Back to Top

Visão geral

A S&C considera a segurança e a privacidade dos dados dos nossos clientes como sendo básicos para nossos valores. A segurança é integrada nos produtos, sistemas, serviços e suportes da &C’, e entre eles. Nós temos uma variedade de programas, políticas e procedimentos implantados que foram construídos para as principais estruturas e práticas recomendadas de cibersegurança da indústria. O programa de segurança de informações da S&C inclui, entre outros, procedimentos de manipulação de dados e padrões de classificação. Os padrões incluem controles apropriados em torno do uso, armazenamento, retenção, monitoramento, destruição segura e segmentação de dados em registros eletrônicos e em papel.

Governança e padrões

O Conselho de Cibersegurança da S&C supervisiona a governança de segurança em todas as funções de negócios, e é liderado pelo Presidente e CEO da S&C. Uma rede de arquitetos, analistas, gerentes e administradores de segurança integrada em toda a organização oferece suporte às atividades de segurança relacionadas ao desenvolvimento de produtos, fabricação e segurança corporativa. O programa de segurança da informação da S&C alinha nossas políticas e processos com estruturas e práticas recomendadas reconhecidas pelo setor, incluindo, mas não se limitando a:

Nossos especialistas no assunto de cibersegurança participam de comitês técnicos de organizações globais de desenvolvimento de padrões, como o Institute of Electrical and Electronics Engineers (IEEE) e a International Electrotechnical Commission (IEC). A S&C é membro da National Electrical Manufacturers Association (NEMA) e da Electro Federation Canada (EFC), e a empresa participa ativamente do Conselho de Cibersegurança da NEMA e do Comitê da EFC sobre Cibersegurança de dispositivos IIoT para permanecer atualizadas com tópicos relacionados a segurança cibernética e privacidade dos dados.

Segurança empresarial

Os sistemas da S&C são administrados por equipes globais de operações especializadas cujas responsabilidades incluem a produção de especificações operacionais e a execução de manutenção, atualizações de segurança, gestão de vulnerabilidades, backup, registro, monitoramento e gerenciamento de eventos e incidentes. As equipes também realizam revisões periódicas da segurança da rede e dos aplicativos, incluindo a separação adequada de tarefas para a administração do sistema.

A S&C tem um protocolo rigoroso para implantação de atualizações para nossos sistemas baseados em nuvem ou para sistemas nas instalações que definem um processo formal de teste, desenvolvimento e aceitação antes da aprovação de sistemas para produção. A resiliência, a continuidade dos negócios e a recuperação de desastres são possibilitadas com a implantação de serviços distribuídos em sistemas baseados em nuvem e em data centers físicos em várias áreas geográficas.

Segurança do produto

As atividades de desenvolvimento de produtos da S&C seguem o Security Development Lifecycle (SDL) da S&C, que codifica as melhores práticas aceitas pelo setor. Os principais componentes do SDL são análise de risco de segurança, modelagem de ameaças, análise e revisão de código e gerenciamento de vulnerabilidades. A S&C aplica o SDL a seus novos produtos, sistemas, serviços, software e soluções em nuvem.

Em conformidade com o SDL, a S&C toma as seguintes ações durante o projeto, desenvolvimento e teste de nossos produtos:

  • Uma análise de risco de segurança, com base nos requisitos de segurança da S&C, é realizada para cada novo projeto e para cada alteração significativa em um projeto existente.
  • São realizadas regularmente análise automatizada de código e revisões manuais de código durante o desenvolvimento com base em estruturas, como o Open Web Application Security Project (OWASP) Top 10.
  • Código de terceiros, incluindo código-fonte aberto, é analisado automaticamente para identificar e mitigar vulnerabilidades.
  • O hardening de sistemas operacionais é executado para dispositivos integrados e soluções baseadas na nuvem.
  • Regras de segurança da rede e de firewall são implementadas e revistas com regularidade.
  • O teste por grupos internos independentes é executado antes do lançamento de cada produto.

A S&C tem uma política e um procedimento documentado para identificação e comunicação, aos nossos clientes, de vulnerabilidades em nossos produtos. Esse processo envolve a revisão de dados da indústria, tais como Common Vulnerability Scoring System (CVSS) e National Vulnerability Database (NVD), para informações relativas a vulnerabilidades conhecidas. A S&C conduz também testes internos para identificar vulnerabiidades.

Segurança da cadeia de suprimentos

Para garantir a integridade da cadeia de suprimentos, a S&C identifica, reduz, e onde possível elimina os potenciais riscos de segurança. Nós avaliamos, monitoramos e medimos regularmente nossos fornecedores quanto a integridade do produto, entrega e segurança de dados. Nossos Termos e Condições padrão para fornecedores de componentes ou serviços incluem seções abrangentes de segurança das informações e de privacidade dos dados que definem as obrigações de cibersegurança exigidas dos fornecedores. À medida que o padrão NERC CIP continua a se expandir e a se tornar mais exigente, a S&C capacita nossos clientes a conformidade com o NERC CIP-013-1, “Cybersecurity — Supply Chain Risk Management.”

Treinamento e conscientização

A S&C considera os membros da sua equipe responsáveis por políticas específicas envolvendo segurança das informações, das comunicações e pela segurança da rede. Além disso, a S&C exige que os membros da equipe completem um treinamento anual de conscientização de cibersegurança e privacidade de dados. É fornecido treinamento adicional específico das funções, e a S&C incentiva os membros da equipe a buscar certificações de segurança externas. Os especialistas em segurança da S&C detêm certificações da indústria, como Certified Information Systems Security Professional (CISSP), Certified Secure Software Lifecycle Professional (CSSLP) e GIAC Certified Incident Handler (GCIH). A S&C incorpora também conscientização e práticas recomendadas em suas comunicações eventos internos para reforçar para os membros da equipe da S&C o valor da cibersegurança nas operações da S&C.

team-member.jpg

Segurança e privacidade dos dados

A S&C considera todos os membros da equipe responsáveis pela compreensão e manutenção de controle sobre como os dados dos clientes, da S&C e dos fornecedores são gerenciados, processados, armazenados e destruídos. Nossos fornecedores precisam concordar com Termos e Condições que incluem cláusulas de privacidade. Nós seguimos todos os seis princípios de privacidade dos dados descritos na Regulamentação Geral de Proteção de Dados (General Data Protection Regulation, GDPR) e em outros regulamentos de proteção de dados em todo o mundo, incluindo:

  • Legalidade, justiça e transparência
  • Limitação de propósito
  • Minimização de dados
  • Precisão
  • Limitação de armazenamento
  • Integridade e confidencialidade

Para obter mais informações sobre as políticas de privacidade de dados da S&C, consulte nossa Declaração de Privacidade.

Papel do cliente na segurança

Neste mundo hiperconectado, a cibersegurança é uma responsabilidade coletiva, porque pode haver ameaças internas e externas aceleradas por um cenário digital em rápida evolução. Com crescente exposição a riscos acontecendo todos os dias, nós trabalhamos ativamente com clientes e fornecedores para criar soluções de segurança de ponta a ponta. A S&C vê como essenciais a avaliação apropriada dos riscos e os cuidados apropriados na instalação, manutenção e operações. Nós trabalhamos com nossos clientes para garantir que atualizações e correções aprovadas pela S&C sejam fornecidas e autenticadas. Nós fornecemos instruções em nossos manuais de produtos com relação à configuração segura dos nossos produtos. Finalmente, nós trabalhamos com os clientes para remediar qualquer vulnerabilidade ou violação de dados suspeita.

Resposta de incidente de segurança

A S&C atribui responsabilidades e estabelece procedimentos para responder a eventos suspeitos de segurança. Nós avaliamos cada evento de segurança suspeito com relação a um conjunto de critérios para determinar se ele se qualifica como um incidente de segurança. Quando ocorre um incidente de segurança, as medidas de mitigação são tomadas imediatamente para permitir uma resolução efetiva. São conduzidas regularmente atividades de lições aprendidas para aprimorar as medidas de segurança.