Diseño de una política de contraseñas

Descripción general

Una política de contraseñas minuciosamente diseñada es la primera línea de defensa frente a ciberataques.

En el contexto de las instalaciones que incluyen el interruptor automático MasterPacT, ComPacT y PowerPacT con una unidad de control o disparo remoto MicroLogic, se requieren contraseñas para:

• Ejecutar comandos intrusivos en la unidad de control MicroLogic, sea cual sea el modo de acceso (por medio de Modbus-TCP / Modbus-SL, una conexión USB o la tecnología inalámbrica Bluetooth)

• Ejecutar comandos intrusivos en la unidad de disparo remoto MicroLogic, sea cual sea el modo de acceso (por medio de Modbus-TCP / Modbus-SL, Unidad de visualización FDM121 o un puerto de prueba)

• Iniciar sesión en el PC en el que se ejecuta el software deEcoStruxure Power Commission

• Iniciar sesión en las páginas web de las interfaces IFE y EIFE

• Iniciar sesión en las páginas web del servidor IFE

• Iniciar sesión en las páginas web de la interfaz IFE y EIFE, y el servidor IFE, mediante el software deEcoStruxure Power Commission de una IMU MasterPacT MTZ

• Inicio de sesión en el servidor FTPS para la configuración de IEC 61850 en las interfaces IFE y EIFE, y el servidor IFE, desde un MasterPacT MTZ

Recomendaciones de ciberseguridad referentes a la política de contraseñas

ADVERTENCIA
RIESGO POTENCIAL PARA LA DISPONIBILIDAD, LA INTEGRIDAD Y LA CONFIDENCIALIDAD DEL SISTEMA La primera vez que utilice el sistema, cambie las contraseñas predeterminadas para evitar el acceso no autorizado a la configuración, los controles y la información del aparato. Si no se siguen estas instrucciones, pueden producirse lesiones graves, muerte o daños en el equipo.

La política de contraseñas es uno de los elementos principales de la política de ciberseguridad. Una buena política de contraseñas consiste en:

• Usar contraseñas seguras

• Cambiar periódicamente las contraseñas

• Usar un gestor de contraseñas para gestionar las contraseñas de acceso

• Prohibir la reutilización de contraseñas antiguas

• Recordar periódicamente a los usuarios las prácticas recomendadas sobre las contraseñas

Para contribuir a proteger su sistema, lo mínimo es:

• Aplicar el uso de contraseñas seguras

• Establecer la longitud mínima de las contraseñas en 10 caracteres

• Cambiar la contraseña periódicamente

Todos los usuarios deben conocer las prácticas referentes a las contraseñas. Son las siguientes:

• No compartir contraseñas personales

• No mostrar las contraseñas al introducirlas

• No transmitir contraseñas por correo electrónico ni por ningún otro medio

• No guardar las contraseñas en los PC u otros dispositivos

Contraseña para ajustes y controles críticos de MicroLogic Active

Al acceder a la unidad de control MicroLogic Active mediante una interfaz de comunicación, cualquier comando intrusivo que modifique el comportamiento del interruptor automático MasterPacT MTZ con una unidad de control MicroLogic Active requerirá una contraseña. Por ejemplo, para realizar cambios en los ajustes de protección o para utilizar el interruptor automático, se necesita la contraseña de MicroLogic Active.

Se han definido una cuenta de usuario y una contraseña únicos para la unidad de control MicroLogic Active.

Cuando se realiza la conexión por medio de Aplicación EcoStruxure Power Device o el software EcoStruxure Power Commission, se solicita al usuario que proporcione esta contraseña.

Cuando se realiza la conexión desde una interfaz de supervisión y control remota, la contraseña debe formar parte de la solicitud de comunicación.

La contraseña consta de 8 a 32 caracteres ASCII, con las siguientes restricciones:

• Solo se permiten caracteres ASCII [32-126]

• Al menos un carácter en mayúsculas

• Al menos un carácter en minúsculas

• No debe contener el nombre de usuario

• Debe ser diferente de la contraseña anterior

Las contraseñas predeterminadas deben cambiarse en la primera instalación del interruptor automático MasterPacT MTZ con una unidad de control MicroLogic Active y periódicamente tras la primera instalación, usando el software EcoStruxure Power Commission. Almacene las contraseñas usando un gestor de contraseñas. Comparta las contraseñas con un número limitado de usuarios de confianza. Siga las recomendaciones de la política de contraseñas cuando corresponda.

Contraseña para otros ajustes y controles críticos de MicroLogic

Al acceder a la unidad de control o disparo remoto MicroLogic mediante una interfaz de comunicación, cualquier comando intrusivo que modifique el comportamiento del interruptor automático MasterPacT, ComPacT y PowerPacT requerirá una contraseña. Por ejemplo, para realizar cambios en los ajustes de protección o para utilizar el interruptor automático, se necesita la contraseña de MicroLogic.

Se definen cuatro contraseñas para una unidad de control o disparo remoto MicroLogic, una para cada uno de los siguientes cuatro perfiles de usuario:

• Administrador

• Servicios

• Ingeniero

• Operador

Para obtener más información sobre los perfiles de usuario, consulte las guías del usuario de MicroLogic.

Cuando se realiza la conexión por medio de Aplicación EcoStruxure Power Device o el software EcoStruxure Power Commission, se solicita al usuario que proporcione una de estas contraseñas.

Cuando se realiza la conexión desde una interfaz de supervisión y control remota, la contraseña debe formar parte de la solicitud de comunicación.

La contraseña consta de cuatro caracteres ASCII. La contraseña distingue mayúsculas y minúsculas y los caracteres permitidos son:

• Dígitos del 0 al 9

• Letras minúsculas de la "a" a la "z"

• Letras mayúsculas de la "A" a la "Z"

Las contraseñas predeterminadas deben cambiarse en la primera instalación del interruptor automático MasterPacT, ComPacT y PowerPacT y periódicamente tras la primera instalación, usando el software EcoStruxure Power Commission. Almacene las contraseñas usando un gestor de contraseñas. Comparta las contraseñas con un número limitado de usuarios de confianza. Siga las recomendaciones de la política de contraseñas cuando corresponda.

Contraseña para acceso remoto a la unidad de control MicroLogic X mediante la interfaz IFE o EIFE, o el servidor IFE

En una IMU MasterPacT MTZ, el acceso a la unidad de control MicroLogic X se comprueba mediante un mecanismo de control de acceso basado en roles (RBAC) cuando se realiza la conexión con:

• EcoStruxure Power CommissionSoftware a través de Ethernet

• Páginas web de la interfaz IFE o del servidor IFE

• Páginas web de la interfaz EIFE

• Servidor FTPS para las interfaces IFE y EIFE, y el servidor IFE.

Para obtener más información sobre el mecanismo RBAC, consulte Contraseñas para páginas web de la interfaz IFE o EIFE y el servidor IFE o EIFE FTPS.

Contraseña para acceso remoto a las unidades de disparo ComPacT NSX mediante interfaz IFE o servidor IFE

En una IMU ComPacT NSX equipada con una unidad de control MicroLogic 5, 6 o 7, el acceso a la unidad de disparo remoto MicroLogic se comprueba mediante un mecanismo de control de acceso basado en funciones (RBAC) cuando la conexión se realiza a través de:

• Software EcoStruxure Power Commission a través de Ethernet

• Páginas web de la interfaz IFE o del servidor IFE

• Servidor FTPS para la interfaz IFE o el servidor IFE.

Para obtener más información sobre el mecanismo RBAC, consulte Contraseñas para páginas web de la interfaz IFE o EIFE y el servidor IFE o EIFE FTPS.

Contraseñas e ID de usuario para PC en red

Los PC en los que se ejecuta el software EcoStruxure Power Commission o que acceden a la unidad de control o disparo remoto MicroLogic utilizando cualquier otro medio (por ejemplo, páginas web de IFE o SCADA) deben solicitar a los usuarios un nombre de usuario y una contraseña. Debe asegurarse de que los usuarios definan contraseñas seguras y las cambien periódicamente. Además, debe ajustar un temporizador para bloquear la pantalla del PC automáticamente después de un periodo de tiempo de inactividad.

Una contraseña segura incluye letras mayúsculas y minúsculas, números y caracteres especiales, si es posible utilizarlos. Debe tener una longitud mínima de 10 caracteres.

Siga las recomendaciones de la política de contraseñas cuando corresponda.

Contraseñas para las páginas web de la interfaz IFE/EIFE o del servidor IFE (con versión de firmware 005.•••.•••) y servidor FTPS

El acceso a las páginas web de la interfaz IFE, las páginas web de la interfaz EIFE, las páginas web del servidor IFE, y el servidor FTPS para interfaces IFE y EIFE o servidor IFE lo comprueba el mecanismo de control de acceso basado en roles (RBAC).

Con RBAC, a los usuarios se les asigna un rol que define las funciones a las que pueden acceder.

El administrador de seguridad del sistema enumera los usuarios del sistema y asigna un rol a cada uno de ellos.

El administrador de seguridad puede administrar los usuarios de la interfaz IFE o EIFE, o el servidor IFE:

• En las páginas web de la interfaz IFE o EIFE, o del servidor IFE

• Con el software EcoStruxure Cybersecurity Admin Expert (CAE)

El administrador de seguridad puede utilizar el software CAE para definir la política de seguridad del sistema.

La política de seguridad se aplica a todos los elementos del sistema que son compatibles con el software CAE. Para sistemas de baja tensión, se aplica a las interfaces IFE y EIFE, y al servidor IFE en el sistema.

El administrador de seguridad puede definir los siguientes parámetros de la política de seguridad con el software CAE:

• Período mínimo de inactividad. Después de transcurrir este tiempo sin que el usuario realice ninguna acción, se bloquean las páginas web de la interfaz IFE o EIFE. El usuario deberá volver a introducir su contraseña para desbloquearlas.

• Número máximo de intentos de inicio de sesión

• Duración del período de bloqueo

Para obtener más información, consulte CAE_EN_UM_B4.1 EcoStruxure Cybersecurity Admin Expert User Guide.

Contraseñas de las páginas web del servidor IFE (con versión de firmware 003.•••.•••)

Para el servidor IFE con versión de firmware 003.•••.•••, cada usuario de las páginas web del servidor IFE tendrá un ID de usuario personal y una contraseña con los que iniciar sesión en las páginas web. Los usuarios deben cambiar su contraseña después de iniciar sesión en las páginas web por primera vez.

Debe definir qué usuarios de su organización deben iniciar sesión en las páginas web del servidor IFE y seguir las recomendaciones de la política de contraseñas cuando corresponda.