Acceso basado en roles |
Acceso basado en roles alineado con políticas de seguridad y acciones urgentes, a nivel hardware y software |
Control de acceso de usuarios básico |
Control de acceso de usuarios basado en mecanismos de autenticación básicos (password) |
Control de acceso de usuarios con visualización oculta |
Control de acceso de usuarios basado en mecanismos que ocultan visualmente con asteriscos u otros mecanismos la introducción de claves |
Control de acceso de usuarios multifactor |
Control de acceso de usuarios basado en mecanismos de autenticación robustos PKI (token de acceso o biometria) |
Control de comunicaciones de red |
Control de los usuarios y dispositivos en el acceso a la red permitiendo monitorear sus acciones y bindar la información detallada sobre sus comunicaciones. Estableciendo VPNs u otros mecanismos de control, como la limitación de ancho de banda |
Control de uso de equipos |
Control de uso de equipos (portátiles, dispositivos móviles,..) para restringir acceso a la información mediante cifrado y bloqueo de malware y tráfico malicioso |
Gestión de cuentas |
Sistema para crear/modificar/borrar cuentas de usuario/grupos y establecer permisos, así como identificar usuarios/grupos. Configuración de intentos de login para bloqueo de cuenta durante tiempo establecido, bloqueo después de periodo de inactividad y terminar la sesión. Capacidad de limitar el uso de sesiones concurrente y capacidad de notificación de mensaje en la autenticación. |
Infraestructura PKI |
Infraestructura de clave pública o Public Key Infrastructure (PKI) que proporcionará certificados digitales que permitan hacer las operaciones de cifrado. Estas se utilizarán para la verificación y autenticación de las diferentes partes involucradas en un intercambio electrónico. |
Inventariado de hardware y software |
Obtener datos de los equipos tanto del Hardware como del Software a fin de conformar un inventario dinámico. Gestionar un inventario de hardware y software ya sea automatizado o manual. |
Política de control de acceso |
Política de usuarios y grupo que definirán accesos para cada tipo de información establecido y asignación de permisos por perfiles y grupos |
Reporte de eventos y comunicación a partes responsables |
La capacidad de proporcionar notificaciones y alertas continuas sobre eventos de seguridad al personal responsable a partir de las definiciones de los umbrales para los diferentes tipos de alertas establecidos. |
Seguridad física en la instalación de dispositivos |
Proporcionar recomendaciones técnicas en los lugares donde los dispositivos vayan a ser instalados en cuanto a temperatura, humedad, interferencias electromagnéticas (EMI) , radiaciones, vibraciones, gases y cualquier otro agente que pueda afectar a su correcto funcionamiento concurrente y capacidad de notificación de mensaje en la autenticación. |
Actualizaciones confiables |
Capacidad de actualizaciones de seguridad que no impacten en la disponibilidad del sistema protegido mediante las verificaciones de compatibilidad realizadas antes de las versiones de la base de datos/ componentes y del software del sistema de control de procesos / actualizaciones de configuración. |
Análisis de correlación de eventos de red |
Análisis según las reglas integradas para la correlación de eventos de red |
Claves de seguridad hardware |
Sistema de claves U2F o claves de seguridad física que agregan una capa adicional de seguridad a las cuentas de acceso protegiendo de ataques dirigidos que aprovechan la criptografía para verificar identidad y el inicio de sesión. Reconoce también el inicio sesión en un servicio legítimo. Estas claves de seguridad se pueden conectar al dispositivo a través de USB-A, USB-C, Lightning, NFC y Bluetooth. |
Control de configuración |
Diseño y mantenimiento de estándares de configuración. Gestión de cambios de configuración. Evaluación de estado de las configuraciones |
Control del dispositivo |
Capacidad para controlar dispositivos automáticamente (CD, DVD, USB, etc.). Permitir bloquear o ajustar los filtros y permisos ampliados, así como establecer los permisos de un usuario local/remoto para acceder al hardware del dispositivo dado y software instalado en él. |
Cortafuegos basado en host |
Cortafuegos basado en host y bloqueador de ataques de red |
DPI industrial para detección de anomalías |
Monitorización de comunicaciones hacia y desde el PLC y control de los comandos y valores de los parámetros del proceso tecnológico y alerta al operador (vía integración HMI) de seguridad maliciosa o cambios sospechosos en los parámetros del proceso tecnológico. |
Inspeccionar registros endpoint |
Disponibilidad de ficheros \"log\" de accesos y eventos con capacidad de análisis de los registros que permita crear reglas para inspeccionarlos y configurar por ejemplo un analizador heurístico para los registros de eventos. |
Integración SIEM |
La integración SIEM permite configurar los ajustes para exportar los registros de la aplicación a eventos de terceros sistemas de agregación basados en protocolos como syslog |
Lista blanca en modo de detección |
Lista blanca; modo de sólo detección (no bloqueado sino registrado) |
Lista blanca en modo de prevención |
Lista blanca; modo de prevención (bloqueo) |
Registro de seguridad |
Registro que permite ver los eventos que han sido registrados por los componentes de la aplicación y que indican que un ordenador protegido puede estar comprometido |
Separación de entornos |
Paso a producción. Pruebas de seguridad en los diferentes entornos. Segmentación de los entornos a nivel de red, Datos desagregados en el entorno de testing y en el de desarrollo. |
Sistema de redundancia |
Capacidad de redundancia de energía, comunicaciones, almacenamiento y servicios necesarios para la operación |
Sistema de respaldo |
Sistema de copia de seguirdad y restauración para implementar la política de respaldo |
Supervisión de la integridad de los archivos |
Monitor de integridad de archivos que permite monitorizar alcances de archivos especificados en tiempo real y recibir notificaciones sobre las operaciones de archivo realizadas en los archivos monitorizados. |
Gestión centralizada de políticas de seguridad |
La capacidad de establecer diferentes configuraciones de protección para diferentes nodos y grupos |
Detección de uso de contraseñas predeterminadas |
Detección de contraseñas predeterminadas al conectarse a dispositivos: puede realizar un seguimiento del uso de contraseñas predeterminadas para acceder o conectarse a ciertos tipos de dispositivos |
Política de uso de certificados |
Política que identifica autoridades de certificación (CA), Autiridades de registro (RA), solicitantes, suscriptores y terceros de confianza. Así como las características de los certificados, como su validez, usos propios, usos no autorizados, procesos de emisión y revocación |
Protección de datos |
Capacidad de cifrado de información en reposo y en tránsito. Destrucción de información en desuso. Protección del respaldo y del proceso de recuperación de datos. Clasificación de información. Prevención de fugas de datos de una manera activa y sin perder productividad. Inspección de múltiples tipos de ficheros y protocolos independientemente de que la información se transmita cifrada o no. Mecanismos tanto visibles como invisibles para que en caso de fuga de información se pueda identificar a su responsable. Control de autorización del uso de dispositivos externos o de repositorios de transferencia de ficheros en la nube. |
Registro de eventos de redes industriales (análisis forense) |
Herramientas forenses: monitorización y registro seguro de eventos de redes industriales |
Verificación de integridad de código software y hardware |
Comprobación del software y hardware del dispositivo para verificar que su integridad no haya sido comprometida, comparando el estado actual con los datos de referencias recogidos durante el test de compatibilidad |
Verificar integridad del PLC |
Verificación de integridad del PLC |
Visualizacion de comunicaciones de red |
Sistema de monitorización de comunicaciones de dispositivos de red , identificando protocolos industriales utilizados, uso ancho de banda y puntos finales en mapa de red con capacidad de categorizar por niveles en purdue |