Governance da Cybersecurity

A ISO 27001 é a norma internacional que descreve as melhores práticas para um Sistema de Gestão da Security da Informação (SGSI).

A obtenção de uma certificação acreditada de acordo com a ISO 27001 demonstra que a nossa organização está a seguir as melhores práticas de segurança da informação e fornece uma verificação especializada independente de que a segurança da informação é gerida de acordo com as melhores práticas internacionais e os objetivos empresariais.

A Governance de Cybersecurity para a Siemens é certificada ISO 27001 desde novembro de 2017.

Temos sido certificados de acordo com a nova norma ISO 27001:2022 desde novembro de 2023.

• Descarregar certificado
• Saiba mais sobre os Certificados do Sistema

Somos apaixonados por permitir uma Cybersecurity resiliente e orientada por dados através de uma arquitetura robusta para proteger a Siemens.

Para conseguir isso, estamos a implementar a nossa estratégia de Cybersecurity no projeto e a usar o recém-criado serviço Enterprise Architecture para mapear os nossos objetivos estratégicos numa arquitectura alvo para orientar toda a Cybersecurity no seu esforço de implementação.

Os principais objetivos do projeto são: Agilizar a utilização de recursos através de medidas de automação e eficiência, aumentar a visibilidade e a transparência dos riscos de cibersegurança em toda a Siemens e alavancar a tomada de decisão baseada em dados para fortalecer a mitigação de riscos reativa e proativa.

A configuração do nosso projeto está estruturada em cinco fluxos de trabalho:

• Conceito & processos:

  O nosso objetivo é descrever e manter o processo de arquitetura dentro da Siemens Cybersecurity, certificando-se de que está integrado com a nossa estratégia e portfólio. E para descrever os blocos de construção da nossa arquitetura de cibersegurança baseada em dados, incluindo capacidades, aplicações, entradas, saídas e dependências.

• Governance:

  Nosso objetivo é definir como os dados de cibersegurança podem ser combinados para permitir a identificação e avaliação automática do risco de segurança cibernética, capacitar a tomada de decisões para a sua mitigação e aumentar a conformidade com as políticas.

• Consciência situacional:

  O nosso objetivo é estar na vanguarda e ser a voz do projeto EA, reunindo as expectativas dos utilizadores e fornecendo uma postura holística de risco para melhorar a operação diária dos utilizadores finais.

• Inteligência de Security:

  Nosso objetivo é implementar um ponto de decisão apoiado por IA e baseado em dados que forneça identificação e mitigação automáticas de riscos de cibersegurança da Siemens, capacitando a tomada de decisões.

• Dados:

  O Workstream Data ajuda a Cybersecurity a adotar uma abordagem orientada por dados, estabelecendo a transparência dos dados, evitando a duplicação de dados e fornecendo orientação às equipas para as suas estratégias de dados.

O Quadro de Política de Cybersecurity é aplicável à Siemens e às suas empresas afiliadas. Em particular, contém os requisitos de cibersegurança estabelecidos em políticas, normas e linhas de base específicas.

Todas as políticas baseiam-se em normas relevantes da indústria como ISO 2700x ou IEC 62443. Para garantir a conformidade com outras normas importantes, as referências a elas também são geridas. A lista de normas relevantes inclui, por exemplo, o NIST 800-53, as Orientações sobre TIC e gestão de risco de segurança da EBA e outras.

Os produtos, soluções e serviços da Siemens contêm uma quantidade significativa de software e componentes relacionados com TI, que em muitos casos são utilizados no contexto de infraestruturas críticas e podem tornar-se mais expostos a ameaças cibernéticas. Os requisitos regulamentares e de segurança específicos do cliente estão a aumentar e precisam de ser abordados pela Siemens.

Para se manterem competitivos e fiáveis, a Iniciativa PSS da Siemens foi criada para ajudar a garantir que os produtos, soluções e serviços que vendemos permitem aos nossos clientes gerir as suas instalações num ambiente seguro.

Para este efeito, estão em vigor requisitos vinculativos para PSS e recomendações para implementação. A melhoria contínua e a aprendizagem contínua são pré-requisitos fundamentais para uma realização bem sucedida.

É de vital importância criar uma consciência comum e compreensão entre todos os colaboradores relativamente aos aspetos básicos da cibersegurança e fornecer formação específica dedicada para funções relevantes para a cibersegurança. Para responder às expectativas dos nossos clientes em relação a produtos, soluções e serviços de última geração da Siemens em termos de tecnologia e segurança e para garantir a capacidade de fornecer essa qualidade aumentando continuamente a consciência da cibersegurança na nossa empresa e permitindo que os nossos funcionários considerem a cibersegurança em todas as atividades, etapas e processos de toda a cadeia de valor, criamos várias atividades. Por exemplo:

• Uma campanha de sensibilização global obrigatória com o objetivo de fornecer a todos os funcionários informações sobre tópicos gerais e importantes de cibersegurança. Estas sessões de formação são baseadas na web, sem barreiras e multi-linguagem. Além disso, para um grupo específico de funções, temos a formação “Carteira de Condução”. Este treinamento é obrigatório e permite que o grupo específico da função aplique todas as diretrizes de segurança de IT/OT da Siemens. Após a conclusão bem sucedida, os participantes recebem um certificado válido por dois anos.
• Também disponibilizamos vários cursos de formação e oportunidades de aprendizagem continuamente atualizados para todos os funcionários da Siemens. Estes podem ser acedidos numa base voluntária. Esta formação não é apenas para conhecimentos básicos mas também para áreas específicas e especializadas como Security de Produtos e Soluções.
• Acreditamos que a aprendizagem contínua é a chave para o sucesso e por isso procuramos continuamente novas formas de treinar e atualizar os nossos funcionários.

Mantenha sempre uma visão geral: Para ajudar a conseguir isso, fornecemos uma plataforma interna de cibersegurança chamada 'CyberMart' que oferece uma visão holística dos dados e processos de cibersegurança na Siemens.

Permite decisões empresariais informadas e direcionadas, fornecendo um

• plataforma para aplicações seguras que processam informações relevantes de segurança cibernética,
• pool de dados seguro para dados relevantes de segurança cibernética, bem como
• relatórios de maturidade e status sobre processos de segurança (por exemplo, proteção de ativos, tratamento de exceções).

Parte desta plataforma é um painel de cibersegurança que dá um visão geral do estado operacional da cibersegurança, bem como dos pontos de dados estratégicos. Esta informação é a base para relatórios regulares de gestão interna ao Conselho de Administração da Siemens e ao Conselho de Supervisão da Siemens.

O principal objetivo da Gestão de Risco de Cybersecurity, que faz parte do Siemens Enterprise Risk Management (ERM), é permitir que a Siemens obtenha transparência em relação aos seus riscos de cibersegurança e geri-los adequadamente a um nível aceitável.
A estrutura de Gestão de Risco de Cybersecurity da Siemens baseia-se em normas internacionais (ISO/IEC 27005 e ISF IRAM2), considerando todos os níveis, desde o operacional até o empresarial, e também usando processos e funções ERM estabelecidos.
Os riscos de cibersegurança reportados e geridos até ao nível ERM são identificados nos seguintes processos e geridos dentro das respetivas ferramentas:

• Processo geral de Gestão do Risco de Cybersecurity
• Processo de classificação e proteção de ativos para TI e documentos & ativos de informação
• Análise de ameaças e riscos para produtos, soluções e serviços
• Processo de tratamento de exceções para desvios temporários do quadro de cibersegurança da Siemens
• Gestão de Risco de Fornecedores de Cybersecurity

Gestão de risco do fornecedor de Cybersecurity:

Os riscos de cibersegurança precisam de ser geridos ao longo de toda a cadeia de abastecimento. A Siemens considera este tópico de forma holística, incluindo TI, OT e PSS para a aquisição de componentes, produtos e serviços horizontais e verticais. Por esta razão, as principais atividades para melhorar o nível de cibersegurança ao longo da cadeia de abastecimento incluem:

• Transparência em relação à exposição ao risco de cibersegurança ao longo da cadeia de abastecimento
• Práticas sistemáticas de gestão de risco apoiadas pela metodologia de avaliações de fornecedores de terceiros, respetivas ferramentas e modelos para requisitos contratuais de cibersegurança a fornecedores
• Participação ativa na Carta de Confiança que conduz o 2º princípio: “Responsabilidade em toda a cadeia de abastecimento digital” bem como várias comunidades de especialistas
• Formações regulares e campanhas de sensibilização para vários grupos-alvo e casos de utilização

O que é um Incidente de Security da Informação?

Um Incidente de Security da Informação é definido como: O comprometimento direto ou indireto da confidencialidade, integridade e/ou disponibilidade de informações de acordo com a sua classificação (com base na ISO27001 e NIST 800-61 rev2) .Os exemplos de incidentes incluem, mas não estão limitados a:

1. Tentativas bem-sucedidas de obter acesso não autorizado a um sistema ou aos seus dados
2. Interrupção ou negação de serviço
3. Utilização não autorizada de um sistema para o processamento ou armazenamento de dados
4. Alterações ao hardware do sistema, firmware ou características do software sem o conhecimento, instrução ou consentimento do proprietário

Resposta a incidentes

Realizamos uma análise aprofundada de incidentes de Security cibernética. Para conseguir isso, envolvemo-nos com responsáveis empresariais, relatores de incidentes internos e externos e partes interessadas para coordenar as atividades de resposta e garantir a contenção adequada e o início das tarefas de remediação. Além disso, fornecemos o Gestor de Projetos Incidentes, apoiando os aspectos organizacionais e de comunicação de incidentes graves e complexos.

Processo de tratamento de incidentes

• Detectar

  Compromisso de confidencialidade, integridade e/ou disponibilidade de informação.

• Responder

  Analisar ataques e iniciar contra-medidas.

• Remediar

  Conter: Limitar a atividade maliciosa, Mitigar: Prevenir mais danos, Reparar: Corrigir e prevenir repetições

• Recuperar

  Restaurar a integridade dos sistemas afetados para um estado operacional não degradado.

As ameaças à Security obrigam a indústria a agir.

Os ataques de cibercriminosos que podem manipular cadeias de valor inteiras muitas vezes resultam não só em interrupções de produção mas também em danos consideráveis à sua imagem. Para proteger a sua tecnologia operacional (OT) da melhor maneira possível, é necessário obter transparência sobre a exposição ao risco dos seus ativos. Isto permite que as ameaças de cibersegurança sejam identificadas e eliminadas antes que causem danos significativos. Fornecemos mais cibersegurança para os seus processos de fabrico. A nossa abordagem holística foi concebida para identificar falhas de segurança processual e vulnerabilidades técnicas antes de serem exploradas por maus atores.

Mais informações

A IA desempenha uma função crucial nos esforços de cibersegurança da Siemens. Identifica e neutraliza dinamicamente as ameaças de segurança através da detecção de anomalias na nossa rede e sistemas. Esta ação imediata contra violações de segurança ajuda a reduzir possíveis danos.

Além disso, a IA aumenta a eficácia dos nossos procedimentos de cibersegurança automatizando tarefas mundanas. Esta automação permite que as nossas equipas de segurança se concentrem em questões mais complexas e urgentes. Além disso, a IA institui protocolos de segurança personalizados com base na análise do comportamento do utilizador, promovendo uma estratégia de segurança precisa para cada divisão da Siemens.

Apesar das vantagens, é importante notar que a IA também pode ser uma ferramenta para ciberatacantes, aumentando a complexidade das suas ações maliciosas. Estes invasores podem aproveitar a IA para automatizar os seus ataques, fugir dos sistemas de segurança convencionais ou até simular o comportamento humano para escapar da detecção.

No entanto, a Siemens está bem preparada para este cenário intrincado. Estabelecemos protocolos de segurança rigorosos para garantir a aplicação segura e responsável da IA. A nossa abordagem com visão de futuro ajuda a manter a integridade dos nossos sistemas e protege-nos de riscos potenciais, permitindo-nos assim explorar as vantagens da IA nas nossas operações de cibersegurança.

Os benefícios que a Siemens obtém da IA superam decisivamente os riscos. Através de uma implementação meticulosa e vigilância contínua, minimizamos esses riscos e amplificamos os benefícios da IA. Consequentemente, a IA surge como um instrumento inestimável que aumenta substancialmente a nossa capacidade de afastar ameaças à segurança.