Cybersecurity Governance

Kibernetinio saugumo valdymas apsaugo “Siemens” informacinį turtą ir IT/OT infrastruktūrą. Tai užtikrina, kad “Siemens” produktai, sprendimai ir paslaugos atitiktų priimtą produktų ir sprendimų Security inžinerinę praktiką. Šiame puslapyje išsamiai aprašoma išsami kibernetinio saugumo veikla “Siemens” sistemoje.

Cybersecurity yra viena svarbiausių temų ateičiai — įmonėms ir visuomenei. Tai yra pagrindinė sąlyga organizacijoms apsaugoti ypatingos svarbos infrastruktūrą, apsaugoti slaptą informaciją ir užtikrinti veiklos tęstinumą. Skaitmeninė transformacija kaip vienas iš “Siemens” strateginių tikslų pavyks tik tuo atveju, jei galėsime pasikliauti duomenų ir prijungtų sistemų saugumu. Cybersecurity daro ne tik didžiulį poveikį mūsų klientams, bet ir jo reikalauja daugelis tarptautinių ir nacionalinių įstatymų ir kitų teisės aktų. Dėl to kibernetinis saugumas tampa svarbiausiu “Siemens” prioritetu.

Cybersecurity valdymas

Aukšto lygio atsakomybė

Cybersecurity yra pagrindinis “Siemens” prioritetas. Siekdama spręsti iškilusias problemas, “Siemens” valdančioji taryba nusprendė sukurti centrinį kibernetinio Cybersecurity valdymą ir priskirti valdymo funkciją kibernetiniam saugumui (CYS).
Atsižvelgdamas į kibernetinio saugumo svarbą vyresniajai vadovybei, “Siemens” pasaulinis vyriausiasis kibernetinio saugumo pareigūnas atsiskaito tiesiogiai atsakingam valdybos nariui, kas ketvirtį — visai valdančiajai tarybai, o kasmet — stebėtojų tarybai. CSB yra atsakingas už “Siemens” plataus masto Cybersecurity strategiją, taip pat už kibernetinio saugumo įgyvendinimą ir koordinavimą visoje “Siemens” organizacijoje. Kibernetinio saugumo strategija suderinta su bendra “Siemens” strategija ir visada atnaujinama.

Atitinkamas valdančiosios tarybos narys, šiuo metu Cedrik Neike, yra nuolatinis Kibernetinio saugumo valdybos narys, kuriam pirmininkauja pasaulinis vyriausiasis Cybersecurity pareigūnas. Tikslas yra efektyviai valdyti bendrą įmonės kibernetinio saugumo požiūrį. Verslo padaliniams valdyboje atstovauja jų vyriausieji Cybersecurity pareigūnai. Valdyba suteikia bendradarbiavimo platformą strateginėms iniciatyvoms plėtoti visoje “Siemens” ir su ja susijusiose įmonėse, siekiant spręsti saugumo problemas ir nustatyti kibernetinio saugumo reikalavimus bei rekomendacijas.

Įmonių kibernetinio saugumo departamentas, Cybersecurity skyriai įmonėse ir šalyse glaudžiai bendradarbiauja siekdami būti patikimais partneriais skaitmeniniame pasaulyje mūsų visuomenei, klientams ir pačioms “Siemens” įmonėms. Apie 1300 kibernetinio saugumo ekspertų visoje įmonėje kuria ir priima pirmaujančias technologijas, naudoja vidinį tinklą ir palaiko dialogą su kitomis įmonėmis. Mes norime nuolat gerinti atsparumą per aiškią, holistinę atskaitomybę ir nuosavybę. Mes remiamės nuosavybės kultūra visais kibernetinio saugumo aspektais. Visa tai suteikia “Siemens” labai platų pagrindą apsaugoti save, savo klientus ir visą visuomenę.

Cedrik Neike yra “Siemens AG” Member of the Managing Board ir “Digital Industries” CEO ir vadovavo kelioms kibernetinio saugumo iniciatyvoms. Pažymėtina, kad jis prižiūrėjo pažangių kibernetinio saugumo funkcijų įtraukimą į produktus, sprendimus ir paslaugas, užtikrindamas, kad “saugumas pagal numatytuosius nustatymus” yra pagrindinis elementas. Jis užėmė įvairias aukštas pareigas tiek “Siemens”, tiek “Cisco”, remdamasis veiklos patirtimi, įgyta ankstesniuose savo profesinės kelionės etapuose. Pavyzdžiui, per trejus metus dirbdamas “Cisco” inžinerijos ir sistemų plėtros direktoriumi, jis vadovavo inžinierių komandoms kuriant kryžmines sistemas ir sprendimus, įskaitant informacijos Security funkcijas.
Valdančiosios valdybos nario, “Siemens” kibernetinio saugumo valdybos nario Cedrik Neike CV
Natalija Oropeza yra “Siemens” pasaulinis vyriausiasis kibernetinio saugumo pareigūnas ir turi trijų dešimtmečių patirtį informacijos saugumo ir Cybersecurity. Eidama dabartinėse ir ankstesnėse vadovaujančiose pareigose, pvz., “T-Systems” IT viceprezidente Meksikoje arba “Volkswagen” vyriausioji informacijos Security pareigūnė ir kt., jos atsakomybė apima infrastruktūros, produktų, sprendimų ir paslaugų apsaugą, taip pat palengvindama kibernetinio saugumo paslaugas “Siemens” klientams. Be to, ji eina Pasitikėjimo chartijos pirmininkės pareigas, kur ji reikšmingai prisideda prie pasaulinių iniciatyvų, skatinančių kibernetinį saugumą ir skaitmeninį pasitikėjimą
“Siemens” pasaulinės vyriausiosios kibernetinio saugumo pareigūnės Natalijos Oropeza CV
Raineris Zahneris yra “Siemens” Cybersecurity Governance ir rizikos valdymo departamento vadovas ir vadovauja Cybersecurity įmonių architektūrai. Jis siekia teikti paslaugas, kurios leistų “Siemens” įmonėms tinkamai apsaugoti “Siemens” informacinį turtą, IT/OT infrastruktūrą ir produktus ir paslaugas. Jis turi daugiau nei 20 metų profesinę patirtį IT, projektų valdymo ir konsultavimo srityse. Per savo kadenciją “Siemens” jis ėjo įvairius vaidmenis, įskaitant IT tarnybos vadovą ir pagrindinių sąskaitų vadybininką energetikos tarnyboje iškasenų srityje, vyriausiąjį informacijos Security pareigūną ir vyriausiąjį produktų ir sprendimų Security pareigūną.
Kibernetinio saugumo Governance vadovo Rainerio Zahnerio gyvenimo aprašymas

Mūsų temos

Mes aistringai siekiame užtikrinti atsparų, duomenimis pagrįstą kibernetinį saugumą naudodami tvirtą architektūrą, kad apsaugotume “Siemens”.

Norėdami tai pasiekti, projekte įgyvendiname savo Cybersecurity strategiją ir naudojame naujai sukurtą “Enterprise Architecture” paslaugą, kad mūsų strateginiai tikslai būtų nukreipti į tikslinę architektūrą, kuri nukreiptų visą Cybersecurity įgyvendinant juos.

Pagrindiniai projekto tikslai yra šie: racionalizuoti išteklių naudojimą taikant automatizavimo ir efektyvumo priemones, didinti “Siemens” kibernetinio saugumo rizikos matomumą ir skaidrumą ir panaudoti duomenimis pagrįstų sprendimų priėmimą reaktyviam ir iniciatyviam rizikos mažinimui stiprinti.

Mūsų projekto sąranka yra suskirstyta į penkis darbo srautus:

Koncepcija ir procesai:
Mūsų tikslas yra apibūdinti ir palaikyti “Siemens Cybersecurity” architektūros procesą, užtikrinant, kad jis būtų integruotas į mūsų strategiją ir portfelį. Ir apibūdinti mūsų duomenimis grindžiamos kibernetinio saugumo architektūros statybinius blokus, įskaitant galimybes, programas, įvestis, išvestis ir priklausomybes.
Governance:
Siekiame apibrėžti, kaip galima sujungti kibernetinio saugumo duomenis, kad būtų galima automatiškai nustatyti ir įvertinti kibernetinio saugumo riziką, suteikti galimybę priimti sprendimus dėl jos mažinimo ir padidinti politikos laikymąsi.
Situacinis sąmoningumas:
Mūsų tikslas yra stovėti priešakyje ir būti EA projekto balsu, renkant vartotojų lūkesčius ir suteikiant holistinę rizikos laikyseną, siekiant sustiprinti kasdienę galutinių vartotojų veiklą.
Security žvalgyba:
Siekiame įdiegti dirbtinio intelekto palaikomą ir duomenimis pagrįstą sprendimo punktą, kuris užtikrintų automatinį “Siemens” kibernetinio saugumo rizikos identifikavimą ir mažinimą, suteikiant galimybes priimti sprendimus.
Duomenys:
“Workstream Data” padeda Cybersecurity saugumui taikyti duomenimis pagrįstą metodą, nustatant duomenų skaidrumą, užkertant kelią duomenų dubliavimui ir teikiant komandoms gaires dėl jų duomenų strategijų.

Siekiame nuolat stebėti kibernetinio saugumo efektyvumą ir remti “Siemens” gerinti kibernetinį atsparumą.

Trijų gynybos linijų (TLod) modelis yra sisteminis požiūris į riziką, kuri gali atsirasti įmonėse ir organizacijose, valdyti. Ši rizika turi būti nustatyta, analizuojama ir įvertinta ankstyvoje stadijoje ir apie ją pranešama įmonėje.

Iš esmės kiekviena įmonė turėtų turėti visas tris gynybos linijas. Veiksmingumą galima padidinti reguliariai peržiūrint veiklą, taip pat derinant arba susiejant linijas.

1. Pirmoji gynybos linija yra veiklos valdymas. Ji turi nuosavybę, atsakomybę ir atskaitomybę už tiesioginį rizikos vertinimą, kontrolę ir mažinimą.

2. Antrąją gynybos liniją sudaro veikla, kurią apima keli vidaus valdymo komponentai (atitikties, rizikos valdymo, kokybės, IT ir kiti kontrolės departamentai). Ši gynybos linija stebi ir palengvina veiksmingos rizikos valdymo praktikos įgyvendinimą operatyviniu valdymu ir padeda rizikos savininkams pranešti apie tinkamą su rizika susijusią informaciją aukštyn ir žemyn organizacijoje.

3. Vidaus auditas sudaro trečiąją organizacijos gynybos liniją. Nepriklausoma vidaus audito funkcija, taikydama rizika pagrįstą požiūrį į savo darbą, suteiks garantiją organizacijos direktorių tarybai ir vyresniajai vadovybei. Šis užtikrinimas apims, kaip efektyviai organizacija vertina ir valdo savo riziką, ir apims patikinimą dėl pirmosios ir antrosios gynybos linijų veiksmingumo.

Šiandien vis dar pernelyg dažnai pažeidžiamumai nustatomi atliekant įsiskverbimo testus. Nors turto įsiskverbimo testai vis dar svarbūs, taip pat labai svarbu nustatyti struktūrines problemas, kurios gali turėti neigiamos įtakos visai infrastruktūrai (IT, OT, produktams, sprendimams ir paslaugoms). Kibernetinio saugumo procesų vertinimų ir praktinių saugumo testų derinys (įskaitant “Red Team” ir tradicinius rašiklio testus) leidžia ne tik rasti struktūrines saugumo problemas, bet ir leidžia nustatyti dėmių nustatymą atliekant veiksmingą pagrindinių priežasčių analizę. Naudodamiesi “2-ąja kibernetinio saugumo gynybos linija” atliekame tokį holistinį “Siemens” atitinkamų turto IT, OT ir produktų, Solutions ir paslaugų vertinimą.

“Siemens CYS” teikia antrąją gynybos liniją, kurios tikslas - pagerinti stebėseną ir palengvinti veiksmingų rizikos valdymo praktikos įgyvendinimą, kad būtų vienu žingsniu priekyje:

Saugumo testavimas įvairiais požiūriais nuodugnus ir plotis, priklausomai nuo užtikrinimo atvejų
Stebėti saugumo įgyvendinimo efektyvumą, pvz., tiekėjų, debesų, infrastruktūros, pardavėjų, plėtros, rizikos valdymo
Vertikalus užtikrinimo atvejų testavimas, struktūrinių problemų atskleidimas, pagrindinių priežasčių analizė
Nuolatinis “Red Team” veiklos vykdymas per metus

Vertinimas ir šaknų Caus analizė

duomenų rinkimas
Testavimas (įsk. Raudona komanda)
Interviu
Šaknies kauso analizė
ataskaitų teikimas
- Išvados
- Neatitikimai
- Tobulinimo potencialas

Rezultatų perdavimas. Galimybė konsoliduoti rezultatus su kitais.

CF A išvados
CYS vertinimo rezultatai
Išorės arba reguliavimo auditai

Švelninančių priemonių apibrėžimas, pvz.;

Greitų laimėjimų įgyvendinimas
Gairių koregavimas
Straeginiai sprendimai
Išteklių perkėlimas

Smart definitionsof “Assurance cases” - tema turi būti analizedvia, pvz., atsižvelgiant į įvesties iš:

Skverbties testai
Pažeidžiamumo nuskaitymas
“Team Red” veikla
Išorinio vertinimo rezultatai
CF A audito temos
Incidentai (pvz., išpirkos programinė įranga)
Žinomi pavojai (pagrindinė priežastis)

Susijęs turinys

Vyras į beanie ir akinius naudoja nešiojamąjį kompiuterį, su Siemens kibernetinio saugumo formos virš nešiojamojo kompiuterio.

Cybersecurity “Siemens”

Apsaugokite tai, ką vertinate — naudodamiesi mūsų holistiniu požiūriu ir pirmaujančia technologijų patirtimi.

Du vyrai, dirbantys duomenų centre prie nešiojamojo kompiuterio su “Siemens” kibernetinio saugumo forma šalia jų.

Cybersecurity paslaugos

Mūsų holistinis kibernetinio saugumo metodas padeda įsisavinti vis labiau skaitmenizuoto pasaulio iššūkius.

Cybersecurity Governance

Cybersecurity valdymas

Aukšto lygio atsakomybė

Mūsų temos

Cybersecurity tiekėjų rizikos valdymas:

Vertinimas ir šaknų Caus analizė

Rezultatų perdavimas. Galimybė konsoliduoti rezultatus su kitais.

Švelninančių priemonių apibrėžimas, pvz.;

Smart definitionsof “Assurance cases” - tema turi būti analizedvia, pvz., atsižvelgiant į įvesties iš:

Kas yra informacijos Security incidentas?

Saugumo grėsmės verčia pramonę imtis veiksmų.

Mūsų Sustainability pareiškimas 2025

Susijęs turinys

Cybersecurity “Siemens”

Cybersecurity paslaugos

Cybersecurity Governance

Cybersecurity valdymas

Aukšto lygio atsakomybė

Mūsų temos

ISO 27001 sertifikatas

Cybersecurity įmonių architektūra

Cybersecurity politikos sistema

Produktų ir sprendimų Security

Cybersecurity supratimas

Cybersecurity būklės stebėjimas

Cybersecurity rizikos valdymas

Antroji gynybos linija

Informacijos Security incidentų tvarkymas

OT kibernetinio saugumo vertinimai

Cybersecurity ir dirbtinis intelektas

Mūsų Sustainability pareiškimas 2025

Susijęs turinys

Cybersecurity “Siemens”

Cybersecurity paslaugos