Jährlicher Security-Review durch den TÜV Süd erfolgreich durchgeführt
Reinhard Mayr, Head of Information Security and Research Operations, war für uns an diesem Prozess beteiligt und erklärt, worum es ging.
Warum ist es für COPA-DATA wichtig IEC 62443-zertifiziert zu sein?
Uns ist es sehr wichtig, die Qualität in unseren Prozessen sicher zu stellen. Mit der IEC 62443-4-1 Konformität zertifizieren wir unseren (Secure) Development Lifecycle. Somit garantieren wir die hohe Qualität unserer Entwicklungen und damit für unsere Software-Anwender die Möglichkeit zum Design moderner Security-Infrastruktur.
Was müssen wir tun, um die Zertifizierung weiterhin tragen zu können?
Alle drei Jahre werden wir neu zertifiziert – das nächste Mal also 2021. Dazwischen sind wir im regelmäßigen Austausch mit einem Auditor und erhalten sozusagen eine inhaltliche Auffrischung durch den TÜV Süd. Dadurch bauen wir innerhalb des Security Management Teams und auch im gesamten Haus mehr und mehr Know-how auf. Zudem kommunizieren wir offen und transparent, wenn es zu sicherheitsrelevanten Problemen durch unsere Produkte kommen kann.
Welche Maßnahmen wurden im laufenden Jahr umgesetzt?
Es gab ein umfangreiches Awareness Training zum Thema Security für alle COPA-DATA Mitarbeiter. Innerhalb unserer Organisation ist das Security Management Team mittlerweile bekannt und wir werden bei entsprechenden Unklarheiten hinzugezogen. Es gab ein Secure Coding Training für unsere Entwickler. In der zenon Entwicklung und Qualitätssicherung haben wir das Fuzzing, also das Testen von Robustheit bezogen auf unsere Schnittstellen, ausgeweitet. Zudem überwachen wir die Lizenzen und insbesondere mögliche Schwachstellen von externen Open Source Quellen nun mit einem entsprechenden Softwaretool. Generell wurde uns vom TÜV Süd bestätigt, dass wir unsere interne wie auch externe Kommunikation im Falle einer möglichen Security-Bedrohung weiter professionalisiert und verbessert haben.
Was sind die nächsten Milestones?
Wir werden den Aufbau von Know-how weiter vorantreiben. Uns ist sehr bewusst, dass dies ein nie endender Prozess ist. Wir wollen unsere Qualität stetig verbessern und Probleme, die wir selbst feststellen oder die wir mitgeteilt bekommen, weiterhin schnell, professionell und transparent kommunizieren. Unsere kommenden Produkterweiterungen sollen alle mit Security per Design ausgestattet sein. Gleichzeitig arbeiten wir daran, die Stabilität des Gesamtsystems und die Manipulationserkennung in zenon zu verbessern. Und auch das Thema Code-Qualität mittels statischer Code-Analyse werden wir auf dem Schirm behalten, um die vielen Millionen Zeilen zenon Code auf dem neuesten Stand zu halten.
Wie wird das erworbene Security Know-how sonst noch geteilt?
Wir wollen unser Security-Wissen baldmöglichst verstärkt mit unseren Partner-Unternehmen der COPA-DATA Partner Community teilen und entsprechende Trainings anbieten. Wir haben neu eingeführt, dass Partner der höchsten Kategorie, unsere Gold Partner, ein Mindestmaß an Security-Kenntnissen aufweisen müssen. Außerdem werden wir noch enger mit dem Computer Emergency Response Team Austria (www.cert.at) und anderen externen Partnern wie der FH Salzburg und der FH St. Pölten zusammenarbeiten. Einige unserer Mitarbeiter werden voraussichtlich zusätzlich ihr Engagement in den Security-Normungsgremien unserer Fokusbranchen ausbauen.
Als zenon Nutzer haben Sie Fragen zum Thema Security? Kontaktieren Sie Ihren lokalen zenon-Ansprechpartner oder schreiben Sie eine Email an sales@copadata.com.
Zurück