Cybersecurity, Zhong Hong (ZTE): ‘La sicurezza dei nostri clienti viene prima degli interessi commerciali

ZTE Corporation, l’importante player internazionale di soluzioni di telecomunicazioni, enterprise e consumer  technology per  l’Internet mobile, mette in luce i fondamentali della sicurezza informatica dell’azienda attraverso  il  capo della sicurezza del Gruppo ZTE, Zhong Hong.

Zhong Hong asserisce che ZTE antepone la sicurezza dei propri clienti agli interessi commerciali; rispetta le leggi e i regolamenti in materia di sicurezza informatica in modo da garantire la consegna end-to-end di prodotti e servizi,  sicuri e affidabili.

La sicurezza informatica è una delle massime priorità per lo sviluppo e la distribuzione dei prodotti ZTE. La Compagnia sta creando una struttura olistica di governance della cybersecurity incentrata sul piano strategico di sviluppo della società, con riferimento agli standard internazionali, alle leggi e ai regolamenti, promuovendo così la corretta consapevolezza della sicurezza per tutti i dipendenti e garantendo  sicurezza all’intero processo.

Al fine di ottenere una consegna sicura end-to-end di prodotti e servizi, ZTE integra politiche e controlli di sicurezza in ogni fase del ciclo di vita del prodotto, stabilendo un meccanismo garante della sicurezza informatica che copre aree come:  lo sviluppo del prodotto, la supply chain e la produzione, i servizi di ingegneria , la gestione degli incidenti in sicurezza, verifiche e audit. Nel frattempo, ZTE, ha anche costruito tre linee di struttura di governance per la cybersicurezza della difesa incentrata su processi di base, a ciclo chiuso.

In termini di struttura organizzativa, ZTE ha adottato le tre linee del modello di governance della cybersicurezza della difesa per implementare e rivedere la sicurezza informatica da più punti di vista. Le business unit fungono da prima linea di difesa per ottenere l’autogestione e il controllo della cybersicurezza mentre il laboratorio aziendale funge da seconda linea di difesa per implementare la verifica e la supervisione indipendente di ciascuna azione. Le istituzioni esterne ai clienti fungono da terza linea di difesa, verificando esse stesse l’efficacia della prima e della seconda linea di difesa.

Il PSRT (Product Security Incident Response Team) di ZTE identifica e analizza gli incidenti, tiene traccia dei processi di gestione dei medesimi  e comunica strettamente con gli stakeholder interni ed esterni per comunicare le vulnerabilità della sicurezza in modo tempestivo e per mitigare gli effetti negativi degli incidenti . In qualità di membro del Forum di Incident Response and Security Teams (FIRST) e membro della CVE Numbering Authority (CNA), ZTE sta collaborando con i clienti e le parti interessate nella maniera più aperta.

ZTE ha superato la certificazione ISO 27001 per i sistemi di gestione della sicurezza delle informazioni nel 2005 e ha aggiornato il suo certificato ogni anno. Nel 2017, ZTE ha approvato la certificazione ISO 28000 (Specifica per i sistemi di gestione della sicurezza per la catena di approvvigionamento).

In termini di valutazione della sicurezza, l’azienda dispone di professionisti certificati a livello internazionale con CISSP, CISA, CCIE, CISAW e CCSK per abilitare le capacità di valutazione multidimensionale mature degli aspetti di revisione del codice, scansione delle vulnerabilità e test di penetrazione.

 

Domande e risposte utili: 

Domanda 1: L’era del 5G è arrivata. Il cloud computing, l’Internet of Things (I.O.T.) i big data, l’intelligenza artificiale e altre tecnologie stanno dando il via a una ennesima serie di cambiamenti industriali. In tale contesto, la sfida più grande che l’industria delle telecomunicazioni deve affrontare è quella di resistere alla minaccia, sempre in agguato, che viene portata alla sicurezza informatica. In qualità di fornitore globale di apparecchiature e soluzioni per le telecomunicazioni, quale posizione assume ZTE per la sicurezza informatica?

Risposta: ZTE ritiene che il tasso di sicurezza che fornisce ai propri clienti venga sempre anteposto agli  interessi commerciali e che le caratteristiche di sicurezza dei prodotti siano sempre soddisfatte. Le minacce alla sicurezza informatica sono un problema di tutti e i  nostri stessi clienti si trovano ad affrontarle con noi. A nostro avviso la maggiore preoccupazione per i clienti è avere sempre sufficienti misure di controllo di sicurezza per garantire l’operatività costante delle loro attrezzature e servizi. La continua gestione della sicurezza informatica di ZTE negli ultimi anni ha fornito ai clienti un meccanismo olistico di garanzia della sicurezza end-to-end che consente a prodotti e servizi di resistere a qualsiasi attacco informatico.

ZTE è disposta a comunicare e cooperare con operatori, autorità di regolamentazione, partner commerciali e altre parti interessate in modo aperto e trasparente, rispettare le leggi e i regolamenti pertinenti, rispettare i diritti e gli interessi legittimi dei clienti e degli utenti finali e migliorare continuamente la gestione e gli aspetti tecnici e pratici per fornire ai clienti prodotti sicuri e affidabili al fine di creare un buon ambiente di sicurezza del cyberspazio.

Domanda 2: Recentemente, alcuni governi hanno sollevato preoccupazioni in merito alla sicurezza informatica. In che modo ZTE può proteggere la sicurezza e la riservatezza delle informazioni per i clienti di tutto il mondo? In altre parole, come aiutare i clienti a raggiungere l’obiettivo di resistere congiuntamente alle minacce alla cybersicurezza e come dissipare le preoccupazioni dei clienti riguardo alla sicurezza informatica?

Risposta: a  questa domanda bisogna rispondere da due punti di vista. Uno concerne ZTE e cosa dovrebbe fare per garantire la sicurezza informatica e come farlo. L’altra  riguarda il punto di vista del cliente, e come, attraverso le diverse  iniziative  , si ottenga  il riconoscimento e la fiducia dei clienti.

Prima di tutto, pensiamo che la sicurezza sia la proprietà intrinseca del prodotto, quindi mettiamo la sicurezza al primo posto. In secondo luogo, se da un lato vanno comprese appieno le esigenze di sicurezza dei nostri clienti dall’altra dobbiamo costantemente comunicare ai nostri clienti che i prodotti ZTE sono sicuri. La nostra Compagnia  sta conducendo un programma di assicurazione della sicurezza informatica a lungo termine e continuo, denominato “ZTE Cybersecurity Governance“. La sua visione è “security in blood, fiducia attraverso la trasparenza”. L’obiettivo finale è fornire ai clienti la massima sicurezza.

A livello strategico, la sicurezza informatica è una delle massime priorità per lo sviluppo e la distribuzione dei prodotti. Vale a dire, nei punti chiave decisionali nel processo di R & S e nei servizi di ingegneria, quando dobbiamo fare delle scelte, daremo la priorità alla sicurezza dei prodotti. Ad esempio, nel processo di sviluppo del prodotto, impostiamo il gate di rilascio. Se un prodotto non supera il test di sicurezza, la versione non sarà autorizzata alla distribuzione. Nel processo di servizi di ingegneria, i metodi tecnici e di gestione sono utilizzati per garantire l’operatività di sicurezza della rete del cliente. Ad esempio, la gestione degli account applica i principi della necessità della conoscenza e degli accessi minimali:  tutte le operazioni che comportano l’accesso alle reti e ai dati dei clienti devono essere preventivamente autorizzate dai clienti.

A livello organizzativo, ZTE ha adottato una struttura di sicurezza della difesa a tre linee ben riconosciuta e nota nel settore. Basata sul principio della separazione dei compiti e delle responsabilità, ZTE supervisiona la sicurezza del prodotto da più punti di vista: la prima linea di difesa ottiene l’autogestione e il controllo della sicurezza informatica, la seconda linea di difesa implementa la verifica e la supervisione indipendente della sicurezza; e la terza linea di difesa verifica l’efficacia della prima e della seconda linea di difesa.

Nel processo di sviluppo del prodotto, l’implementazione di un meccanismo di verifica della sicurezza a più livelli garantisce che la sicurezza venga esaminata da più punti di vista. Nel campo dei servizi di ingegneria, in base alle dimensioni di un progetto, la società istituisce  un team di gestione della sicurezza dei prodotti multilivello e un meccanismo di monitoraggio della sicurezza informatica e di risposta agli incidenti; La seconda e la terza linea conducono ispezioni e verifiche sul campo nel settore dei servizi di ingegneria per garantire che il funzionamento e la manutenzione dei prodotti in linea siano sicuri e affidabili.

A livello tattico, il programma di assicurazione sulla sicurezza informatica si attiene con una “politica” in sei punti: standardizzazione, rigorosa implementazione, tracciabilità, forte supervisione, trasparenza e affidabilità.

1.Standardizzazione:le policy di sicurezza sviluppate e le specifiche di processo sono seminate in ogni prodotto e processo. ZTE  esamina regolarmente le specifiche di sicurezza in base al modello di maturità del settore e garantisce che siano applicabili ed efficaci.

  1. Implementazione rigorosa:il lavoro quotidiano di ciascun dipartimento aziendale viene implementato rigorosamente in conformità  ai regolamenti. La società ha creato una “linea rossa di sicurezza del prodotto” che traccia una profonda e insormontabile demarcazione per rendere tutto più sicuro nelle reti dei clienti e durante l’elaborazione dei dati personali; obbligatoria sia per le organizzazioni che per i privati.
  2. La tracciabilità– i componenti del prodotto, la distribuzione della posizione del prodotto e la registrazione del processo di esecuzione costituiscono l’immagine stessa del prodotto, aiutandoci a gestire anche visivamente il tool e aiutandoci così eventualmente a risalire e rivedere  eventuali incidenti di percorso.
  3. Sorveglianza elevata:verificare l’efficacia dell’applicazione delle norme e delle specifiche attraverso audit di sicurezza interni e di terze parti, i risultati dell’audit vengono segnalati al Comitato di verifica, la rettifica e la revisione devono essere immediatamente  eseguite.
  4. Trasparenza:le iniziative di cybersecurity devono essere trasparenti per i clienti e abbiamo implementato una serie di iniziative per rendere trasparente il processo.

Nel 2017, la società è diventata un’Autorità di numerazione CVE; le parti interessate possono essere portate  a conoscere il processo di gestione dei nostri prodotti attraverso la formale divulgazione delle loro eventuali vulnerabilità. Nel primo trimestre del 2019, ci aspettiamo di rilasciare una nuova versione del “Libro bianco sulla cybersicurezza” per consentire alle parti interessate di abbracciare gli atteggiamenti e le iniziative di ZTE in materia di sicurezza della cybersicurezza. Nel frattempo, la società ha iniziato a costruire laboratori di sicurezza all’estero, che consentono ai clienti di vedere i nostri prodotti che avevano osservato solo online; inoltre, stiamo fondando partnership strategiche con terze parti per acquisire tecnologie e servizi leader del settore per la preparazione dei laboratori di sicurezza, la valutazione indipendente e gli audit di sicurezza.

  1. Affidabilità – La premessa per conquistare la fiducia dei clienti è quella di rispettare e comprendere i valori dei nostri clienti rendendo il processo trasparente e regolamentato. ZTE ha superato la certificazione ISO 27001 per il sistema di gestione della sicurezza delle informazioni nel 2005 e ha aggiornato il suo certificato ogni anno. Nel 2017, ZTE ha approvato la certificazione ISO 28000 (Specifica per i sistemi di gestione della sicurezza per la catena di approvvigionamento). Dal 2011, più di dieci prodotti sono stati certificati dai Common Criteria (cioè ISO 15408). Negli ultimi due anni, ZTE ha lavorato a stretto contatto con clienti, terze parti e autorità di regolamentazione estere per condurre attività come la revisione del codice sorgente, la revisione della progettazione della sicurezza e l’audit dei fornitori.

In termini di formazione del personale, riteniamo che il successo del programma di governance della cybersicurezza dipenda in gran parte dalla consapevolezza del personale e della sicurezza. Abbiamo creato team di sicurezza e formato professionisti specializzati.  Nell’ultimo anno abbiamo aggiunto 27 certificati costituiti da CISSP (Certified Security System Professional), CISA (Certified Information Security Auditor), CISAW (Certified Information Security Assurance Worker) e CCSK (Certificate of Cloud Security Knowledge). Abbiamo anche organizzato vari livelli di apprendimento, formazione, workshop, pratiche ed esami e abbiamo formato il personale di sicurezza che oggi conta oltre 600 persone. Ma, soprattutto, lo sviluppo della consapevolezza della sicurezza inizia con la gestione. Il Comitato per la sicurezza informatica (CSC) è diretto dall’Amministratore Delegato, con il CTO come vicedirettore esecutivo e il CSO come vicedirettore, i membri del Comitato permanente della CSC sono rappresentati dai responsabili finali della business unit di supply chain, prodotti di sistema e servizi di ingegneria. L’organizzazione della sicurezza informatica è stata implementata a livello di management.

Domanda 3: si potrebbe fare di più sul piano di preparazione e creazione dei laboratori di sicurezza?

Risposta: I laboratori di sicurezza in costruzione verranno gestiti in modalità “1 + N”. Il laboratorio del centro sarà situato in Cina e saranno installati più punti di accesso remoto in patria e all’estero.

I laboratori di sicurezza preselezioneranno tre funzioni: 1. Visualizzare e valutare il codice sorgente dei prodotti ZTE in un ambiente sicuro; 2. Fornire l’accesso a importanti documenti tecnici relativi a prodotti e servizi ZTE; 3. Fornire test di sicurezza manuali e automatizzati di prodotti e servizi ZTE.

La costruzione arriverà in più fasi: nel 2019 saranno realizzati due laboratori di sicurezza in Belgio e in Italia. In futuro ZTE prenderà in considerazione la creazione di nuovi laboratori in base alle esigenze dei clienti e allo sviluppo del business.

Domanda 4: recentemente c’è preoccupazione in tutto il mondo intorno al problema della sicurezza nazionale ;  la credibilità dei produttori cinesi di apparecchiature per le telecomunicazioni è stata messa in discussione da governi e imprese multinazionali. Alcuni  pensano che i fornitori di telecomunicazioni cinesi forniscano cooperazione al  lavoro di intelligence governativa. Che opinione ha sulla questione?

Risposta: ZTE non ha mai ricevuto richieste da agenzie competenti per creare backdoor nei nostri prodotti; il codice sorgente dei nostri prodotti può essere aperto a controlli di sicurezza da parte di clienti e organizzazioni professionali attraverso i nostri laboratori di sicurezza.

Related Posts

Ultime news