Ciberseguridad en ZEISS Microscopy

Requisitos mínimos

La ciberseguridad, la protección de datos, la inteligencia artificial responsable y el cumplimiento del software de código abierto (FOSS) son elementos fundamentales del desarrollo de productos en ZEISS Microscopy. Estos requisitos se definen desde las fases más tempranas del proceso de creación del producto y se integran a lo largo de todo su ciclo de vida.

Además de cumplir con normas, leyes y regulaciones internacionales, ZEISS ha establecido un marco de gobernanza unificado que garantiza un nivel de protección de vanguardia en todo su catálogo. Este marco se basa en las mejores prácticas, en la evolución del panorama de amenazas, en los desarrollos regulatorios como el Reglamento Europeo de Inteligencia Artificial (EU AI Act) y en objetivos específicos de seguridad de clientes y productos.

Nuestro programa de gobernanza garantiza:

• Ciberseguridad y protección de datos desde el diseño: las configuraciones seguras, los controles de acceso, el cifrado y la supervisión continua de amenazas forman parte integral de nuestros procesos de desarrollo e implantación.
• Inteligencia artificial responsable: los sistemas de IA se evalúan en términos de riesgo y cumplimiento normativo mediante flujos de trabajo integrados, lo que garantiza un uso ético y conforme a la legislación vigente, en línea con las regulaciones internacionales.
• Cumplimiento de FOSS: los componentes de código abierto se gestionan mediante estrictos controles de licencias y seguridad, garantizando la transparencia, la trazabilidad y la integridad legal.  

Este enfoque integral permite a ZEISS Microscopy ofrecer soluciones seguras, conformes y fiables para apoyar a clientes y socios en un mundo conectado y basado en los datos.

Modelado de amenazas

Como elemento clave del diseño del producto y de la definición de su arquitectura, el modelado de amenazas se aplica desde las primeras fases del proceso de diseño para identificar amenazas de seguridad, riesgos y posibles vulnerabilidades.

Mediante este enfoque, analizamos de forma sistemática las amenazas que afectan a un producto, evaluando y clasificando su nivel de criticidad. A partir de esta valoración de criticidad y en combinación con las debilidades y vulnerabilidades conocidas, el diseño o la arquitectura del producto se ajustan de manera adecuada para abordar las amenazas antes de que se conviertan en riesgos.

Además, como parte fundamental de nuestro enfoque «Security by Design», nuestros expertos en seguridad revisan el diseño y la arquitectura del producto.

Codificación segura

Las revisiones de código seguro se llevan a cabo a lo largo de todo el proceso de desarrollo del producto para garantizar que los fallos de seguridad críticos o las posibles vulnerabilidades se identifiquen de forma temprana dentro del ciclo de vida.

Además, los equipos de desarrollo de productos cuentan de manera obligatoria con ingenieros de seguridad especialmente capacitados, con el fin de garantizar la aplicación de las mejores prácticas y de una ciberseguridad de vanguardia en la programación. Asimismo, un equipo especializado de expertos en seguridad, altamente cualificados, ofrece apoyo y asesoramiento ante cuestiones relacionadas con la seguridad.

Pruebas de seguridad de aplicaciones estáticas y dinámicas (SAST/DAST)

Las pruebas de seguridad de aplicaciones estáticas, con un enfoque de caja blanca y centradas en el contenido del código fuente, así como las pruebas de seguridad de aplicaciones dinámicas, con un enfoque de caja negra y orientadas a la detección de vulnerabilidades, se realizan a lo largo de todo el proceso de desarrollo para identificar posibles vulnerabilidades y errores que puedan afectar a la calidad del software.
 

Análisis de composición de software (SCA)

La supervisión de los componentes de software de terceros en relación con vulnerabilidades conocidas se lleva a cabo a lo largo de todo el ciclo de vida, con el fin de minimizar los riesgos asociados al software de código abierto.
 

Pruebas de vulnerabilidades

Los productos se analizan en busca de vulnerabilidades a lo largo de todo su ciclo de vida para identificar de forma proactiva aquellas que puedan suponer un riesgo.

Pruebas de penetración

Los productos se someten a pruebas de penetración realizadas por entidades externas de confianza con el fin de identificar posibles amenazas o vulnerabilidades.

Gestión continua de amenazas y vulnerabilidades

Nuestro equipo supervisa de forma continua el software y realiza evaluaciones periódicas para detectar, identificar y priorizar amenazas y riesgos en los productos que se encuentran en el mercado. Los análisis de amenazas y vulnerabilidades proporcionan la base para evaluaciones adicionales orientadas a identificar nuevos riesgos. A partir de estos resultados, el equipo define las acciones necesarias para mantener niveles adecuados de ciberseguridad, en función del grado de criticidad identificado.

Gestión de parches de seguridad

Nuestros equipos desarrollan, prueban y publican parches de seguridad en función del nivel de criticidad, con el objetivo de mitigar los riesgos para los productos de nuestros clientes y su infraestructura.