Cybersecurity Governance

ISO 27001 este standardul internațional care descrie cele mai bune practici pentru un sistem de management al securității informațiilor (ISMS).

Obținerea unei certificări acreditate conform ISO 27001 demonstrează că organizația noastră respectă cele mai bune practici de securitate a informațiilor și oferă o verificare independentă a experților că securitatea informațiilor este gestionată în conformitate cu cele mai bune practici internaționale și obiectivele de afaceri.

Cybersecurity Governance pentru Siemens este certificată ISO 27001 din noiembrie 2017.

Suntem certificați conform noului standard ISO 27001:2022 din noiembrie 2023.

• Descărcați certificatul
• Aflați mai multe despre certificatele de sistem

Suntem pasionați să permitem o securitate cibernetică rezistentă, bazată pe date, printr-o arhitectură robustă pentru a proteja Siemens.

Pentru a realiza acest lucru, implementăm strategia noastră de securitate cibernetică în proiect și folosim serviciul Enterprise Architecture nou creat pentru a cartografia obiectivele noastre strategice într-o arhitectură țintă pentru a ghida toată securitatea cibernetică în efortul lor de implementare.

Obiectivele principale ale proiectului sunt: eficientizarea utilizării resurselor prin măsuri de automatizare și eficiență, creșterea vizibilității și transparenței riscurilor de securitate cibernetică în cadrul Siemens și valorificarea deciziilor bazate pe date pentru consolidarea atenuării reactive și proactive a riscurilor.

Configurarea proiectului nostru este structurată în cinci fluxuri de lucru:

• Concept și procese:

  Obiectivul nostru este să descriem și să menținem procesul de arhitectură din cadrul Siemens Cybersecurity, asigurându-ne că este integrat cu strategia și portofoliul nostru. Și pentru a descrie elementele de bază ale arhitecturii noastre de securitate cibernetică bazată pe date, inclusiv capabilități, aplicații, intrări, ieșiri și dependențe.

• Governance:

  Ne propunem să definim modul în care datele de securitate cibernetică pot fi combinate pentru a permite identificarea și evaluarea automată a riscurilor de securitate cibernetică, pentru a permite luarea deciziilor pentru atenuarea acestora și pentru a spori conformitatea cu politicile.

• Conștientizarea situațională:

  Obiectivul nostru este să fim în prim plan și să fim vocea proiectului EA, adunând așteptările utilizatorilor și oferind o poziție holistică de risc pentru a îmbunătăți funcționarea zilnică a utilizatorilor finali.

• Informații de securitate:

  Ne propunem să implementăm un punct de decizie bazat pe date și bazat pe inteligență artificială, care să ofere identificarea și atenuarea automată a riscurilor de securitate cibernetică Siemens prin împuternicirea deciziilor.

• Date:

  Workstream Data ajută Cybersecurity să adopte o abordare bazată pe date prin stabilirea transparenței datelor, prevenind duplicarea datelor și oferind îndrumări echipelor pentru strategiile lor de date.

Cadrul de politică de securitate cibernetică este aplicabil Siemens și companiilor sale afiliate. În special, acesta conține cerințele de securitate cibernetică stabilite în politici, standarde și linii de referință specifice.

Toate politicile se bazează pe standarde industriale relevante, cum ar fi ISO 2700x sau IEC 62443. Pentru a asigura respectarea altor standarde importante, sunt gestionate și referințele la acestea. Lista standardelor relevante include, de exemplu, NIST 800-53, Orientările ABE privind TIC și gestionarea riscurilor de securitate și altele.

Produsele, soluțiile și serviciile Siemens conțin o cantitate semnificativă de software și componente IT, care în multe cazuri sunt utilizate în contextul infrastructurilor critice și ar putea deveni mai expuse amenințărilor cibernetice. Cerințele de reglementare și de securitate specifice clienților sunt în creștere și trebuie abordate de Siemens.

Pentru a rămâne competitiv și fiabil, Inițiativa PSS la nivel Siemens a fost înființată pentru a ne asigura că produsele, soluțiile și serviciile pe care le comercializăm permit clienților noștri să își desfășoare facilitățile într-un mediu sigur.

În acest scop, există cerințe obligatorii pentru PSS și recomandări pentru implementare. Îmbunătățirea continuă și învățarea continuă sunt premise fundamentale pentru realizarea cu succes.

Este de o importanță vitală crearea unei conștientizări și înțelegeri comune în rândul tuturor angajaților cu privire la aspectele de bază ale securității cibernetice și oferirea de instruire specifică dedicată rolurilor relevante pentru securitatea cibernetică. Pentru a răspunde așteptărilor clienților noștri cu privire la produse, soluții și servicii de ultimă generație de la Siemens în ceea ce privește tehnologia și securitatea și pentru a asigura capacitatea de a oferi o astfel de calitate prin creșterea continuă a gradului de conștientizare a securității cibernetice în compania noastră și permițând angajaților noștri să ia în considerare securitatea cibernetică în fiecare activitate, pas și proces al întregului lanț valoric, am creat mai multe activități. De exemplu:

• O campanie obligatorie de conștientizare globală cu scopul de a oferi tuturor angajaților informații cu privire la subiecte generale și importante de securitate cibernetică. Aceste sesiuni de instruire sunt bazate pe web, fără bariere și multilingve. În plus, pentru un grup specific rolului, avem instruirea „Permis de conducere”. Această instruire este obligatorie și permite grupului specific rolurilor să aplice toate liniile directoare de securitate Siemens IT/OT. După finalizarea cu succes, participanții primesc un certificat care este valabil timp de doi ani.
• De asemenea, punem la dispoziție mai multe cursuri de formare și oportunități de învățare actualizate continuu pentru toți angajații Siemens. Acestea pot fi accesate în mod voluntar. Această instruire nu este doar pentru cunoștințe de bază, ci și pentru domenii specifice și specializate, cum ar fi Product and Solution Security.
• Credem că învățarea continuă este cheia succesului și, prin urmare, căutăm în permanență noi modalități de instruire și actualizare a angajaților noștri.

Mențineți întotdeauna o imagine de ansamblu: Pentru a ajuta la realizarea acestui lucru, oferim o platformă internă de securitate cibernetică numită „CyberMart”, care oferă o imagine holistică a datelor și proceselor de securitate cibernetică de la Siemens.

Permite decizii de afaceri informate și direcționate, oferind o

• platformă pentru aplicații securizate care procesează informații relevante pentru securitatea cibernetică;
• un fond de date securizat pentru date relevante pentru securitatea cibernetică, precum și
• raportarea scadenței și a stării proceselor de securitate (de exemplu, protecția activelor, gestionarea excepțiilor).

O parte a acestei platforme este un tablou de bord de securitate cibernetică care oferă un prezentare generală a stării operaționale a securității cibernetice, precum și a punctelor de date strategice. Aceste informații constituie baza pentru raportarea periodică a managementului intern către Consiliul de Administrație Siemens și Consiliul de Supraveghere Siemens.

Scopul principal al Cybersecurity Risk Management, care face parte din Siemens Enterprise Risk Management (ERM), este de a permite Siemens să obțină transparență cu privire la riscurile sale de securitate cibernetică și să le gestioneze în mod adecvat la un nivel acceptabil.
Cadrul Siemens Cybersecurity Risk Management se bazează pe standarde internaționale (ISO/IEC 27005 și ISF IRAM2), luând în considerare toate nivelurile, de la operațional până la întreprindere, și folosind, de asemenea, procese și roluri ERM stabilite.
Riscurile de securitate cibernetică raportate și gestionate până la nivelul ERM sunt identificate în cadrul următoarelor procese și gestionate în cadrul instrumentelor respective:

• Procesul general de gestionare a riscurilor de securitate cibernetică
• Procesul de clasificare și protecție a activelor pentru activele IT și documente și informații
• Analiza amenințărilor și a riscurilor pentru produse, soluții și servicii
• Procesul de gestionare a excepțiilor pentru abateri temporare de la cadrul de securitate cibernetică Siemens
• Managementul riscurilor furnizorilor de securitate cibernetică

Managementul riscurilor furnizorilor de securitate cibernetică:

Riscurile de securitate cibernetică trebuie gestionate de-a lungul întregului lanț de aprovizionare. Siemens consideră acest subiect în mod holistic incluzând IT, OT și PSS pentru achiziționarea de componente, produse și servicii orizontale și verticale. Din acest motiv, principalele activități pentru îmbunătățirea nivelului de securitate cibernetică de-a lungul lanțului de aprovizionare includ:

• Transparența în ceea ce privește expunerea la riscul de securitate cibernetică de-a lungul lanțului de aprovizionare
• Practici sistematice de gestionare a riscurilor susținute de metodologia de evaluare a furnizorilor terți, instrumentele și șabloanele respective pentru cerințele contractuale de securitate cibernetică adresate furnizorilor
• Participarea activă în cadrul Cartei Încrederii care conduce la cel de-al doilea principiu: „Responsabilitate de-a lungul lanțului digital de aprovizionare”, precum și diverse comunități de experți
• Instruiri periodice și campanii de conștientizare pentru diferite grupuri țintă și cazuri de utilizare

Ce este un incident de securitate a informațiilor?

Un incident de securitate a informațiilor este definit ca: Compromisul direct sau indirect al confidențialității, integrității și/sau disponibilității informațiilor în conformitate cu clasificarea sa (bazată pe ISO27001 și NIST 800-61 rev2). Exemplele de incidente includ, dar nu se limitează la:

1. Încercări reușite de a obține acces neautorizat la un sistem sau la datele acestuia
2. Întreruperea sau refuzul serviciului
3. Utilizarea neautorizată a unui sistem pentru prelucrarea sau stocarea datelor
4. Modificări ale caracteristicilor hardware, firmware sau software ale sistemului fără cunoștințele, instrucțiunile sau consimțământul proprietarului

Răspuns la incident

Efectuăm o analiză aprofundată a incidentelor de securitate cibernetică. Pentru a realiza acest lucru, colaborăm cu rapoarte de incidente interni și externi responsabili de afaceri și cu părțile interesate pentru a coordona activitățile de răspuns și pentru a asigura izolarea și inițierea corespunzătoare a sarcinilor de remediere. În plus, oferim Incident Project Manager, sprijinind aspectele organizaționale și de comunicare ale incidentelor grave și complexe.

Procesul de gestionare a incidentelor

• Detectează

  Compromiterea confidențialității, integrității și/sau disponibilității informațiilor.

• Răspunde

  Analizați atacul și inițiați contramăsuri.

• Remediați

  Conține: Limitați activitatea rău intenționată, atenuați: preveniți deteriorarea ulterioară, reparați: remediați și preveniți reapariția

• Recuperați

  Restabilirea integrității sistemelor afectate într-o stare operațională nedegradată.

Amenințările la adresa securității forțează industria să ia măsuri.

Atacurile infractorilor cibernetici care pot manipula lanțuri valorice întregi duc adesea nu numai la întreruperi de producție, ci și la deteriorarea considerabilă a imaginii dvs. Pentru a vă proteja tehnologia operațională (OT) în cel mai bun mod posibil, este necesar să obțineți transparență cu privire la expunerea la risc a activelor dvs. Acest lucru permite identificarea și eliminarea amenințărilor de securitate cibernetică înainte de a provoca daune semnificative. Oferim mai multă securitate cibernetică pentru procesele dvs. de fabricație. Abordarea noastră holistică este concepută pentru a identifica lacunele procedurale de securitate și vulnerabilitățile tehnice înainte ca acestea să fie exploatate de actori răi.

Mai multe informații

AI îndeplinește o funcție crucială în eforturile de securitate cibernetică ale Siemens. Identifică și contracarează dinamic amenințările de securitate prin detectarea anomaliilor din rețeaua și sistemele noastre. Această acțiune imediată împotriva încălcărilor de securitate ajută la reducerea potențialelor daune.

Mai mult, AI sporește eficacitatea procedurilor noastre de securitate cibernetică prin automatizarea sarcinilor banale. Această automatizare permite echipelor noastre de securitate să se concentreze asupra unor probleme mai complexe și mai presante. În plus, AI instituie protocoale de securitate personalizate bazate pe analiza comportamentului utilizatorilor, promovând o strategie precisă de securitate pentru fiecare divizie din cadrul Siemens.

În ciuda avantajelor, este important de menționat că AI poate fi, de asemenea, un instrument pentru atacatorii cibernetici, sporind complexitatea acțiunilor lor rău intenționate. Acești atacatori ar putea valorifica AI pentru a-și automatiza atacurile, pentru a se sustrage sistemelor de securitate convenționale sau chiar pentru a simula comportamentul uman pentru a scăpa de detectare.

Cu toate acestea, Siemens este bine pregătit pentru acest scenariu complicat. Am stabilit protocoale stricte de securitate pentru a asigura aplicarea sigură și responsabilă a AI. Abordarea noastră de perspectivă ajută la menținerea integrității sistemelor noastre și ne protejează de riscurile potențiale, permițându-ne astfel să exploatăm avantajele IA în operațiunile noastre de securitate cibernetică.

Beneficiile pe care Siemens le obţine în urma inteligenţei artificiale depăşesc în mod decisiv riscurile. Prin implementarea meticuloasă și supravegherea continuă, minimizăm aceste riscuri și amplificăm beneficiile IA. În consecință, IA apare ca un instrument neprețuit care îmbunătățește substanțial capacitatea noastră de a îndepărta amenințările la adresa securității.