Cybersecurity Governance

ISO 27001 er den internationale standard, der beskriver bedste praksis for et Information Security Management System (ISMS).

Opnåelse af en akkrediteret certificering i henhold til ISO 27001 viser, at vores organisation følger bedste praksis inden for informationssikkerhed og giver en uafhængig ekspertbekræftelse af, at informationssikkerhed styres i overensstemmelse med international bedste praksis og forretningsmæssige mål.

Cybersecurity Governance for Siemens er ISO 27001 certificeret siden november 2017.

Vi er certificeret efter den nye standard ISO 27001:2022 siden november 2023.

• Download certifikat
• Få mere at vide om systemcertifikater

Vi brænder for at muliggøre en robust, datadrevet Cybersecurity gennem en robust arkitektur til beskyttelse af Siemens.

For at opnå dette implementerer vi vores Cybersecurity-strategi i projektet og bruger den nyoprettede Enterprise Architecture service til at kortlægge vores strategiske mål i en målarkitektur for at guide al Cybersecurity i deres implementeringsindsats.

Projektets hovedmål er: Effektivisering af ressourceudnyttelsen gennem automatiserings- og effektivitetsforanstaltninger, forbedring af synligheden og gennemsigtigheden af cybersikkerhedsrisici på tværs af Siemens og udnyttelse af datadrevet beslutningstagning til at styrke reaktiv og proaktiv risikobegrænsning.

Vores projektopsætning er struktureret i fem arbejdsstrømme:

• Koncept og processer:

  Vores mål er at beskrive og vedligeholde arkitekturprocessen inden for Siemens Cybersecurity og sikre, at den er integreret med vores strategi og portefølje. Og for at beskrive byggestenene i vores datadrevne cybersikkerhedsarkitektur, herunder kapaciteter, applikationer, input, output og afhængigheder.

• Governance:

  Vi sigter mod at definere, hvordan cybersikkerhedsdataene kan kombineres for at muliggøre automatisk identifikation og vurdering af cybersikkerhedsrisici, styrke beslutningstagningen med henblik på at afbøde dem og øge overholdelse af politikker.

• Situationsbevidsthed:

  Vores mål er at stå på forkant og være stemmen for EA-projektet, indsamle brugernes forventninger og levere holistisk risikoposition for at forbedre den daglige drift af slutbrugerne.

• Security Intelligence:

  Vi sigter mod at implementere et AI-understøttet og datadrevet beslutningspunkt, der giver automatisk Siemens cybersikkerhedsrisikoidentifikation og afbødning ved at styrke beslutningstagningen.

• Data:

  Workstream Data hjælper Cybersecurity med at vedtage en datadrevet tilgang ved at etablere gennemsigtighed i data, forhindre dataduplikering og give vejledning til teams om deres datastrategier.

Cybersecurity Policy Framework gælder for Siemens og dets tilknyttede virksomheder. Den indeholder navnlig de cybersikkerhedskrav, der er fastlagt i specifikke politikker, standarder og basislinjer.

Alle politikker er baseret på relevante industristandarder som ISO 2700x eller IEC 62443. For at sikre overholdelse af andre vigtige standarder styres henvisninger til dem også. Listen over relevante standarder omfatter f.eks. NIST 800-53, retningslinjerne for IKT og sikkerhedsrisikostyring fra EBA og andre.

Siemens produkter, løsninger og tjenester indeholder en betydelig mængde software og it-relaterede komponenter, som i mange tilfælde bruges i forbindelse med kritiske infrastrukturer og kan blive mere udsat for cybertrusler. Lovgivningsmæssige og kundespecifikke sikkerhedskrav er stigende og skal håndteres af Siemens.

For at forblive konkurrencedygtig og pålidelig blev PSS-initiativet for Siemens etableret for at hjælpe med at sikre, at de produkter, løsninger og tjenester, vi sælger, gør det muligt for vores kunder at drive deres faciliteter i et sikkert miljø.

Til dette formål er der indført bindende krav til PSS og anbefalinger til implementering. Kontinuerlig forbedring og kontinuerlig læring er grundlæggende forudsætninger for en vellykket realisering.

Det er af afgørende betydning at skabe fælles bevidsthed og forståelse blandt alle medarbejdere om grundlæggende aspekter af cybersikkerhed og give dedikeret specifik træning til cybersikkerhedsrelevante roller. For at imødekomme vores kunders forventninger til topmoderne produkter, løsninger og tjenester fra Siemens med hensyn til teknologi og sikkerhed og for at sikre evnen til at levere en sådan kvalitet ved løbende at øge bevidstheden om cybersikkerhed i vores virksomhed og gøre det muligt for vores medarbejdere at overveje cybersikkerhed i enhver aktivitet, trin og proces i hele værdikæden, har vi skabt flere aktiviteter. For eksempel:

• En obligatorisk global oplysningskampagne med det formål at give alle medarbejdere information om generelle og vigtige cybersikkerhedsemner. Disse træningssessioner er webbaserede, barrierefrie og flersprogede. Derudover har vi for en rollespecifik gruppe uddannelsen „Kørekort“. Denne uddannelse er obligatorisk og gør det muligt for den rollespecifikke gruppe at anvende alle Siemens IT/OT-sikkerhedsretningslinjer. Efter vellykket afslutning modtager deltagerne et certifikat, der er gyldigt i to år.
• Vi stiller også flere løbende opdaterede kurser og læringsmuligheder til rådighed for alle Siemens-medarbejdere. Disse kan tilgås på frivillig basis. Denne uddannelse er ikke kun til grundlæggende viden, men også for specifikke og specialiserede områder som Product and Solution Security.
• Vi mener, at kontinuerlig læring er en nøgle til succes, og derfor søger vi løbende nye måder at uddanne og opdatere vores medarbejdere på.

Hold altid overblik: For at hjælpe med at opnå dette leverer vi en intern cybersikkerhedsplatform kaldet 'CyberMart', som giver et helhedsbillede af cybersikkerhedsdata og -processer hos Siemens.

Det muliggør informerede og målrettede forretningsbeslutninger ved at give en

• platform til sikre applikationer, der behandler informationer, der er relevante for cybersikkerhed
• sikker datapulje til cybersikkerhedsrelevante data samt
• løbetid og statusrapportering om sikkerhedsprocesser (f.eks. beskyttelse af aktiver, undtagelseshåndtering).

En del af denne platform er et cybersecurity-dashboard, der giver en oversigt over cybersikkerhedsoperationsstatus samt strategiske datapunkter. Disse oplysninger danner grundlag for regelmæssig intern ledelsesrapportering til Siemens bestyrelse og Siemens bestyrelse.

Hovedmålet med Cybersecurity Risk Management, som er en del af Siemens Enterprise Risk Management (ERM), er at gøre det muligt for Siemens at opnå gennemsigtighed med hensyn til sine cybersikkerhedsrisici og håndtere disse tilstrækkeligt til et acceptabelt niveau.
Siemens Cybersecurity Risk Management-rammen er baseret på internationale standarder (ISO/IEC 27005 og ISF IRAM2), der tager højde for alle niveauer, fra operationelle til virksomheder, og også ved hjælp af etablerede ERM-processer og roller.
De cybersikkerhedsrisici, der rapporteres og styres op til ERM-niveau, identificeres inden for følgende processer og administreres inden for de respektive værktøjer:

• Overordnet cybersikkerhedsrisikostyringsproces
• Proces for klassificering og beskyttelse af aktiver for it- og dokumenter og informationsaktiver
• Trussels- og risikoanalyse af produkter, løsninger og tjenester
• Undtagelseshåndteringsproces for midlertidige afvigelser fra Siemens cybersikkerhedsramme
• Risikostyring af cybersikkerhedsleverandører

Risikostyring af cybersikkerhedsleverandører:

Cybersikkerhedsrisici skal styres langs hele forsyningskæden. Siemens betragter dette emne holistisk, herunder IT, OT og PSS til indkøb af horisontale og vertikale komponenter, produkter og tjenester. Af denne grund omfatter de vigtigste aktiviteter til forbedring af cybersikkerhedsniveauet langs forsyningskæden:

• Gennemsigtighed med hensyn til cybersikkerhedsrisikoeksponeringen langs forsyningskæden
• Systematisk risikostyringspraksis understøttet af tredjeparts leverandørvurderingsmetoder, respektive værktøjer og skabeloner til kontraktlige cybersikkerhedskrav til leverandører
• Aktiv deltagelse inden for chartret om tillid, der driver det andet princip: „Ansvar gennem hele den digitale forsyningskæde“ samt forskellige ekspertgrupper
• Regelmæssige kurser og oplysningskampagner for forskellige målgrupper og brugssager

Hvad er en Information Security Incident?

En informationssikkerhedshændelse defineres som: Direkte eller indirekte kompromittering af fortrolighed, integritet og/eller tilgængelighed af oplysninger i henhold til dens klassificering (baseret på ISO27001 og NIST 800-61 rev2) .Eksempler på hændelser omfatter, men er ikke begrænset til:

1. Vellykkede forsøg på at få uautoriseret adgang til et system eller dets data
2. Afbrydelse eller lammelsesangreb
3. Uautoriseret brug af et system til behandling eller opbevaring af data
4. Ændringer af systemhardware, firmware eller softwareegenskaber uden ejerens viden, instruktion eller samtykke

Hændelsesrespons

Vi udfører dybdegående analyser af Cyber Security-hændelser. For at opnå dette samarbejder vi med forretningsansvarlige, interne og eksterne hændelsesreportere og interessenter for at koordinere reaktionsaktiviteter og sikre korrekt indeslutning og igangsættelse af afhjælpningsopgaver. Desuden yder vi Incident Project manager, der understøtter organisatoriske og kommunikationsaspekter af alvorlige og komplekse hændelser.

Hændelseshåndteringsproces

• Detektere

  Kompromis med fortrolighed, integritet og/eller tilgængelighed af oplysninger.

• Svar

  Analyser angreb og indlede modforanstaltninger.

• Afhjælpe

  Indeholder: Begræns ondsindet aktivitet, Afbød: Forhindre yderligere skader, Reparer: Løs og forhindre gentagelse

• Gendanne

  Gendan integriteten af berørte systemer til en ikke-forringet driftstilstand.

Sikkerhedstrusler tvinger industrien til at gribe ind.

Angreb fra cyberkriminelle, der kan manipulere hele værdikæder, resulterer ofte ikke kun i produktionsafbrydelser, men også i betydelig skade på dit image. For at beskytte din operationelle teknologi (OT) på den bedst mulige måde er det nødvendigt at få gennemsigtighed omkring risikoeksponeringen af dine aktiver. Dette gør det muligt at identificere og eliminere cybersikkerhedstrusler, før de forårsager betydelig skade. Vi leverer mere cybersikkerhed til dine produktionsprocesser. Vores holistiske tilgang er designet til at identificere proceduremæssige sikkerhedshuller og tekniske sårbarheder, før de udnyttes af dårlige aktører.

Mere information

AI tjener en afgørende funktion i Siemens' cybersikkerhedsbestræbelser. Det identificerer og modvirker sikkerhedstrusler dynamisk ved at opdage uregelmæssigheder i vores netværk og systemer. Denne øjeblikkelige handling mod sikkerhedsbrud hjælper med at begrænse potentiel skade.

Desuden øger AI effektiviteten af vores cybersikkerhedsprocedurer ved at automatisere verdslige opgaver. Denne automatisering gør det muligt for vores sikkerhedsteam at koncentrere sig om mere indviklede og presserende problemer. Derudover indfører AI tilpassede sikkerhedsprotokoller baseret på brugeradfærdsanalyse, hvilket fremmer en præcis sikkerhedsstrategi for hver division inden for Siemens.

På trods af fordelene er det vigtigt at bemærke, at AI også kan være et værktøj for cyberangribere, hvilket øger kompleksiteten af deres ondsindede handlinger. Disse angribere kan udnytte AI til at automatisere deres angreb, undgå konventionelle sikkerhedssystemer eller endda simulere menneskelig adfærd for at undslippe detektion.

Ikke desto mindre er Siemens godt forberedt på dette indviklede scenarie. Vi har etableret strenge sikkerhedsprotokoller for at sikre en sikker og ansvarlig anvendelse af AI. Vores fremadrettede tilgang hjælper med at opretholde integriteten af vores systemer og beskytte os mod potentielle risici, hvilket giver os mulighed for at udnytte fordelene ved AI i vores cybersikkerhedsoperationer.

De fordele, Siemens får af AI, opvejer i høj grad risiciene. Gennem omhyggelig implementering og løbende overvågning minimerer vi disse risici og forstærker fordelene ved AI. Derfor fremstår AI som et uvurderligt instrument, der væsentligt forbedrer vores evne til at afværge sikkerhedstrusler.