Sicurezza informatica in ZEISS Tecnologie Medicali

Requisiti di base

I requisiti di sicurezza informatica e protezione dei dati sono definiti nelle prime fasi del nostro processo di generazione dei prodotti.

Oltre alla conformità con gli standard, le leggi e le normative internazionali, ZEISS ha stabilito degli standard per garantire una sicurezza informatica all’avanguardia in tutta la nostra gamma. Questi standard si basano sulle migliori pratiche, sull’attuale panorama delle minacce, sui quadri di sicurezza internazionali e su altre fonti, come i requisiti dei clienti o gli obiettivi di sicurezza specifici del prodotto.

Modellazione delle minacce

Come parte essenziale della progettazione e della definizione dell’architettura del prodotto, la modellazione delle minacce viene utilizzata nelle prime fasi del processo di progettazione del prodotto per identificare le minacce alla sicurezza, i rischi e le potenziali vulnerabilità.

Nella modellazione delle minacce, analizziamo sistematicamente le minacce applicabili a un prodotto, valutandone e classificandone la criticità. Sulla base di questa classificazione di criticità, in combinazione con le debolezze e le vulnerabilità note, la progettazione e/o l’architettura di un prodotto vengono adattate di conseguenza per affrontare le minacce prima che diventino rischi.

Inoltre, come parte importante del nostro approccio “Security by Design”, la progettazione e l’architettura del prodotto vengono esaminate da esperti di sicurezza dedicati.

Codifica sicura

Le revisioni del codice sicuro vengono eseguite durante l’intero processo di sviluppo del prodotto per garantire l’identificazione precoce dei difetti di sicurezza critici o delle potenziali vulnerabilità durante il ciclo di vita.

Inoltre, ingegneri della sicurezza appositamente formati sono membri obbligatori dei team di sviluppo dei prodotti per garantire le migliori pratiche e lo stato dell’arte della sicurezza informatica nella codifica. Un team di esperti di sicurezza dedicati e altamente qualificati è inoltre disponibile per consulenze su qualsiasi questione di sicurezza.

Test di sicurezza statici e dinamici delle applicazioni (SAST/DAST)

I test statici di sicurezza delle applicazioni, con un approccio white-box e un’attenzione particolare al contenuto del codice sorgente, e i test dinamici di sicurezza delle applicazioni, con un approccio black-box e un’attenzione particolare alle vulnerabilità, vengono eseguiti durante tutto il processo di sviluppo per identificare potenziali vulnerabilità ed errori che potrebbero avere un impatto sulla qualità del software.

Analisi di composizione del software (SCA)

Il monitoraggio dei componenti software di terze parti per quanto riguarda le vulnerabilità note viene eseguito durante tutto il ciclo di vita per ridurre al minimo i rischi derivanti dal software open source.

Test di vulnerabilità

Scansioniamo i prodotti per identificare in modo proattivo le vulnerabilità che possono rappresentare un rischio.

Test di penetrazione

Enti affidabili di terze parti eseguono test di penetrazione sui prodotti per identificare potenziali rischi o vulnerabilità.
 

Gestione costante delle minacce e delle vulnerabilità

Monitoriamo il software ed eseguiamo valutazioni per rilevare, identificare e assegnare priorità a minacce e rischi dei nostri prodotti supportati sul mercato. Vengono condotte scansioni delle minacce e delle vulnerabilità e, sulla base dei risultati, vengono effettuate valutazioni per identificare nuove minacce e rischi. Successivamente, vengono definite le azioni per mantenere livelli adeguati di sicurezza informatica, in base al livello di criticità.

Gestione delle patch di sicurezza

Le patch di sicurezza vengono sviluppate, testate e rilasciate in base al livello di criticità per ridurre i rischi per i prodotti dei clienti e le loro infrastrutture.