Procedimientos de desarrollo seguro
Secomea cuenta con la certificación de cumplimiento de la norma IEC 62443-4-1, lo que significa que seguimos los requisitos de la garantía del ciclo de vida de desarrollo seguro (SDLA). La norma exige que los problemas de seguridad se aborden de forma proactiva en una fase temprana del ciclo de vida del producto y, de este modo, garantiza que las medidas de seguridad se incorporen al producto.
Prácticas de ciberseguridad
Secomea utiliza las siguientes prácticas:
- Especificación de los requisitos de seguridad
Se establecen los requisitos mínimos de seguridad para el desarrollo y despliegue del producto. El análisis de amenazas y la evaluación de riesgos desempeñan un papel importante en la identificación y clasificación de los posibles riesgos de seguridad, e implican la definición de límites de confianza para el flujo de procesos, datos y control, incluida cualquier comunicación con periféricos internos y externos.
- Seguridad desde el diseño
El producto se diseña para aplicar los principios de seguridad de fiabilidad, confianza y resistencia. Se asegura el diseño mediante la aplicación de principios de buenas prácticas como la defensa en profundidad y la modelización de amenazas. Se realizará una verificación exhaustiva de la funcionalidad y la seguridad del modelo.
- Pruebas de verificación y validación de la seguridad
Debe demostrarse que se cumplen todos los requisitos de seguridad del producto y que la estrategia de defensa en profundidad del producto es eficaz cuando se implanta. Se aplica un enfoque de pruebas basado en los requisitos para demostrar que los requisitos funcionales y de seguridad se han implementado correctamente.
"Secomea es auditada continuamente por la empresa de seguridad externa que realiza el análisis de riesgos y la evaluación de la solución Secomea con respecto a los niveles de seguridad de las normas internacionales IEC 62443-3-3 e IEC 624434-2 para componentes de sistemas de control de automatización industrial (IACS). La solución también se evalúa con respecto a los requisitos básicos de protección de seguridad de TI definidos por la Oficina Federal Alemana de Seguridad de la Información (BSI)."
Seguridad organizativa
Nuestras medidas de seguridad organizativa están documentadas en un informe de control ISAE3402. Contamos con auditores que verifican que nuestro programa de control es coherente, completo, repetible y auditable. ISAE3402 es la norma internacional de auditoría para informes de aseguramiento sobre controles en organizaciones de servicios. El informe proporciona una descripción de los controles generales de seguridad de la información relacionados con los servicios de Secomea a los clientes. Los auditores han revisado todos los controles de seguridad de la información comúnmente aceptados que se especifican en la norma ISO 27002:2017.
Proceso de asesoramiento sobre ciberseguridad
Secomea tiene la capacidad de identificar y responder a las vulnerabilidades, así como de trabajar con los clientes para mitigar sus riesgos mediante nuestro proceso de asesoramiento sobre ciberseguridad definido. Nuestro proceso de asesoramiento cibernético incluye un calendario previsto y las condiciones en las que se publicará la información sobre vulnerabilidades. Secomea es una CVE Numbering Authority (CNA) oficial, y puede encontrar nuestro mecanismo de admisión claramente definido y de fácil acceso para aceptar información sobre vulnerabilidades aquí: Cybersecurity Advisory - Secomea
Mitigación de riesgos de ciberseguridad
Utilizadas conjuntamente, las capacidades de ciberseguridad de dispositivos y las capacidades de apoyo no técnico de Secomea pueden ayudarle a mitigar los riesgos de ciberseguridad relacionados con el uso de dispositivos IoT, al tiempo que le ayudan a alcanzar sus objetivos: optimizar el tiempo de actividad de sus componentes IoT y garantizar la prestación continua de los importantes servicios de los que depende nuestra sociedad. La prevención, la preparación operativa y la colaboración en ciberdefensa son clave. Los tres aspectos pueden cubrirse al elegir a Secomea como su proveedor de acceso remoto seguro.
