Esta página se muestra en español mediante traducción automática. ¿Deseas ver el contenido en inglés?
¿Ha sido útil esta traducción?
  1. Home
  2. Trust Center
  3. Gobernanza de la ciberseguridad

Gobernanza de la ciberseguridad

Siemens Industry Software Inc. y sus empresas afiliadas (SISW) se rigen por un marco de gobernanza, directrices y orientación eficientes para mitigar el riesgo.

La ciberseguridad es uno de los temas más importantes que impactan en el futuro, tanto para las empresas como para la sociedad. Es el requisito previo clave para que las organizaciones salvaguarden la infraestructura crítica, protejan la información confidencial y garanticen la continuidad del negocio. Como uno de los objetivos estratégicos de Siemens, la transformación digital solo tendrá éxito si podemos confiar en la seguridad de los datos y los sistemas conectados. La ciberseguridad tiene un tremendo impacto en nuestros clientes y es requerida por muchas leyes y regulaciones internacionales y nacionales. Esto hace que la ciberseguridad sea una prioridad para Siemens.

La organización de ciberseguridad de Siemens Industry Software Inc. y sus empresas afiliadas (SISW) se esfuerza por proteger la información de nuestros clientes que reside o es procesada por productos, soluciones y servicios de SISW. Logramos esto asegurando que dichos productos, soluciones y servicios cumplan con las prácticas de ingeniería generalmente aceptadas para la seguridad de productos y soluciones, incluidas las mejores prácticas de defensa cibernética, como las operaciones de detección de amenazas y la reducción de la superficie de ataque.

Áreas de interés fundamentales para la FISW

Gestión de la ciberseguridad

Responsabilidades de alto nivel

Dada la importancia de la ciberseguridad, el Director de Seguridad de la Información (CISO) de SISW depende directamente del CEO de SISW y a través del Director Global de Ciberseguridad de Siemens.

La organización de Ciberseguridad Corporativa de Siemens y la organización de Ciberseguridad de SISW colaboran estrechamente como socios de confianza en beneficio de nuestros clientes y otras empresas de Siemens. Los expertos en seguridad de Siemens desarrollan y adoptan tecnologías, aprovechan la red interna y consultan con empresas homólogas para mejorar rutinariamente la resiliencia de Siemens a través de una responsabilidad clara y holística. Nos basamos en una cultura de propiedad para todos los aspectos de la ciberseguridad. Todo esto le da a Siemens una amplia base para protegerse a sí misma, a sus clientes y a la sociedad en general.

trust-center-cybersecurity-governance-is890155348-mhero-1280x720

Certificaciones, atestados, etiquetas e informes

En Siemens, contamos con procesos y controles para cumplir con varios certificados de seguridad y cumplimientos. Visite nuestra página de Certificados del sistema para obtener más detalles.

Ver certificados del sistema.

Marco de la política de ciberseguridad

SISW ha establecido un Sistema de Gestión de Seguridad de la Información (SGSI) que se ajusta a la visión del Marco de Políticas de Ciberseguridad de Siemens y prescribe las políticas, los controles y la asignación de responsabilidades que permiten a SISW cumplir con las expectativas de los clientes en materia de ciberseguridad y satisfacer los requisitos de las certificaciones y certificaciones enumeradas anteriormente.

El núcleo del SGSI es el Manual del Programa de Seguridad de la Información de SISW, que proporciona nuestro enfoque de gestión para el programa de seguridad de la información de SISW para ofertas y actividades relacionadas. El manual describe el enfoque de SISW para establecer y mantener un programa de gobernanza de la seguridad de la información que garantice la confidencialidad, integridad, disponibilidad y privacidad de los recursos de información.

El SGSI también establece un conjunto de políticas, bajo la gobernanza del Consejo de Seguridad de la Información (ISC) de la SISM, para garantizar el compromiso con el programa de seguridad de la información, los objetivos del programa y la aplicación del programa.

Seguridad de productos y soluciones (PSS)

Los productos, soluciones y servicios de SISW contienen importantes componentes relacionados con el software y la TI, que pueden estar sujetos a requisitos de seguridad normativos en rápido desarrollo.

La iniciativa PSS de Siemens se estableció para ayudar a garantizar que los productos, soluciones y servicios que vendemos permitan a nuestros clientes ejecutar sus procesos en un entorno seguro. SISW asigna un Oficial de Seguridad de Productos y Soluciones (PSSO) a cada línea de productos para asegurarse de que esta iniciativa se implemente y monitoree durante todo el ciclo de desarrollo.

Con este fin, Siemens establece requisitos vinculantes para PSS y recomendaciones para su implementación. La mejora continua y el aprendizaje son requisitos previos fundamentales para la realización exitosa de PSS.

Concienciación sobre ciberseguridad

Crear una conciencia común entre los empleados es crucial para garantizar el cumplimiento de las iniciativas de ciberseguridad y mantener altos niveles de seguridad y protección. Esto significa crear una cultura consciente de los riesgos y proporcionar oportunidades de formación y educación continuas para las personas de toda la organización.

Siemens SISW ofrece a los empleados varias actividades y vías de aprendizaje y desarrollo, entre las que se incluyen:

• Una campaña de concienciación global obligatoria para proporcionar a los empleados información sobre temas de ciberseguridad. Estas sesiones de capacitación están basadas en la web, sin barreras y en varios idiomas. Además, contamos con capacitación de "Licencia de conducir" para grupos de roles específicos. Esta formación obligatoria permite al grupo aplicar las directrices de seguridad de Siemens.

• Se ofrece capacitación adicional en seguridad obligatoria de SISW para PSSO y capacitación específica de seguridad en la nube para los desarrolladores involucrados en la creación de contenido.

• Siemens ofrece numerosos cursos de formación y oportunidades de aprendizaje para los empleados de forma voluntaria, que se actualizan periódicamente. Estos módulos de formación van desde conocimientos básicos hasta áreas específicas y especializadas como PSS.

Monitorización del estado de la ciberseguridad

SISW ha implementado una plataforma que proporciona una visión general de nuestra postura de ciberseguridad, incluida información sobre posibles vulnerabilidades, amenazas y registros de seguridad.

La supervisión de los entornos y registros relevantes permite:

• Notificación de eventos relacionados con la seguridad;

• Visión general centralizada de la información de la cuenta (recursos y activos);

• Validación de posturas, alertas y prácticas de seguridad en la nube designadas; y

• Ejecución de decisiones empresariales informadas y específicas basadas en la seguridad.

trust-center-cybersecurity-governance-status-monitoring-is808157766-mhero-1280x720

Fundamentos del proceso certificado

SISW mantiene un Sistema de Gestión de Calidad (SGC) con certificación ISO 9001 diseñado para incorporar controles de seguridad en el Ciclo de Vida de Desarrollo Seguro (SDLC) de los productos SISW y la integración de proveedores externos para controlar la calidad de los entregables. El SGC ejecuta puertas en los principales puntos de control para validar que los controles de seguridad y los KPI de calidad se han ejecutado correctamente.

Visión de calidad

Gestión de riesgos de ciberseguridad

Los procesos de gestión de riesgos de ciberseguridad forman parte de la estrategia de gestión de riesgos empresariales (ERM) de Siemens. El objetivo principal de ERM es permitir a Siemens identificar y minimizar los posibles riesgos de seguridad en función de los estándares internacionales.

proceso de gestión de riesgos de ciberseguridad de Siemens se centra en la notificación y gestión de riesgos en los siguientes ámbitos:

• Clasificación y protección de activos para TI, documentos e información;

• Análisis de amenazas y riesgos para productos, soluciones y servicios;

• Manejo de excepciones para desviaciones temporales de los requisitos; y

• Gestión de riesgos de proveedores de ciberseguridad, como se describe a continuación.

trust-center-cybersecurity-risk-management-is1015220836-mhero-1280x720

Gestión de riesgos de proveedores de ciberseguridad

Los riesgos de ciberseguridad deben gestionarse a lo largo de toda la cadena de suministro. Siemens considera este tema de manera holística, incluyendo TI, OT y PSS, para la adquisición de componentes, productos y servicios horizontales y verticales.

Las principales actividades para mejorar el nivel de ciberseguridad a lo largo de la cadena de suministro incluyen:

• Transparencia con respecto a la exposición al riesgo de ciberseguridad a lo largo de la cadena de suministro;

• Prácticas sistemáticas de gestión de riesgos respaldadas por la metodología de evaluación de proveedores externos y las herramientas y plantillas correspondientes para los requisitos contractuales de ciberseguridad a los proveedores;

• Participación activa en diversas comunidades de expertos; y

• Campañas periódicas de formación y sensibilización para diversos grupos destinatarios y casos de uso.