Cybersecurity Governance

ISO 27001, Bilgi Güvenliği Yönetim Sistemi (ISMS) için en iyi uygulamaları tanımlayan uluslararası standarttır.

ISO 27001 sertifikasına sahip olmak, kuruluşumuzun bilgi güvenliği en iyi uygulamalarını takip ettiğini ve bilgi güvenliğinin uluslararası en iyi uygulamalar ve iş hedefleri doğrultusunda yönetildiğine dair bağımsız bir uzman doğrulaması sağladığını gösterir.

Siemens Cybersecurity Governance for Cybersecurity Governance, Kasım 2017'den bu yana ISO 27001 sertifikasına sahiptir.

Kasım 2023'ten bu yana yeni ISO 27001:2022 standardına göre sertifikalandırıldık.

• Sertifika indir
• Sistem Sertifikaları hakkında daha fazla bilgi edinin

Siemens'i korumak için sağlam bir mimari aracılığıyla esnek, veri odaklı bir Siber Güvenlik Güvenliği sağlama konusunda tutkuluyuz.

Bunu başarmak için, Siber Güvenlik stratejimizi projede uyguluyor ve yeni oluşturulan Kurumsal Mimari hizmetini kullanarak stratejik hedeflerimizi bir hedef mimariye haritalamak için tüm Siber Güvenliği uygulama çabalarında rehberlik ediyoruz.

Projenin ana hedefleri şunlardır: Otomasyon ve verimlilik önlemleri yoluyla kaynak kullanımını kolaylaştırmak, Siemens genelinde siber güvenlik risklerinin görünürlüğünü ve şeffaflığını artırmak ve reaktif ve proaktif risk azaltmayı güçlendirmek için veri odaklı karar vermekten yararlanmak.

Proje kurulumumuz beş iş akışında yapılandırılmıştır:

• Kavram ve süreçler:

  Amacımız, Siemens Cybersecurity bünyesindeki mimari sürecini tanımlamak ve sürdürmek, stratejimiz ve portföyümüz ile entegre olduğundan emin olmaktır. Yetenekler, uygulamalar, girdiler, çıktılar ve bağımlılıklar dahil olmak üzere veri odaklı siber güvenlik mimarimizin yapı taşlarını tanımlamak için.

• Governance:

  Siber güvenlik verilerinin otomatik siber güvenlik riski tanımlama ve değerlendirmesini sağlamak, azaltılması için karar vermeyi güçlendirmek ve politika uyumluluğunu artırmak için nasıl birleştirilebileceğini tanımlamayı amaçlıyoruz.

• Durumsal farkındalık:

  Amacımız, EA projesinin ön saflarında yer almak ve kullanıcı beklentilerini toplamak ve son kullanıcıların günlük işleyişini geliştirmek için bütünsel risk duruşu sağlamaktır.

• Güvenlik istihbaratı:

  Karar vermeyi güçlendirerek Siemens siber güvenlik risklerini otomatik olarak tanımlama ve azaltma sağlayan yapay zeka destekli ve veri odaklı bir karar noktası uygulamayı hedefliyoruz.

• Veri:

  Workstream Data, verilerin şeffaflığını sağlayarak, veri çoğaltılmasını önleyerek ve ekiplere veri stratejileri için rehberlik sağlayarak Siber Güvenliğin veri odaklı bir yaklaşım benimsemesine yardımcı olur.

Siber Güvenlik Politikası Çerçevesi Siemens ve bağlı şirketleri için geçerlidir. Özellikle, belirli politikalarda, standartlarda ve temel çizelgelerde belirtilen siber güvenlik gereksinimlerini içerir.

Tüm politikalar ISO 2700x veya IEC 62443 gibi ilgili endüstri standartlarına dayanmaktadır. Diğer önemli standartlara uyumu sağlamak için bunlara yapılan referanslar da yönetilir. İlgili standartların listesi, örneğin NIST 800-53, EBA'dan ICT ve güvenlik risk yönetimi kılavuzlarını ve diğerlerini içerir.

Siemens ürünleri, çözümleri ve hizmetleri, birçok durumda kritik altyapılar bağlamında kullanılan ve siber tehditlere daha fazla maruz kalabilecek önemli miktarda yazılım ve BT ile ilgili bileşenler içerir. Mevzuat ve müşteriye özel güvenlik gereksinimleri artıyor ve Siemens tarafından ele alınması gerekiyor.

Rekabetçi ve güvenilir kalmak için Siemens çapında PSS Girişimi, sattığımız ürünlerin, çözümlerin ve hizmetlerin müşterilerimizin tesislerini güvenli bir ortamda çalıştırmalarını sağlamasına yardımcı olmak amacıyla kurulmuştur.

Bu amaçla PSS için bağlayıcı gereklilikler ve uygulama önerileri mevcuttur. Sürekli iyileştirme ve sürekli öğrenme, başarılı bir şekilde gerçekleştirilmesi için temel ön koşullardır.

Siber güvenliğin temel yönleriyle ilgili tüm çalışanlar arasında ortak bir farkındalık ve anlayış oluşturmak ve siber güvenlikle ilgili roller için özel özel eğitim sağlamak hayati önem taşımaktadır.. Müşterilerimizin Siemens'in teknoloji ve güvenlik açısından son teknoloji ürün, çözüm ve hizmetlerine yönelik beklentilerine cevap vermek ve şirketimizde siber güvenlik bilincini sürekli artırarak ve çalışanlarımızın tüm değer zincirinin her faaliyet, adımı ve sürecinde siber güvenliği dikkate almalarını sağlayarak bu kaliteyi sunma yeteneğini sağlamak için çeşitli faaliyetler oluşturduk. Örneğin:

• Tüm çalışanlara genel ve önemli siber güvenlik konularıyla ilgili bilgi sağlamak amacıyla zorunlu bir küresel farkındalık kampanyası. Bu eğitim oturumları web tabanlı, engelsiz ve çok dilli. Ek olarak, role özgü bir grup için “Sürücü Belgesi” eğitimimiz var. Bu eğitim zorunludur ve role özel grubun tüm Siemens IT/OT güvenlik yönergelerini uygulamasını sağlar. Başarılı bir şekilde tamamlandıktan sonra katılımcılar iki yıl geçerli bir sertifika alırlar.
• Ayrıca, tüm Siemens çalışanları için sürekli güncellenen çeşitli eğitim kursları ve öğrenme fırsatları sunuyoruz. Bunlara gönüllü olarak erişilebilir. Bu eğitim sadece temel bilgiler için değil, aynı zamanda Ürün ve Çözüm Güvenliği gibi belirli ve özel alanlar içindir.
• Sürekli öğrenmenin başarının anahtarı olduğuna inanıyoruz ve bu nedenle çalışanlarımızı eğitmek ve güncellemek için sürekli yeni yollar arıyoruz.

Her zaman genel bir bakış sağlayın: Bunu başarmaya yardımcı olmak için, Siemens'deki siber güvenlik verilerine ve süreçlerine bütünsel bir bakış sunan 'CyberMart' adlı dahili bir siber güvenlik platformu sağlıyoruz.

Sağlayarak bilinçli ve hedefli iş kararları sağlar

• siber güvenlikle ilgili bilgileri işleyen güvenli uygulamalar için platform,
• siber güvenlikle ilgili veriler için güvenli veri havuzu ve
• güvenlik süreçlerine ilişkin vade ve durum raporlaması (örneğin, varlık koruması, istisna işleme).

Bu platformun bir parçası, aşağıdakileri sağlayan bir siber güvenlik panosudur. Siber güvenlik operasyonel durumunun yanı sıra stratejik veri noktalarına genel bakış. Bu bilgiler, Siemens Yönetim Kurulu ve Siemens Denetim Kurulu'na düzenli iç yönetim raporlamasının temelini oluşturur.

Siemens Kurumsal Risk Yönetimi'nin (ERM) bir parçası olan Siber Güvenlik Risk Yönetimi'nin temel amacı, Siemens'in siber güvenlik riskleri konusunda şeffaflık elde etmesini ve bunları kabul edilebilir bir seviyede yeterli bir şekilde yönetmesini sağlamaktır.
Siemens Siber Güvenlik Risk Yönetimi çerçevesi uluslararası standartlara (ISO/IEC 27005 ve ISF IRAM2) dayanmaktadır, operasyonel ve işletmeye kadar tüm seviyeleri dikkate alır ve ayrıca yerleşik ERM süreçleri ve rolleri kullanır.
ERM düzeyine kadar raporlanan ve yönetilen siber güvenlik riskleri aşağıdaki süreçlerde tanımlanır ve ilgili araçlar dahilinde yönetilir:

• Genel Siber Güvenlik Risk Yönetimi süreci
• BT ve belge ve bilgi varlıkları için Varlık Sınıflandırma ve Koruma süreci
• Ürünler, çözümler ve hizmetler için Tehdit ve Risk Analizi
• Siemens siber güvenlik çerçevesinden geçici sapmalar için İstisna İşleme süreci
• Siber Güvenlik Tedarikçisi Risk Yönetimi

Siber Güvenlik Tedarikçisi Risk Yönetimi:

Siber güvenlik riskleri tüm tedarik zinciri boyunca yönetilmelidir. Siemens, yatay ve dikey bileşen, ürün ve hizmet tedariki için BT, OT ve PSS dahil olmak üzere bu konuyu bütünsel olarak ele alıyor. Bu nedenle tedarik zinciri boyunca siber güvenlik seviyesini iyileştirmeye yönelik başlıca faaliyetler şunlardır:

• Tedarik zinciri boyunca siber güvenlik riskine maruz kalma konusunda şeffaflık
• Üçüncü taraf tedarikçi değerlendirme metodolojisi, tedarikçilere sözleşmeli siber güvenlik gereksinimleri için ilgili araçlar ve şablonlar tarafından desteklenen sistematik risk yönetimi uygulamaları
• “Dijital tedarik zinciri boyunca sorumluluk” ve çeşitli uzman topluluklarının yanı sıra 2. ilkeyi yönlendiren Güven Şartı kapsamında aktif katılım
• Çeşitli hedef gruplara ve kullanım senaryolarına yönelik düzenli eğitimler ve bilinçlendirme kampanyaları

Bilgi Güvenliği Olayı Nedir?

Bilgi Güvenliği Olayı şu şekilde tanımlanır: Sınıflandırmasına göre bilginin gizliliğinin, bütünlüğünün ve/veya kullanılabilirliğinin doğrudan veya dolaylı olarak tehlikeye atılması (ISO27001 ve NIST 800-61 rev2'ye göre). Olay örnekleri şunları içerir, ancak bunlarla sınırlı değildir:

1. Bir sisteme veya verilerine yetkisiz erişim elde etmek için başarılı girişimler
2. Hizmet kesintisi veya reddi
3. Verilerin işlenmesi veya depolanması için bir sistemin yetkisiz kullanımı
4. Sahibinin bilgisi, talimatı veya izni olmadan sistem donanımı, ürün yazılımı veya yazılım özelliklerinde yapılan değişiklikler

Olay Müdahalesi

Cyber Security Olaylarının derinlemesine analizini yapıyoruz. Bunu başarmak için, müdahale faaliyetlerini koordine etmek ve düzeltme görevlerinin uygun şekilde muhafaza edilmesini ve başlatılmasını sağlamak için iş sorumlusu, iç ve dış Olay muhabirleri ve paydaşlarla işbirliği yapıyoruz. Ayrıca, ciddi ve karmaşık olayların organizasyonel ve iletişim yönleri konusunda destek veren Olay Proje yöneticisi sağlıyoruz.

Olay İşleme Süreci

• Algılama

  Gizlilikten, bütünlüğün ve/veya bilginin kullanılabilirliğinden ödün vermek.

• Yanıtla

  Saldırıyı analiz edin ve karşı önlemler başlatın.

• Düzeltmek

  İçerik: Kötü amaçlı etkinliği sınırlayın, Azaltın: Daha fazla hasarı önleyin, Onarın: Düzeltin ve tekrarlanmasını önleyin

• Kurtarmak

  Etkilenen sistemlerin bütünlüğünü bozulmamış bir çalışma durumuna geri getirin.

Security tehditleri sektörü harekete geçmeye zorluyor.

Tüm değer zincirlerini manipüle edebilen siber suçluların saldırıları genellikle yalnızca üretim kesintilerine değil, aynı zamanda imajınıza da önemli ölçüde zarar verir. Operasyonel teknolojinizi (OT) mümkün olan en iyi şekilde korumak için, varlıklarınızın riske maruz kalması konusunda şeffaflık sağlamak gerekir. Bu, siber güvenlik tehditlerinin önemli hasara neden olmadan tanımlanmasını ve ortadan kaldırılmasını sağlar. Üretim süreçleriniz için daha fazla siber güvenlik sağlıyoruz. Bütünsel yaklaşımımız, kötü aktörler tarafından istismar edilmeden önce prosedürel güvenlik boşluklarını ve teknik güvenlik açıklarını belirlemek için tasarlanmıştır.

Daha fazla bilgi

Yapay zeka, Siemens'in siber güvenlik çabalarında çok önemli bir işleve hizmet ediyor. Ağımız ve sistemlerimizdeki anormallikleri tespit ederek güvenlik tehditlerini dinamik olarak tanımlar ve önler. Güvenlik ihlallerine karşı bu acil eylem, potansiyel zararı azaltmaya yardımcı olur.

Dahası, AI sıradan görevleri otomatikleştirerek siber güvenlik prosedürlerimizin etkinliğini artırır. Bu otomasyon, güvenlik ekiplerimizin daha karmaşık ve acil konulara konsantre olmasını sağlar. Ek olarak, yapay zeka, kullanıcı davranış analizine dayalı özelleştirilmiş güvenlik protokolleri oluşturarak Siemens içindeki her bölüm için kesin bir güvenlik stratejisi geliştirir.

Avantajlarına rağmen, yapay zekanın siber saldırganlar için de bir araç olabileceğini ve kötü amaçlı eylemlerinin karmaşıklığını artırabileceğini belirtmek önemlidir. Bu saldırganlar, saldırılarını otomatikleştirmek, geleneksel güvenlik sistemlerinden kaçmak ve hatta algılamadan kaçmak için insan davranışını simüle etmek için yapay zekayı kullanabilir.

Bununla birlikte, Siemens bu karmaşık senaryo için iyi hazırlanmış durumda. Yapay zekanın güvenli ve sorumlu bir şekilde uygulanmasını sağlamak için sıkı güvenlik protokolleri oluşturduk. İleri görüşlü yaklaşımımız, sistemlerimizin bütünlüğünü korumaya ve bizi potansiyel risklerden korumaya yardımcı olur, böylece siber güvenlik operasyonlarımızda yapay zekanın avantajlarından yararlanmamızı sağlar.

Siemens'in yapay zekadan elde ettiği faydalar risklerden daha ağır basıyor. Titiz uygulama ve sürekli gözetim yoluyla, bu riskleri en aza indiriyoruz ve yapay zekanın faydalarını artırıyoruz. Sonuç olarak, AI, güvenlik tehditlerini önleme yeteneğimizi önemli ölçüde artıran paha biçilmez bir araç olarak ortaya çıkıyor.