Cybersecurity Governance

Cybersecurity Governance suojaa Siemensin tietoresursseja ja IT/OT-infrastruktuuria. Se varmistaa, että Siemensin tuotteet, ratkaisut ja palvelut täyttävät Product and Solution Securityn hyväksytyt suunnittelukäytännöt. Tällä sivulla kerrotaan kattavasta kyberturvallisuustoiminnasta Siemensin puitteissa.

Kyberturvallisuus on yksi tärkeimmistä tulevaisuuden aiheista — yrityksille ja yhteiskunnalle. Organisaatioiden keskeinen edellytys on kriittisen infrastruktuurin turvaaminen, arkaluonteisten tietojen suojaaminen ja liiketoiminnan jatkuvuuden varmistaminen. Digitaalinen muutos yhtenä Siemensin strategisista tavoitteista onnistuu vain, jos voimme luottaa datan ja kytkettyjen järjestelmien turvallisuuteen. Kyberturvallisuudella ei ole vain valtava vaikutus asiakkaisiimme, vaan sitä edellyttävät myös monet kansainväliset ja kansalliset lait ja määräykset. Tämä tekee kyberturvallisuudesta Siemensin ykkösprioriteetin.

Kyberturvallisuuden hallinta

Korkean tason vastuut

Kyberturvallisuus on Siemensin ensisijainen tavoite. Haasteisiin vastaamiseksi Siemensin hallitus on päättänyt perustaa kyberturvallisuuden keskitetyn hallinnan ja kohdentaa hallintatoiminto kyberturvallisuuteen (CYS).
Kun otetaan huomioon kyberturvallisuuden merkitys ylimmälle johdolle, Siemens Global Chief Cybersecurity Officer raportoi suoraan hallituksen vastuulliselle jäsenelle, neljännesvuosittain koko hallintoneuvostolle ja vuosittain hallintoneuvostolle. CSB vastaa Siemensin laajasta kyberturvallisuusstrategiasta sekä kyberturvallisuuden toteuttamisesta ja koordinoinnista koko Siemensin organisaatiossa. Kyberturvallisuusstrategia on linjassa Siemensin yleisen strategian kanssa ja pidetään aina ajan tasalla.

Hallintoneuvoston jäsen, tällä hetkellä Cedrik Neike, on Cybersecurity Boardin pysyvä jäsen, jonka puheenjohtajana toimii Global Chief Cybersecurity Officer. Tavoitteena on hallita tehokkaasti yrityksen yleistä kyberturvallisuuslähestymistapaa. Liiketoimintayksiköitä edustavat hallituksessa niiden kyberturvallisuusjohtajat. Hallitus tarjoaa yhteistyöalustan strategisten aloitteiden edistämiseksi koko Siemensissä ja sen tytäryhtiöissä turvallisuuskysymysten ratkaisemiseksi ja kyberturvallisuusvaatimusten ja suositusten laatimiseksi.

Yritysten kyberturvallisuusosasto, yritysten ja maiden kyberturvallisuusosastot tekevät tiivistä yhteistyötä ollakseen luotettavia kumppaneita digitaalisessa maailmassa yhteiskunnallemme, asiakkaillemme ja Siemens-yrityksille itselleen. Noin 1300 kyberturvallisuusasiantuntijaa ympäri yritystä kehittää ja ottaa käyttöön johtavia teknologioita, hyödyntää sisäistä verkkoa ja ylläpitää vuoropuhelua muiden yritysten kanssa. Haluamme jatkuvasti parantaa joustavuutta selkeän, kokonaisvaltaisen vastuullisuuden ja omistajuuden avulla. Luotamme omistajakulttuuriin kaikilla kyberturvallisuuden osa-alueilla. Kaikki tämä antaa Siemensille erittäin laajan perustan suojella itseään, asiakkaitaan ja yhteiskuntaa yleensä.

Cedrik Neike on Siemens AG:n Managing Boardin jäsen ja CEO Digital Industries ja on johtanut useita kyberturvallisuusaloitteita. Erityisesti hän on valvonut edistyneiden kyberturvallisuusominaisuuksien sisällyttämistä tuotteisiin, ratkaisuihin ja palveluihin varmistaen, että ”oletusarvoinen turvallisuus” on perustavanlaatuinen elementti. Hän on toiminut useissa johtotehtävissä sekä Siemensissä että Ciscossa hyödyntäen ammatillisen matkansa aikaisemmissa vaiheissa saatua operatiivista asiantuntemusta. Esimerkiksi, kolmen vuoden toimikautensa aikana Ciscon suunnittelu- ja järjestelmäkehityksen johtajana, hän johti suunnittelutiimejä monifunktionaalisten järjestelmien ja ratkaisujen luomisessa, mukaan lukien Information Security -ominaisuudet.
Cedrik Neike, Member of the Managing Board, Siemens Cybersecurity Boardin jäsenen ansioluettelo
Natalia Oropeza Hän on Siemensin globaali kyberturvallisuusjohtaja ja hänellä on kolmen vuosikymmenen kokemus tietoturvasta ja kyberturvallisuudesta. Hänen nykyisissä ja aikaisemmissa ylimmissä johtotehtävissä, kuten Meksikon IT-johtaja T-Systemsissä tai Chief Information Security Officerina Volkswagenilla jne., hän vastaa infrastruktuurin, tuotteiden, ratkaisujen ja palveluiden turvaamisesta sekä kyberturvallisuuspalvelujen tarjoamisesta Siemensin asiakkaille. Lisäksi hän toimii luottamuksen peruskirjan puheenjohtajana, jossa hän osallistuu merkittävästi maailmanlaajuisiin aloitteisiin, jotka edistävät kyberturvallisuutta ja digitaalista luottamusta
Siemensin globaalin kyberturvallisuusjohtajan Natalia Oropezan ansioluettelo
Rainer Zahner on Siemensin Cybersecurity Governance and Risk Management -osaston johtaja ja johtaa Cybersecurity Enterprise Architecture -arkkitehtuuria. Hän pyrkii tarjoamaan palveluja, joiden avulla Siemensin liiketoiminnot voivat suojata Siemensin tietoresursseja, IT/OT-infrastruktuuria sekä tuotteita ja palveluita riittävästi. Hänellä on yli 20 vuoden työkokemus tietotekniikasta, projektinhallinnasta ja konsultoinnista. Toimikautensa aikana Siemensissä hän toimi useissa tehtävissä, muun muassa IT-palvelujohtajana ja avainasiakaspäällikkönä Energy Service Fossilissa, Chief Information Security Officer sekä Chief Product and Solution Security Officer.
Cybersecurity Governance -johtajan Rainer Zahnerin ansioluettelo

Aiheemme

Olemme intohimoisia mahdollistamaan joustavan, tietoon perustuvan kyberturvallisuuden vankan arkkitehtuurin avulla Siemensin suojaamiseksi.

Tämän saavuttamiseksi toteutamme Cybersecurity -strategiaamme projektissa ja käytämme äskettäin luotua Enterprise Architecture -palvelua kartoittaaksemme strategiset tavoitteemme kohdearkkitehtuuriksi, joka ohjaa kaikkea Cybersecurity -palvelua niiden toteuttamisessa.

Hankkeen päätavoitteet ovat: Resurssien käytön virtaviivaistaminen automaatio- ja tehokkuustoimenpiteiden avulla, kyberturvallisuusriskien näkyvyyden ja läpinäkyvyyden parantaminen Siemensissä sekä datapohjaisen päätöksenteon hyödyntäminen reaktiivisen ja ennakoivan riskinhallinnan tehostamiseksi.

Projektimme kokoonpano on jäsennelty viiteen työnkulkuun:

Konsepti ja prosessit:
Tavoitteenamme on kuvata ja ylläpitää Siemens Cybersecurity -järjestelmän arkkitehtuuriprosessia varmistaen, että se on integroitu strategiaamme ja portfolioomme. Ja kuvaamaan datavetoisen kyberturvallisuusarkkitehtuurin rakennuspalikoita, mukaan lukien ominaisuudet, sovellukset, tulot, tuotokset ja riippuvuudet.
Governance:
Pyrimme määrittelemään, miten kyberturvallisuustiedot voidaan yhdistää automaattisen kyberturvallisuusriskien tunnistamisen ja arvioinnin mahdollistamiseksi, päätöksenteon vahvistamiseksi sen vähentämiseksi ja käytäntöjen noudattamisen lisäämiseksi.
Tilannetietoisuus:
Tavoitteenamme on pysyä eturintamassa ja olla EA-projektin ääni, kerätä käyttäjien odotuksia ja tarjota kokonaisvaltainen riskiasento loppukäyttäjien päivittäisen toiminnan parantamiseksi.
Security-tiedustelu:
Pyrimme toteuttamaan tekoälyn tukeman ja datapohjaisen päätöksentekopisteen, joka mahdollistaa Siemensin automaattisen kyberturvallisuusriskien tunnistamisen ja vähentämisen päätöksenteon voimaannuttamisen.
Tiedot:
Workstream Data auttaa kyberturvallisuutta omaksumaan datalähtöisen lähestymistavan luomalla tietojen läpinäkyvyyden, estämällä tietojen päällekkäisyyden ja tarjoamalla tiimeille ohjeita heidän tietostrategioissaan.

Pyrimme jatkuvasti seuraamaan kyberturvallisuuden tehokkuutta ja tukemaan Siemensiä kybersietokyvyn parantamisessa.

Kolmen puolustuslinjan (TLoD) -malli on järjestelmällinen lähestymistapa yrityksissä ja organisaatioissa esiintyvien riskien hallintaan. Nämä riskit on tunnistettava, analysoitava ja arvioitava varhaisessa vaiheessa ja ilmoitettava yrityksen sisällä.

Periaatteessa jokaisella yrityksellä tulisi olla kaikki kolme puolustuslinjaa. Tehokkuutta voidaan lisätä tarkastelemalla toimintaa säännöllisesti sekä yhdistämällä tai yhdistämällä linjat.

1. Ensimmäinen puolustuslinja on operatiivinen johtaminen. Sillä on omistajuus, vastuu ja vastuu riskien suorasta arvioinnista, valvonnasta ja vähentämisestä.

2. Toinen puolustuslinja koostuu toiminnoista, jotka kattavat useita sisäisen hallinnon osia (vaatimustenmukaisuus, riskienhallinta, laatu, IT ja muut valvontaosastot). Tämä puolustuslinja valvoo ja helpottaa tehokkaiden riskienhallintakäytäntöjen toteuttamista operatiivisella johdolla ja auttaa riskinomistajia raportoimaan riittävät riskitiedot organisaation ylä- ja alaspäin.

3. Sisäinen tarkastus muodostaa organisaation kolmannen puolustuslinjan. Riippumaton sisäisen tarkastuksen toiminto antaa riskiperusteisen lähestymistavan avulla organisaation hallitukselle ja ylimmälle johdolle varmuutta. Tämä vakuutus kattaa sen, kuinka tehokkaasti organisaatio arvioi ja hallitsee riskejään, ja sisältää varmuuden ensimmäisen ja toisen puolustuslinjan tehokkuudesta.

Nykyään tunkeutumistesteissä havaitaan edelleen liian usein haavoittuvuuksia. Vaikka omaisuuserien tunkeutumistestit ovat edelleen tärkeitä, on tärkeää havaita myös rakenteelliset ongelmat, joilla voi olla kielteinen vaikutus täydelliseen infrastruktuuriin (tietotekniikka, OT, tuotteet, ratkaisut ja palvelut). Kyberturvallisuusprosessien arviointien ja käytännön tietoturvatestien (mukaan lukien Red Team ja perinteiset kynätestit) yhdistelmä mahdollistaa rakenteellisten turvallisuusongelmien löytämisen ja mahdollistaa myös korjaamisen tekemällä tehokkaan perimmäisen syy-analyysin. ”2nd Line of Defense for Cybersecurity” -ohjelman avulla teemme tällaisen kokonaisvaltaisen arvioinnin Siemensin asiaankuuluvista resursseista IT-, OT- ja Tuotteissa, Solutionsissa ja Palveluissa.

Siemens CYS tarjoaa toisen puolustuslinjan, jonka tavoitteena on parantaa seurantaa ja helpottaa tehokkaiden riskienhallintakäytäntöjen käyttöönottoa, jotta voimme olla askeleen edellä:

Turvallisuuden testaaminen eri näkökulmista perusteellisesti vs. laajasti vakuutustapauksista riippuen
Seuraa tietoturvan toteutuksen tehokkuutta, esim. toimittajat, pilvet, infrastruktuuri, toimittajat, kehitys, riskienhallinta
Varmuustapausten vertikaalinen testaus, rakenteellisten ongelmien paljastaminen, perimmäisten syiden analyysi
Red Team -toiminnan johtaminen jatkuvasti vuoden aikana

Arviointi ja juurisyysanalyysi

tietojen kerääminen
Testaus (sis. Punainen joukkue)
Haastattelut
Juurikausanalyysi
Raportointi
- Havainnot
- Vaatimustenvastaisuudet
- Parannuspotentiaali

Tulosten viestintä. Mahdollisuus yhdistää tuloksia muiden kanssa.

CF A -havainnot
CYS arvioinnin tulokset
Ulkoiset tai viranomaistarkastukset

Lieventävien toimenpiteiden määrittely, esim.

Nopeiden voittojen toteuttaminen
Suuntaviivojen mukauttaminen
Straegiset päätökset
Resurssien siirto

”Vakuutustapausten” älykkäät määritelmät - aihe, jota on analysoitava, esimerkiksi ottamalla huomioon seuraavat tiedot:

Tunkeutumistestit
Haavoittuvuuksien tarkistus
Team Red -aktiviteetit
Ulkoisen arvioinnin tulokset
CF A -tarkastusaiheet
Tapahtumat (esim. kiristysohjelmat)
Tunnetut riskit (perimmäinen syy)

Aiheeseen liittyvä sisältö

Pipossa ja silmälaseissa oleva mies käyttää kannettavaa tietokonetta, Siemensin kyberturvallisuusmuoto kannettavan yläpuolella.

Kyberturvallisuus Siemensissä

Suojaa arvostustasi kokonaisvaltaisella lähestymistavallamme ja johtavalla teknologiaosaamisellamme.

Kaksi miestä työskentelee datakeskuksessa kannettavalla tietokoneella, jonka vieressä on Siemensin kyberturvallisuusmuoto.

Kyberturvallisuuspalvelut

Kokonaisvaltainen kyberturvallisuuslähestymistapamme auttaa hallitsemaan yhä digitalisoituvan maailman haasteet.

Cybersecurity Governance

Kyberturvallisuuden hallinta

Korkean tason vastuut

Aiheemme

Kyberturvallisuuden toimittajien riskienhallinta:

Arviointi ja juurisyysanalyysi

Tulosten viestintä. Mahdollisuus yhdistää tuloksia muiden kanssa.

Lieventävien toimenpiteiden määrittely, esim.

”Vakuutustapausten” älykkäät määritelmät - aihe, jota on analysoitava, esimerkiksi ottamalla huomioon seuraavat tiedot:

Mikä on Information Security Incident?

Security-uhat pakottavat alan toimimaan.

Sustainability Statement 2025

Aiheeseen liittyvä sisältö

Kyberturvallisuus Siemensissä

Kyberturvallisuuspalvelut

Cybersecurity Governance

Kyberturvallisuuden hallinta

Korkean tason vastuut

Aiheemme

ISO 27001 -sertifiointi

Kyberturvallisuuden yritysarkkitehtuuri

Kyberturvallisuuspolitiikan kehys

Tuote- ja ratkaisuturvallisuus

Kyberturvallisuustietoisuus

Kyberturvallisuuden tilan seuranta

Kyberturvallisuuden riskienhallinta

Toinen puolustuslinja

Tietoturvahäiriöiden käsittely

OT: n kyberturvallisuusarvioinnit

Kyberturvallisuus ja tekoäly

Sustainability Statement 2025

Aiheeseen liittyvä sisältö

Kyberturvallisuus Siemensissä

Kyberturvallisuuspalvelut