Fundación Naturgy / FPE. Vol.2 Digitalización de redes eléctricas

Vol. 2 . Digitalización de redes eléctricas. Formación para un futuro descarbonizado. “Formación profesional para la empleabilidad”. • 115 01. Contraseñas débiles, adivinables o codificadas de forma rígida: Uso de credenciales disponibles al público o que no se pueden cambiar, incluidas las puertas traseras en firmware o software de cliente que otorgan acceso no autorizado a los sistemas implementados. 02. Servicios de red inseguros: Servicios de red innecesarios o inseguros que se ejecutan en el propio dispositivo, especialmente aquellos expuestos a Internet, que comprometen la confidencialidad, integridad / autenticidad o disponibilidad de información o permiten el control remoto no autorizado. 03. Interfaces inseguras del ecosistema: Interfaces inseguras web, API de back-end , en la nube o móviles en el ecosistema fuera del dispositivo que permite comprometer el dispositivo o sus componentes relacionados. Los problemas comunes incluyen la falta de autenticación / autorización, la falta de cifrado o la debilidad, y la falta de filtrado de entrada y salida. 04. Falta de mecanismo de actualización segura: Falta de capacidad para actualizar de forma segura el dispositivo. Esto incluye la falta de validación de firmware en el dispositivo, la falta de entrega segura (sin cifrar en tránsito), la falta de mecanismos antirretroceso y la falta de notificaciones de cambios de seguridad debido a actualizaciones. 05. Uso de componentes inseguros u obsoletos: Uso de componentes / bibliotecas de software obsoletos o inseguros que podrían permitir que el dispositivo se vea comprometido. Esto incluye la personalización insegura de las plataformas del sistema operativo y el uso de componentes de software o hardware de terceros de una cadena de suministro comprometida. 06. Protección de privacidad insuficiente: La información personal del usuario almacenada en el dispositivo o en el ecosistema que se utiliza de forma insegura, inadecuada o sin permiso. 07. Transferencia y almacenamiento de datos inseguros: Falta de encriptación o control de acceso de datos confidenciales en cualquier parte del ecosistema, incluso en reposo, en tránsito o durante el procesamiento. 08. Falta de administración de dispositivos: Falta de soporte de seguridad en dispositivos implementados en producción, incluida la administración de activos, administración de actualizaciones, desmantelamiento seguro, monitoreo de sistemas y capacidades de respuesta. 09. Configuración predeterminada insegura: Los dispositivos o sistemas enviados con configuración predeterminada insegura o carecen de la capacidad de hacer que el sistema sea más seguro al restringir a los operadores la modificación de las configuraciones. 10. Falta de protección f ísica: Falta de medidas de endurecimiento físico, lo que permite a los atacantes potenciales obtener información confidencial que puede ayudar en un futuro ataque remoto o tomar el control local del dispositivo. 0