Segurança cibernética na ZEISS Medical Technology

Requisitos básicos

Os requisitos de segurança cibernética e proteção de dados são definidos nos primeiros passos do nosso processo de criação de produtos.

Além da conformidade com normas, leis e regulamentos internacionais, a ZEISS estabeleceu padrões que garantem uma segurança cibernética de última geração em todo o nosso portfólio de produtos. Essas normas são baseadas nas práticas recomendadas, no cenário atual de ameaças, em estruturas de segurança internacionais e em outras fontes, como requisitos do cliente ou objetivos de segurança específicos do produto.

Modelagem de ameaças

Como parte essencial do design de produtos e da definição da arquitetura deles, a modelação de ameaças é usada no início do processo de design para identificar ameaças à segurança, riscos e potenciais vulnerabilidades.

Na modelação, analisamos sistematicamente as ameaças que se aplicam a um produto, avaliando e classificando a sua importância nesse contexto. Com base nessa classificação, em conjunto com as fraquezas e vulnerabilidades conhecidas, o design e/ou a arquitetura de um produto são adaptados para combater as ameaças antes delas se tornarem riscos.

Além disso, como parte importante da nossa abordagem “Security by Design”, o design e a arquitetura do produto são revisados por especialistas em segurança dedicados.

Programação segura

As revisões de código seguro são realizadas em todo o processo de desenvolvimento do produto para garantir que falhas de segurança críticas ou potenciais vulnerabilidades sejam identificadas no início do ciclo de vida.

Além disso, engenheiros de segurança com formação específica são membros obrigatórios das equipes de desenvolvimento de produtos. Isso garante que vamos seguir as práticas recomendadas e a segurança cibernética de última geração na programação. Além disso, temos ao nosso dispor uma equipe de especialistas em segurança dedicados e altamente qualificados para aconselhar em questões de segurança.

Testes de segurança estáticos e dinâmicos para aplicativos (SAST/DAST)

Ao longo do processo de desenvolvimento, realizamos testes estáticos de segurança nos aplicativos, com uma abordagem de caixa branca e foco no conteúdo do código-fonte, bem como testes dinâmicos de segurança dos aplicativos, com uma abordagem de caixa preta e foco nas vulnerabilidades. O objetivo é identificar potenciais falhas e erros que possam ter impacto na qualidade do software.

Análise de composição de software (SCA)

O monitoramento de componentes do software de terceiros busca vulnerabilidades conhecidas e é realizado ao longo do ciclo de vida para minimizar os riscos em software de fonte aberta.

Testes de vulnerabilidade

Os produtos são analisados quanto a vulnerabilidades ao longo do ciclo de vida para identificar proativamente as vulnerabilidades que podem representar um risco.

Testes de penetração

Os produtos são submetidos a testes de penetração por entidades terceiras de confiança para identificar potenciais ameaças ou vulnerabilidades.
 

Gestão contínua de ameaças e vulnerabilidades

Monitoramos o software e realizamos avaliações para detectar, identificar e priorizar ameaças e riscos em nossos produtos com assistência no mercado. São realizadas análises de ameaças e vulnerabilidades e, com base nos resultados, avaliações buscam identificar novas ameaças e riscos. Depois, são definidas ações para manter níveis adequados de segurança cibernética de acordo com o nível de gravidade.

Gestão de patches de segurança

Os patches de segurança são desenvolvidos, testados e lançados de acordo com o nível de gravidade para mitigar os riscos em produtos dos clientes e nas suas infraestruturas.