Governance de la ciberseguridad

ISO 27001 es la norma internacional que describe las mejores prácticas para un Sistema de Gestión de Security de la Información (SGSI).

Obtener una certificación acreditada según ISO 27001 demuestra que nuestra organización está siguiendo las mejores prácticas de seguridad de la información y proporciona una verificación experta independiente de que la seguridad de la información se administra de acuerdo con las mejores prácticas internacionales y los objetivos comerciales.

La Governance de ciberseguridad para Siemens cuenta con la certificación ISO 27001 desde noviembre de 2017.

Hemos sido certificados de acuerdo con la nueva norma ISO 27001:2022 desde noviembre de 2023.

• Descargar certificado
• Obtenga más información sobre los certificados del sistema

Nos apasiona permitir una Cybersecurity resiliente y basada en datos a través de una arquitectura robusta para proteger a Siemens.

Para lograr esto, estamos implementando nuestra estrategia de Cybersecurity en el proyecto y utilizando el servicio de Arquitectura Empresarial recientemente creado para mapear nuestros objetivos estratégicos en una arquitectura objetivo para guiar toda la Cybersecurity en su esfuerzo de implementación.

Los principales objetivos del proyecto son: racionalizar la utilización de recursos a través de medidas de automatización y eficiencia, mejorar la visibilidad y la transparencia de los riesgos de ciberseguridad en Siemens y aprovechar la toma de decisiones basada en datos para fortalecer la mitigación de riesgos reactiva y proactiva.

La configuración de nuestro proyecto está estructurada en cinco flujos de trabajo:

• Concepto y procesos:

  Nuestro objetivo es describir y mantener el proceso de arquitectura dentro de Siemens Cybersecurity, asegurándonos de que esté integrado con nuestra estrategia y cartera. Y para describir los componentes básicos de nuestra arquitectura de ciberseguridad basada en datos, incluyendo capacidades, aplicaciones, entradas, salidas y dependencias.

• Governance:

  Nuestro objetivo es definir cómo se pueden combinar los datos de ciberseguridad para permitir la identificación y evaluación automática de riesgos de ciberseguridad, potenciar la toma de decisiones para su mitigación y aumentar el cumplimiento de políticas.

• Conciencia situacional:

  Nuestro objetivo es estar a la vanguardia y ser la voz del proyecto EA, reuniendo las expectativas de los usuarios y proporcionando una postura holística de riesgo para mejorar el funcionamiento diario de los usuarios finales.

• Inteligencia de Security:

  Nuestro objetivo es implementar un punto de decisión basado en datos y respaldado por IA que proporcione identificación y mitigación automática de riesgos de ciberseguridad de Siemens al potenciar la toma de decisiones.

• Datos:

  Workstream Data ayuda a la Cybersecurity a adoptar un enfoque basado en datos al establecer la transparencia de los datos, prevenir la duplicación de datos y proporcionar orientación a los equipos para sus estrategias de datos.

El Marco de Políticas de Cybersecurity es aplicable a Siemens y sus compañías afiliadas. En particular, contiene los requisitos de ciberseguridad establecidos en políticas, estándares y bases de referencia específicas.

Todas las políticas se basan en estándares relevantes de la industria como ISO 2700x o IEC 62443. Para garantizar el cumplimiento de otras normas importantes, también se administran las referencias a ellas. La lista de normas relevantes incluye, por ejemplo, NIST 800-53, las Directrices sobre TIC y gestión de riesgos de seguridad de la EBA y otras.

Los productos, soluciones y servicios de Siemens contienen una cantidad significativa de software y componentes relacionados con TI, que en muchos casos se utilizan en el contexto de infraestructuras críticas y podrían estar más expuestos a las ciberamenazas. Los requisitos regulatorios y de seguridad específicos del cliente están aumentando y Siemens debe abordarlos.

Para seguir siendo competitivo y confiable, se estableció la Iniciativa PSS para todo Siemens con el fin de ayudar a garantizar que los productos, soluciones y servicios que vendemos permitan a nuestros clientes administrar sus instalaciones en un entorno seguro.

Para este propósito, se han implementado requisitos vinculantes para PSS y recomendaciones para su implementación. La mejora continua y el aprendizaje continuo son requisitos previos fundamentales para una realización exitosa.

Es de vital importancia crear conciencia y comprensión comunes entre todos los empleados con respecto a los aspectos básicos de la ciberseguridad y proporcionar capacitación específica dedicada para roles relevantes para la ciberseguridad. Para responder a las expectativas de nuestros clientes de productos, soluciones y servicios de vanguardia de Siemens en términos de tecnología y seguridad y para garantizar la capacidad de ofrecer dicha calidad aumentando continuamente el conocimiento de la ciberseguridad en nuestra empresa y permitiendo a nuestros empleados considerar la ciberseguridad en cada actividad, paso y proceso de toda la cadena de valor, hemos creado varias actividades. Por ejemplo:

• Una campaña de concientización global obligatoria con el objetivo de proporcionar a todos los empleados información sobre temas generales e importantes de ciberseguridad. Estas sesiones de capacitación están basadas en la web, sin barreras y en varios idiomas. Además, para un grupo de roles específicos, tenemos la capacitación “Licencia de conducir”. Esta capacitación es obligatoria y permite que el grupo de roles específicos aplique todas las pautas de seguridad de TI y OT de Siemens. Al finalizar con éxito, los participantes reciben un certificado que es válido por dos años.
• También ponemos a disposición varios cursos de capacitación y oportunidades de aprendizaje continuamente actualizados para todos los empleados de Siemens. Se puede acceder a ellos de forma voluntaria. Esta capacitación no es solo para conocimientos básicos, sino también para áreas específicas y especializadas como la Security de productos y soluciones.
• Creemos que el aprendizaje continuo es una clave para el éxito y, por lo tanto, buscamos continuamente nuevas formas de capacitar y actualizar a nuestros empleados.

Siempre mantenga una visión general: para ayudar a lograr esto, proporcionamos una plataforma de ciberseguridad interna llamada 'CyberMart' que brinda una visión holística de los datos y procesos de ciberseguridad en Siemens.

Permite tomar decisiones comerciales informadas y específicas al proporcionar

• plataforma para aplicaciones seguras que procesan información relevante de seguridad cibernética,
• grupo de datos seguro para datos relevantes de seguridad cibernética, así como
• informes de madurez y estado de los procesos de seguridad (por ejemplo, protección de activos, manejo de excepciones).

Parte de esta plataforma es un panel de seguridad cibernética que ofrece descripción general del estado operativo de ciberseguridad, así como de los puntos de datos estratégicos. Esta información es la base para la presentación regular de informes internos de la administración al Consejo de Administración de Siemens y al Consejo de Supervisión de Siemens.

El objetivo principal de la Gestión de Riesgos de Cybersecurity, que forma parte de Siemens Enterprise Risk Management (ERM), es permitir a Siemens obtener transparencia con respecto a sus riesgos de ciberseguridad y gestionarlos adecuadamente a un nivel aceptable.
El marco de gestión de riesgos de Cybersecurity de Siemens se basa en estándares internacionales (ISO/IEC 27005 e ISF IRAM2), considerando todos los niveles, desde operativo hasta empresarial, y también utilizando procesos y roles ERM establecidos.
Los riesgos de ciberseguridad reportados y administrados hasta el nivel ERM se identifican dentro de los siguientes procesos y se gestionan dentro de las herramientas respectivas:

• Proceso general de gestión de riesgos de ciberseguridad
• Proceso de clasificación y protección de activos para TI y documentos y activos de información
• Análisis de amenazas y riesgos para productos, soluciones y servicios
• Proceso de manejo de excepciones para desviaciones temporales del marco de ciberseguridad de Siemens
• Cybersecurity Gestión de riesgos de proveedores

Cybersecurity Gestión de riesgos de proveedores:

Los riesgos de ciberseguridad deben administrarse a lo largo de toda la cadena de suministro. Siemens considera este tema de manera integral, incluyendo TI, OT y PSS para adquirir componentes horizontales y verticales, productos y servicios. Por esta razón, las principales actividades para mejorar el nivel de ciberseguridad a lo largo de la cadena de suministro incluyen:

• Transparencia con respecto a la exposición al riesgo de ciberseguridad a lo largo de la cadena de suministro
• Prácticas sistemáticas de gestión de riesgos respaldadas por la metodología de evaluación de proveedores de terceros, herramientas y plantillas respectivas para los requisitos contractuales de ciberseguridad para los proveedores
• Participación activa dentro de la Carta de Confianza que impulsa el segundo principio: “Responsabilidad en toda la cadena de suministro digital”, así como varias comunidades de expertos
• Capacitaciones regulares y campañas de concientización para diversos grupos objetivo y casos de uso

¿Qué es un incidente de Security de la información?

Un incidente de Security de la información se define como: El compromiso directo o indirecto de confidencialidad, integridad o disponibilidad de la información de acuerdo con su clasificación (basado en ISO27001 y NIST 800-61 rev2). Los ejemplos de incidentes incluyen, pero no se limitan a:

1. Intentos exitosos de obtener acceso no autorizado a un sistema o sus datos
2. Interrupción o denegación de servicio
3. Uso no autorizado de un sistema para el procesamiento o almacenamiento de datos
4. Cambios en las características del hardware, firmware o software del sistema sin el conocimiento, instrucción o consentimiento del propietario

Respuesta a incidentes

Realizamos análisis en profundidad de incidentes de Security cibernética. Para lograr esto, nos relacionamos con los reporteros de incidentes internos y externos responsables del negocio y las partes interesadas para coordinar las actividades de respuesta y garantizar la contención y el inicio adecuados de las tareas de remediación. Además, proporcionamos un gerente de proyecto de incidentes, que brinda apoyo en los aspectos organizativos y de comunicación de incidentes graves y complejos.

Proceso de Manejo de Incidentes

• Detectar

  Compromiso de confidencialidad, integridad y/o disponibilidad de la información.

• Responda

  Analice el ataque e inicie las contrmedidas.

• Remediar

  Contener: Limite la actividad maliciosa, Mitigue: Evite daños mayores, Reparar: Arregle y evite que se repitan

• Recuperar

  Restaure la integridad de los sistemas afectados a un estado operativo no degradado.

Las amenazas a la Security obligan a la industria a tomar medidas.

Los ataques de delincuentes cibernéticos que pueden manipular cadenas de valor enteras a menudo resultan no solo en cortes de producción, sino también en daños considerables a su imagen. Para proteger su tecnología operativa (OT) de la mejor manera posible, se requiere obtener transparencia sobre la exposición al riesgo de sus activos. Esto permite identificar y eliminar las amenazas de ciberseguridad antes de que causen daños significativos. Proporcionamos más ciberseguridad para sus procesos de fabricación. Nuestro enfoque holístico está diseñado para identificar brechas de seguridad procesales y vulnerabilidades técnicas antes de que sean explotadas por malos actores.

Más información

La IA cumple una función crucial en los esfuerzos de ciberseguridad de Siemens. Identifica y contrarresta dinámicamente las amenazas de seguridad mediante la detección de anomalías dentro de nuestra red y sistemas. Esta acción inmediata contra las brechas de seguridad ayuda a reducir el daño potencial.

Además, la IA aumenta la eficacia de nuestros procedimientos de ciberseguridad mediante la automatización de tareas mundanas. Esta automatización permite que nuestros equipos de seguridad se concentren en problemas más complejos y urgentes. Además, AI instituye protocolos de seguridad personalizados basados en el análisis del comportamiento del usuario, fomentando una estrategia de seguridad precisa para cada división dentro de Siemens.

A pesar de las ventajas, es importante tener en cuenta que la IA también puede ser una herramienta para los ciberatacantes, mejorando la complejidad de sus acciones maliciosas. Estos atacantes podrían aprovechar la IA para automatizar sus ataques, evadir los sistemas de seguridad convencionales o incluso simular el comportamiento humano para escapar de la detección.

No obstante, Siemens está bien preparada para este intrincado escenario. Hemos establecido estrictos protocolos de seguridad para garantizar la aplicación segura y responsable de la IA. Nuestro enfoque progresista ayuda a mantener la integridad de nuestros sistemas y a proteger de posibles riesgos, lo que nos permite explotar las ventajas de la IA en nuestras operaciones de ciberseguridad.

Los beneficios que Siemens obtiene de la IA superan decisivamente los riesgos. A través de una implementación meticulosa y vigilancia continua, minimizamos estos riesgos y amplificamos los beneficios de la IA. En consecuencia, la IA surge como un instrumento invaluable que mejora sustancialmente nuestra capacidad para evitar amenazas de seguridad.