Cybersecurity Governance

La ISO 27001 es la norma internacional que describe las mejores prácticas para un sistema de gestión de la seguridad de la información (ISMS).

Obtener una certificación acreditada según la ISO 27001 demuestra que nuestra organización sigue las mejores prácticas de seguridad de la información y proporciona un experto independiente que verifica que la seguridad de la información se gestiona de acuerdo con las mejores prácticas internacionales y los objetivos empresariales.

Cybersecurity Governance de Siemens cuenta con la certificación ISO 27001 desde noviembre de 2017.

Estamos certificados según la nueva norma ISO 27001:2022 desde noviembre de 2023.

• Descargar el certificado
• Más información sobre los certificados del sistema

Nos apasiona permitir una Ciberseguridad resiliente e impulsada por los datos a través de una arquitectura sólida que proteja a Siemens.

Para ello, estamos implementando nuestra estrategia de Ciberseguridad en el proyecto y utilizamos el recién creado servicio de Arquitectura Empresarial para mapear nuestros objetivos estratégicos en una arquitectura objetivo que guíe toda la ciberseguridad en su esfuerzo de implementación.

Los principales objetivos del proyecto son: racionalizar la utilización de los recursos mediante medidas de automatización y eficiencia, mejorar la visibilidad y la transparencia de los riesgos de ciberseguridad en Siemens y aprovechar la toma de decisiones basada en los datos para reforzar la mitigación de riesgos reactiva y proactiva.

La configuración de nuestro proyecto se estructura en cinco flujos de trabajo:

• Concepto y procesos:

  Nuestro objetivo es describir y mantener el proceso de arquitectura de Siemens Cybersecurity, asegurándonos de que se integra con nuestra estrategia y cartera. Y para describir los componentes básicos de nuestra arquitectura de ciberseguridad basada en datos, incluidas las capacidades, las aplicaciones, las entradas, las salidas y las dependencias.

• Governance:

  Nuestro objetivo es definir cómo se pueden combinar los datos de ciberseguridad para permitir la identificación y la evaluación automáticas de los riesgos de ciberseguridad, facilitar la toma de decisiones para su mitigación y aumentar el cumplimiento de las políticas.

• Conciencia situacional:

  Nuestro objetivo es estar a la vanguardia y ser la voz del proyecto de EA, cumplir con las expectativas de los usuarios y ofrecer una postura de riesgo integral para mejorar el funcionamiento diario de los usuarios finales.

• Inteligencia de seguridad:

  Nuestro objetivo es implementar un punto de decisión basado en datos y respaldado por la IA que proporcione una identificación y mitigación automáticas de los riesgos de ciberseguridad de Siemens al potenciar la toma de decisiones.

• Datos:

  Workstream Data ayuda a la Ciberseguridad a adoptar un enfoque basado en los datos al establecer la transparencia de los datos, evitar la duplicación de datos y proporcionar orientación a los equipos para sus estrategias de datos.

El Marco Político de Ciberseguridad se aplica a Siemens y sus empresas filiales. En particular, contiene los requisitos de ciberseguridad establecidos en políticas, normas y líneas de base específicas.

Todas las políticas se basan en las normas industriales pertinentes, como la ISO 2700x o la IEC 62443. Para garantizar el cumplimiento de otras normas importantes, también se gestionan las referencias a las mismas. La lista de normas pertinentes incluye, por ejemplo, el NIST 800-53, las directrices sobre la gestión de los riesgos de seguridad y las TIC de la EBA y otras.

Los productos, soluciones y servicios de Siemens contienen una cantidad importante de componentes de software y relacionados con la TI, que en muchos casos se utilizan en el contexto de infraestructuras críticas y podrían quedar más expuestos a las ciberamenazas. Los requisitos de seguridad reglamentarios y específicos de los clientes están aumentando y Siemens debe abordarlos.

Para mantener la competitividad y la fiabilidad, la iniciativa PSS en toda Siemens se creó para ayudar a garantizar que los productos, soluciones y servicios que vendemos permiten a nuestros clientes gestionar sus instalaciones en un entorno seguro.

Para ello, existen requisitos vinculantes para el PSS y recomendaciones de implementación. La mejora continua y el aprendizaje continuo son requisitos previos fundamentales para una realización exitosa.

Es de vital importancia crear una conciencia y un entendimiento comunes entre todos los empleados con respecto a los aspectos básicos de la ciberseguridad e impartir una formación específica específica para las funciones relevantes para la ciberseguridad. Para responder a las expectativas de nuestros clientes sobre los productos, soluciones y servicios más avanzados de Siemens en términos de tecnología y seguridad, y para garantizar la capacidad de ofrecer esa calidad aumentando continuamente el conocimiento sobre la ciberseguridad en nuestra empresa y permitiendo a nuestros empleados tener en cuenta la ciberseguridad en cada actividad, paso y proceso de toda la cadena de valor, hemos creado varias actividades. Por ejemplo:

• Una campaña de sensibilización mundial obligatoria con el objetivo de proporcionar a todos los empleados información sobre temas generales e importantes de ciberseguridad. Estas sesiones de formación están basadas en la web, sin barreras y son multilingües. Además, para un grupo de funciones específicas, tenemos la formación sobre «carné de conducir». Esta formación es obligatoria y permite al grupo específico de funciones aplicar todas las directrices de seguridad de TI/OT de Siemens. Al terminar con éxito, los participantes reciben un certificado válido durante dos años.
• También ofrecemos varios cursos de formación y oportunidades de aprendizaje, que se actualizan continuamente, para todos los empleados de Siemens. Se puede acceder a ellas de forma voluntaria. Este entrenamiento no es solo para obtener conocimientos básicos, sino también para áreas específicas y especializadas, como la seguridad de productos y soluciones.
• Creemos que el aprendizaje continuo es la clave del éxito y, por eso, buscamos continuamente nuevas formas de formar y actualizar a nuestros empleados.

Mantenga siempre una visión general: para ayudar a lograrlo, ofrecemos una plataforma de ciberseguridad interna llamada «CyberMart» que ofrece una visión holística de los datos y procesos de ciberseguridad de Siemens.

Permite tomar decisiones empresariales informadas y específicas al proporcionar un

• plataforma para aplicaciones seguras que procesan información relevante para la ciberseguridad,
• base de datos segura para los datos relevantes de la ciberseguridad, así como
• informes de madurez y estado de los procesos de seguridad (por ejemplo, protección de activos, gestión de excepciones).

Parte de esta plataforma es un panel de ciberseguridad que ofrece un resumen del estado operativo de la ciberseguridad y de los puntos de datos estratégicos. Esta información es la base de los informes de gestión internos periódicos al Consejo de Administración y al Consejo de Supervisión de Siemens.

El objetivo principal de la gestión de riesgos de ciberseguridad, que forma parte de la gestión de riesgos empresariales (ERM) de Siemens, es permitir a Siemens obtener transparencia en cuanto a sus riesgos de ciberseguridad y gestionarlos adecuadamente hasta un nivel aceptable.
El marco de gestión de riesgos de ciberseguridad de Siemens se basa en las normas internacionales (ISO/IEC 27005 e ISF IRAM2), teniendo en cuenta todos los niveles, desde el operativo hasta el empresarial, y también en el uso de los procesos y funciones de ERM establecidos.
Los riesgos de ciberseguridad denunciados y gestionados hasta el nivel de ERM se identifican en los siguientes procesos y se gestionan con las herramientas correspondientes:

• Proceso general de gestión de riesgos de ciberseguridad
• Proceso de clasificación y protección de activos para TI y activos de documentos e información
• Análisis de amenazas y riesgos de productos, soluciones y servicios
• Proceso de gestión de excepciones para desviaciones temporales del marco de ciberseguridad de Siemens
• Gestión de riesgos para proveedores de ciberseguridad

Ciberseguridad y gestión de riesgos para proveedores:

Los riesgos de ciberseguridad deben gestionarse a lo largo de toda la cadena de suministro. Siemens considera este tema de manera integral, incluyendo la TI, la OT y el PSS para la adquisición de componentes, productos y servicios horizontales y verticales. Por este motivo, las principales actividades para mejorar el nivel de ciberseguridad a lo largo de la cadena de suministro incluyen:

• Transparencia en cuanto a la exposición a los riesgos de ciberseguridad a lo largo de la cadena de suministro
• Prácticas sistemáticas de gestión de riesgos respaldadas por la metodología de evaluación de proveedores de terceros, las herramientas y plantillas respectivas para los requisitos contractuales de ciberseguridad para los proveedores
• Participación activa en la Carta de Confianza que impulsa el segundo principio: «Responsabilidad en toda la cadena de suministro digital», así como en varias comunidades de expertos
• Entrenamientos y campañas de sensibilización regulares para varios grupos objetivo y casos de uso

¿Qué es un incidente de seguridad de la información?

Un incidente de seguridad de la información se define como: el compromiso directo o indirecto de la confidencialidad, la integridad o la disponibilidad de la información según su clasificación (según la norma ISO27001 y el NIST 800-61 rev. 2). Los ejemplos de incidentes incluyen, entre otros:

1. Intentos exitosos de obtener acceso no autorizado a un sistema o a sus datos
2. Interrupción o denegación de servicio
3. Uso no autorizado de un sistema de procesamiento o almacenamiento de datos
4. Cambios en las características del hardware, el firmware o el software del sistema sin el conocimiento, las instrucciones o el consentimiento del propietario

Respuesta a un incidente

Realizamos un análisis exhaustivo de los incidentes de ciberseguridad. Para lograrlo, colaboramos con los responsables empresariales, los reporteros de incidentes internos y externos y las partes interesadas para coordinar las actividades de respuesta y garantizar la contención adecuada y el inicio de las tareas de remediación. Además, proporcionamos un gerente de proyectos de incidentes, que lo apoya en los aspectos organizativos y de comunicación de los incidentes graves y complejos.

Proceso de gestión de incidentes

• Detectar

  Compromiso de la confidencialidad, la integridad o la disponibilidad de la información.

• Responda

  Analice el ataque e inicie contramedidas.

• Remediar

  Contener: limitar la actividad malintencionada, mitigar: evitar más daños, reparar: corregir y evitar que se repita

• Recuperarse

  Restaurar la integridad de los sistemas afectados a un estado operativo no degradado.

Las amenazas a la seguridad obligan al sector a tomar medidas.

Los ataques de ciberdelincuentes que pueden manipular cadenas de valor enteras suelen provocar no solo interrupciones en la producción, sino también un daño considerable a su imagen. Para proteger su tecnología operativa (OT) de la mejor manera posible, es necesario que sea transparente en cuanto a la exposición al riesgo de sus activos. Esto permite identificar y eliminar las amenazas a la ciberseguridad antes de que causen daños importantes. Ofrecemos más ciberseguridad para sus procesos de fabricación. Nuestro enfoque holístico está diseñado para identificar las brechas de seguridad procesales y las vulnerabilidades técnicas antes de que las exploten los malos actores.

Más información

La IA desempeña una función crucial en los esfuerzos de ciberseguridad de Siemens. Identifica y contrarresta de forma dinámica las amenazas de seguridad mediante la detección de anomalías en nuestra red y sistemas. Esta acción inmediata contra las brechas de seguridad ayuda a reducir los posibles daños.

Además, la IA aumenta la eficacia de nuestros procedimientos de ciberseguridad al automatizar las tareas mundanas. Esta automatización permite a nuestros equipos de seguridad concentrarse en temas más complejos y apremiantes. Además, la IA instituye protocolos de seguridad personalizados basados en el análisis del comportamiento de los usuarios, lo que fomenta una estrategia de seguridad precisa para cada división de Siemens.

A pesar de las ventajas, es importante señalar que la IA también puede ser una herramienta para los ciberatacantes, ya que aumenta la complejidad de sus acciones malintencionadas. Estos atacantes podrían aprovechar la IA para automatizar sus ataques, evadir los sistemas de seguridad convencionales o incluso simular el comportamiento humano para no ser detectados.

Sin embargo, Siemens está bien preparada para este intrincado escenario. Hemos establecido protocolos de seguridad estrictos para garantizar la aplicación segura y responsable de la IA. Nuestro enfoque con visión de futuro ayuda a mantener la integridad de nuestros sistemas y a protegernos de los posibles riesgos, lo que nos permite aprovechar las ventajas de la IA en nuestras operaciones de ciberseguridad.

Los beneficios que Siemens obtiene de la IA superan con creces los riesgos. Mediante una implementación meticulosa y una vigilancia continua, minimizamos estos riesgos y amplificamos los beneficios de la IA. En consecuencia, la IA se perfila como un instrumento inestimable que mejora sustancialmente nuestra capacidad de protegerse de las amenazas a la seguridad.