Esta página se muestra en español mediante traducción automática. ¿Deseas ver el contenido en inglés?
¿Ha sido útil esta traducción?
  1. Home
  2. Trust Center
  3. Gobernanza de la ciberseguridad

Gobernanza de la ciberseguridad

Siemens Industry Software Inc. y sus empresas afiliadas (SISW) se rigen por un marco de gobernanza, directrices y orientación eficientes para mitigar el riesgo.

La ciberseguridad es uno de los temas más importantes que impactan en el futuro, tanto para las empresas como para la sociedad. Es el requisito previo clave para que las organizaciones salvaguarden la infraestructura crítica, protejan la información confidencial y garanticen la continuidad del negocio. Como uno de los objetivos estratégicos de Siemens, la transformación digital solo tendrá éxito si podemos confiar en la seguridad de los datos y los sistemas conectados. La ciberseguridad tiene un tremendo impacto en nuestros clientes y es requerida por muchas leyes y regulaciones internacionales y nacionales. Esto hace que la ciberseguridad sea una prioridad para Siemens.

La organización de ciberseguridad de Siemens Industry Software Inc. y sus empresas afiliadas (SISW) se esfuerza por proteger la información de nuestros clientes que reside o es procesada por productos, soluciones y servicios de SISW. Logramos esto asegurando que dichos productos, soluciones y servicios cumplan con las prácticas de ingeniería generalmente aceptadas para la seguridad de productos y soluciones, incluidas las mejores prácticas de defensa cibernética, como las operaciones de detección de amenazas y la reducción de la superficie de ataque.

Áreas de interés fundamentales para la FISW

Gestión de la ciberseguridad

Responsabilidades de alto nivel

Dada la importancia de la ciberseguridad, el Director de Seguridad de la Información (CISO) de SISW depende directamente del CEO de SISW y a través del Director Global de Ciberseguridad de Siemens.

La organización de Ciberseguridad Corporativa de Siemens y la organización de Ciberseguridad de SISW colaboran estrechamente como socios de confianza en beneficio de nuestros clientes y otras empresas de Siemens. Los expertos en seguridad de Siemens desarrollan y adoptan tecnologías, aprovechan la red interna y consultan con empresas homólogas para mejorar rutinariamente la resiliencia de Siemens a través de una responsabilidad clara y holística. Nos basamos en una cultura de propiedad para todos los aspectos de la ciberseguridad. Todo esto le da a Siemens una amplia base para protegerse a sí misma, a sus clientes y a la sociedad en general.

trust-center-cybersecurity-governance-is890155348-mhero-1280x720

Certificaciones, atestados, etiquetas e informes

Estas son las certificaciones, atestados, etiquetas e informes en poder de DI SW.

Certificación ISO 27001/17/18

Certificación ISO 27001/17/18

ISO 27001 es la norma internacional que describe las mejores prácticas para un Sistema de Gestión de Seguridad de la Información (SGSI).

La obtención de la certificación y acreditación ISO 27001 demuestra que nuestra organización sigue las mejores prácticas de seguridad de la información (SI). También proporciona un experto independiente que verifica que la SI se gestiona de acuerdo con la práctica internacional y los objetivos comerciales.

El compromiso de la SISW con la seguridad de la información se pone de manifiesto en los certificados ISO 27001 que se enumeran a continuación y en los anexos 27017 y 27018.

ISO 27001

ISO 27017

ISO 27018

Alianza de seguridad en la nube (CSA)

Siemens apoya a la CSA, una organización global líder dedicada a las mejores prácticas para la computación segura en la nube. Siemens ha sido etiquetado como "Proveedor de nube de confianza" por CSA, y las ofertas de SISW han alcanzado el nivel uno de seguridad, confianza, garantía y riesgo (STAR) de CSA, lo que afirma nuestra alineación con las prácticas de seguridad de CSA.

Las evaluaciones detalladas de SISW se comparten a continuación.

Alianza de seguridad en la nube

Registro de CSA de XaaS de

SISW Registro de CSA de SISW MindSphere

Cyber Essentials Plus (CE Plus)

Cyber Essentials Plus (CE Plus) es la verificación de terceros de la implementación de Cyber Essentials, un esquema respaldado por el gobierno del Reino Unido que se utiliza para ayudar a proteger a una organización contra una variedad de los ataques cibernéticos más comunes.

Certificación CE Plus

Siemens CE Plus

SOC 2®

SOC 2® es una evaluación de control de la organización de servicios relevante para la seguridad, la disponibilidad, la integridad del procesamiento, la confidencialidad o la privacidad.

Los informes SOC 2® de SISW son certificaciones certificadas destinadas a proporcionar información detallada y seguridad a nuestros clientes. Esta información se refiere a los controles dentro de SISW relacionados con la seguridad, la disponibilidad y la integridad del procesamiento de todos los sistemas involucrados en la prestación de servicios y el procesamiento de datos de clientes. También afirma la confidencialidad y privacidad de la información procesada por los sistemas SISW.

Informes SOC 2® se pueden solicitar a través de su contacto de ventas de SISW y estarán disponibles después de que se haya establecido un acuerdo de confidencialidad / no divulgación adecuado.

SOC 3®

El informe de servicios de confianza SOC 3® para organizaciones de servicios proporciona criterios para la presentación de informes de uso general.

Estos informes se pueden distribuir libremente y se han diseñado para satisfacer la brecha de conocimiento en los usuarios que requieren garantías sobre seguridad, disponibilidad y privacidad, pero que no pueden aplicar de manera efectiva la información contenida en un informe SOC 2®. Los informes SOC 3® también son suficientes para los usuarios y los casos de uso en los que no se requiere la información detallada de un informe SOC 2®.

Informe de Servicios de Confianza SISW SOC 3® para Organizaciones de Servicios

El Intercambio de Evaluación de Seguridad de la Información de Confianza (TISAX)

TISAX es una evaluación de seguridad de la información para los mecanismos de intercambio de datos entre empresas de la industria automotriz.

La etiqueta TISAX confirma que un tercero aprobado ha evaluado que el sistema de gestión de seguridad de la información de una empresa cumple con los objetivos de seguridad definidos. En nuestros esfuerzos por facilitar el trabajo de nuestros clientes de la industria automotriz, SISW ha buscado etiquetas TISAX para ciertos sistemas e instalaciones necesarios para dichos intercambios de datos.

TISAX

Más instrucciones sobre cómo acceder a las certificaciones SISW TISAX relevantes están disponibles aquí.

Marco de la política de ciberseguridad

SISW ha establecido un Sistema de Gestión de Seguridad de la Información (SGSI) que se ajusta a la visión del Marco de Políticas de Ciberseguridad de Siemens y prescribe las políticas, los controles y la asignación de responsabilidades que permiten a SISW cumplir con las expectativas de los clientes en materia de ciberseguridad y satisfacer los requisitos de las certificaciones y certificaciones enumeradas anteriormente.

El núcleo del SGSI es el Manual del Programa de Seguridad de la Información de SISW, que proporciona nuestro enfoque de gestión para el programa de seguridad de la información de SISW para ofertas y actividades relacionadas. El manual describe el enfoque de SISW para establecer y mantener un programa de gobernanza de la seguridad de la información que garantice la confidencialidad, integridad, disponibilidad y privacidad de los recursos de información.

El SGSI también establece un conjunto de políticas, bajo la gobernanza del Consejo de Seguridad de la Información (ISC) de la SISM, para garantizar el compromiso con el programa de seguridad de la información, los objetivos del programa y la aplicación del programa.

Seguridad de productos y soluciones (PSS)

Los productos, soluciones y servicios de SISW contienen importantes componentes relacionados con el software y la TI, que pueden estar sujetos a requisitos de seguridad normativos en rápido desarrollo.

La iniciativa PSS de Siemens se estableció para ayudar a garantizar que los productos, soluciones y servicios que vendemos permitan a nuestros clientes ejecutar sus procesos en un entorno seguro. SISW asigna un Oficial de Seguridad de Productos y Soluciones (PSSO) a cada línea de productos para asegurarse de que esta iniciativa se implemente y monitoree durante todo el ciclo de desarrollo.

Con este fin, Siemens establece requisitos vinculantes para PSS y recomendaciones para su implementación. La mejora continua y el aprendizaje son requisitos previos fundamentales para la realización exitosa de PSS.

Concienciación sobre ciberseguridad

Crear una conciencia común entre los empleados es crucial para garantizar el cumplimiento de las iniciativas de ciberseguridad y mantener altos niveles de seguridad y protección. Esto significa crear una cultura consciente de los riesgos y proporcionar oportunidades de formación y educación continuas para las personas de toda la organización.

Siemens SISW ofrece a los empleados varias actividades y vías de aprendizaje y desarrollo, entre las que se incluyen:

• Una campaña de concienciación global obligatoria para proporcionar a los empleados información sobre temas de ciberseguridad. Estas sesiones de capacitación están basadas en la web, sin barreras y en varios idiomas. Además, contamos con capacitación de "Licencia de conducir" para grupos de roles específicos. Esta formación obligatoria permite al grupo aplicar las directrices de seguridad de Siemens.

• Se ofrece capacitación adicional en seguridad obligatoria de SISW para PSSO y capacitación específica de seguridad en la nube para los desarrolladores involucrados en la creación de contenido.

• Siemens ofrece numerosos cursos de formación y oportunidades de aprendizaje para los empleados de forma voluntaria, que se actualizan periódicamente. Estos módulos de formación van desde conocimientos básicos hasta áreas específicas y especializadas como PSS.

Monitorización del estado de la ciberseguridad

SISW ha implementado una plataforma que proporciona una visión general de nuestra postura de ciberseguridad, incluida información sobre posibles vulnerabilidades, amenazas y registros de seguridad.

La supervisión de los entornos y registros relevantes permite:

• Notificación de eventos relacionados con la seguridad;

• Visión general centralizada de la información de la cuenta (recursos y activos);

• Validación de posturas, alertas y prácticas de seguridad en la nube designadas; y

• Ejecución de decisiones empresariales informadas y específicas basadas en la seguridad.

trust-center-cybersecurity-governance-status-monitoring-is808157766-mhero-1280x720

Fundamentos del proceso certificado

SISW mantiene un Sistema de Gestión de Calidad (SGC) con certificación ISO 9001 diseñado para incorporar controles de seguridad en el Ciclo de Vida de Desarrollo Seguro (SDLC) de los productos SISW y la integración de proveedores externos para controlar la calidad de los entregables. El SGC ejecuta puertas en los principales puntos de control para validar que los controles de seguridad y los KPI de calidad se han ejecutado correctamente.

Visión de calidad

Gestión de riesgos de ciberseguridad

Los procesos de gestión de riesgos de ciberseguridad forman parte de la estrategia de gestión de riesgos empresariales (ERM) de Siemens. El objetivo principal de ERM es permitir a Siemens identificar y minimizar los posibles riesgos de seguridad en función de los estándares internacionales.

proceso de gestión de riesgos de ciberseguridad de Siemens se centra en la notificación y gestión de riesgos en los siguientes ámbitos:

• Clasificación y protección de activos para TI, documentos e información;

• Análisis de amenazas y riesgos para productos, soluciones y servicios;

• Manejo de excepciones para desviaciones temporales de los requisitos; y

• Gestión de riesgos de proveedores de ciberseguridad, como se describe a continuación.

trust-center-cybersecurity-risk-management-is1015220836-mhero-1280x720

Gestión de riesgos de proveedores de ciberseguridad

Los riesgos de ciberseguridad deben gestionarse a lo largo de toda la cadena de suministro. Siemens considera este tema de manera holística, incluyendo TI, OT y PSS, para la adquisición de componentes, productos y servicios horizontales y verticales.

Las principales actividades para mejorar el nivel de ciberseguridad a lo largo de la cadena de suministro incluyen:

• Transparencia con respecto a la exposición al riesgo de ciberseguridad a lo largo de la cadena de suministro;

• Prácticas sistemáticas de gestión de riesgos respaldadas por la metodología de evaluación de proveedores externos y las herramientas y plantillas correspondientes para los requisitos contractuales de ciberseguridad a los proveedores;

• Participación activa en diversas comunidades de expertos; y

• Campañas periódicas de formación y sensibilización para diversos grupos destinatarios y casos de uso.