FAQ | Murrelektronik

Proceso

En resumen, aún no hemos llegado a ese punto, pero estamos invirtiendo muchos recursos para lograr la conformidad con la norma IEC 62443-4-1. Los esfuerzos actuales se centran en ampliar y complementar los procesos que ya se utilizan para garantizar la calidad de nuestros productos, de modo que también cumplan los requisitos específicos de la norma IEC 62443-4-1.

Actualmente nos centramos en cumplir los requisitos de las siguientes leyes, normas y estándares:

CRA (Cyber Resilience Act)
IEC 62443
IEC 29147
IEC 30111
IEC 27036
Ley de contraseñas de California (2020 California Senat Bill SB-327)

Murrelektronik ha establecido procesos que cubren de forma proactiva todos los aspectos de las tareas que realizamos. Los proyectos utilizan estos procesos estándar y los adaptan según sea necesario, lo que corresponde al nivel 3 («definido») según CMMI.

Sí. El proceso de desarrollo de productos para todos los productos nuevos desarrollados en 2024 o posteriormente incluye la consideración de aspectos de ciberseguridad mediante el desarrollo de modelos de amenazas adecuados.

Sí. La prueba y validación de seguridad es un componente estándar de las exhaustivas pruebas y validaciones que realizamos para nuestros productos desarrollados en 2024 o posteriormente.

Sí. Hemos establecido estándares de codificación que se actualizan continuamente para tener en cuenta los últimos requisitos, incluidos los derivados de consideraciones de ciberseguridad.

Sí. Al desarrollar nuevos productos, los requisitos de seguridad se establecen ya en la fase de diseño.

Estamos implementando los requisitos de la norma IEC 62443-4-1 (SM-9 y SM-10) y los requisitos de la norma IEC 27036. Actualmente nos estamos centrando en definir los procesos y adquirir las herramientas necesarias para llevar a cabo esta tarea.

Productos

Hay varios pasos que recomendamos seguir. No es posible dar una respuesta breve y concisa que abarque todas las situaciones y todos los productos. Las fuentes más importantes que deben consultarse son:

El capítulo sobre ciberseguridad de la documentación del producto, ahora estándar en los productos más recientes
Las directrices generales de ciberseguridad que se incluyen en los siguientes documentos:

Directrices Generales de Ciberseguridad

Esta información se encuentra en el capítulo sobre ciberseguridad de la documentación del producto correspondiente, que forma parte de la documentación estándar de los nuevos productos desarrollados a partir de 2024.

Esta información se encuentra en el capítulo sobre ciberseguridad de la documentación del producto correspondiente, que forma parte de serie de la documentación de los nuevos productos desarrollados a partir de 2024.

PSIRT

La forma más directa de ponerse en contacto con Murrelektronik PSIRT es a través de la dirección de correo electrónico: psirt@murrelektronik.de

Nuestro proceso de gestión de vulnerabilidades se inicia cuando se notifica una vulnerabilidad, ya sea por una fuente externa o mediante la supervisión interna continua realizada por agentes internos (I+D, pruebas, etc.) o por proveedores de servicios de pruebas externos en nombre de Murrelektronik.

Se toma nota de la notificación y se realiza una primera evaluación. PSIRT es el coordinador de este proceso tanto a nivel externo como interno y mantiene la comunicación con todas las partes implicadas.

Una vez verificada y analizada la vulnerabilidad, PSIRT coordina con todas las partes implicadas para desarrollar medidas correctivas.

Encontrará una descripción más detallada en nuestro documento «Proceso de gestión de vulnerabilidades».

Puede suscribirse a las actualizaciones de CERT@VDE, donde publicamos todas nuestras alertas, aquí.

Los avisos que publicamos suelen contener la mayoría o todos los siguientes elementos:

ID del aviso
Fecha y hora de la primera publicación, así como un historial de cambios si el aviso se ha actualizado.
Título: contiene suficiente información (por ejemplo, sobre el producto afectado) para que el lector pueda decidir rápidamente si el aviso es relevante.
Descripción general: breve descripción general de la vulnerabilidad.
Productos afectados: incluye el nombre del producto o productos, la versión o versiones de hardware y firmware afectadas y, si procede, un método seguro para comprobar la presencia de la vulnerabilidad.
Descripción: contiene los detalles suficientes para que los usuarios puedan evaluar los riesgos, sin facilitar ni hacer más probable el aprovechamiento de la vulnerabilidad. La clase y la puntuación CVSS pueden incluirse en la descripción.
Impacto: indicación de las posibles consecuencias si se ataca la vulnerabilidad detectada y los escenarios de ataque que permite.
Grado de gravedad: clasificación de la vulnerabilidad según el Sistema Común de Puntuación de Vulnerabilidades (CVSS).
Medidas correctivas: pasos que pueden dar los usuarios para reducir o impedir el aprovechamiento de la vulnerabilidad (soluciones alternativas) y pasos necesarios para eliminar la vulnerabilidad (por ejemplo, mediante la instalación de parches o actualizaciones de software).
Referencias a información relacionada, como avisos relacionados o CVE (Common Vulnerabilities and Exposures).
Si procede, confirmación de las personas que han notificado la vulnerabilidad.
Información de contacto de Murrelektronik PSIRT
Condiciones de uso: condiciones para la copia y la redistribución.

Los avisos de seguridad publicados por Murrelektronik pueden consultarse a través de varios canales:

Sitio web: en nuestro sitio web PSIRT encontrará una lista con los avisos más recientes y activos. También incluye un enlace al archivo de todos los avisos publicados.
CERT@VDE: Publicamos nuestras advertencias en la base de datos de CERT@VDE.

Sí. Publicamos nuestras advertencias de seguridad en formato CSAF. Al descargar las advertencias de seguridad, puede elegir entre un archivo PDF legible por personas y un archivo CSAF legible por máquinas.

La última versión de firmware o software del producto que utiliza siempre se encuentra en la sección «Descargas» de ese producto en nuestra tienda online.

Los avisos de seguridad publicados también contienen todos los enlaces e instrucciones que necesita para instalar actualizaciones o parches relevantes para la seguridad.

Proceso

¿Los procesos de desarrollo de Murrelektronik cumplen con la norma IEC 62443-4-1?

¿Qué normas de ciberseguridad cumple o pretende cumplir Murrelektronik?

¿Qué nivel de madurez de procesos alcanza Murrelektronik según la Integración de Modelos de Madurez de Capacidades (CMMI)?

¿Diseñan modelos de amenazas durante el desarrollo de nuevos productos? ¿Están disponibles para su revisión?

Al desarrollar nuevos productos, ¿crean un concepto de defensa en profundidad?

¿Se someten los componentes y las aplicaciones a una validación y prueba de seguridad?

¿Existen estándares de codificación seguros en Murrelektronik?

¿Están definidos y documentados los requisitos de ciberseguridad?

¿Cómo gestiona Murrelektronik los componentes de terceros y de código abierto utilizados en sus productos?

Productos

¿Cuáles son las directrices para maximizar la seguridad de los productos Murrelektronik en mi aplicación?

¿Qué nivel de seguridad (SL) cumple el producto que adquiero de Murrelektronik?

¿Qué características de seguridad se han implementado en el producto ME específico que utilizo o tengo intención de utilizar?

PSIRT

¿Cómo puedo ponerme en contacto con el equipo de respuesta a incidentes de seguridad de productos de Murrelektronik?

¿Qué ocurre cuando se descubre una vulnerabilidad en un producto de Murrelektronik?

¿Cómo puedo recibir una notificación automática cuando Murrelektronik publique una nueva guía?

¿Qué información puedo esperar encontrar en un aviso de seguridad publicado?

¿Dónde puedo encontrar una lista de avisos de seguridad actuales y anteriores relacionados con Murrelektronik?

¿Se publican las advertencias de seguridad de Murrelektronik en formato CSAF?

¿Dónde puedo obtener actualizaciones de seguridad para mi Murrelektronik?