Governance della Cybersecurity

La Cybersecurity è una delle questioni più importanti che hanno un impatto sul futuro, per le aziende e la società. È il prerequisito fondamentale per le organizzazioni per salvaguardare le infrastrutture critiche, proteggere le informazioni sensibili e assicurare la continuità aziendale. Come uno degli obiettivi strategici di Siemens, la trasformazione digitale avrà successo solo se potremo contare sulla sicurezza dei dati e sui sistemi connessi. La Cybersecurity ha un impatto enorme sui nostri clienti ed è richiesta da molte leggi e regolamenti internazionali e nazionali. Questo rende la sicurezza informatica una priorità assoluta per Siemens.

L'organizzazione Cybersecurity di Siemens Industry Software Inc. e delle sue società affiliate (SISW) si impegna a proteggere le informazioni dei nostri clienti che risiedono o vengono elaborate dai prodotti, soluzioni e servizi SISW. Raggiungiamo questo obiettivo assicurando che tali prodotti, soluzioni e servizi soddisfino le pratiche ingegneristiche generalmente accettate per la sicurezza di prodotti e soluzioni, comprese le migliori pratiche di difesa informatica come le operazioni di rilevamento delle minacce e la riduzione della superficie di attacco.

SISW ha istituito un Information Security Management System (ISMS) che rientra nella visione del Siemens Cybersecurity Policy Framework e prescrive le politiche, i controlli e l'assegnazione delle responsabilità che consentono a SISW di soddisfare le aspettative dei clienti in materia di sicurezza informatica e di soddisfare i requisiti delle certificazioni e degli attestati sopra elencati.

Il fulcro dell'ISMS è il SISW Information Security Program Manual, che fornisce il nostro approccio gestionale al programma di sicurezza delle informazioni del SISW per le offerte e le attività correlate. Il manuale descrive l'approccio di SISW per stabilire e mantenere un programma di governance della sicurezza delle informazioni che preveda la riservatezza, l'integrità, la disponibilità e la privacy delle risorse informative.

L'ISMS stabilisce inoltre una serie di politiche, sotto la governance del SISW Information Security Council (ISC), per garantire l'impegno nei confronti del programma di sicurezza delle informazioni, degli obiettivi del programma e dell'applicazione del programma.

I prodotti, le soluzioni e i servizi di SISW contengono importanti componenti software e IT, che possono essere soggetti a requisiti normativi di sicurezza in rapido sviluppo.

L'iniziativa PSS a livello di Siemens è stata istituita per contribuire a garantire che i prodotti, le soluzioni e i servizi che vendiamo consentano ai nostri clienti di eseguire i propri processi in un ambiente sicuro. La SISW assegna un Product and Solutions Security Officer (PSSO) a ciascuna linea di prodotti per verificare che questa iniziativa sia implementata e monitorata durante tutto il ciclo di sviluppo.

A tal fine, all'interno di Siemens sono in vigore requisiti vincolanti per il PSS e raccomandazioni per l'implementazione. Il miglioramento e l'apprendimento continui sono prerequisiti fondamentali per una corretta realizzazione del PSS.

Creare una consapevolezza comune tra i dipendenti è fondamentale per garantire l'adesione alle iniziative di sicurezza informatica e mantenere alti livelli di sicurezza e protezione. Ciò significa creare una cultura consapevole del rischio e fornire opportunità di formazione e istruzione continue per le persone in tutta l'organizzazione.

Siemens SISW offre ai dipendenti diverse attività e percorsi di apprendimento e sviluppo, tra cui:

• A campagna di sensibilizzazione globale obbligatoria fornire ai dipendenti informazioni sugli argomenti relativi alla sicurezza informatica. Queste sessioni di formazione sono basate sul web, senza barriere e multilingue. Inoltre, abbiamo un corso di formazione sulla «patente di guida» per gruppi con ruoli specifici. Questa formazione obbligatoria consente al gruppo di applicare le linee guida di sicurezza Siemens.

• Aggiuntivo Formazione sulla sicurezza obbligatoria SISW per gli PSSO e formazione specifica sulla sicurezza del cloud per gli sviluppatori viene offerto coinvolto nella creazione di contenuti.

• Siemens offre numerose offerte, aggiornate regolarmente corsi di formazione e opportunità di apprendimento per i dipendenti su base volontaria. Questi moduli di formazione vanno dalle conoscenze di base ad aree specifiche e specializzate come il PSS.

SISW mantiene un sistema di gestione della qualità (QMS) certificato ISO 9001 progettato per incorporare i controlli di sicurezza nel ciclo di vita dello sviluppo sicuro (SDLC) dei prodotti SISW e l'integrazione di fornitori terzi per controllare la qualità dei risultati finali. Il QMS esegue i gate nei principali punti di controllo per convalidare che i controlli di sicurezza e i KPI di qualità siano stati eseguiti correttamente.

Visione della qualità

I rischi di Cybersecurity devono essere gestiti lungo l'intera catena di fornitura. Siemens considera questo argomento in modo olistico, inclusi IT, OT e PSS, per l'approvvigionamento di componenti, prodotti e servizi orizzontali e verticali.

Le principali attività per migliorare il livello di sicurezza informatica lungo la catena di fornitura includono:

• Trasparenza sull'esposizione ai rischi di sicurezza informatica lungo la catena di fornitura;

• Pratiche sistematiche di gestione del rischio supportate dalla metodologia di valutazione dei fornitori terzi e dai rispettivi strumenti e modelli per i requisiti contrattuali di sicurezza informatica per i fornitori;

• Partecipazione attiva a varie comunità di esperti; e

• Campagne di formazione e sensibilizzazione regolari per vari gruppi target e casi d'uso.