Cibersegurança na ZEISS Medical Technology

Requisitos base

Os requisitos de cibersegurança e proteção de dados são definidos nos primeiros passos do nosso processo de criação de produtos.

Além da conformidade com normas, leis e regulamentos internacionais, a ZEISS estabeleceu padrões que garantem uma cibersegurança de última geração em todo o nosso portefólio de produtos. Estas normas baseiam-se nas melhores práticas, no cenário atual de ameaças, em estruturas de segurança internacionais e em outras fontes, como requisitos do cliente ou objetivos de segurança específicos do produto.

Modelagem de ameaças

Como parte essencial da conceção do produto e da definição da arquitetura do produto, a modelação de ameaças é utilizada no início do processo de conceção do produto para identificar ameaças à segurança, riscos e potenciais vulnerabilidades.

Na modelação de ameaças, analisamos sistematicamente as ameaças que se aplicam a um produto, avaliando e classificando a sua importância para esse produto. Com base nesta classificação de criticidade, em conjunto com as fraquezas e vulnerabilidades conhecidas, o design e/ou a arquitetura de um produto são adaptados em conformidade para combater as ameaças antes de se tornarem riscos.

Além disso, como parte importante da nossa abordagem «Security by Design», a conceção e a arquitetura do produto são revistas por especialistas em segurança dedicados.

Programação segura

As revisões de código seguro são realizadas durante todo o processo de desenvolvimento do produto para garantir que as falhas de segurança críticas ou potenciais vulnerabilidades são identificadas no início do ciclo de vida.

Além disso, engenheiros de segurança com formação específica são membros obrigatórios das equipas de desenvolvimento de produtos para garantir as melhores práticas e a cibersegurança de última geração na programação. Além disso, temos ao seu dispor uma equipa de especialistas em segurança dedicados e altamente qualificados para o aconselhar em questões de segurança.

Testes de segurança estáticos e dinâmicos de aplicações (SAST/DAST)

Ao longo do processo de desenvolvimento, são realizados testes estáticos de segurança das aplicações, com uma abordagem de caixa branca e incidência no conteúdo do código-fonte, bem como testes dinâmicos de segurança das aplicações, com uma abordagem de caixa negra e incidência nas vulnerabilidades. O objetivo é identificar potenciais falhas e erros que possam ter impacto na qualidade do software.

Análise de composição de software (SCA)

A monitorização de componentes de software de terceiros relativamente a vulnerabilidades conhecidas é realizada ao longo do ciclo de vida para minimizar os riscos do software de fonte aberta.

Testes de vulnerabilidade

Os produtos são analisados quanto a vulnerabilidades ao longo do ciclo de vida para identificar proativamente as vulnerabilidades que podem representar um risco.

Testes de penetração

Os produtos são submetidos a testes de penetração por entidades terceiras de confiança para identificar potenciais ameaças ou vulnerabilidades.
 

Gestão contínua de ameaças e vulnerabilidades

Monitorizamos o software e realizamos avaliações para detetar, identificar e dar prioridade a ameaças e riscos dos nossos produtos com assistência no mercado. São realizadas análises de ameaças e vulnerabilidades e, com base nos resultados, são feitas avaliações para identificar novas ameaças e riscos. Posteriormente, são definidas ações para manter níveis adequados de cibersegurança em função do nível de criticidade.

Gestão de patches de segurança

Os patches de segurança são desenvolvidos, testados e lançados de acordo com o nível de criticidade para mitigar os riscos em produtos dos clientes e nas suas infraestruturas.