Cybersecurity Governance

ISO 27001 è lo standard internazionale che descrive le migliori pratiche per un Information Security Management System (ISMS).

L'ottenimento di una certificazione accreditata ISO 27001 dimostra che la nostra organizzazione segue le migliori pratiche di sicurezza delle informazioni e fornisce una verifica da parte di esperti indipendenti che la sicurezza delle informazioni sia gestita in linea con le migliori pratiche internazionali e gli obiettivi aziendali.

Cybersecurity Governance for Siemens è certificata ISO 27001 da novembre 2017.

Siamo certificati secondo il nuovo standard ISO 27001:2022 dal novembre 2023.

• Scarica il certificato
• Ulteriori informazioni sui certificati di sistema

Siamo appassionati di abilitare una Cybersecurity resiliente e basata sui dati attraverso un'architettura robusta per proteggere Siemens.

A tal fine, stiamo implementando la nostra strategia di Cybersecurity nel progetto e utilizzando il servizio Enterprise Architecture appena creato per mappare i nostri obiettivi strategici in un'architettura target che guidi tutta la Cybersecurity nel loro sforzo di implementazione.

Gli obiettivi principali del progetto sono: razionalizzare l'utilizzo delle risorse attraverso misure di automazione ed efficienza, migliorare la visibilità e la trasparenza dei rischi di sicurezza informatica in Siemens e sfruttare il processo decisionale basato sui dati per rafforzare la mitigazione del rischio reattiva e proattiva.

La configurazione del nostro progetto è strutturata in cinque flussi di lavoro:

• Concetto e processi:

  Il nostro obiettivo è descrivere e mantenere il processo di architettura all'interno di Siemens Cybersecurity, assicurandoci che sia integrato con la nostra strategia e il nostro portafoglio. E per descrivere gli elementi costitutivi della nostra architettura di sicurezza informatica basata sui dati, tra cui funzionalità, applicazioni, input, output e dipendenze.

• Governance:

  Il nostro obiettivo è definire come combinare i dati sulla sicurezza informatica per consentire l'identificazione e la valutazione automatiche dei rischi di sicurezza informatica, potenziare il processo decisionale per la sua mitigazione e aumentare la conformità alle politiche.

• Consapevolezza situazionale:

  Il nostro obiettivo è essere in prima linea ed essere la voce del progetto EA, raccogliendo le aspettative degli utenti e fornendo una posizione olistica del rischio per migliorare l'operatività quotidiana degli utenti finali.

• Security intelligence:

  Il nostro obiettivo è implementare un punto decisionale supportato dall'intelligenza artificiale e basato sui dati che fornisca l'identificazione e la mitigazione automatiche dei rischi di sicurezza informatica di Siemens potenziando il processo decisionale.

• Dati:

  Workstream Data aiuta la Cybersecurity ad adottare un approccio basato sui dati stabilendo la trasparenza dei dati, prevenendo la duplicazione dei dati e fornendo indicazioni ai team per le loro strategie sui dati.

Il Cybersecurity Policy Framework è applicabile a Siemens e alle sue società affiliate. In particolare, contiene i requisiti di sicurezza informatica stabiliti in politiche, standard e linee di base specifici.

Tutte le politiche si basano su standard di settore pertinenti come ISO 2700x o IEC 62443. Per garantire la conformità ad altri importanti standard, vengono gestiti anche i riferimenti ad essi. L'elenco degli standard pertinenti include ad esempio il NIST 800-53, le linee guida sull'ICT e la gestione dei rischi di sicurezza dell'EBA e altri.

I prodotti, le soluzioni e i servizi Siemens contengono una quantità significativa di software e componenti IT, che in molti casi vengono utilizzati nel contesto di infrastrutture critiche e potrebbero essere maggiormente esposti alle minacce informatiche. I requisiti normativi e di sicurezza specifici per i clienti sono in aumento e devono essere soddisfatti da Siemens.

Per rimanere competitivo e affidabile, l'iniziativa PSS a livello di Siemens è stata istituita per contribuire a garantire che i prodotti, le soluzioni e i servizi che vendiamo consentano ai nostri clienti di gestire le proprie strutture in un ambiente sicuro.

A tal fine sono in vigore requisiti vincolanti per il PSS e raccomandazioni per l'implementazione. Il miglioramento continuo e l'apprendimento continuo sono prerequisiti fondamentali per una realizzazione di successo.

È di vitale importanza creare consapevolezza e comprensione comuni tra tutti i dipendenti sugli aspetti di base della sicurezza informatica e fornire una formazione specifica dedicata per i ruoli rilevanti per la sicurezza informatica. Per rispondere alle aspettative dei nostri clienti sui prodotti, soluzioni e servizi all'avanguardia di Siemens in termini di tecnologia e sicurezza e per garantire la capacità di fornire tale qualità aumentando continuamente la consapevolezza della sicurezza informatica nella nostra azienda e consentendo ai nostri dipendenti di considerare la sicurezza informatica in ogni attività, fase e processo dell'intera catena del valore, abbiamo creato diverse attività. Ad esempio:

• Una campagna di sensibilizzazione globale obbligatoria con l'obiettivo di fornire a tutti i dipendenti informazioni su argomenti generali e importanti sulla sicurezza informatica. Queste sessioni di formazione sono basate sul web, senza barriere e multilingue. Inoltre, per un gruppo specifico per ruoli, abbiamo il corso di formazione «Patente di guida». Questa formazione è obbligatoria e consente al gruppo specifico per il ruolo di applicare tutte le linee guida sulla sicurezza IT/OT di Siemens. In caso di completamento con successo, i partecipanti ricevono un certificato valido per due anni.
• Mettiamo inoltre a disposizione diversi corsi di formazione e opportunità di apprendimento continuamente aggiornati per tutti i dipendenti Siemens. È possibile accedervi su base volontaria. Questa formazione non è solo per le conoscenze di base, ma anche per aree specifiche e specializzate come Product and Solution Security.
• Crediamo che l'apprendimento continuo sia la chiave del successo e quindi cerchiamo continuamente nuovi modi per formare e aggiornare i nostri dipendenti.

Mantenga sempre una visione d'insieme: per contribuire a raggiungere questo obiettivo, forniamo una piattaforma interna di sicurezza informatica chiamata «CyberMart» che offre una visione olistica dei dati e dei processi di sicurezza informatica di Siemens.

Consente decisioni aziendali informate e mirate fornendo un

• piattaforma per applicazioni sicure che elaborano informazioni rilevanti per la sicurezza informatica,
• pool di dati sicuro per i dati rilevanti per la sicurezza informatica e
• rendicontazione sulla maturità e sullo stato dei processi di sicurezza (ad esempio, protezione degli asset, gestione delle eccezioni).

Parte di questa piattaforma è un pannello di controllo della sicurezza informatica che offre panoramica dello stato operativo della sicurezza informatica e dei punti dati strategici. Queste informazioni sono la base per la regolare rendicontazione interna della direzione al Consiglio di amministrazione di Siemens e al Consiglio di vigilanza di Siemens.

L'obiettivo principale del Cybersecurity Risk Management, che fa parte di Siemens Enterprise Risk Management (ERM), è consentire a Siemens di ottenere trasparenza sui suoi rischi di sicurezza informatica e di gestirli adeguatamente a un livello accettabile.
Il framework Siemens Cybersecurity Risk Management si basa su standard internazionali (ISO/IEC 27005 e ISF IRAM2), considerando tutti i livelli, da quello operativo a quello aziendale, e utilizza anche processi e ruoli ERM consolidati.
I rischi di sicurezza informatica segnalati e gestiti fino al livello ERM sono identificati nei seguenti processi e gestiti nell'ambito dei rispettivi strumenti:

• Processo generale di gestione del rischio di Cybersecurity
• Processo di classificazione e protezione degli asset per l'IT e i documenti e gli asset informativi
• Analisi delle minacce e dei rischi per prodotti, soluzioni e servizi
• Processo di gestione delle eccezioni per deviazioni temporanee dal framework di sicurezza informatica Siemens
• Gestione del rischio dei fornitori di Cybersecurity

Gestione del rischio dei fornitori di Cybersecurity:

I rischi per la sicurezza informatica devono essere gestiti lungo l'intera catena di fornitura. Siemens considera questo argomento in modo olistico, includendo IT, OT e PSS per l'approvvigionamento di componenti, prodotti e servizi orizzontali e verticali. Per questo motivo, le principali attività per migliorare il livello di sicurezza informatica lungo la catena di fornitura includono:

• Trasparenza sull'esposizione al rischio di sicurezza informatica lungo la catena di fornitura
• Pratiche sistematiche di gestione del rischio supportate dalla metodologia di valutazione dei fornitori di terze parti, dai rispettivi strumenti e modelli per i requisiti contrattuali di sicurezza informatica per i fornitori
• Partecipazione attiva alla Carta della fiducia che guida il secondo principio: «Responsabilità lungo tutta la catena di fornitura digitale» e varie comunità di esperti
• Campagne di formazione e sensibilizzazione regolari per vari gruppi target e casi d'uso

Che cos'è un incidente di Information Security?

Un incidente di Information Security è definito come: La compromissione diretta o indiretta della riservatezza, dell'integrità e/o della disponibilità delle informazioni in base alla loro classificazione (basata su ISO27001 e NIST 800-61 rev2). Gli esempi di incidenti includono, ma non sono limitati a:

1. Tentativi riusciti di ottenere l'accesso non autorizzato a un sistema o ai suoi dati
2. Interruzione o negazione del servizio
3. Uso non autorizzato di un sistema per il trattamento o l'archiviazione dei dati
4. Modifiche alle caratteristiche dell'hardware, del firmware o del software del sistema all'insaputa, delle istruzioni o del consenso del proprietario

Risposta agli incidenti

Eseguiamo un'analisi approfondita degli incidenti di Cyber Security. A tal fine, collaboriamo con i responsabili aziendali, i segnalatori di incidenti interni ed esterni e le parti interessate per coordinare le attività di risposta e garantire il corretto contenimento e avvio delle attività di riparazione. Inoltre, forniamo Incident Project Manager, supporto sugli aspetti organizzativi e di comunicazione di incidenti gravi e complessi.

Processo di gestione degli incidenti

• Rileva

  Compromissione della riservatezza, dell'integrità e/o della disponibilità delle informazioni.

• Risponda

  Analizza l'attacco e avvia contromisure.

• Rimediare

  Contenere: limitare le attività dannose, mitigare: prevenire ulteriori danni, riparare: correggere e prevenire il ripetersi

• Recuperare

  Ripristinare l'integrità dei sistemi interessati a uno stato operativo non degradato.

Le minacce alla sicurezza costringono il settore ad agire.

Gli attacchi dei criminali informatici in grado di manipolare intere catene del valore spesso provocano non solo interruzioni della produzione, ma anche danni considerevoli alla sua immagine. Per proteggere la sua tecnologia operativa (OT) nel miglior modo possibile, è necessario ottenere trasparenza sull'esposizione al rischio dei suoi asset. Ciò consente di identificare ed eliminare le minacce alla sicurezza informatica prima che causino danni significativi. Forniamo maggiore sicurezza informatica per i suoi processi di produzione. Il nostro approccio olistico è progettato per identificare le lacune procedurali di sicurezza e le vulnerabilità tecniche prima che vengano sfruttate dai malintenzionati.

Ulteriori informazioni

L'intelligenza artificiale svolge una funzione cruciale nelle attività di sicurezza informatica di Siemens. Identifica e contrasta dinamicamente le minacce alla sicurezza rilevando anomalie all'interno della nostra rete e dei nostri sistemi. Questa azione immediata contro le violazioni della sicurezza aiuta a ridurre i potenziali danni.

Inoltre, l'intelligenza artificiale aumenta l'efficacia delle nostre procedure di sicurezza informatica automatizzando le attività banali. Questa automazione consente ai nostri team di sicurezza di concentrarsi su questioni più complesse e urgenti. Inoltre, l'intelligenza artificiale istituisce protocolli di sicurezza personalizzati basati sull'analisi del comportamento degli utenti, promuovendo una strategia di sicurezza precisa per ogni divisione all'interno di Siemens.

Nonostante i vantaggi, è importante notare che l'intelligenza artificiale può anche essere uno strumento per gli aggressori informatici, aumentando la complessità delle loro azioni dannose. Questi aggressori potrebbero sfruttare l'intelligenza artificiale per automatizzare i loro attacchi, eludere i sistemi di sicurezza convenzionali o persino simulare il comportamento umano per sfuggire al rilevamento.

Tuttavia, Siemens è ben preparata per questo scenario complesso. Abbiamo stabilito protocolli di sicurezza rigorosi per garantire l'applicazione sicura e responsabile dell'intelligenza artificiale. Il nostro approccio lungimirante aiuta a mantenere l'integrità dei nostri sistemi e a proteggerci da potenziali rischi, consentendoci così di sfruttare i vantaggi dell'intelligenza artificiale nelle nostre operazioni di sicurezza informatica.

I vantaggi che Siemens trae dall'intelligenza artificiale superano decisamente i rischi. Attraverso un'implementazione meticolosa e una sorveglianza continua, riduciamo al minimo questi rischi e amplifichiamo i vantaggi dell'IA. Di conseguenza, l'intelligenza artificiale emerge come uno strumento inestimabile che migliora sostanzialmente la nostra capacità di scongiurare le minacce alla sicurezza.