El director de seguridad de ZTE aclara cuestiones clave sobre la garantia de seguridad cibernetica

varios_logo_zteZTE, proveedor líder mundial de equipos de telecomunicaciones, soluciones de red y uno de los principales proveedores de smartphones, ha hablado sobre la garantía de seguridad cibernética de ZTE a través de su director de seguridad, Zhong Hong.

Según Zhong Hong, ZTE pone el valor de seguridad de sus clientes por encima de los intereses comerciales, y cumple con las leyes y regulaciones pertinentes sobre ciberseguridad para garantizar así la entrega integra de productos y servicios 100% seguros.

La ciberseguridad es una de las principales prioridades para el desarrollo y la entrega de productos de la multinacional. ZTE establecerá en breve una estructura de gobierno de seguridad cibernética holística basada en el plan de estrategia de desarrollo de la compañía, con referencia a estándares internacionales, leyes y regulaciones. Con ello pretende fomentar una buena conciencia de seguridad para todos los empleados y haciendo hincapié en la seguridad de todo el proceso.

Con el fin de lograr una entrega segura de productos y servicios, ZTE integra las políticas de seguridad y los controles en cada fase del ciclo de vida del producto, estableciendo un mecanismo de garantía de ciberseguridad. Estos mecanismos cubren áreas como el desarrollo de productos, la cadena de suministro y la fabricación, servicios de ingeniería, gestión de incidencias de seguridad, o verificación y auditorías. ZTE también ha construido tres líneas de estructura de gobierno de defensa y seguridad cibernética para implementar la gestión de seguridad como línea de referencia, orientada a procesos y de circuito cerrado.

En términos de estructura organizativa, ZTE ha adoptado las tres líneas del modelo de gobierno de defensa de la ciberseguridad para implementar y revisar la ciberseguridad desde múltiples perspectivas. Las unidades de negocios actúan como la primera línea de defensa para lograr la autogestión y el control de la ciberseguridad, mientras que el laboratorio de seguridad de la compañía funciona como la segunda línea de defensa para implementar la verificación y supervisión de seguridad independientes. Las instituciones profesionales externas y los clientes actúan como la tercera línea de defensa, auditando la efectividad de la primera y la segunda línea de defensa.

El equipo de respuesta a incidentes de seguridad de productos de ZTE (PSIRT) identifica y analiza incidentes de seguridad, realiza un seguimiento de los procesos de control de incidencias y se comunica estrechamente con las partes interesadas internas y externas para divulgar las vulnerabilidades de seguridad de manera oportuna para mitigar los efectos adversos de los incidentes de seguridad. Como miembro del Foro de Respuesta a Incidentes y Equipos de Seguridad (FIRST), y miembro de la Autoridad de Numeración CVE (CNA), ZTE está colaborando con los clientes y las partes interesadas de la manera más abierta posible.

ZTE aprobó la certificación ISO 27001 para sistemas de gestión de seguridad de la información en 2005 y actualizó su certificado todos los años. En 2017, ZTE aprobó también la certificación ISO 28000 (Especificación para sistemas de gestión de seguridad para la cadena de suministro).

En términos de evaluación de seguridad, la empresa cuenta con profesionales certificados internacionalmente con CISSP, CISA, CCIE, CISAW y CCSK para habilitar capacidades de evaluación de seguridad multidimensional en los aspectos de revisión de códigos, exploración de vulnerabilidad y pruebas de penetración.

Preguntas y respuestas de una entrevista realizada a Zhong Hong, director de seguridad de ZTE
Pregunta 1:
La era 5G ha llegado. La computación en la nube, el Internet de las cosas, el big data, la inteligencia artificial y otras tecnologías están provocando una nueva ronda de cambios industriales. En este contexto, el mayor desafío que enfrenta la industria de las telecomunicaciones es resistir la amenaza de la ciberseguridad en esta evolución. Como proveedor global de equipos y soluciones de telecomunicaciones, ¿qué posición adopta ZTE para garantizar la ciberseguridad?

Respuesta: ZTE cree que el valor de seguridad que proporcionamos a los clientes es mayor que el de los intereses comerciales, y las características de seguridad de los productos son lo primordial. Las amenazas de ciberseguridad son un problema común a los que los clientes se enfrentan junto con nosotros. En mi opinión, la mayor preocupación para los clientes es si tenemos suficientes medidas de control de seguridad para garantizar la operación de seguridad de sus equipos y servicios. La continua gestión de la seguridad cibernética de ZTE en los últimos años ha brindado a los clientes un mecanismo integral de seguridad de extremo a extremo que hace que los productos y servicios puedan resistir los ataques cibernéticos.

ZTE está dispuesta a comunicarse y cooperar con los operadores, reguladores, socios comerciales y otras partes interesadas de manera abierta y transparente, cumplir con las leyes y regulaciones pertinentes. Otro de los aspectos clave es respetar los derechos e intereses legítimos de los clientes y usuarios finales, además de mejorar continuamente la administración y los aspectos técnicos. Todo ello para proporcionar a los clientes productos seguros y confiables y para crear un buen entorno de seguridad en el ciberespacio.

Pregunta 2: Recientemente, algunos gobiernos han expresado su preocupación sobre la ciberseguridad. Desde su punto de vista, ¿cómo puede ZTE proteger la seguridad y la confidencialidad de la información para los clientes de todo el mundo? En otras palabras, ¿cómo ayuda a los clientes a lograr el objetivo de resistir conjuntamente las amenazas de ciberseguridad, ¿cómo disipar las preocupaciones de los clientes sobre la ciberseguridad?

Respuesta: Esta pregunta debe ser respondida desde dos perspectivas. Una es la nuestra, qué debemos hacer para garantizar la ciberseguridad y cómo hacerlo; la otra es la perspectiva del cliente, ¿cómo podrían nuestras iniciativas obtener reconocimiento y confianza del cliente?

En primer lugar, creo que la seguridad es una propiedad intrínseca del producto, por lo que colocamos a la seguridad en la primera posición. En segundo lugar, por un lado, debemos entender completamente las necesidades de seguridad de nuestros clientes, y por otro lado, debemos hacerles saber que nuestros productos son seguros. ZTE está ejecutando un programa de seguridad de ciberseguridad a largo plazo, que se denomina “Gobernanza de ciberseguridad de ZTE”. La visión es “Seguridad en la sangre y confianza a través de la transparencia”. El objetivo final es proporcionar a los clientes una garantía de ciberseguridad confiable y de extremo a extremo.

A nivel estratégico, la ciberseguridad es una de las prioridades más altas para el desarrollo y la entrega de productos. Es decir, en los puntos clave de toma de decisiones en el proceso de I + D y servicios de ingeniería, cuando tenemos que elegir, daremos prioridad a garantizar la seguridad de los productos. Por ejemplo, en el proceso de desarrollo del producto, configuramos los requisitos de lanzamiento, si un producto falla la prueba de seguridad, la versión no podrá lanzarse. En el proceso de servicios de ingeniería, los métodos técnicos y de gestión se utilizan para garantizar el funcionamiento seguro de la red del cliente. Por ejemplo, la administración de cuentas aplica la necesidad de saber y los principios de privilegio mínimo; todas las operaciones que impliquen acceso a las redes y datos de los clientes deben ser autorizadas previamente por los clientes.

A nivel organizativo, ZTE ha adoptado una estructura de seguridad de defensa de tres líneas reconocida por la industria. Basado en el principio de separación de tareas y responsabilidades, ZTE supervisa la seguridad del producto desde múltiples perspectivas: la primera línea de defensa logra la autogestión y el control de la ciberseguridad, la segunda línea de defensa implementa la verificación y supervisión de seguridad independientes; y la tercera línea de defensa audita la efectividad de la primera y segunda líneas de defensa.

En el proceso de desarrollo del producto, la implementación de un mecanismo de verificación de seguridad de múltiples capas garantiza que la seguridad se revise desde múltiples perspectivas. En el campo de los servicios de ingeniería, de acuerdo con las dimensiones regional, nacional y del proyecto, la compañía ha establecido un equipo de gestión de seguridad de productos de varios niveles y un mecanismo de monitoreo de ciberseguridad y respuesta a incidentes. La segunda y tercera línea realizan inspecciones y auditorías in situ en el campo de los servicios de ingeniería para garantizar que la operación y el mantenimiento de los productos en línea sean seguros y confiables.

A nivel táctico, el programa de garantía de ciberseguridad se adhiere a una política de seis puntos: estandarización, implementación estricta, trazabilidad, supervisión sólida, transparencia y confiabilidad.

1. Estandarización: las políticas de seguridad desarrolladas y las especificaciones del proceso se infiltran en cada producto y proceso. Regularmente revisamos las especificaciones de seguridad en comparación con el modelo de madurez de la industria y aseguramos que sean ejecutables y efectivos.

2. Implementación estricta: el trabajo diario de cada departamento comercial se implementa estrictamente de acuerdo con las regulaciones. La compañía ha emitido una “Línea Roja de Seguridad del Producto” que actúa como línea de base de seguridad para las operaciones de la red del cliente y el procesamiento de datos personales, obligatorio para organizaciones y personas.

3. Capacidad de tracción: los componentes del producto, la distribución de la ubicación del producto y el registro del proceso de ejecución constituyen una imagen completa del producto, lo que nos ayuda a gestionar visualmente el producto. Por ejemplo, los incidentes de seguridad se pueden rastrear y revisar.

4. Supervisión fuerte: verificamos la efectividad de la implementación de las regulaciones y especificaciones a través de auditorías de seguridad internas y de terceros, los resultados de la auditoría se informan al Comité de Auditoría, se debe realizar un seguimiento de la rectificación y revisión.

5. Transparencia: las iniciativas de ciberseguridad deben ser transparentes para los clientes, y hemos implementado una serie de iniciativas para que el proceso así lo sea.

En 2017, la compañía se convirtió en una autoridad de numeración CVE, las partes relevantes pueden conocer el proceso de manejo de vulnerabilidades en nuestros productos a través de la política formal de divulgación de vulnerabilidades. En el primer trimestre de 2019, esperamos lanzar una nueva versión del “Libro Blanco de Ciberseguridad” para que los interesados ​​comprendan las actitudes y las iniciativas de ZTE sobre la garantía de la ciberseguridad. Mientras tanto, la compañía ha comenzado a construir laboratorios de seguridad en el extranjero, lo que permite a los clientes revisar nuestros productos en línea; Además, estamos buscando alianzas estratégicas con terceros para adquirir tecnologías y servicios líderes en la industria para la preparación de laboratorios de seguridad, evaluaciones independientes y auditorías de seguridad.

6. Confiabilidad – La premisa de ganar la confianza de los clientes es respetar y comprender los valores de nuestros clientes al hacer que el proceso sea transparente y regulado. ZTE aprobó la certificación ISO 27001 para el sistema de gestión de seguridad de la información en 2005 y actualiza su certificado cada año. En 2017, ZTE aprobó la certificación ISO 28000 (Especificación para sistemas de gestión de seguridad para la cadena de suministro). Desde 2011, más de diez productos han sido certificados por Common Criteria (es decir, ISO 15408). En los últimos dos años, ZTE ha estado trabajando estrechamente con clientes, terceros y reguladores en el extranjero para llevar a cabo actividades, como la revisión del código fuente, la revisión del diseño de seguridad y la auditoría de proveedores.

En términos de capacitación del personal, creemos que el éxito del programa de gobernanza de seguridad cibernética depende en gran medida del personal y la conciencia de seguridad. Hemos construido equipos de seguridad y profesionales de seguridad capacitados. El año pasado, hemos agregado 27 certificados que consisten en CISSP (Profesional de Seguridad de Sistemas de Información Certificado), CISA (Auditor de Seguridad de la Información Certificado), CISAW (Trabajador de Garantía de Seguridad de la Información Certificado) y CCSK (Certificado de Conocimiento de Seguridad de la Nube). También hemos organizado varios niveles de aprendizaje, capacitación, talleres, prácticas y exámenes, y hemos capacitado a un personal de seguridad de más de 600 personas. Pero lo más importante, el desarrollo de la conciencia de seguridad, comienza con la administración. El Comité de Seguridad Cibernética (CSC) está encabezado por el CEO, con el CTO como subdirector ejecutivo y el CSO como director adjunto. Los miembros del Comité Permanente de la CSC están representados por las personas responsables de la unidad de negocios, de cadena de Suministro, Productos de Sistemas y Servicios de Ingeniería. La gestión de la garantía de ciberseguridad se ha implementado a través de todas las capas de gestión.

Pregunta 3: ¿Podría presentar más información sobre el plan de preparación y lanzamiento de los laboratorios de seguridad?

Respuesta: Los laboratorios de seguridad que se están construyendo se operarán en modo “1 + N”. El laboratorio central estará ubicado en China, y se desplegarán múltiples puntos de acceso remoto en el país y en el extranjero.

Los laboratorios de seguridad preestablecerán tres funciones: 1. Ver y evaluar el código fuente de los productos ZTE en un entorno seguro; 2. Proporcionar acceso a documentación técnica importante de los productos y servicios de ZTE; 3. Proporcionar pruebas de seguridad manuales y automatizadas de los productos y servicios de ZTE.

La construcción se realizará en fases: se espera que se construyan dos laboratorios de seguridad en Bélgica e Italia en 2019. En el futuro, ZTE considerará el establecimiento de nuevos laboratorios de acuerdo con las necesidades de los clientes y el desarrollo comercial.

Pregunta 4: Recientemente, existe la preocupación de que la seguridad nacional se propague por todo el mundo y que la credibilidad de los fabricantes chinos de equipos de telecomunicaciones haya sido cuestionada por gobiernos y empresas extranjeras. Algunas personas creen que los proveedores chinos de telecomunicaciones brindan cooperación para el trabajo de inteligencia gubernamental. ¿Qué opinión tienes sobre el tema?

Respuesta: ZTE nunca ha recibido ninguna solicitud de agencias relevantes para instalar puertas traseras en nuestros productos; El código fuente de nuestros productos puede abrirse para realizar auditorías de seguridad por parte de clientes y organizaciones profesionales a través de nuestros laboratorios de seguridad.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.