Questa pagina è visualizzata in italiano grazie alla traduzione automatica. Visualizzare la versione in inglese?
Questa traduzione è stata utile?
  1. Home
  2. Trust Center
  3. Governance della sicurezza informatica

Governance della sicurezza informatica

Siemens Industry Software e le sue società affiliate (SISW) si attengono a un efficiente quadro di governance della sicurezza informatica, a linee guida e orientamenti per la mitigazione dei rischi.

La sicurezza informatica è una delle questioni più importanti per il futuro, sia per le aziende che per la società. È il prerequisito fondamentale per le organizzazioni per salvaguardare l'infrastruttura critica, proteggere le informazioni sensibili e garantire la continuità aziendale. Come uno degli obiettivi strategici di Siemens, la trasformazione digitale avrà successo solo se potremo fare affidamento sulla sicurezza dei dati e sui sistemi connessi. La sicurezza informatica ha un enorme impatto sui nostri clienti ed è richiesta da molte leggi e regolamenti internazionali e nazionali. Questo rende la sicurezza informatica una priorità assoluta per Siemens.

Siemens Industry Software Inc. e le sue società affiliate (SISW) si impegnano a proteggere le informazioni dei nostri clienti che risiedono o vengono elaborate da prodotti, soluzioni e servizi SISW. A tal fine, garantiamo che tali prodotti, soluzioni e servizi soddisfino le pratiche ingegneristiche generalmente accettate per la sicurezza dei prodotti e delle soluzioni, comprese le best practice di difesa informatica come le operazioni di rilevamento delle minacce e la riduzione della superficie di attacco.

Aree di interesse fondamentali per SISW

Gestione della sicurezza informatica

Responsabilità di alto livello

Data l'importanza della sicurezza informatica, il Chief Information Security Officer (CISO) di SISW riferisce direttamente al CEO di SISW e tramite il Global Chief Cybersecurity Officer di Siemens.

L'organizzazione Corporate Cybersecurity di Siemens e l'organizzazione SISW Cybersecurity collaborano strettamente come partner di fiducia a beneficio dei nostri clienti e delle altre aziende Siemens. Gli esperti di sicurezza di Siemens sviluppano e adottano tecnologie, sfruttano la rete interna e si consultano con aziende simili per migliorare regolarmente la resilienza di Siemens attraverso una responsabilità chiara e olistica. Ci affidiamo a una cultura della proprietà per tutti gli aspetti della sicurezza informatica. Tutto ciò fornisce a Siemens un'ampia base per proteggere se stessa, i suoi clienti e la società in generale.

trust-center-cybersecurity-governance-is890155348-mhero-1280x720

Certificazioni, attestazioni, etichette e report

Queste sono le certificazioni, le attestazioni, le etichette e i rapporti detenuti da DI SW.

Certificazione ISO 27001/17/18

Certificazione ISO 27001/17/18

ISO 27001 è lo standard internazionale che descrive le migliori pratiche per un sistema di gestione della sicurezza delle informazioni (ISMS).

L'ottenimento della certificazione e dell'accreditamento ISO 27001 dimostra che la nostra organizzazione segue le migliori pratiche di sicurezza delle informazioni (IS). Fornisce inoltre una verifica da parte di esperti indipendenti che attestino che l'IS è gestito in linea con la prassi internazionale e gli obiettivi aziendali.

L'impegno di SISW per la sicurezza delle informazioni è testimoniato dai certificati ISO 27001 elencati di seguito e dagli addendum 27017 e 27018.

ISO 27001

ISO 27017

ISO 27018

Cloud Security Alliance (CSA)

Siemens supporta CSA, un'organizzazione leader a livello globale dedicata alle best practice per il cloud computing sicuro. Siemens è stata etichettata come "Trusted Cloud Provider" da CSA e le offerte SISW hanno raggiunto il livello CSA Security, Trust, Assurance and Risk (STAR) Level, One, che conferma il nostro allineamento con le pratiche di sicurezza CSA.

Le valutazioni dettagliate di SISW sono condivise di seguito.

Cloud Security Alliance

Registro SISW XaaS CSA

Registro SISW MindSphere CSA

Cyber Essentials Plus (CE Plus)

Cyber Essentials Plus (CE Plus) è la verifica di terze parti dell'implementazione di Cyber Essentials, uno schema sostenuto dal governo del Regno Unito utilizzato per proteggere un'organizzazione da una serie di attacchi informatici più comuni.

CE Plus

Siemens Certificazione CE Plus

SOC 2®

SOC 2® è una valutazione del controllo dell'organizzazione del servizio rilevante per la sicurezza, la disponibilità, l'integrità dell'elaborazione, la riservatezza o la privacy.

I report SOC 2® di SISW sono attestazioni certificate destinate a fornire informazioni dettagliate e garanzie ai nostri clienti. Queste informazioni si riferiscono ai controlli all'interno di SISW relativi alla sicurezza, alla disponibilità e all'integrità dell'elaborazione di tutti i sistemi coinvolti nella fornitura del servizio e nell'elaborazione dei dati dei clienti. Afferma inoltre la riservatezza e la riservatezza delle informazioni trattate dai sistemi SISW.

report SOC 2® possono essere richiesti tramite il proprio contatto di vendita SISW e saranno resi disponibili dopo che sarà stato stipulato un adeguato accordo di riservatezza/non divulgazione.

SOC 3®

SOC 3® Trust Services Report for Services Organizations fornisce i criteri per la creazione di report sull'uso generale.

Questi report possono essere distribuiti liberamente e sono stati progettati per colmare le lacune di conoscenza degli utenti che richiedono garanzie di sicurezza, disponibilità e privacy, ma non possono applicare efficacemente le informazioni contenute in un report SOC 2®. I report SOC 3® sono sufficienti anche per gli utenti e i casi d'uso quando non sono richieste le informazioni approfondite di un report SOC 2®.

Rapporto sui servizi fiduciari SISW SOC 3® per le organizzazioni di servizi

Il Trusted Information Security Assessment Exchange (TISAX)

TISAX è una valutazione della sicurezza delle informazioni per i meccanismi di scambio di dati tra le aziende dell'industria automobilistica.

Il marchio TISAX conferma che una terza parte approvata ha valutato il sistema di gestione della sicurezza delle informazioni di un'azienda come conforme agli obiettivi di sicurezza definiti. Nei nostri sforzi per facilitare il lavoro dei nostri clienti dell'industria automobilistica, SISW ha perseguito l'acquisizione di etichette TISAX per alcuni sistemi e strutture necessarie per tali scambi di dati.

TISAX

Ulteriori istruzioni su come accedere alle certificazioni SISW TISAX pertinenti sono disponibili qui.

Quadro strategico per la cibersicurezza

SISW ha istituito un sistema di gestione della sicurezza delle informazioni (ISMS) che si inserisce nella visione del Siemens Cybersecurity Policy Framework e prescrive le politiche, i controlli e l'assegnazione delle responsabilità che consentono a SISW di soddisfare le aspettative dei clienti in materia di sicurezza informatica e di soddisfare i requisiti delle certificazioni e degli attestati sopra elencati.

Il fulcro dell'ISMS è il Manuale del programma di sicurezza delle informazioni SISW, che fornisce il nostro approccio di gestione al programma di sicurezza delle informazioni di SISW per le offerte e le attività correlate. Il manuale descrive l'approccio di SISW alla creazione e al mantenimento di un programma di governance della sicurezza delle informazioni che garantisca la riservatezza, l'integrità, la disponibilità e la privacy delle risorse informative.

L'ISMS stabilisce inoltre una serie di politiche, sotto la governance del Consiglio per la sicurezza delle informazioni (ISC) del SISW, per garantire l'impegno nei confronti del programma di sicurezza delle informazioni, degli obiettivi del programma e dell'applicazione del programma.

Sicurezza dei prodotti e delle soluzioni (PSS)

I prodotti, le soluzioni e i servizi di SISW contengono importanti componenti software e IT, che possono essere soggetti a requisiti di sicurezza normativi in rapida evoluzione.

L'iniziativa PSS di Siemens è stata istituita per contribuire a garantire che i prodotti, le soluzioni e i servizi che vendiamo consentano ai nostri clienti di eseguire i loro processi in un ambiente sicuro. SISW assegna un Product and Solutions Security Officer (PSSO) a ciascuna linea di prodotti per verificare che questa iniziativa venga implementata e monitorata durante tutto il ciclo di sviluppo.

A tal fine, all'interno di Siemens sono in vigore requisiti vincolanti per il PSS e raccomandazioni per l'implementazione. Il miglioramento continuo e l'apprendimento sono presupposti fondamentali per il successo della realizzazione del PSS.

Consapevolezza della sicurezza informatica

Creare una consapevolezza comune tra i dipendenti è fondamentale per garantire l'adesione alle iniziative di sicurezza informatica e mantenere elevati livelli di sicurezza. Ciò significa creare una cultura consapevole del rischio e fornire opportunità di formazione e istruzione continue per gli individui in tutta l'organizzazione.

Siemens SISW offre ai dipendenti diverse attività e percorsi di apprendimento e sviluppo, tra cui:

• Una campagna di sensibilizzazione globale obbligatoria per fornire ai dipendenti informazioni sui temi della sicurezza informatica. Queste sessioni di formazione sono basate sul web, prive di barriere architettoniche e multilingue. Inoltre, abbiamo una formazione "Patente di guida" per gruppi specifici per ruolo. Questa formazione obbligatoria consente al gruppo di applicare le linee guida di sicurezza di Siemens.

• Viene offerta un'ulteriore formazione sulla sicurezza obbligatoria SISW per i PSSO e una formazione specifica sulla sicurezza del cloud per gli sviluppatori coinvolti nella creazione di contenuti.

• Siemens offre numerosi corsi di formazione regolarmente aggiornati e opportunità di apprendimento per i dipendenti su base volontaria. Questi moduli di formazione spaziano dalle conoscenze di base ad aree specifiche e specializzate come il PSS.

Monitoraggio dello stato della sicurezza informatica

SISW ha implementato una piattaforma che fornisce una panoramica della nostra posizione di sicurezza informatica, inclusi approfondimenti su potenziali vulnerabilità, minacce e registri di sicurezza.

Il monitoraggio degli ambienti e dei log rilevanti consente:

• Notifica di eventi relativi alla sicurezza;

• Panoramica centralizzata delle informazioni sul conto (risorse e asset);

• Convalida delle posture, degli avvisi e delle pratiche di sicurezza del cloud designate; e

• Esecuzione di decisioni aziendali informate e mirate basate sulla sicurezza.

trust-center-cybersecurity-governance-status-monitoring-is808157766-mhero-1280x720

Fondamenti di processo certificati

SISW mantiene un sistema di gestione della qualità (QMS) certificato ISO 9001 progettato per incorporare i controlli di sicurezza nel ciclo di vita dello sviluppo sicuro (SDLC) dei prodotti SISW e l'integrazione di fornitori di terze parti per controllare la qualità dei deliverable. Il SGQ esegue i controlli ai principali punti di controllo per convalidare che i controlli di sicurezza e i KPI di qualità siano stati eseguiti correttamente.

Visione di qualità

Gestione dei rischi per la sicurezza informatica

I processi di gestione dei rischi di sicurezza informatica fanno parte della strategia di Enterprise Risk Management (ERM) di Siemens. L'obiettivo principale dell'ERM è quello di consentire a Siemens di identificare e ridurre al minimo i potenziali rischi per la sicurezza sulla base di standard internazionali.

processo di Cybersecurity Risk Management di Siemens si concentra sulla segnalazione e la gestione dei rischi all'interno di:

• Classificazione e protezione delle risorse IT, documenti e informazioni;

• Analisi delle minacce e dei rischi per prodotti, soluzioni e servizi;

• Gestione delle eccezioni per deviazioni temporanee dai requisiti; e

• Gestione del rischio dei fornitori di sicurezza informatica, come descritto di seguito.

trust-center-cybersecurity-risk-management-is1015220836-mhero-1280x720

Gestione del rischio dei fornitori di sicurezza informatica

I rischi per la sicurezza informatica devono essere gestiti lungo l'intera catena di approvvigionamento. Siemens considera questo argomento in modo olistico, includendo IT, OT e PSS, per l'approvvigionamento di componenti, prodotti e servizi orizzontali e verticali.

Le principali attività per migliorare il livello di cybersecurity lungo la supply chain includono:

• Trasparenza per quanto riguarda l'esposizione ai rischi di sicurezza informatica lungo la catena di fornitura;

• Pratiche sistematiche di gestione del rischio supportate da una metodologia di valutazione dei fornitori di terze parti e dai rispettivi strumenti e modelli per i requisiti contrattuali di sicurezza informatica ai fornitori;

• Partecipazione attiva a diverse comunità di esperti; e

• Regolari campagne di formazione e sensibilizzazione per vari gruppi target e casi d'uso.