Back to Top

Resumen

S&C considera que la seguridad y la privacidad de los datos de nuestros clientes son valores fundamentales de nuestra empresa. La seguridad está integrada en los productos, sistemas, servicios y apoyos de S&C y entre ellos. Contamos con una variedad de programas, políticas y procedimientos creados de acuerdo con los principales marcos y prácticas recomedadas de ciberseguridad del sector. El programa de seguridad de la información de S&C incluye, entre otros, los procedimientos de manejo de datos y los estándares de clasificación. Los estándares incluyen controles apropiados sobre el uso de los datos, el almacenamiento, la retención, la supervisión, la destrucción segura y la segmentación de los registros electrónicos y en papel.

Gobernanza y Estándares

El Consejo de Ciberseguridad de S&C supervisa la gobernanza de la seguridad en todas las funciones empresariales y está dirigido por el presidente y director ejecutivo de S&C. Una red de arquitectos, analistas, gestores y administradores de seguridad integrados en toda la organización ayudan a las actividades de seguridad relacionadas con el desarrollo de productos, la fabricación y la seguridad de la empresa. El programa de seguridad de la información de S&C alinea nuestras políticas y nuestros procesos con los marcos y las prácticas recomendadas más importantes del sector, lo que incluye, entre otros:

Nuestros expertos en materia de ciberseguridad participan en comités técnicos de organizaciones de desarrollo de estándares mundiales, como el Instituto de Ingenieros Eléctricos y Electrónicos (Institute of Electrical and Electronics Engineers, IEEE) y la Comisión Electrotécnica Internacional (International Electrotechnical Commission, CEI). S&C es miembro de la Asociación Nacional de Fabricantes Eléctricos (National Electrical Manufacturers Association, NEMA) y de Electro Federation Canada (EFC), y la empresa participa de forma activa en el Consejo de Ciberseguridad de la NEMA y en el Comité de Ciberseguridad de los dispositivos IIoT de EFC para estar al día en temas relacionados con la ciberseguridad y la privacidad de los datos.

Seguridad Empresarial

Los sistemas de S&C se gestionan por parte de equipos de operaciones globales especializados cuyas responsabilidades incluyen la elaboración de especificaciones operativas y la realización de tareas de mantenimiento, actualizaciones de seguridad, gestión de vulnerabilidades, copias de seguridad, registro, monitoreo y gestión de eventos e incidentes. Los equipos también realizan revisiones periódicas de la seguridad de redes y aplicaciones, incluida la correcta separación de funciones para la administración del sistema.

S&C tiene un protocolo estricto para la implementación de actualizaciones para nuestros sistemas basados en la nube o en las instalaciones que define un proceso formal de prueba, desarrollo y aceptación antes de aprobar los sistemas para la producción. La resiliencia, la continuidad del negocio y la recuperación ante desastres son posibles con la implementación de servicios distribuidos dentro de sistemas basados en la nube y centros de datos físicos en múltiples áreas geográficas.

Seguridad del Producto

Las actividades del desarrollo de productos de S&C siguen el ciclo de vida del desarrollo de seguridad (SDL) de S&C, que codifica las prácticas recomendadas del sector. Los principales componentes del SDL son el análisis de riesgos de seguridad, la elaboración de modelos de amenazas, el análisis y la revisión de códigos y la gestión de vulnerabilidades. S&C aplica el SDL a sus nuevos productos, sistemas, servicios, software y soluciones en la nube.

De acuerdo con el SDL, S&C adopta las siguientes medidas durante el diseño, el desarrollo y las pruebas de nuestros productos:

  • En base a los requerimientos de seguridad de S&C, se realiza un análisis de riesgos de seguridad para cada proyecto nuevo y para cada cambio significativo de un proyecto existente.
  • Se realizan análisis de códigos y revisiones de códigos manuales con regularidad durante el desarrollo en base a marcos, como los 10 mejores Proyectos Abiertos de Seguridad en Aplicaciones Web (Open Web Application Security Project, OWASP).
  • El código de terceros, incluido el código abierto, se analiza automáticamente para identificar y mitigar las vulnerabilidades.
  • El fortalecimiento de los sistemas operativos se realiza para los dispositivos integrados y las soluciones basadas en la nube.
  • La seguridad de redes y las normas de firewall se implementan y se revisan con regularidad.
  • Antes de lanzar cada producto, se realizan pruebas por parte de grupos internos independientes.

S&C tiene una política y un proceso documentado para identificar vulnerabilidades en nuestros productos y comunicarlas a nuestros clientes. Este proceso implica la revisión de datos del sector, como el Sistema de puntuación de vulnerabilidad común (Common Vulnerability Scoring System, CVSS) y la Base de Datos Nacional de Vulnerabilidades (National Vulnerability Database, NVD), para obtener información sobre vulnerabilidades conocidas. S&C también lleva a cabo pruebas internas para identificar vulnerabilidades.

Seguridad en la Cadena de Suministro

Para garantizar la integridad de la cadena de suministro, S&C identifica, mitiga y, cuando es posible, elimina los potenciales riesgos de seguridad. Evaluamos, monitoreamos y medimos con regularidad a nuestros proveedores en cuanto a la integridad de los productos, el envío y la seguridad de los datos. Nuestros Términos y Condiciones estándares para los proveedores de componentes o servicios incluyen secciones completas sobre seguridad de la información y privacidad de los datos que definen las obligaciones de ciberseguridad de los proveedores. Mientras el estándar NERC CIP sigue expandiéndose y haciéndose más estricto, S&C permite a nuestros clientes cumplir con el NERC CIP-013-1, “Ciberseguridad: Gestión de Riesgos en la Cadena de Suministro” (“Cybersecurity — Supply Chain Risk Management”).

Entrenamiento y Concientización

S&C responsabiliza a los miembros de su equipo de las políticas específicas relacionadas con la seguridad de la información, las comunicaciones y la seguridad de la red. Además, S&C exige que los miembros del equipo realicen un entrenamiento anual sobre concientización de ciberseguridad y privacidad de datos. Se proporciona entrenamiento adicional específico para cada función, y S&C anima a los miembros del equipo a obtener certificaciones de seguridad externas. Los expertos en seguridad de S&C cuentan con certificaciones del sector, como Profesional Certificado en Seguridad de Sistemas de Información (Certified Information Systems Security Professional, CISSP), Profesional Certificado en Ciclos de Vida de Software Seguro (Certified Secure Software Lifecycle Professional, CSSLP) y Responsable Certificado de Incidentes GIAC (Certified Incident Handler, GCIH).S&C también incorpora la concientización sobre la ciberseguridad y las prácticas recomendadas en sus comunicaciones y eventos internos para reforzar el valor de la ciberseguridad en las operaciones comerciales de S&C’ a los miembros del equipo de S&C.

team-member.jpg

Seguridad y Privacidad de los Datos

S&C responsabiliza a todos los miembros del equipo de comprender cómo se gestionan, procesan, almacenan y destruyen los datos de los clientes, de S&C y de nuestros proveedores, y mantener el control sobre estos aspectos. Nuestros proveedores deben aceptar los Términos y Condiciones que incluyen cláusulas de privacidad. Nos adherimos a los seis principios de privacidad de los datos descritos en el Reglamento General de Protección de Datos (RGPD) y otros reglamentos de protección de datos de todo el mundo, que son los siguientes:

  • Legalidad, Lealtad y Transparencia
  • Limitación de la Finalidad
  • Minimización de los Datos
  • Exactitud
  • Limitación del Plazo de Conservación
  • Integridad y Confidencialidad

Para obtener más información sobre las políticas de privacidad de los datos de S&C, consulte nuestra Declaración de Privacidad.

El papel de los Clientes en la Seguridad

En este mundo hiperconectado, la ciberseguridad es una responsabilidad colectiva porque puede haber amenazas internas y externas aceleradas por un panorama digital en rápida evolución. Con el aumento de la exposición al riesgo que se produce cada día, trabajamos de manera activa con los clientes y proveedores para crear soluciones de seguridad integrales. S&C considera esencial la evaluación adecuada de los riesgos y el cuidado apropiado en la instalación, el mantenimiento y las operaciones. Trabajamos con nuestros clientes para garantizar que las actualizaciones y los parches aprobados por S&C se entreguen y autentifiquen de forma segura. En los manuales de nuestros productos, proporcionamos instrucciones sobre la configuración segura de los productos. Por último, trabajamos con los clientes para corregir cualquier sospecha de vulnerabilidad o violación de datos.

Respuesta Ante Incidentes de Seguridad

S&C asigna responsabilidades y establece procedimientos para responder a eventos de seguridad sospechosos. Evaluamos cada evento de seguridad sospechoso en función de una serie de criterios para determinar si califica como un incidente de seguridad. Cuando se producen incidentes de seguridad, se adoptan inmediatamente medidas de mitigación para permitir una resolución eficaz. Las actividades de lecciones aprendidas se llevan a cabo con regularidad para mejorar y aumentar las medidas de seguridad.