"
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 111
Medidas de seguridad específicas de producto
8.4 SINAMICS
Transferencia de datos
Además de la transferencia normal (no segura) (http), el servidor web soporta la transferencia
segura (HTTPS). La transferencia segura (HTTPS) es el ajuste recomendado.
Nota
Smart Access Module
El servidor web del Smart Access Module no soporta la transferencia segura (HTTPS). Como
alternativa puede utilizar una transferencia WLAN encriptada.
Industrial Security
112 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad específicas de producto
8.4 SINAMICS
Derechos de acceso
Para el acceso mediante el servidor web se aplican los mecanismos de protección normales de
SINAMICS, incluida la protección por contraseña. Se han implementado mecanismos de
protección adicionales especialmente para el servidor web. Hay ajustadas diferentes
posibilidades de acceso para distintos usuarios según la función. Las listas de parámetros están
protegidas de manera que solo los usuarios con los correspondientes derechos pueden acceder
a los datos o modificarlos.
Más información
Encontrará información detallada sobre este tema (p. ej., los navegadores de Internet
soportados) en la siguiente bibliografía:
• Manual de funciones SINAMICS S120 Funciones de accionamiento (https://
support.industry.siemens.com/cs/es/es/view/109781535)
Capítulo "Servidor web"
• Instrucciones de servicio SINAMICS S210 (https://support.industry.siemens.com/cs/ww/es/
view/109771824)
• Instrucciones de servicio SINAMICS V20 (https://support.industry.siemens.com/cs/de/de/
view/109768394/es)
• Instrucciones de servicio SINAMICS G120 Smart Access (https://
support.industry.siemens.com/cs/ww/es/view/109771299)
• Instrucciones de servicio SINAMICS G130, G150 y S150
TLS
Transport Layer Security (TLS V1.2 o más reciente, "Seguridad de capa de transporte") es un
protocolo de cifrado híbrido para la transferencia de datos segura en Internet.
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 113
Medidas de seguridad específicas de producto
8.4 SINAMICS
Ficheros de clave
Para el método de cifrado en el que se basa el protocolo Transport Layer Security se necesitan 2
ficheros de clave (un certificado público y una clave privada).
Gestión de certificados
Para que pueda acceder al accionamiento mediante HTTPS en el estado de suministro
de SINAMICS, en el accionamiento se genera el certificado necesario y la clave. Utilice
el certificado de firmware solo en redes protegidas (p. ej., PROFINET bajo un PLC) o en
conexiones directas punto a punto con la interfaz de servicio X127.
Utilice en su lugar un certificado confirmado por una autoridad de certificación externa.
Encontrará una descripción detallada del procedimiento en la bibliografía abajo indicada.
Más información
Encontrará información detallada sobre este tema en la siguiente bibliografía:
• Manual de funciones SINAMICS S120 Funciones de accionamiento (https://
support.industry.siemens.com/cs/de/de/view/109781535)
Capítulo "Certificados para la transferencia de datos protegida"
• Instrucciones de servicio SINAMICS G130, G150 y S150
Industrial Security
114 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad específicas de producto
8.4 SINAMICS
ATENCIÓN
Acceso a los convertidores únicamente para personal autorizado
Si hay lagunas en la seguridad física de una empresa, existe la posibilidad de que personas no
autorizadas dañen o alteren los equipos de producción, o incluso se pierda o modifique
información confidencial. Esto puede impedirse protegiendo debidamente el lugar donde se
encuentra la empresa y las zonas de producción.
• Encontrará información sobre las medidas de protección adecuadas en el capítulo
"Protección física de las áreas de producción críticas (Página 36)".
Más información
Encontrará información detallada sobre este tema en la siguiente bibliografía:
• SINAMICS S120
– Manual de producto SINAMICS S120 Control Units y componentes del sistema
complementarios (https://support.industry.siemens.com/cs/de/en/view/109771804)
Capítulo sobre las interfaces correspondientes
– A partir de la versión de firmware 5.2: Manual de funciones SINAMICS S120
Comunicación (https://support.industry.siemens.com/cs/de/en/view/109781721/es)
– Versiones de firmware anteriores:
Manual de funciones SINAMICS S120 Funciones de accionamiento (https://
support.industry.siemens.com/cs/de/de/view/109781535)
• Instrucciones de servicio SINAMICS G y SINAMICS S
• Instrucciones de servicio SINAMICS V90
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 115
Medidas de seguridad específicas de producto
8.4 SINAMICS
8.4.11 Eliminación
ATENCIÓN
Uso indebido de datos por culpa de la eliminación no segura del producto
La eliminación no segura del producto puede dar lugar a un uso indebido de los datos de
parámetros por parte de terceros.
• Por esta razón, antes de eliminar un producto debe restablecer los ajustes de fábrica de
todos los parámetros.
Encontrará información sobre el restablecimiento de los ajustes de fábrica en el manual de
funciones o en las instrucciones de servicio del producto correspondiente.
ATENCIÓN
Uso indebido de datos por culpa de la eliminación no segura de la tarjeta de memoria
La eliminación no segura de la tarjeta de memoria puede dar lugar a un uso indebido de datos,
etc., por parte de terceros. La tarjeta de memoria contiene, entre otros datos, las copias de
seguridad necesarias para el funcionamiento del convertidor.
• Por esta razón, antes de eliminar el producto debe borrar de forma segura la tarjeta de
memoria. Existen programas que facilitan el borrado/formateo seguro de la tarjeta de
memoria.
• Esto afecta a todos los productos que disponen de una tarjeta de memoria.
Nota
Borrado de certificados definidos por el usuario
Antes de eliminar un producto SINAMICS, asegúrese de eliminar de forma segura todos los
certificados definidos por el usuario. Con estos certificados, un atacante puede acceder a la
transferencia de datos protegida.
• Productos con tarjeta de memoria
– Borre los ficheros SINAMICS.key y SINAMICS.crt del directorio
OEM\SINAMICS\WEB\WEBCONF\CERT de la tarjeta de memoria.
• Productos con tarjeta de memoria opcional (p. ej.,. SINAMICS S210)
– Cree ficheros vacíos ("SINAMICS.key" y "SINAMICS.crt") con los nombres de fichero
correspondientes.
– Copie estos ficheros en la tarjeta de memoria.
– Inserte la tarjeta de memoria en el convertidor.
– Ponga de nuevo en marcha el convertidor.
– Alternativa si ya no necesita los datos de la tarjeta de memoria: formatee de nuevo la
tarjeta de memoria.
Encontrará más información en el manual de funciones o en las instrucciones de servicio del
producto correspondiente.
Industrial Security
116 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad específicas de producto
8.4 SINAMICS
ADVERTENCIA
Fallos de funcionamiento de la máquina a consecuencia de una parametrización errónea
o modificada
Una parametrización errónea o modificada puede provocar en máquinas fallos de
funcionamiento que pueden producir lesiones graves o la muerte.
• Proteja las parametrizaciones del acceso no autorizado.
• Controle los posibles fallos de funcionamiento con medidas apropiadas (p. ej.,
DESCONEXIÓN/PARADA DE EMERGENCIA).
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 117
Medidas de seguridad específicas de producto
8.4 SINAMICS
Funciones de seguridad
• Activación/desactivación de funciones no utilizadas (servidor web, puertos)
• Protección contra escritura para la parametrización, los parámetros p pueden leerse, pero no
escribirse, protección contra modificaciones accidentales de la parametrización (solo
disponible online)
Scripts (Openness)
Los scripts (Openness) sirven para automatizar procesos en Startdrive. Los scripts deben
probarse antes de ser utilizados en la máquina.
ADVERTENCIA
Peligro por configuraciones erróneas en acciones de manejo automatizadas
Gracias a sus amplias posibilidades de automatización, los scripts permiten automatizar
acciones de manejo manual de la herramienta Startdrive y, con ello, optimizar el tiempo
necesario para la configuración repetitiva de proyectos y tareas.
Los creadores y usuarios de scripts son responsables de las acciones de manejo implementadas
en los scripts.
Las configuraciones erróneas que no se detecten por medio de pruebas pueden provocar
lesiones graves e incluso la muerte.
• Someta a pruebas sistemáticas los scripts nuevos o modificados a fin de verificarlos y
validarlos.
• Antes de ejecutar un script, asegúrese de que su contenido sea correcto. Verifique y valide
los resultados de la ejecución del script mediante pruebas en la máquina.
Los scripts, igual que los esquemas DCC, se pueden proteger mediante la protección de
know-how.
Industrial Security
118 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad específicas de producto
8.4 SINAMICS
Funciones de seguridad
• Protección de know-how para la parametrización, scripts, esquemas DCC y librerías DCC con
contraseña y cifrado
• Protección anticopia de la configuración en la unidad de accionamiento. El proyecto solo se
puede abrir con la tarjeta original.
• Detección de manipulaciones de parámetros con STARTER mediante la comparación de
proyectos, ver también "Comparación offline/online (Página 97)"
• Activación/desactivación de funciones no utilizadas (servidor web, puertos), ver también
"Servidor web integrado (Página 112)"
• Protección contra escritura para la parametrización, los parámetros p pueden leerse, pero no
escribirse, protección contra modificaciones accidentales de la parametrización (solo
disponible online)
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 119
Medidas de seguridad específicas de producto
8.4 SINAMICS
Scripts
Los scripts sirven para automatizar procesos en STARTER. Los scripts deben probarse antes de ser
utilizados en la máquina.
ADVERTENCIA
Peligro por configuraciones erróneas en acciones de manejo automatizadas
Gracias a sus amplias posibilidades de automatización, el scripting permite automatizar
acciones de manejo manual de las herramientas STARTER/SCOUT y, con ello, optimizar el
tiempo necesario para la configuración repetitiva de proyectos y tareas.
Los creadores y usuarios de scripts son responsables de las acciones de manejo implementadas
en los scripts.
Las configuraciones erróneas que no se detecten por medio de pruebas pueden provocar
lesiones graves e incluso la muerte.
• Someta a pruebas sistemáticas los scripts nuevos o modificados a fin de verificarlos y
validarlos.
• Antes de ejecutar un script, asegúrese de que su contenido sea correcto. Verifique y valide
los resultados de la ejecución del script mediante pruebas en la máquina.
Los scripts, igual que los esquemas DCC, se pueden proteger mediante la protección de
know-how.
Vista general
SINAMICS Drive Control Chart (DCC) ofrece una opción tecnológica escalable y modular,
desarrollada principalmente para tareas técnicas de control y regulación continuas a pie de
accionamiento.
Industrial Security
120 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad específicas de producto
8.4 SINAMICS
El editor Drive Control Chart, basado en CFC, permite configurar de manera gráfica funciones
tecnológicas con DCC para accionamientos SINAMICS.
• Startdrive
La figura siguiente muestra el flujo de los datos de configuración en la configuración con
SINAMICS DCC:
7,$3RUWDO
/LEUDULHV
08/
① Cargar
② Importación de librerías DCB
Figura 8-11 Flujo de los datos de configuración: TIA-DCC
• STARTER
La figura siguiente muestra el flujo de los datos de configuración con SINAMICS DCC, así
como las maneras de proteger las fuentes DCC configuradas/programadas:
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 121
Medidas de seguridad específicas de producto
8.4 SINAMICS
'&&&)&
$GG
0XO
&RQILJXUDFLµQ &RPSLODFLµQ
&RSLDGHVHJXULGDGHQHO
67$57(5HVTXHPDV\OLEUHU¯DV VLVWHPDGHILFKHURV
,PSRUWDFLµQGHWLSRVGH &DUJD
EORTXHV
/LEUHU¯D'&%
6,1$0,&6
6,1$0,&6
/LEUHU¯D'&&
6,1$0,&6
Figura 8-12 Flujo de los datos de configuración: Ejemplo para DCC Classic V2.1 ... V3.4 (STARTER)
Industrial Security
122 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad específicas de producto
8.4 SINAMICS
ADVERTENCIA
Peligro de muerte por manipulación de esquemas DCC y librerías DCC
La utilización de esquemas y librerías DCC que no están protegidos alberga un riesgo
aumentado en cuanto a la manipulación de esquemas DCC, librerías DCC e archivos de backup.
• Proteja los esquemas DCC y librerías DCC importantes usando la función "Protección de
know-how de programas" o "Protección de know-how de unidades de accionamiento" en
SCOUT o STARTER. Asigne una contraseña robusta para impedir manipulaciones.
• Proteja los esquemas DCC y librerías DCC importantes usando la función "Protección de
know-how de unidades de accionamiento" en Startdrive V16 o superior. Asigne una
contraseña robusta para impedir manipulaciones.
• Por esta razón, para "Protección de know-how de programas" o "Protección de know-how de
unidades de accionamiento", use contraseñas de 8 caracteres como mínimo que contengan
mayúsculas y minúsculas, cifras y caracteres especiales.
• Asegúrese de que solo las personas autorizadas tengas acceso a las contraseñas.
• Proteja contra escritura los archivos de backup que se guardan en su sistema de archivos.
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 123
Medidas de seguridad específicas de producto
8.4 SINAMICS
El Smart Access Module opcional es una solución inteligente para la puesta en marcha del
convertidor SINAMICS V20 o G120.
El Smart Access Module es un módulo de servidor web con conectividad WLAN integrada.
Permite el acceso basado en web al convertidor desde un equipo conectado (un PC
convencional con adaptador WLAN, una tableta o un smartphone). Este equipo solamente
está concebido para la puesta en marcha, de manera que no debe seguir conectado al
convertidor de manera permanente.
ATENCIÓN
WLAN: cambio de la contraseña estándar
El mal uso de las contraseñas también puede suponer un riesgo importante para la seguridad.
Una parametrización errónea o modificada puede provocar en máquinas fallos de
funcionamiento que pueden producir lesiones graves o la muerte.
• Después de iniciar sesión por primera vez en el Smart Access Module, debe cambiar su
contraseña estándar.
• Asigne una contraseña segura. Encontrará información al respecto en las instrucciones de
servicio del convertidor correspondiente.
ATENCIÓN
Acceso no autorizado al convertidor a través del SINAMICS Smart Access Module
Un acceso no autorizado al convertidor a través del Smart Access Module como resultado de un
ciberataque podría causar interrupciones del proceso y, por tanto, daños materiales o lesiones.
• Antes de iniciar sesión en las páginas web, compruebe el LED de estado en el Smart Access
Module. Si el LED de estado está encendido o parpadea en verde, podría haberse producido
un acceso no autorizado: apague el SINAMICS Smart Access Module mediante el interruptor
de encendido/apagado y acto seguido vuelva a encenderlo para restablecer la conexión
WLAN.
Industrial Security
124 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Medidas de seguridad específicas de producto
8.5 SIMOCRANE
8.5 SIMOCRANE
En las aplicaciones de grúa, los tres factores clave son disponibilidad, productividad y seguridad.
Como los productos SIMOCRANE están basados en productos de SIMOTION y SINAMICS, para su
refuerzo debe observar las medidas específicas de producto que figuran en los
capítulos SIMOTION (Página 90) y SINAMICS (Página 105).
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 125
Medidas de seguridad específicas de producto
8.5 SIMOCRANE
Industrial Security
126 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Referencias A
Información general
Encontrará información general sobre seguridad industrial en Internet:
• Industrial Security (https://www.siemens.com/industrialsecurity)
• Ciberseguridad (https://new.siemens.com/global/en/company/topic-areas/
cybersecurity.html)
• Ciberseguridad industrial (https://new.siemens.com/global/en/products/automation/topic-
areas/industrial-security/planning.html)
• Secure Digitalization (https://new.siemens.com/global/en/products/automation/topic-areas/
industrial-security/certification-standards.html#Alwaysactive)
• Certificaciones y normas (https://new.siemens.com/global/en/products/automation/topic-
areas/industrial-security/certification-standards.html)
• Whitepapers y descargas (https://new.siemens.com/global/en/products/automation/topic-
areas/industrial-security/downloads.html)
Contraseñas seguras
Encontrará más información sobre la asignación de contraseñas seguras en las siguientes
direcciones de Internet:
• Agencia Europea de Seguridad de las Redes y de la Información (ENISA) (https://
www.enisa.europa.eu/media/news-items/basic-security-practices-regarding-passwords-
and-online-identities)
• Instituto Nacional de Normas y Tecnología (NIST) (https://nvlpubs.nist.gov/nistpubs/
SpecialPublications/NIST.SP.800-63b.pdf)
• Oficina Federal alemana de Seguridad en la Tecnología de la Información (Bundesamt für
Sicherheit in der Informationstechnik, BSI) (https://www.bsi.bund.de/EN/Themen/
Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-
Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/sichere-
passwoerter-erstellen_node.html)(solo relevante para Alemania)
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 127
Referencias
Industrial Security
128 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Referencias
Consulte también
Manual de puesta en marcha Safety Integrated plus (https://
support.industry.siemens.com/cs/de/en/view/109777982/es)
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 129
Referencias
Industrial Security
130 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Glosario
Acceso remoto
Empleo de sistemas que se encuentran dentro del perímetro de la zona de seguridad y a los
que se accede desde otro lugar geográfico con los mismos derechos que si los sistemas se
encontraran físicamente en el mismo emplazamiento.
AMC
Abreviatura de Analyze MyCondition de SINUMERIK Integrate
AMD
Abreviatura de Access MyData de SINUMERIK Integrate
Amenaza
Causa potencial de un incidente no deseado que puede producir daños en un sistema o una
organización.
AMM
Abreviatura de Access MyMachine de SINUMERIK Integrate
AMP
Abreviatura de Analyze MyPerformance de SINUMERIK Integrate
AMT
Abreviatura de Active Management Technology de Intel®
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 131
Glosario
Ataque
Intento de destruir un recurso; de retirar, modificar, desactivar o robar la protección de un
recurso; de conseguir un acceso no autorizado a un recurso, o de utilizar un recurso de una
manera no autorizada.
Ataque Man-in-the-disk
El concepto de un ataque "Man-in-the-disk" es similar al de un ataque "Man-in-the-middle",
ya que implica la intercepción y manipulación de los datos intercambiados entre la memoria
externa y una aplicación.
Ataque Man-in-the-middle
En la criptografía y la seguridad informática, un ataque "Man-in-the-middle" es un ataque
informático en el que el atacante retransmite y posiblemente altera clandestinamente la
comunicación entre dos partes que creen que se están comunicando directamente entre sí
porque el atacante se ha interpuesto entre las dos partes.
Autenticación
Comprobación de la identidad de un usuario, proceso o equipo, generalmente como
condición previa para dar acceso a recursos en un sistema de información.
Autorización
El derecho concedido a una entidad del sistema para acceder a un recurso del sistema.
Ciberseguridad
Se entiende por ciberseguridad las medidas destinadas a defender equipos, servidores,
dispositivos móviles, sistemas electrónicos, redes y datos frente a ataques maliciosos.
También incluye la seguridad de tecnologías de la información y datos electrónicos. El
término tiene un sentido amplio y se aplica a todo, desde la seguridad de ordenadores
hasta la formación de usuarios finales, pasando por la recuperación ante desastres, es decir,
la restauración tras un incidente.
Computación en la nube
Se entiende por computación en la nube el almacenamiento de datos en un centro de
cálculo remoto, o bien la ejecución de programas que no están instalados en el equipo local,
sino en lo que metafóricamente se llama la nube (en inglés: cloud).
Confidencialidad
Característica en virtud de la cual no se facilitan ni se divulgan datos a particulares, entidades
o procesos no autorizados.
Industrial Security
132 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Glosario
Cortafuegos
Equipo que conecta redes entre sí y que limita el tráfico de datos entre dos redes conectadas.
Defensa en profundidad
Creación de varios mecanismos de seguridad, en particular, en una estructura por capas, con
el fin de frenar o impedir del todo un ataque.
Disponibilidad
Accesibilidad y posibilidad de uso a petición de una entidad autorizada.
DMZ
Una zona desmilitarizada es una subred independiente que separa la red local (LAN) de
Internet mediante routers cortafuegos (A y B). Los routers cortafuegos están configurados de
manera que descartan los paquetes de datos para los que no haya otros paquetes anteriores.
Así pues, si desde Internet se envía un paquete de datos al servidor, el router cortafuegos A
lo rechaza. Si un hacker lograra acceder a un servidor situado dentro de una DMZ y quisiera
enviar paquetes de datos a la LAN para husmear o explotar vulnerabilidades (hackear), el
router cortafuegos B los rechazaría.
Fuerza bruta
En informática, para muchos problemas no se conocen algoritmos eficientes. El enfoque más
natural y sencillo para resolver un problema de manera algorítmica consiste sencillamente
en probar todas las soluciones posibles hasta encontrar la correcta. Este método se llama
"búsqueda por fuerza bruta" (en inglés: brute-force search). Una aplicación del método de
fuerza bruta que se cita a menudo como ejemplo es el descifrado de contraseñas. Con
frecuencia, las contraseñas están encriptadas con funciones hash criptográficas. Calcular
directamente la contraseña a partir del valor hash es algo casi imposible de realizar. Sin
embargo, un programa "crack" sí puede calcular los valores hash de muchas contraseñas. Si
un valor coincide con el valor de la contraseña guardada, habrá encontrado la contraseña
(u otra contraseña que funcione por casualidad). Por lo tanto, la fuerza bruta en este caso
consiste simplemente en probar contraseñas posibles.
Gestión de parches
Ámbito de la gestión de sistemas entre cuyos cometidos se encuentran la obtención,
comprobación e instalación de varios parches (modificaciones del código) para o dentro
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 133
Glosario
Hacker
Persona que realiza intencionadamente una actividad de hacking. Estas actividades pueden
tener o no una intención maliciosa, y algunas se consideran dentro de los límites de lo ética y
jurídicamente aceptable.
IANA
La Internet Assigned Numbers Authority (IANA) es un departamento de la ICANN que se
encarga de asignar números y nombres en Internet, en particular, de direcciones IP. Es una de
las instituciones más antiguas de Internet.
Incidente
Uno o varios sucesos indeseados o inesperados que afectan a la actividad empresarial y
ponen en peligro la seguridad de la información. Pueden deberse a lagunas de seguridad,
configuraciones erróneas o comportamientos erróneos y de su aprovechamiento.
Industrial Security
Medidas para mejorar los estándares de seguridad industrial de una instalación. Estas
medidas protegen contra accesos no autorizados a sistemas de control, controladores
industriales y sistemas basados en PC de la instalación, y también contra ciberataques.
Integridad
Característica que garantiza la ausencia de errores y la integridad de los recursos.
Inyección de código
La inyección de código es la utilización de un fallo del ordenador debido al procesamiento
de datos no válidos. La inyección es un método que emplean los atacantes para introducir
clandestinamente código en un programa informático vulnerable y ejecutarlo.
Industrial Security
134 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Glosario
Laguna de seguridad
Punto débil de un sistema informático que permite a un atacante vulnerar la integridad del
sistema. Por lo general, es la consecuencia de errores de programación o defectos de diseño
del sistema.
Un punto débil de un recurso o de un elemento de mando que puede ser aprovechado por
una o varias amenazas.
Lista de bloqueados
Una lista de permitidos o lista de bloqueados es una lista positiva o negativa que se puede
utilizar para proteger los sistemas en el entorno de TI. La lista de permitidos y la lista de
bloqueados aplican estrategias opuestas y se utilizan en una gran variedad de áreas.
En el caso de una lista de bloqueados, en principio todo lo que no figura en la lista está
permitido. La lista de bloqueados representa una lista negativa y enumera los destinos,
programas o direcciones que no son de confianza o no están permitidos. Mediante la lista
negativa, es posible prohibir de forma selectiva determinadas aplicaciones o destinos de
comunicación.
Lista de permitidos
Una lista de permitidos o lista de bloqueados es una lista positiva o negativa que se puede
utilizar para proteger los sistemas en el entorno de TI. La lista de permitidos y la lista de
bloqueados aplican estrategias opuestas y se utilizan en una gran variedad de áreas.
La lista de permitidos sigue el planteamiento de que, en principio, todo lo que no esté
explícitamente introducido en la lista está prohibido. Por consiguiente, en la lista de
permitidos solo figuran las entradas deseadas y de confianza. Las entradas de la lista
constituyen, por tanto, las excepciones a la norma de prohibición general.
Malware
Malware es un término genérico para los programas que se desarrollan con la intención
de causar algún daño a los usuarios. Existen muchísimos tipos de malware; p. ej., virus,
troyanos, rootkits o programas espía.
MMP
Abreviatura de Manage MyPrograms de SINUMERIK Integrate
MMT
Abreviatura de Manage MyTools de SINUMERIK Integrate
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 135
Glosario
NCU
Módulo de control central de un controlador CNC para CN, HMI, PLC y regulación.
OpenVPN
OpenVPN es un programa para crear una red privada virtual (VPN) mediante una conexión
TLS cifrada. Para el cifrado se utilizan las librerías del programa OpenSSL. OpenVPN puede
utilizar UDP o TCP para el transporte.
Patrones de virus
Denominación de la base de datos utilizada por los antivirus, que contiene la estructura
esquemática y específica de todos los virus conocidos. Generalmente se trata de un fichero
que el antivirus utiliza y procesa. Los esquemas contenidos en el fichero se utilizan para la
comprobación de virus, comparándose con los ficheros que haya que verificar.
PCU
PC industrial de alta integración para interfaz de usuario o bien software de sistema e
interfaz de usuario de un CNC.
Phishing
El phishing describe el peligro de "pescar contraseñas con cebo" en correos electrónicos
mediante enlaces falsificados o mensajes breves (p. ej., SMS). Los suplantadores de identidad
intentan acceder a los datos mediante correos electrónicos y páginas web que parecen serios
y legítimos. Para ello aprovechan puntos débiles, p. ej., del sistema operativo o del navegador
web, con ayuda de software malicioso infiltrado.
Refuerzo
Procedimiento mediante el cual se incrementa la seguridad de un sistema reduciendo la
superficie de ataque.
Industrial Security
136 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Glosario
SCADA
Se entiende por Supervisory Control and Data Acquisition (SCADA) la supervisión y control
de procesos técnicos mediante un sistema informático.
Seguridad
Mantenimiento de la confidencialidad, integridad y disponibilidad de un producto, solución o
servicio.
Seguridad de la información
Mantenimiento de la confidencialidad, integridad y disponibilidad de la información.
Sistema SIEM
SIEM es el acrónimo de Security Information and Event Management, y se ha convertido
en un término de uso habitual en seguridad TI. Estos sistemas son capaces de identificar y
valorar eventos relevantes para la seguridad, y avisar de ellos al administrador.
Superficie de ataque
El alcance en que se ha desprotegido un sistema, de forma que es posible atacar dicho
sistema.
Switch
Componente de red para la conexión de varios terminales o segmentos de red en una red
local (LAN).
TIA Portal
TIA Portal es un framework de automatización para las familias de CPU SIMATIC S7-1200,
S7-300, S7-400 y S7-1500 de Siemens.
"TIA" significa Totally Integrated Automation. En TIA Portal, todas las herramientas de
software necesarias están agrupadas en una sola interfaz de usuario.
TLS
Transport Layer Security (TLS V1.2 o más reciente, "Seguridad de capa de transporte") es un
protocolo de cifrado híbrido para la transferencia de datos segura en Internet.
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 137
Glosario
Industrial Security
138 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Índice alfabético
Carácter, 48
Complejidad, 48
A Especificaciones, 48
Longitud, 48
Acceso remoto, 23
Segura, 48
Actualización de firmware
Contraseña BIOS
MCP/MPP, 56
PCU 50, 66
Actualización de Security, 61
Contraseña BIOS PCU 50, 66
Actualización de seguridad, 61
Contraseña HMI, 64
IPC, 61
Contraseña Linux, 64
PCU, 61
Contraseña NCK, 64
Administración de parches, 26
Cortafuegos, 38, 47
Almacenamiento de datos, 47
Cuentas de usuario, 46
Encriptar, 47
Amenazas, 24
Análisis de amenazas y riesgos, 26
Análisis de código, 26
D
Antivirus, 49 Datos
Aplicaciones en la nube, 42 Transportar, 48
Application Security, 25 Defensa en profundidad, 34
Aseguramiento de la integridad, 26 Desactivar interfaz PROFINET
Avisos de seguridad de productos, 49 SINUMERIK 840D sl, 58
SINUMERIK ONE, 58
Disco duro, 48
B Encriptar, 47
Dispositivo de almacenamiento extraíble, 48
Bloquear
Dispositivo móvil
Interfaz USB, 57
Medidas, 47
Bloquear interfaz USB
Dispositivos de almacenamiento extraíbles
SINUMERIK, 57
SINAMICS, 108
SINUMERIK, 61
Dispositivos móviles, 23
C
Calidad de la contraseña, 48
Cambiar E
Contraseña, 48
Efectos, 24
Cambio de contraseñas
Encriptación de bloques
SINUMERIK, 64
SINUMERIK, 69
Candado para puerto USB, 47
Encriptar ciclos
Certificados
SINUMERIK, 67
SIMOTION, 102
Entrada principal, 69
SINAMICS, 113
Estándares de telefonía móvil, 23
Cloud Security, 42
Computación en la nube, 23
Comunicación
Números de puerto utilizados, 58
G
Servicios de comunicación, 58 Gestión de hotfixes, 26
Concepto Defense in Depth, 34 Gusanos, 49
Contraseña
Cambiar, 48
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 139
Índice alfabético
Nube, 42
Números de puerto utilizados
H SINAMICS, 112
HTTPS
Servidor web SIMOTION, 101
O
Ordenador portátil
I Medidas, 47
IEC 62443, 29
Industrial Holistic Security Concept de Siemens, 28
Alcance, 28
P
Business Impact Assessment, 28 Parámetros: Niveles de acceso
Monitoring of Residual Risk, 28 SINAMICS, 107
Target Protection Level, 28 Parches, 61
Industrial Security PC
Amenazas, 24 Medidas, 47
definición, 21 PLM, 26
objetivos, 21 Proceso Product Lifecycle Management, 26
posibles efectos, 24 Proceso Security Management, 31
Integridad del sistema, 35 ProductCERT, 26
Interfaces Programa antivirus, 49
Proteger, 47 Protección antivirus
Internet de las cosas, 23 SINAMICS, 108
Internet of Things, 23 SINUMERIK, 60, 61
IoT, 23 Protección contra copia
ISO 27005, 29 SINUMERIK, 67
Protección de bloques, 68
SINUMERIK, 68
L Protección de datos, 24
Protección de know-how
Lagunas de seguridad, 24
SINAMICS, 105
Listas blancas, (SINUMERIK)
Puertos, 46
Lock MyCycles
SINUMERIK Integrate, 68
Lock MyPLC
SINUMERIK Integrate, 68
R
Red DMZ, 38
Redes de telefonía móvil, 23
M Reglamentos, 29
Manipulación de software
SINAMICS, 108
SINUMERIK, 61
S
MCP/MPP SCALANCE S, 39
Actualización de firmware, 56 Security Module
Memoria USB, 48 SCALANCE S, 39
Security Service, 25
Security Support, 25
N Seguridad de la empresa, 36
Seguridad de la instalación, 35
Niveles de confidencialidad, 47
Seguridad de red, 35
Niveles de protección, 35
Seguridad física de la producción, 36
Normas, 29
Industrial Security
140 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2
Índice alfabético
Industrial Security
Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2 141
Índice alfabético
Industrial Security
142 Manual de configuración, 01/2023, 6FC5397-5EP40-6EA2