Cybersecurity Governance

ISO 27001 är den internationella standarden som beskriver bästa praxis för ett ISMS (Information Security Management System).

Att uppnå en ackrediterad certifiering enligt ISO 27001 visar att vår organisation följer bästa praxis för informationssäkerhet och tillhandahåller en oberoende expertverifiering av att informationssäkerheten hanteras i linje med internationella bästa praxis och affärsmål.

Cybersecurity Governance för Siemens är ISO 27001-certifierat sedan november 2017.

Vi är certifierade enligt den nya standarden ISO 27001:2022 sedan november 2023.

• Ladda ner certifikat
• Läs mer om systemcertifikat

Vi brinner för att möjliggöra en motståndskraftig, datadriven Cybersecurity genom en robust arkitektur för att skydda Siemens.

För att åstadkomma detta implementerar vi vår Cybersecurity-strategi i projektet och använder den nyskapade Enterprise Architecture-tjänsten för att kartlägga våra strategiska mål till en målarkitektur för att vägleda all Cybersecurity i deras implementeringsinsats.

Projektets huvudmål är: Effektivisera resursanvändningen genom automatiserings- och effektivitetsåtgärder, öka synligheten och transparensen av cybersäkerhetsrisker inom Siemens och utnyttja datadrivet beslutsfattande för att stärka reaktiv och proaktiv riskreducering.

Vår projektuppställning är uppbyggd i fem arbetsflöden:

• Koncept & processer:

  Vårt mål är att beskriva och underhålla arkitekturprocessen inom Siemens Cybersecurity och se till att den är integrerad med vår strategi och portfölj. Och för att beskriva byggstenarna i vår datadrivna cybersäkerhetsarkitektur, inklusive funktioner, applikationer, ingångar, utgångar och beroenden.

• Governance:

  Vi strävar efter att definiera hur cybersäkerhetsdata kan kombineras för att möjliggöra automatisk identifiering och bedömning av cybersäkerhetsrisker, stärka beslutsfattandet för dess begränsning och öka policyefterlevnaden.

• Situationsmedvetenhet:

  Vårt mål är att stå i framkant och vara rösten för EA-projektet, samla användarnas förväntningar och tillhandahålla holistisk riskställning för att förbättra den dagliga driften av slutanvändarna.

• Säkerhetsunderrättelse:

  Vi strävar efter att implementera en AI-stödd och datadriven beslutspunkt som ger Siemens automatisk identifiering och begränsning av cybersäkerhetsrisker genom att stärka beslutsfattandet.

• Uppgifter:

  Workstream Data hjälper Cybersecurity att anta ett datadrivet tillvägagångssätt genom att skapa transparens i data, förhindra dataduplikering och ge vägledning till team för deras datastrategier.

Cybersecurity Policy Framework är tillämpligt på Siemens och dess dotterbolag. I synnerhet innehåller den de cybersäkerhetskrav som fastställs i specifika policyer, standarder och baslinjer.

Alla policyer är baserade på relevanta branschstandarder som ISO 2700x eller IEC 62443. För att säkerställa överensstämmelse med andra viktiga standarder hanteras också referenser till dem. Förteckningen över relevanta standarder inkluderar till exempel NIST 800-53, Riktlinjer för IKT och säkerhetsriskhantering från EBA och andra.

Siemens produkter, lösningar och tjänster innehåller en betydande mängd programvara och IT-relaterade komponenter, som i många fall används i samband med kritisk infrastruktur och kan bli mer utsatta för cyberhot. Lagstiftnings- och kundspecifika säkerhetskrav ökar och behöver hanteras av Siemens.

För att förbli konkurrenskraftiga och pålitliga inrättades Siemens-omfattande PSS-initiativet för att säkerställa att de produkter, lösningar och tjänster vi säljer gör det möjligt för våra kunder att driva sina anläggningar i en säker miljö.

För detta ändamål finns bindande krav på PSS och rekommendationer för genomförande. Kontinuerlig förbättring och kontinuerligt lärande är grundläggande förutsättningar för framgångsrikt förverkligande.

Det är av avgörande betydelse att skapa gemensam medvetenhet och förståelse bland alla anställda om grundläggande aspekter av cybersäkerhet och tillhandahålla särskild specifik utbildning för cybersäkerhetsrelevanta roller. För att uppfylla våra kunders förväntningar på toppmoderna produkter, lösningar och tjänster från Siemens när det gäller teknik och säkerhet och för att säkerställa förmågan att leverera sådan kvalitet genom att ständigt öka medvetenheten om cybersäkerhet i vårt företag och göra det möjligt för våra anställda att överväga cybersäkerhet i varje aktivitet, steg och process i hela värdekedjan, har vi skapat flera aktiviteter. Till exempel:

• En obligatorisk global medvetenhetskampanj med målet att ge alla anställda information om allmänna och viktiga cybersäkerhetsämnen. Dessa utbildningar är webbaserade, barriärfria och flerspråkiga. För en rollspecifik grupp har vi dessutom utbildningen ”Driver's License”. Denna utbildning är obligatorisk och gör det möjligt för den rollspecifika gruppen att tillämpa alla Siemens IT/OT-säkerhetsriktlinjer. Efter framgångsrikt slutförande får deltagarna ett certifikat som är giltigt i två år.
• Vi erbjuder också flera fortlöpande uppdaterade utbildningar och utbildningsmöjligheter för alla Siemens-anställda. Dessa kan nås på frivillig basis. Denna utbildning är inte bara för grundläggande kunskaper utan också för specifika och specialiserade områden som Product and Solution Security.
• Vi tror att kontinuerligt lärande är en nyckel till framgång och därför söker vi ständigt nya sätt att utbilda och uppdatera våra anställda.

Ha alltid en överblick: För att hjälpa till att uppnå detta tillhandahåller vi en intern cybersäkerhetsplattform som heter 'CyberMart' som ger en helhetsbild av cybersäkerhetsdata och processer på Siemens.

Det möjliggör informerade och riktade affärsbeslut genom att tillhandahålla en

• plattform för säkra applikationer som behandlar relevant information om cybersäkerhet,
• säker datapool för cybersäkerhetsrelevanta data samt
• löptid och statusrapportering om säkerhetsprocesser (t.ex. tillgångsskydd, undantagshantering).

En del av denna plattform är en cybersäkerhetspanel som ger en översikt över cybersäkerhetens operativa status samt strategiska datapunkter. Denna information utgör grunden för regelbunden intern ledningsrapportering till Siemens styrelse och Siemens tillsynsnämnd.

Huvudmålet för Cybersecurity Risk Management, som ingår i Siemens Enterprise Risk Management (ERM), är att göra det möjligt för Siemens att uppnå transparens om sina cybersäkerhetsrisker och att på ett adekvat sätt hantera dessa till en acceptabel nivå.
Siemens Cybersecurity Risk Management Framework bygger på internationella standarder (ISO/IEC 27005 och ISF IRAM2), med hänsyn till alla nivåer, från operativa till företag, och även med hjälp av etablerade ERM-processer och roller.
De cybersäkerhetsrisker som rapporteras och hanteras upp till ERM-nivå identifieras inom följande processer och hanteras inom respektive verktyg:

• Övergripande cybersäkerhetsriskhanteringsprocess
• Tillgångsklassificering och skyddsprocess för IT- och dokument- och informationstillgångar
• Hot- och riskanalys för produkter, lösningar och tjänster
• Undantagshanteringsprocess för tillfälliga avvikelser från Siemens cybersäkerhetsramverk
• Cybersäkerhetsleverantörers riskhantering

Cybersäkerhetsleverantörers riskhantering:

Cybersäkerhetsriskerna måste hanteras längs hela leveranskedjan. Siemens betraktar detta ämne holistiskt inklusive IT, OT och PSS för upphandling av horisontella och vertikala komponenter, produkter och tjänster. Av denna anledning inkluderar de viktigaste aktiviteterna för att förbättra cybersäkerhetsnivån längs försörjningskedjan:

• Öppenhet i fråga om cybersäkerhetsexponering längs hela leveranskedjan
• Systematiska riskhanteringsmetoder som stöds av tredjepartsleverantörsbedömningsmetoder, respektive verktyg och mallar för avtalsenliga cybersäkerhetskrav till leverantörer
• Aktivt deltagande inom förtroendestadgan som driver den andra principen: ”Ansvar genom hela den digitala försörjningskedjan” samt olika expertgrupper
• Regelbundna utbildningar och informationskampanjer för olika målgrupper och användningsfall

Vad är en Information Security Incident?

En informationssäkerhetsincident definieras som: Den direkta eller indirekta kompromissen med sekretess, integritet och/eller tillgänglighet av information enligt dess klassificering (baserat på ISO27001 och NIST 800-61 rev2) .Exempel på incidenter inkluderar, men är inte begränsade till:

1. Framgångsrika försök att få obehörig åtkomst till ett system eller dess data
2. Störning eller överbelastning
3. Obehörig användning av ett system för behandling eller lagring av data
4. Ändringar av systemmaskinvara, firmware eller programvaruegenskaper utan ägarens vetskap, instruktioner eller samtycke

Incidenthantering

Vi utför djupgående analyser av Cyber Security-incidenter. För att uppnå detta samarbetar vi med affärsansvariga, interna och externa incidentrapporter och intressenter för att samordna insatsaktiviteter och säkerställa korrekt inneslutning och initiering av åtgärdsuppgifter. Dessutom tillhandahåller vi Incident Project Manager, som stöder organisatoriska och kommunikationsaspekter av allvarliga och komplexa incidenter.

Process för hantering av incidenter

• Upptäcka

  Kompromiss av sekretess, integritet och/eller tillgänglighet av information.

• Svara

  Analysera attack och initiera motåtgärder.

• Avhjälpa

  Innehåller: Begränsa skadlig aktivitet, Mildra: Förhindra ytterligare skador, Reparera: Fixa och förhindra återkommande

• Återhämta sig

  Återställ integriteten hos berörda system till ett icke-försämrat drifttillstånd.

Säkerhetshoten tvingar industrin att vidta åtgärder.

Attacker från cyberbrottslingar som kan manipulera hela värdekedjor resulterar ofta inte bara i produktionsavbrott utan också till betydande skador på din image. För att skydda din operativa teknik (OT) på bästa möjliga sätt krävs det att du får transparens om riskexponeringen för dina tillgångar. Detta gör att cybersäkerhetshot kan identifieras och elimineras innan de orsakar betydande skador. Vi tillhandahåller mer cybersäkerhet för dina tillverkningsprocesser. Vårt holistiska tillvägagångssätt är utformat för att identifiera procedursäkerhetsbrister och tekniska sårbarheter innan de utnyttjas av dåliga aktörer.

Mer information

AI tjänar en avgörande funktion i Siemens cybersäkerhetsarbete. Den identifierar och motverkar säkerhetshot dynamiskt genom att upptäcka avvikelser i vårt nätverk och system. Denna omedelbara åtgärd mot säkerhetsöverträdelser hjälper till att begränsa potentiell skada.

Dessutom ökar AI effektiviteten i våra cybersäkerhetsförfaranden genom att automatisera vardagliga uppgifter. Denna automatisering gör det möjligt för våra säkerhetsteam att koncentrera sig på mer invecklade och pressande frågor. Dessutom skapar AI anpassade säkerhetsprotokoll baserade på användarbeteendeanalys, vilket främjar en exakt säkerhetsstrategi för varje division inom Siemens.

Trots fördelarna är det viktigt att notera att AI också kan vara ett verktyg för cyberangripare, vilket ökar komplexiteten i deras skadliga handlingar. Dessa angripare kan utnyttja AI för att automatisera sina attacker, undvika konventionella säkerhetssystem eller till och med simulera mänskligt beteende för att undkomma upptäckt.

Icke desto mindre är Siemens väl förberedd för detta invecklade scenario. Vi har upprättat stränga säkerhetsprotokoll för att säkerställa en säker och ansvarsfull tillämpning av AI. Vårt framåtblickande tillvägagångssätt hjälper till att upprätthålla integriteten i våra system och skydda oss från potentiella risker, vilket gör att vi kan utnyttja fördelarna med AI i vår cybersäkerhetsverksamhet.

Fördelarna med Siemens av AI är betydligt större än riskerna. Genom noggrann implementering och kontinuerlig övervakning minimerar vi dessa risker och förstärker fördelarna med AI. Följaktligen framträder AI som ett ovärderligt instrument som väsentligt förbättrar vår förmåga att avvärja säkerhetshot.