La protección industrial (Industrial Security) comienza con el desarrollo de los productos. Para garantizar la seguridad y protección de nuestras soluciones de productos, en Pilz insistimos en un ciclo de vida holístico del producto que incluya de manera verificable el aspecto de la protección en nuestra empresa. Estamos a su servicio: desde el equipo PSIRT, que vela por la gestión continua de la protección, hasta Security Advisories y procesos seguros para el ciclo de vida de los productos.
La protección (Security) es un "moving target", es decir, un objetivo que va cambiando a lo largo del ciclo de vida de un producto. Los atacantes desarrollan métodos cada vez más eficaces para superar las medidas defensivas. Continuamente se descubren nuevas vulnerabilidades en los productos que abren posibles vías de ataque. Otras veces, el nivel de amenaza cambia, p. ej., debido a un software nuevo.
Por todo ello es necesario revisar periódicamente las contramedidas para hacer frente a ciberamenazas y manipulaciones. La responsabilidad en este sentido recae en primera línea sobre los operadores de instalaciones. Los fabricantes de máquinas y de componentes han de mantener informadas a las empresas usuarias sobre cualquier nuevo problema de seguridad. Deben ofrecerse las actualizaciones necesarias del software de sus equipos para que los clientes pueden subsanar las posibles vulnerabilidades. Si en el proceso participan también integradores de sistemas, actuarán como intermediarios entre fabricantes y empresas usuarias. Es importante que todos los implicados colaboren estrechamente a lo largo del ciclo de vida completo de los productos.
Pilz es experto en seguridad. Para nosotros es importante que nuestros productos no solo ofrezcan seguridad, sino también protección. Por este motivo hemos encargado al TÜV SÜD un examen a fondo de nuestros procesos de desarrollo sobre la base de la norma IEC 62443-4-1. En ella se define un desarrollo seguro de productos, el proceso "Security Development Lifecycle" (proceso SDL). Este enfoque considera las posibles características de protección desde que se proyecta un producto nuevo. La finalidad es asegurar que todos los riesgos de protección de un producto se puedan detectar con ayuda de un modelo de amenazas y subsanar durante el proceso de desarrollo del propio producto.
Resultado de la auditoría: el desarrollo de Pilz ha cumplido los requisitos de la norma y satisface los criterios del proceso SDL. Ahora podemos afirmar con total certeza: los desarrollos de Pilz ofrecen tanto seguridad como protección.
Según el TÜV SÜD, Pilz se toma muy en serio el desarrollo de productos seguros de acuerdo con la norma IEC 62443-4-1 y crea una base sólida para posteriores certificaciones de productos.
Además de hardware, Pilz fabrica también soluciones de software. Las brechas de seguridad en el software son prácticamente inevitables. Por ello, es importante informar a tiempo a usuarios y administradores sobre estas lagunas a fin de que puedan implementar las contramedidas pertinentes y así evitar fallos. Nuestros productos y servicios deben satisfacer requisitos de calidad máximos. Tanto es así que Pilz considera el tema de la protección ya durante la fase de desarrollo de sus productos. Con todo, no es posible evitar completamente brechas de seguridad del software. Nos tomamos muy en serio avisos sobre posibles vulnerabilidades a efectos de Incident Management (gestión de incidentes). Es importante informar a tiempo a usuarios y administradores sobre estas brechas a fin de que puedan implementar las contramedidas pertinentes y así evitar fallos y perjuicios. Es el único modo de seguir manteniendo el elevado nivel de calidad de nuestros productos. Para un funcionamiento eficaz es importante implantar en la empresa una gestión adecuada que incluya un equipo de respuesta ante incidentes de seguridad de productos (PSIRT, por sus siglas en inglés). El equipo PSIRT de Pilz ofrece recomendaciones de actuación en forma de Security Advisories con cuya ayuda es posible eliminar las deficiencias o vulnerabilidades detectadas.
Un Security-Advisory se encarga de informar sobre las posibles brechas de seguridad en nuestros productos y se compone generalmente de:
*El CVSS (Common Vulnerability Scoring System) es un procedimiento estándar reconocido internacionalmente para evaluar la criticidad de una vulnerabilidad o deficiencia. Actualmente se está utilizando el CVSS versión 3.0. El CVSSv3 define una puntuación (Score) de 0 a 10. 0 Representa la criticidad más baja y 10 la más alta.
Aquí encontrará los Security Advisories actuales.
¿Qué hace el Pilz PSIRT?
Los expertos en Security del PSIRT de Pilz analizan, evalúan y procesan posibles deficiencias de seguridad y casos protección (Security) relacionados con productos y soluciones de Pilz. En caso de confirmarse una deficiencia, el PSIRT de Pilz publica Security Advisories con indicaciones relativas a la solución de la deficiencia.
Queremos animar a expertos en seguridad, investigadores independientes, clientes y otros actores a notificarnos cualquier problema con la seguridad de nuestros productos y soluciones. Solo así podremos discutir y acordar conjuntamente las actividades futuras y mejorar la protección (Security) de nuestros productos y soluciones. A fin de no comprometer a nuestros clientes y terceros, rogamos coordinar la publicación de las deficiencias haciendo partícipe a nuestro PSIRT.
Cómo contactar con el PSIRT de Pilz:
Los especialistas en protección del PSIRT de Pilz procesan y evalúan todos los avisos sobre posibles brechas de seguridad en los productos Pilz. Para preguntas sobre protección (Security) relativas a nuestros productos o nuestra infraestructura o si desea notificar brechas de seguridad, rogamos contactar con nuestros expertos en protección del PSIRT. Las notificaciones al PSIRT deberán realizarse en alemán o inglés. En un plazo de dos días hábiles (CET) se obtendrá en general una primera respuesta.
Rogamos notificar cualquier problema de Protección (Security) de nuestros productos, soluciones y servicios online a:
Incluir en el mensaje la información siguiente:
1. Analizar: nuestro PSIRT examina la deficiencia notificada y solicitará información adicional al autor en caso necesario. Tenga en cuenta que el análisis puede durar desde unos días hasta semanas, según la complejidad de la deficiencia. En cualquier caso, el informador recibirá la primera respuesta en un plazo máximo de 15 días hábiles.
2. Definir medidas: dependiendo de la gravedad de la deficiencia y de otras condiciones marco, se elaborarán las actualizaciones pertinentes. Si la deficiencia es grave, Pilz elaborará un Security Advisory. El remitente será informado periódicamente sobre el estado del proceso.
3. Publicar: el Security Advisory completado y los eventuales parches se publicarán en este sitio y pueden ser descargados por nuestros clientes. Para la descarga deberá iniciar sesión con su nombre de usuario. Si no dispone todavía de perfil, puede registrarse aquí gratuitamente. Dependiendo de la gravedad de la deficiencia, es posible que los parches correspondientes se publiquen solo junto con los release periódicos específicos del producto.
Pilz de México S. de R.L. de C.V.
Convento de Actopan 36, Jardines de Santa Mónica
Tlalnepantla, Edo de Méx. 54050
Mexico
Teléfono: +52 55 5572 1300
Correo-e: info@pilz.com.mx
Teléfono: 01 (800) 000-PILZ
Correo-e: techsupport-mx@pilz.com
