Centro de Seguridad Robustel

Soluciones IoT seguras desde su diseño, creadas en torno al cumplimiento de las normas globales de ciberseguridad.

Los dispositivos conectados se enfrentan naturalmente a retos de ciberseguridad que requieren medidas de protección sólidas. En Robustel, la seguridad se integra en el hardware, el firmware y los servicios en la nube, desde el diseño hasta las operaciones. Este Centro de Seguridad describe nuestras normas, pruebas y prácticas de actualización: desarrollo seguro desde el diseño, comunicaciones cifradas, autenticación sólida, configuraciones reforzadas y gestión de flotas a través de RCMS. Nuestro programa se ajusta a las normas CRA, NIS2, ISO/IEC 27001 e IEC 62443. Realizamos pruebas de seguridad continuas, llevamos a cabo un proceso coordinado de divulgación de vulnerabilidades y ofrecemos actualizaciones oportunas de firmware y software. El resultado es una garantía de nivel empresarial en la que puede confiar a gran escala. Explore los recursos, el estado actual de la certificación y los canales de notificación a continuación.

Vídeo «Quick Pitch» sobre ciberseguridad de Robustel

  • El proceso de desarrollo seguro certificado (IEC 62443-4-1) rige la forma en que diseñamos, fabricamos y probamos los productos.
  • Las pruebas de penetración independientes periódicas cubren RobustOS, RobustOS Pro y RCMS; los resúmenes ejecutivos están disponibles bajo acuerdo de confidencialidad.
  • RCMS se ejecuta en Microsoft Azure con controles documentados para la identidad, la protección de datos y las operaciones; hay un paquete de pruebas disponible bajo petición.
  • Aprobado para los sectores donde es importante, por ejemplo, con la certificación IEC 61162-460 para redes de puentes marítimos.
  • Gestión clara de vulnerabilidades: recepción y evaluación CVSS, correcciones, avisos públicos (con CVE cuando corresponda) y una cadencia de actualizaciones predecible.

En resumen, Robustel es un proveedor que puede auditar, una plataforma en la que puede confiar y la herramienta adecuada para sus equipos de riesgo y cumplimiento normativo.

Jugar
CUMPLIMIENTO DE LA NORMATIVA EN MATERIA DE CIBERSEGURIDAD

Normas de seguridad globales con las que Robustel se alinea:

ISO/IEC 27001

Sistema de gestión de la seguridad de la información (SGSI)

Marco basado en el riesgo para gestionar la seguridad de la información entre las personas, los procesos y la tecnología.

IEC 62443-4-1

Requisitos seguros para el ciclo de vida del desarrollo de productos

Procesos para el diseño, la implementación, las pruebas, el lanzamiento y el mantenimiento seguros de productos industriales.

CRA de la UE

Ley de Resiliencia Cibernética

Seguridad desde el diseño, gestión de vulnerabilidades y obligaciones de actualización del ciclo de vida para productos con elementos digitales.

NIS2

Directiva sobre seguridad de las redes y la información 2

Mayores expectativas en materia de ciberseguridad y cadena de suministro para entidades esenciales/importantes; apoyo de los proveedores para la gestión de riesgos.

EN 18031

Requisitos comunes de seguridad para equipos de radio (Partes 1-3)

Normas de ciberseguridad de RED que abarcan los dispositivos conectados a Internet, la privacidad y el fraude. 

EUCC

Sistema de certificación de ciberseguridad de la UE (basado en criterios comunes)

Certificación de la UE derivada de los Criterios Comunes con niveles de garantía definidos.

PSTI del Reino Unido

Ley de Seguridad de Productos e Infraestructura de Telecomunicaciones

Protecciones básicas para el IoT de consumo (credenciales únicas, transparencia de la política de actualización, notificación), conforme a la norma ETSI EN 303 645.

IEC 61162-460

Navegación marítima y radiocomunicación — Interconexión (seguridad y protección)

Redes a bordo seguras y de alta integridad (por ejemplo, puente/VDR) con medidas y pruebas de seguridad definidas.

IACS UR E26/E27

Resiliencia cibernética de los buques y
sistemas de a bordo (requisitos unificados)

Normas de clasificación para la ciberresiliencia de los buques (E26) y los sistemas y equipos a bordo (E27); respalda la homologación de tipo.

Notificación y respuesta ante vulnerabilidades

Política de divulgación de vulnerabilidades (VDP)

Robustel se compromete con la seguridad y la resiliencia de nuestros productos y servicios. Nuestra Política de divulgación de vulnerabilidades (VDP) invita a investigadores, clientes y socios a informar de forma responsable sobre cualquier problema para que podamos mitigar el riesgo rápidamente. La política que se detalla a continuación explica cómo informar de una posible vulnerabilidad y cómo respondemos.

Ámbito de aplicación

Este VDP cubre todos los productos, firmware y servicios Robustel lanzados oficialmente, así como las aplicaciones web alojadas en nuestros dominios oficiales. No cubre los servicios de terceros que están fuera de nuestro control, los intentos de ingeniería social contra nuestro personal, socios o clientes, ni los ataques físicos a la propiedad o las instalaciones.

Notificar una vulnerabilidad

Si descubre un posible problema de seguridad, utilice nuestro formulario de informe de seguridad. Incluya el nombre y la versión del producto o servicio, una descripción clara del problema y, si es posible, una prueba de concepto o los pasos para reproducirlo. Evite compartir datos reales de clientes; es preferible enviar registros y capturas de pantalla editados.

Nuestros compromisos

Acusaremos recibo de su informe en un plazo de 7 días naturales y nuestro equipo de seguridad investigará y validará el problema. En el caso de vulnerabilidades críticas confirmadas, nuestro objetivo es solucionarlas o mitigarlas en un plazo de 90 días, o proporcionar medidas de protección provisionales cuando la solución completa requiera más tiempo. Le mantendremos informado del estado siempre que sea posible y, con su consentimiento, le daremos crédito en el aviso público cuando se divulgue el problema.

Informar sobre una vulnerabilidad

Proceso de respuesta ante vulnerabilidades de Robustel

PASO 1
Informe

Envíe las vulnerabilidades por correo electrónico o mediante el formulario. Le confirmaremos la recepción en un plazo de 7 días y le asignaremos un ID.
Paso 2
Validación y evaluación
Describe brevemente el evento cronológico proporcionando a tu audiencia todos los detalles que necesitan saber al respecto.
Paso 3
Solución y mitigación
Desarrollar parches o directrices de configuración. Problemas críticos resueltos o mitigados en un plazo de 90 días.
Paso 4
Asesoramiento y actualización
Publica avisos con identificadores CVE, descargas de parches e información sobre validación de hash.
paso 5
Seguimiento y asistencia
Mantener actualizados los avisos, proporcionar asistencia técnica y orientación para la instalación.
Paso 6
Colaboración y compromiso
Agradezca a los investigadores, proteja la divulgación responsable, garantice la transparencia y el cumplimiento de la CRA.
Ver informes de vulnerabilidad

Cómo realizamos las pruebas para que puedas implementar con confianza:

La seguridad en el perímetro es demasiado importante como para dejarla al azar. En esta sección se muestra, paso a paso, cómo Robustel prueba los productos antes de que lleguen a su red, convirtiendo los requisitos y los modelos de amenazas en pruebas reales, validando las correcciones y demostrando los resultados con pruebas de penetración independientes y avisos claros. El resultado para usted: menos sorpresas sobre el terreno, aprobaciones más rápidas con TI y cumplimiento normativo, y una plataforma en la que puede confiar a gran escala.

1. Pruebas de requisitos de seguridad

Antes de cualquier lanzamiento, verificamos que la seguridad esté diseñada, implementada y sea estable bajo una carga de trabajo real. Los equipos prueban las funciones de seguridad básicas, el rendimiento y la escala, las condiciones límite, las entradas malformadas y los límites de confianza para que los controles funcionen bajo estrés, no solo en un laboratorio.

2. Validación del modelo de amenazas

Convertimos el modelo de amenazas en acción. Para cada amenaza identificada, probamos que la mitigación funciona según lo previsto y, a continuación, intentamos derrotarla con las mismas técnicas que utilizaría un atacante.

3. Detección de vulnerabilidades

Buscamos puntos débiles como lo hacen los atacantes. El fuzzing automatizado y manual, el abuso de protocolos y los escenarios de alta carga examinan todas las interfaces externas, mientras que una revisión de la superficie de ataque detecta ACL débiles, puertos expuestos y servicios que se ejecutan con privilegios innecesarios.

4. Pruebas de penetración independientes

Un equipo externo realiza pruebas de caja negra de forma periódica y en los hitos del proyecto, lo que permite disponer de tiempo para corregir y volver a realizar las pruebas. Los resultados se priorizan, mitigan y verifican antes de su publicación generalizada.

5. Emisión de documentación y evaluación

Cada incidencia confirmada se registra con la hora, la ubicación, el alcance y los pasos para reproducirla de forma fiable. Analizamos la causa raíz y el impacto para los usuarios, asignamos un nivel de gravedad y priorizamos la solución para que se aborden primero los riesgos más importantes.

6. Remediación y verificación

Las correcciones se realizan siguiendo un plan y un calendario. Los cambios en el código se someten a una revisión de seguridad, el departamento de control de calidad valida su eficacia y volvemos a ejecutar las pruebas de seguridad pertinentes para garantizar que el problema se ha resuelto sin introducir otros nuevos.

7. Liberación y divulgación responsable

Elegimos la vía de lanzamiento adecuada: normal, provisional o de emergencia. Se actualizan las notas de seguridad y las directrices de implementación y, cuando procede, publicamos avisos con medidas de mitigación y plazos. La supervisión posterior al lanzamiento confirma la estabilidad en el campo.

8. Mejora continua (
)

Aprendemos de los patrones. Las tendencias en los hallazgos dan forma a los requisitos futuros, los métodos de prueba y la formación. Los modelos de amenazas se actualizan a medida que evolucionan las características, de modo que el diseño de seguridad se mantiene alineado con el producto.

Noticias de seguridad de Robustel

  • Robustel amplía el cumplimiento de la normativa de ciberseguridad RED a toda su gama de routers centrales

    Robustel amplía el cumplimiento de la normativa de ciberseguridad RED a toda su gama de routers centrales

     Más información: Robustel amplía el cumplimiento de la normativa RED sobre ciberseguridad a toda su gama de routers centrales.

  • Robustel logra una mejora significativa en su postura de seguridad tras realizar pruebas de penetración

     Más información: Robustel logra una mejora significativa en su postura de seguridad tras realizar pruebas de penetración.