Questa pagina è visualizzata in italiano grazie alla traduzione automatica. Visualizzare la versione in inglese?
Questa traduzione è stata utile?
  1. Home
  2. Trust Center
  3. Governance della sicurezza informatica

Governance della sicurezza informatica

Siemens Industry Software e le sue società affiliate (SISW) si attengono a un efficiente quadro di governance della sicurezza informatica, a linee guida e orientamenti per la mitigazione dei rischi.

La sicurezza informatica è una delle questioni più importanti per il futuro, sia per le aziende che per la società. È il prerequisito fondamentale per le organizzazioni per salvaguardare l'infrastruttura critica, proteggere le informazioni sensibili e garantire la continuità aziendale. Come uno degli obiettivi strategici di Siemens, la trasformazione digitale avrà successo solo se potremo fare affidamento sulla sicurezza dei dati e sui sistemi connessi. La sicurezza informatica ha un enorme impatto sui nostri clienti ed è richiesta da molte leggi e regolamenti internazionali e nazionali. Questo rende la sicurezza informatica una priorità assoluta per Siemens.

Siemens Industry Software Inc. e le sue società affiliate (SISW) si impegnano a proteggere le informazioni dei nostri clienti che risiedono o vengono elaborate da prodotti, soluzioni e servizi SISW. A tal fine, garantiamo che tali prodotti, soluzioni e servizi soddisfino le pratiche ingegneristiche generalmente accettate per la sicurezza dei prodotti e delle soluzioni, comprese le best practice di difesa informatica come le operazioni di rilevamento delle minacce e la riduzione della superficie di attacco.

Aree di interesse fondamentali per SISW

Gestione della sicurezza informatica

Responsabilità di alto livello

Data l'importanza della sicurezza informatica, il Chief Information Security Officer (CISO) di SISW riferisce direttamente al CEO di SISW e tramite il Global Chief Cybersecurity Officer di Siemens.

L'organizzazione Corporate Cybersecurity di Siemens e l'organizzazione SISW Cybersecurity collaborano strettamente come partner di fiducia a beneficio dei nostri clienti e delle altre aziende Siemens. Gli esperti di sicurezza di Siemens sviluppano e adottano tecnologie, sfruttano la rete interna e si consultano con aziende simili per migliorare regolarmente la resilienza di Siemens attraverso una responsabilità chiara e olistica. Ci affidiamo a una cultura della proprietà per tutti gli aspetti della sicurezza informatica. Tutto ciò fornisce a Siemens un'ampia base per proteggere se stessa, i suoi clienti e la società in generale.

trust-center-cybersecurity-governance-is890155348-mhero-1280x720

Certificazioni, attestazioni, etichette e report

In Siemens, disponiamo di processi e controlli per soddisfare diversi certificati di sicurezza e conformità. Per ulteriori dettagli, visita la pagina Certificati di sistema.

Visualizzare i certificati di sistema.

Quadro strategico per la cibersicurezza

SISW ha istituito un sistema di gestione della sicurezza delle informazioni (ISMS) che si inserisce nella visione del Siemens Cybersecurity Policy Framework e prescrive le politiche, i controlli e l'assegnazione delle responsabilità che consentono a SISW di soddisfare le aspettative dei clienti in materia di sicurezza informatica e di soddisfare i requisiti delle certificazioni e degli attestati sopra elencati.

Il fulcro dell'ISMS è il Manuale del programma di sicurezza delle informazioni SISW, che fornisce il nostro approccio di gestione al programma di sicurezza delle informazioni di SISW per le offerte e le attività correlate. Il manuale descrive l'approccio di SISW alla creazione e al mantenimento di un programma di governance della sicurezza delle informazioni che garantisca la riservatezza, l'integrità, la disponibilità e la privacy delle risorse informative.

L'ISMS stabilisce inoltre una serie di politiche, sotto la governance del Consiglio per la sicurezza delle informazioni (ISC) del SISW, per garantire l'impegno nei confronti del programma di sicurezza delle informazioni, degli obiettivi del programma e dell'applicazione del programma.

Sicurezza dei prodotti e delle soluzioni (PSS)

I prodotti, le soluzioni e i servizi di SISW contengono importanti componenti software e IT, che possono essere soggetti a requisiti di sicurezza normativi in rapida evoluzione.

L'iniziativa PSS di Siemens è stata istituita per contribuire a garantire che i prodotti, le soluzioni e i servizi che vendiamo consentano ai nostri clienti di eseguire i loro processi in un ambiente sicuro. SISW assegna un Product and Solutions Security Officer (PSSO) a ciascuna linea di prodotti per verificare che questa iniziativa venga implementata e monitorata durante tutto il ciclo di sviluppo.

A tal fine, all'interno di Siemens sono in vigore requisiti vincolanti per il PSS e raccomandazioni per l'implementazione. Il miglioramento continuo e l'apprendimento sono presupposti fondamentali per il successo della realizzazione del PSS.

Consapevolezza della sicurezza informatica

Creare una consapevolezza comune tra i dipendenti è fondamentale per garantire l'adesione alle iniziative di sicurezza informatica e mantenere elevati livelli di sicurezza. Ciò significa creare una cultura consapevole del rischio e fornire opportunità di formazione e istruzione continue per gli individui in tutta l'organizzazione.

Siemens SISW offre ai dipendenti diverse attività e percorsi di apprendimento e sviluppo, tra cui:

• Una campagna di sensibilizzazione globale obbligatoria per fornire ai dipendenti informazioni sui temi della sicurezza informatica. Queste sessioni di formazione sono basate sul web, prive di barriere architettoniche e multilingue. Inoltre, abbiamo una formazione "Patente di guida" per gruppi specifici per ruolo. Questa formazione obbligatoria consente al gruppo di applicare le linee guida di sicurezza di Siemens.

• Viene offerta un'ulteriore formazione sulla sicurezza obbligatoria SISW per i PSSO e una formazione specifica sulla sicurezza del cloud per gli sviluppatori coinvolti nella creazione di contenuti.

• Siemens offre numerosi corsi di formazione regolarmente aggiornati e opportunità di apprendimento per i dipendenti su base volontaria. Questi moduli di formazione spaziano dalle conoscenze di base ad aree specifiche e specializzate come il PSS.

Monitoraggio dello stato della sicurezza informatica

SISW ha implementato una piattaforma che fornisce una panoramica della nostra posizione di sicurezza informatica, inclusi approfondimenti su potenziali vulnerabilità, minacce e registri di sicurezza.

Il monitoraggio degli ambienti e dei log rilevanti consente:

• Notifica di eventi relativi alla sicurezza;

• Panoramica centralizzata delle informazioni sul conto (risorse e asset);

• Convalida delle posture, degli avvisi e delle pratiche di sicurezza del cloud designate; e

• Esecuzione di decisioni aziendali informate e mirate basate sulla sicurezza.

trust-center-cybersecurity-governance-status-monitoring-is808157766-mhero-1280x720

Fondamenti di processo certificati

SISW mantiene un sistema di gestione della qualità (QMS) certificato ISO 9001 progettato per incorporare i controlli di sicurezza nel ciclo di vita dello sviluppo sicuro (SDLC) dei prodotti SISW e l'integrazione di fornitori di terze parti per controllare la qualità dei deliverable. Il SGQ esegue i controlli ai principali punti di controllo per convalidare che i controlli di sicurezza e i KPI di qualità siano stati eseguiti correttamente.

Visione di qualità

Gestione dei rischi per la sicurezza informatica

I processi di gestione dei rischi di sicurezza informatica fanno parte della strategia di Enterprise Risk Management (ERM) di Siemens. L'obiettivo principale dell'ERM è quello di consentire a Siemens di identificare e ridurre al minimo i potenziali rischi per la sicurezza sulla base di standard internazionali.

processo di Cybersecurity Risk Management di Siemens si concentra sulla segnalazione e la gestione dei rischi all'interno di:

• Classificazione e protezione delle risorse IT, documenti e informazioni;

• Analisi delle minacce e dei rischi per prodotti, soluzioni e servizi;

• Gestione delle eccezioni per deviazioni temporanee dai requisiti; e

• Gestione del rischio dei fornitori di sicurezza informatica, come descritto di seguito.

trust-center-cybersecurity-risk-management-is1015220836-mhero-1280x720

Gestione del rischio dei fornitori di sicurezza informatica

I rischi per la sicurezza informatica devono essere gestiti lungo l'intera catena di approvvigionamento. Siemens considera questo argomento in modo olistico, includendo IT, OT e PSS, per l'approvvigionamento di componenti, prodotti e servizi orizzontali e verticali.

Le principali attività per migliorare il livello di cybersecurity lungo la supply chain includono:

• Trasparenza per quanto riguarda l'esposizione ai rischi di sicurezza informatica lungo la catena di fornitura;

• Pratiche sistematiche di gestione del rischio supportate da una metodologia di valutazione dei fornitori di terze parti e dai rispettivi strumenti e modelli per i requisiti contrattuali di sicurezza informatica ai fornitori;

• Partecipazione attiva a diverse comunità di esperti; e

• Regolari campagne di formazione e sensibilizzazione per vari gruppi target e casi d'uso.