Cybersecurity Governance

A Cybersecurity irányítás védi a Siemens információs eszközeit és az IT/OT infrastruktúráját. Biztosítja, hogy a Siemens termékei, megoldásai és szolgáltatásai megfelelnek a termék- és megoldásbiztonság terén elfogadott mérnöki gyakorlatoknak. Ez az oldal részletezi a Siemens keretein belül átfogó kiberbiztonsági tevékenységeket.

A Cybersecurity a jövő egyik legfontosabb témája - a vállalatok és a társadalom számára. Ez a legfontosabb előfeltétele a szervezeteknek a kritikus infrastruktúra védelmének, az érzékeny információk védelmének és az üzleti folyamatosság biztosításának. A digitális átalakulás, mint a Siemens egyik stratégiai célja, csak akkor lesz sikeres, ha támaszkodhatunk az adatok és az összekapcsolt rendszerek biztonságára. A Cybersecurity nemcsak óriási hatással van ügyfeleinkre, hanem számos nemzetközi és nemzeti törvény és előírás is megköveteli. Ez a kiberbiztonságot kiemelt prioritássá teszi a Siemens számára.

Cybersecurity menedzsment

Magas szintű felelősség

A Cybersecurity kiemelt fontosságú a Siemens számára. A kihívások kezelése érdekében a Siemens igazgatótanácsa úgy döntött, hogy központi irányítást hoz létre a Cybersecurity területén, és az irányítási funkciót a kiberbiztonságra (CYS) osztja el.
Tekintettel a Cybersecurity fontosságára a felső vezetés szempontjából, a Siemens globális kiberbiztonsági főigazgatója közvetlenül az igazgatótanács felelős tagjának, negyedévente jelentést tesz az igazgatótanács teljes igazgatóságához és évente a felügyeleti testületnek. A CSB felelős a Siemens széles körű kiberbiztonsági stratégiájáért, valamint a Cybersecurity megvalósításáért és koordinálásáért a Siemens szervezetében. A Cybersecurity stratégia összhangban van a Siemens általános stratégiájával, és mindig naprakész.

Az igazgatótanács megfelelő tagja, jelenleg Cedrik Neike, állandó tagja a kiberbiztonsági testületnek, amelynek elnöke a Global Chief Cybersecurity Officer. A cél a vállalat általános kiberbiztonsági megközelítésének hatékony kezelése. Az üzleti egységeket az igazgatótanácsban Cybersecurity főtisztviselőik képviselik. Az igazgatóság együttműködési platformot biztosít a stratégiai kezdeményezések előmozdításához a Siemens és társult vállalatai számára a biztonsági kérdések kezelése, valamint a kiberbiztonsági követelmények és ajánlások meghatározása érdekében.

A vállalati Cybersecurity osztály, a vállalkozások és országok Cybersecurity osztályai szorosan együttműködnek és együttműködnek annak érdekében, hogy megbízható partnerek legyenek a digitális világban társadalmunk, ügyfeleink és maguk a Siemens vállalkozásai számára. A vállalat mintegy 1300 kiberbiztonsági szakértője fejleszt és alkalmaz vezető technológiákat, kihasználja a belső hálózatot, és párbeszédet tart más vállalatokkal. Világos, holisztikus elszámoltathatóság és felelősségvállalás révén folyamatosan javítani akarjuk az ellenálló kép A kiberbiztonság minden vonatkozásában a tulajdonosi kultúrára támaszkodunk. Mindez nagyon széles alapot ad a Siemens számára, hogy megvédje magát, ügyfeleit és a társadalmat.

Cedrik Neike a Siemens AG Member of the Managing Board tagja és a Digital Industries vezérigazgatója, és számos kiberbiztonsági kezdeményezés vezérigazgatója volt. Nevezetesen felügyelte a fejlett kiberbiztonsági funkciók beépítését a termékekbe, megoldásokba és szolgáltatásokba, biztosítva, hogy az „alapértelmezett biztonság” alapvető elem. Különböző vezetői pozíciókat töltött be mind a Siemens, mind a Cisco cégnél, szakmai útja korábbi szakaszában szerzett működési szakértelmére támaszkodva. Például a Cisco mérnöki és rendszerfejlesztési igazgatójának hároméves hivatali ideje alatt mérnöki csapatokat vezetett a többfunkciós rendszerek és megoldások létrehozásában, beleértve az információbiztonsági funkciókat is.
Cedrik Neike, az igazgatótanács Member of the Managing Board, a Siemens Cybersecurity Tanácsának tagjának önéletrajza
Natalia Oropeza a Siemens globális kiberbiztonsági igazgatója, és három évtizedes tapasztalattal rendelkezik az információbiztonság és a Cybersecurity területén. Jelenlegi és korábbi felső vezetői pozícióiban, például a T-Systems mexikói informatikai alelnöke vagy a Volkswagen információbiztonsági igazgatója stb. feladata az infrastruktúra, a termékek, megoldások és szolgáltatások védelme, miközben megkönnyíti a kiberbiztonsági szolgáltatásokat a Siemens ügyfeleinek. Továbbá, a Bizalmi Charta elnökeként szolgál, ahol jelentősen hozzájárul a kiberbiztonságot és a digitális bizalmat előmozdító globális kezdeményezésekhez
Natalia Oropeza, a Siemens globális kiberbiztonsági igazgatójának önéletrajza
Rainer Zahner a Siemens kiberbiztonsági irányítási és kockázatkezelési osztályának vezetője, és vezeti a Cybersecurity vállalati architektúrát. Arra törekszik, hogy olyan szolgáltatásokat nyújtson, amelyek lehetővé teszik a Siemens vállalkozások számára, hogy megfelelő módon védjék a Siemens információs eszközeit, az IT/OT infrastruktúráját, valamint a Termékeit és szolgáltatásait. Több mint 20 éves szakmai tapasztalattal rendelkezik informatika, projektmenedzsment és tanácsadás területén. A Siemensnél töltött ideje alatt különféle szerepeket töltött be, többek között az informatikai szolgálat vezetője és a Fossil energiaszerviz kulcsügynöke, az információbiztonsági igazgató, valamint a termék- és megoldásbiztonsági igazgató.
Rainer Zahner, a kiberbiztonsági irányítás vezetője önéletrajza

Témáink

Szenvedélyesen szeretnénk biztosítani a rugalmas, adatvezérelt kiberbiztonságot egy robusztus architektúrával, amely a Siemens védelmét szolgálja.

Ennek elérése érdekében Cybersecurity stratégiánkat valósítjuk meg a projektben, és az újonnan létrehozott Enterprise Architecture szolgáltatást használva stratégiai céljainkat célarchitektúrává alakítjuk fel, amely irányítja az összes kiberbiztonságot megvalósítási erőfeszítéseik során.

A projekt fő céljai a következők: az erőforrások felhasználásának ésszerűsítése automatizálási és hatékonysági intézkedésekkel, a kiberbiztonsági kockázatok láthatóságának és átláthatóságának javítása a Siemens-ben, valamint az adatvezérelt döntéshozatal kiaknázása a reaktív és proaktív kockázatcsökkentés megerősítésére.

Projektbeállításunk öt munkafolyamatban van felépítve:

Koncepció és folyamatok:
Célunk a Siemens Cybersecurity architektúrájának leírása és fenntartása, biztosítva annak integrálását stratégiánkkal és portfóliónkkal. Adatvezérelt kiberbiztonsági architektúránk építőelemeinek leírására, beleértve a képességeket, alkalmazásokat, bemeneteket, kimeneteket és függőségeket.
Governance:
Célunk meghatározni, hogy a kiberbiztonsági adatok hogyan kombinálhatók az automatikus kiberbiztonsági kockázatok azonosítása és értékelése érdekében, lehetővé tegyük a kiberbiztonsági kockázatok csökkentését célzó döntéshozatali lehetőségeket, és növeljük a szakpolitikák betartását.
Helyzettudatosság:
Célunk, hogy élen álljunk az EA projektnek és hangja legyünk, összegyűjtve a felhasználók elvárásait és holisztikus kockázati pozíciót biztosítva a végfelhasználók napi működésének javítása érdekében.
Security intelligencia:
Célunk egy mesterséges intelligencia által támogatott és adatvezérelt döntési pont bevezetése, amely a döntéshozatal lehetővé tétele révén automatikus Siemens kiberbiztonsági kockázatok azonosítását és mérséklését teszi lehetővé.
Adatok:
A Workstream Data segíti a kiberbiztonságot az adatvezérelt megközelítés alkalmazásában azáltal, hogy biztosítja az adatok átláthatóságát, megakadályozza az adatok megduplikálását és útmutatást nyújt a csapatoknak az adatstratégiáikhoz.

A Siemens Enterprise Risk Management (ERM) részét képező Cybersecurity kockázatkezelés fő célja, hogy lehetővé tegye a Siemens számára, hogy átláthatóságot szerezzen a kiberbiztonsági kockázatokkal kapcsolatban, és ezeket elfogadható szintre megfelelő módon kezelje.
A Siemens Cybersecurity kockázatkezelési keretrendszer nemzetközi szabványokon (ISO/IEC 27005 és ISF IRAM2) alapul, figyelembe véve az összes szintet, a működéstől a vállalatig, valamint a bevált ERM folyamatokat és szerepeket alkalmazva.
Az ERM szintre jelentett és kezelt kiberbiztonsági kockázatokat a következő folyamatok keretében azonosítják, és a megfelelő eszközökön belül kezelik:

Általános Cybersecurity kockázatkezelési folyamat
Informatikai, dokumentumok és információs eszközök eszközosztályozási és -védelmi folyamata
Termékek, megoldások és szolgáltatások fenyegetései és kockázatelemzése
Kivételkezelés folyamata a Siemens kiberbiztonsági keretrendszerétől való ideiglenes eltérések esetén
Cybersecurity beszállítói kockázatkezelés

Cybersecurity beszállítói kockázatkezelés:

A kiberbiztonsági kockázatokat a teljes ellátási lánc mentén kell kezelni. A Siemens ezt a témát holisztikusan veszi figyelembe, beleértve az IT, az OT és a PSS-t a horizontális és vertikális alkatrészek, termékek és szolgáltatások beszerzése terén. Ezért az ellátási lánc mentén a kiberbiztonság szintjének javítására irányuló fő tevékenységek a következők:

Az ellátási lánc mentén a kiberbiztonsági kockázatnak való kitettség átláthatósága
Szisztematikus kockázatkezelési gyakorlatok, amelyeket harmadik fél beszállítói értékelési módszertana, megfelelő eszközök és sablonok támogatnak a beszállítóknak nyújtott szerződéses kiberbiztonsági követelményeknek
Aktív részvétel a bizalmi chartában, amely a második elv: „Felelősség a digitális ellátási lánc egész területén”, valamint a különböző szakértői közösségek irányításában
Rendszeres tréningek és tudatossági kampányok különböző célcsoportok és felhasználási esetek számára

Célunk, hogy folyamatosan figyelemmel kísérjük a Cybersecurity hatékonyságát, és támogassuk a Siemens kiberrugalmasságának javítását.

A három védelmi vonal (TLod) modell szisztematikus megközelítés a vállalatokban és szervezetekben előforduló kockázatok kezelésére. Ezeket a kockázatokat korai szakaszban azonosítani, elemezni és értékelni kell, és a vállalaton belül közölni kell.

Elvileg minden vállalatnak rendelkeznie kell mindhárom védelmi vonalával. A hatékonyság növelhető a tevékenységek rendszeres felülvizsgálatával, valamint a vonalak kombinálásával vagy összekapcsolásával.

1. Az első védelmi vonal a operatív menedzsment. Tulajdonosa, felelőssége és elszámoltathatósága a kockázatok közvetlen értékeléséért, ellenőrzéséért és enyhítéséért.

2. A második védelmi vonal olyan tevékenységekből áll, amelyeket a belső irányítás több összetevője (megfelelőség, kockázatkezelés, minőség, informatikai és egyéb ellenőrzési osztályok) lefedi. Ez a védelmi vonal figyelemmel kíséri és elősegíti a hatékony kockázatkezelési gyakorlatok végrehajtását operatív irányítás révén, és segíti a kockázattulajdonosokat abban, hogy a szervezeten felfelé és lefelé jelentsék a kockázatokkal kapcsolatos megfelelő információkat.

3. A belső ellenőrzés alkotja a szervezet harmadik védelmi vonalát. A független belső ellenőrzési funkció munkájának kockázatalapú megközelítése révén biztosítékot nyújt a szervezet igazgatótanácsa és a felső vezetés számára. Ez a biztosítás kiterjed arra, hogy a szervezet mennyire hatékonyan értékeli és kezeli kockázatait, és magában foglalja az első és második védelmi vonal hatékonyságának biztosítását.

Manapság még mindig túl gyakran fedeznek fel sebezhetőségeket a penetrációs tesztek során. Bár az eszközök penetrációs tesztjei továbbra is fontosak, elengedhetetlen olyan szerkezeti problémák felderítése is, amelyek negatív hatással lehetnek a teljes infrastruktúrára (IT, OT, termékek, megoldások és szolgáltatások). A Cybersecurity folyamatértékelések és a gyakorlati biztonsági tesztek kombinációja (beleértve a Red Team és a hagyományos toll teszteket) nemcsak strukturális biztonsági problémák megtalálását teszi lehetővé, hanem hatékony kiváltó okok elemzésével is lehetővé teszi a foltos megoldást. A „2. védelmi vonal a kiberbiztonságért” keretében holisztikus értékelést végezünk a Siemens számára az IT, az OT-ok, valamint a Termékek, Solutions és Szolgáltatások területén releváns eszközein.

A Siemens CYS egy második védelmi vonalat biztosít azzal a céllal, hogy javítsa a nyomon követést és megkönnyítse a hatékony kockázatkezelési gyakorlatok végrehajtását, amelyek egy lépéssel előrébb lépnek:

A biztonság tesztelése különböző nézőpontokból, mélyreható és szélességű, biztosítási esetektől függően
A biztonsági megvalósítás hatékonyságának figyelemmel kísérése, pl. beszállítók, felhők, infrastruktúra, szállítók, fejlesztés, kockázatkezelés
Biztosítási esetek vertikális vizsgálata, szerkezeti problémák feltárása, kiváltó ok elemzése
A Red Team tevékenységeinek folyamatos lebonyolítása az év folyamán

Értékelés és gyökérzetelemzés

adatgyűjtés
Tesztelés (beleértve. Vörös csapat)
Interjúk
Root caus elemzés
Jelentés
- Megállapítások
- Nem megfelelőségek
- Fejlesztési potenciál

Az eredmények közlése. Lehetőség az eredmények másokkal való megszilárdítására.

CF A megállapítások
CYS értékelési eredmények
Külső vagy szabályozási ellenőrzések

Az enyhítő intézkedések meghatározása, pl.

Gyors győzelmek megvalósítása
Az iránymutatások kiigazítása
Straegikus döntések
Erőforrások eltolása

A „Biztosítási esetek” intelligens meghatározásai - elemezendő téma, pl. figyelembe véve az alábbiakat:

Behatolási tesztek
Sebezhetőségi vizsgálat
Team Red tevékenységek
Külső értékelési eredmények
CF A ellenőrzési témák
Események (pl. zsarolóprogramok)
Ismert kockázatok (kiváltó ok)

Az AI kulcsfontosságú szerepet tölt be a Siemens kiberbiztonsági törekvéseiben. Hálózatunkon és rendszereinken belüli rendellenességek észlelésével dinamikusan azonosítja és ellensúlyozza a biztonsági fenyegetéseket Ez a biztonsági megsértések elleni azonnali fellépés segít csökkenteni a lehetséges károkat.

Ezenkívül az AI növeli a kiberbiztonsági eljárásaink hatékonyságát a hétköznapi feladatok automatizálásával. Ez az automatizálás lehetővé teszi biztonsági csapataink számára, hogy bonyolultabb és sürgetőbb kérdésekre koncentráljanak. Ezenkívül az AI testreszabott biztonsági protokollokat hoz létre a felhasználói viselkedéselemzésen alapuló, pontos biztonsági stratégiát elősegítve a Siemens minden részlegéhez.

Az előnyök ellenére fontos megjegyezni, hogy az AI eszköz lehet a kibertámadók számára is, növelve rosszindulatú cselekedeteik összetettségét. Ezek a támadók felhasználhatják az AI-t támadásaik automatizálására, a hagyományos biztonsági rendszerek elkerülésére, vagy akár az emberi viselkedés szimulálására, hogy elkerüljék az észlelést.

Mindazonáltal a Siemens jól felkészült erre a bonyolult forgatókönyvre. Szigorú biztonsági protokollokat hoztunk létre az AI biztonságos és felelősségteljes alkalmazásának biztosítása érdekében. Előretekintő megközelítésünk segít fenntartani rendszereink integritását és megvédeni bennünket a lehetséges kockázatoktól, lehetővé téve számunkra, hogy kihasználjuk az AI előnyeit kiberbiztonsági műveleteinkben.

A Siemens mesterséges intelligenciából származó előnyei határozottan felülmúlják a kockázatokat. Az aprólékos végrehajtás és a folyamatos felügyelet révén minimalizáljuk ezeket a kockázatokat, és fokozzuk az AI előnyeit. Következésképpen az AI felbecsülhetetlen értékű eszközként jelenik meg, amely jelentősen növeli a biztonsági fenyegetések elhárításának képességét.

Kapcsolódó tartalom

A sapkában és szemüvegben lévő ember laptopot használ, a Siemens kiberbiztonsági alakja a laptop felett.

Cybersecurity a Siemens

Védje meg azt, amit értékel — holisztikus megközelítésünkkel és vezető technológiai szakértelmünkkel.

Két férfi dolgozik egy adatközpontban egy laptopon, mellettük a Siemens kiberbiztonsági alakja.

Cybersecurity szolgáltatások

Holisztikus kiberbiztonsági megközelítésünk segít elsajátítani az egyre inkább digitalizált világ kihívásait.

Cybersecurity Governance

Cybersecurity menedzsment

Magas szintű felelősség

Témáink

Cybersecurity beszállítói kockázatkezelés:

Értékelés és gyökérzetelemzés

Az eredmények közlése. Lehetőség az eredmények másokkal való megszilárdítására.

Az enyhítő intézkedések meghatározása, pl.

A „Biztosítási esetek” intelligens meghatározásai - elemezendő téma, pl. figyelembe véve az alábbiakat:

Mi az információbiztonsági esemény?

A Security fenyegetések cselekvésre kényszerítik az iparágat.

Fenntarthatósági nyilatkozatunk 2025

Kapcsolódó tartalom

Cybersecurity a Siemens

Cybersecurity szolgáltatások

Cybersecurity Governance

Cybersecurity menedzsment

Magas szintű felelősség

Témáink

ISO 27001 tanúsítás

Cybersecurity architektúra

Cybersecurity szakpolitikai keret

Termék- és megoldásbiztonság

Cybersecurity tudatosság

Cybersecurity állapotfigyelés

Cybersecurity kockázatkezelés

Második védelmi vonal

Információbiztonsági incidensek kezelése

Cybersecurity értékelések az OT számára

Cybersecurity és mesterséges intelligencia

Fenntarthatósági nyilatkozatunk 2025

Kapcsolódó tartalom

Cybersecurity a Siemens

Cybersecurity szolgáltatások