Cybersecurity Governance

A ISO 27001 é a norma internacional que descreve as melhores práticas para um Sistema de Gestão de Segurança da Informação (ISMS).

A obtenção de uma certificação credenciada pela ISO 27001 demonstra que nossa organização está seguindo as melhores práticas de segurança da informação e fornece uma verificação especializada independente de que a segurança da informação é gerenciada de acordo com as melhores práticas internacionais e os objetivos de negócios.

A Cybersecurity Governance for Siemens é certificada pela ISO 27001 desde novembro de 2017.

Somos certificados de acordo com a nova norma ISO 27001:2022 desde novembro de 2023.

• Baixe o certificado
• Saiba mais sobre certificados de sistema

Somos apaixonados por possibilitar uma Cybersecurity resiliente e baseada em dados por meio de uma arquitetura robusta para proteger a Siemens.

Para isso, estamos implementando nossa estratégia de Cibersegurança no projeto e usando o recém-criado serviço de Arquitetura Corporativa para mapear nossas metas estratégicas em uma arquitetura alvo para orientar toda a Cybersecurity em seus esforços de implementação.

Os principais objetivos do projeto são: Simplificar a utilização de recursos por meio de medidas de automação e eficiência, melhorar a visibilidade e a transparência dos riscos de segurança cibernética em toda a Siemens e aproveitar a tomada de decisões baseada em dados para fortalecer a mitigação reativa e proativa de riscos.

Nossa configuração de projeto está estruturada em cinco fluxos de trabalho:

• Conceito e processos:

  Nosso objetivo é descrever e manter o processo de arquitetura na Siemens Cybersecurity, garantindo que ele esteja integrado à nossa estratégia e portfólio. E para descrever os elementos básicos de nossa arquitetura de segurança cibernética baseada em dados, incluindo recursos, aplicativos, entradas, saídas e dependências.

• Governança:

  Nosso objetivo é definir como os dados de segurança cibernética podem ser combinados para permitir a identificação e avaliação automáticas de riscos de segurança cibernética, capacitar a tomada de decisões para sua mitigação e aumentar a conformidade com as políticas.

• Consciência situacional:

  Nosso objetivo é estar na vanguarda e ser a voz do projeto EA, reunindo as expectativas dos usuários e fornecendo uma postura holística de risco para aprimorar a operação diária dos usuários finais.

• Inteligência de segurança:

  Nosso objetivo é implementar um ponto de decisão baseado em inteligência artificial e orientado por dados que forneça identificação e mitigação automáticas de riscos de cibersegurança da Siemens, capacitando a tomada de decisões.

• Dados:

  O Workstream Data ajuda a Cybersecurity a adotar uma abordagem baseada em dados, estabelecendo a transparência dos dados, evitando a duplicação de dados e fornecendo orientação às equipes sobre suas estratégias de dados.

O Cybersecurity Policy Framework é aplicável à Siemens e suas empresas afiliadas. Em particular, ele contém os requisitos de segurança cibernética estabelecidos em políticas, padrões e linhas de base específicos.

Todas as políticas são baseadas em padrões relevantes do setor, como ISO 2700x ou IEC 62443. Para garantir a conformidade com outros padrões importantes, as referências a eles também são gerenciadas. A lista de padrões relevantes inclui, por exemplo, o NIST 800-53, as Diretrizes sobre TIC e gerenciamento de riscos de segurança da EBA e outros.

Os produtos, soluções e serviços da Siemens contêm uma quantidade significativa de software e componentes relacionados à TI, que em muitos casos são usados no contexto de infraestruturas críticas e podem ficar mais expostos a ameaças cibernéticas. Os requisitos de segurança regulatórios e específicos do cliente estão aumentando e precisam ser atendidos pela Siemens.

Para permanecer competitiva e confiável, a Iniciativa PSS da Siemens foi estabelecida para ajudar a garantir que os produtos, soluções e serviços que vendemos permitam que nossos clientes administrem suas instalações em um ambiente seguro.

Para este propósito, requisitos vinculativos para PSS e recomendações para implementação estão em vigor. A melhoria contínua e o aprendizado contínuo são pré-requisitos fundamentais para uma realização bem-sucedida.

É de vital importância criar consciência e entendimento comuns entre todos os funcionários sobre os aspectos básicos da segurança cibernética e fornecer treinamento específico dedicado para funções relevantes à segurança cibernética. Para responder às expectativas de nossos clientes em relação aos produtos, soluções e serviços de última geração da Siemens em termos de tecnologia e segurança e garantir a capacidade de oferecer essa qualidade aumentando continuamente a conscientização sobre a segurança cibernética em nossa empresa e permitindo que nossos funcionários considerem a segurança cibernética em todas as atividades, etapas e processos de toda a cadeia de valor, criamos várias atividades. Por exemplo:

• Uma campanha de conscientização global obrigatória com o objetivo de fornecer a todos os funcionários informações sobre tópicos gerais e importantes de segurança cibernética. Essas sessões de treinamento são baseadas na web, sem barreiras e em vários idiomas. Além disso, para um grupo específico de função, temos o treinamento de “Carteira de Motorista”. Esse treinamento é obrigatório e permite que o grupo específico da função aplique todas as diretrizes de segurança de TI/TO da Siemens. Após a conclusão bem-sucedida, os participantes recebem um certificado válido por dois anos.
• Também disponibilizamos vários cursos de treinamento e oportunidades de aprendizado continuamente atualizados para todos os funcionários da Siemens. Eles podem ser acessados de forma voluntária. Esse treinamento não é apenas para conhecimentos básicos, mas também para áreas específicas e especializadas, como Product and Solution Security.
• Acreditamos que o aprendizado contínuo é a chave para o sucesso e, por isso, buscamos continuamente novas formas de treinar e atualizar nossos funcionários.

Sempre mantenha uma visão geral: para ajudar a conseguir isso, fornecemos uma plataforma interna de segurança cibernética chamada 'CyberMart', que oferece uma visão holística dos dados e processos de segurança cibernética na Siemens.

Ele permite decisões de negócios informadas e direcionadas, fornecendo uma

• plataforma para aplicativos seguros que processam informações relevantes de segurança cibernética,
• pool de dados seguro para dados relevantes de segurança cibernética, bem como
• relatórios de maturidade e status sobre processos de segurança (por exemplo, proteção de ativos, tratamento de exceções).

Parte dessa plataforma é um painel de segurança cibernética que fornece uma visão geral do status operacional da cibersegurança, bem como dos pontos de dados estratégicos. Essas informações são a base para relatórios gerenciais internos regulares ao Conselho de Administração da Siemens e ao Conselho de Supervisão da Siemens.

O principal objetivo do Cybersecurity Risk Management, que faz parte do Siemens Enterprise Risk Management (ERM), é permitir que a Siemens obtenha transparência em relação aos seus riscos de segurança cibernética e os gerencie adequadamente até um nível aceitável.
A estrutura de gerenciamento de riscos de cibersegurança da Siemens é baseada em padrões internacionais (ISO/IEC 27005 e ISF IRAM2), considerando todos os níveis, do operacional ao corporativo, e também usando processos e funções de ERM estabelecidos.
Os riscos de segurança cibernética relatados e gerenciados até o nível ERM são identificados nos seguintes processos e gerenciados nas respectivas ferramentas:

• Processo geral de gerenciamento de riscos de cibersegurança
• Processo de classificação e proteção de ativos para TI e ativos de documentos e informações
• Análise de ameaças e riscos para produtos, soluções e serviços
• Processo de tratamento de exceções para desvios temporários da estrutura de cibersegurança da Siemens
• Gerenciamento de riscos de fornecedores de Cybersecurity

Gerenciamento de riscos de fornecedores de Cybersecurity:

Os riscos de cibersegurança precisam ser gerenciados ao longo de toda a cadeia de suprimentos. A Siemens considera esse tópico de forma holística, incluindo TI, OT e PSS para a aquisição de componentes, produtos e serviços horizontais e verticais. Por esse motivo, as principais atividades para melhorar o nível de segurança cibernética ao longo da cadeia de suprimentos incluem:

• Transparência em relação à exposição ao risco de cibersegurança ao longo da cadeia de suprimentos
• Práticas sistemáticas de gerenciamento de risco apoiadas pela metodologia de avaliação de fornecedores terceirizados, respectivas ferramentas e modelos para requisitos contratuais de segurança cibernética para fornecedores
• Participação ativa na Carta de Confiança, impulsionando o segundo princípio: “Responsabilidade em toda a cadeia de suprimentos digital”, bem como em várias comunidades de especialistas
• Treinamentos regulares e campanhas de conscientização para vários grupos-alvo e casos de uso

O que é um incidente de segurança da informação?

Um incidente de segurança da informação é definido como: O comprometimento direto ou indireto da confidencialidade, integridade e/ou disponibilidade das informações de acordo com sua classificação (com base na ISO27001 e no NIST 800-61 rev2) .Os exemplos de incidentes incluem, mas não estão limitados a:

1. Tentativas bem-sucedidas de obter acesso não autorizado a um sistema ou a seus dados
2. Interrupção ou negação de serviço
3. Uso não autorizado de um sistema para o processamento ou armazenamento de dados
4. Alterações nas características de hardware, firmware ou software do sistema sem o conhecimento, instrução ou consentimento do proprietário

Resposta a incidentes

Realizamos uma análise aprofundada dos incidentes de segurança cibernética. Para conseguir isso, nos envolvemos com repórteres de incidentes internos e externos e partes interessadas responsáveis pela empresa para coordenar as atividades de resposta e garantir a contenção adequada e o início das tarefas de remediação. Além disso, fornecemos suporte ao gerente de projetos de incidentes nos aspectos organizacionais e de comunicação de incidentes graves e complexos.

Processo de tratamento de incidentes

• Detectar

  Comprometimento da confidencialidade, integridade e/ou disponibilidade das informações.

• Responder

  Analise o ataque e inicie contramedidas.

• Remediar

  Conter: limitar atividades maliciosas, mitigar: evitar mais danos, reparar: corrigir e evitar que ocorram novamente

• Recuperar

  Restaure a integridade dos sistemas afetados para um estado operacional não degradado.

As ameaças à segurança forçam o setor a agir.

Os ataques de criminosos cibernéticos que podem manipular cadeias de valor inteiras geralmente resultam não apenas em interrupções na produção, mas também em danos consideráveis à sua imagem. Para proteger sua tecnologia operacional (OT) da melhor maneira possível, é necessário obter transparência sobre a exposição ao risco de seus ativos. Isso permite que as ameaças à segurança cibernética sejam identificadas e eliminadas antes que causem danos significativos. Fornecemos mais segurança cibernética para seus processos de fabricação. Nossa abordagem holística foi projetada para identificar lacunas de segurança processuais e vulnerabilidades técnicas antes que elas sejam exploradas por agentes mal-intencionados.

Mais informações

A IA desempenha uma função crucial nos esforços de segurança cibernética da Siemens. Ele identifica e neutraliza dinamicamente as ameaças à segurança detectando anomalias em nossa rede e sistemas. Essa ação imediata contra violações de segurança ajuda a reduzir possíveis danos.

Além disso, a IA aumenta a eficácia de nossos procedimentos de segurança cibernética ao automatizar tarefas rotineiras. Essa automação permite que nossas equipes de segurança se concentrem em questões mais complexas e urgentes. Além disso, a IA institui protocolos de segurança personalizados com base na análise do comportamento do usuário, promovendo uma estratégia de segurança precisa para cada divisão da Siemens.

Apesar das vantagens, é importante observar que a IA também pode ser uma ferramenta para atacantes cibernéticos, aumentando a complexidade de suas ações maliciosas. Esses atacantes podem usar a IA para automatizar seus ataques, escapar dos sistemas de segurança convencionais ou até mesmo simular o comportamento humano para escapar da detecção.

No entanto, a Siemens está bem preparada para esse cenário complexo. Estabelecemos protocolos de segurança rigorosos para garantir a aplicação segura e responsável da IA. Nossa abordagem inovadora ajuda a manter a integridade de nossos sistemas e a nos proteger de riscos potenciais, o que nos permite explorar as vantagens da IA em nossas operações de segurança cibernética.

Os benefícios que a Siemens obtém da IA superam decisivamente os riscos. Por meio de implementação meticulosa e vigilância contínua, minimizamos esses riscos e ampliamos os benefícios da IA. Consequentemente, a IA surge como um instrumento inestimável que aprimora substancialmente nossa capacidade de evitar ameaças à segurança.