CUMPLE CON NIS2 CIBERSEGURIDAD

PROCESO DE DESARROLLO DE PRODUCTOS SEGURO

Honeywell ha desarrollado un sistema integral que incorpora la seguridad desde la etapa inicial de la concepción de un producto y durante todo su desarrollo, además de abordar posibles vulnerabilidades en productos existentes. Este sistema, conocido como la iniciativa “Secure Development Life Cycle” (SDLC) de Honeywell, se ha vuelto aún más robusto en los últimos años.

Honeywell se compromete con la seguridad de los productos. Nuestros productos pasan por pruebas exhaustivas y rigurosas. Y en determinados casos, se realizan pruebas de seguridad adicionales independientes. Los criterios para estas pruebas adicionales, así como los productos u ofertas específicos seleccionados, son información confidencial y propia.

El “Secure Development Life Cycle” (SDLC) representa un proceso sólido e integral basado en las mejores prácticas y estándares de la industria que incluye lo siguiente:

• Evaluación de Riesgos de Seguridad basado en el entorno de amenazas al que se enfrenta un producto u oferta en particular, así como en las características técnicas y las necesidades del cliente

• Requisitos de Seguridad y controles de seguridad basados en estándares y directrices de la industria tales como BSIMM, ISA/IEC 99/62443, ISO 27001, PCI DSS, GDPR, OWASP, leyes y regulaciones locales aplicables, entre otros, dependiendo del producto o la oferta y la Evaluación de Riesgos de Seguridad

• Evaluaciones de Impacto en la Privacidad

• Análisis de amenzas

• Estándares y prácticas de “Seguro por Diseño”, “Privacidad por Diseño” y codificación segura

• Pruebas de Seguridad de Aplicaciones Estáticas (SAST, también conocidas como escaneo de código fuente) para imponer prácticas de diseño y codificación seguros. Realizamos escaneos en búsqueda de vulnerabilidades del OWASP Top 10 y SANS Top 25, así como de medidas de calidad específicas del idioma. Las herramientas SAST actuales incluyen SonarQube y Coverity dependiendo de las necesidades del producto y el idioma

• Escaneo binario para identificar el uso de código abierto y posibles vulnerabilidades

• Una Política de Gestión de Riesgos formal que requiere plazos específicos de mitigación basados en la severidad

• Revisión y aprobación de ciberseguridad por parte de la alta dirección antes del lanzamiento del producto

• Soporte durante el ciclo de vida del producto y notificación al cliente de actualizaciones de seguridad.

Un equipo de auditoría de Honeywell realiza verificaciones para asegurar que se cumplen los requisitos de seguridad incluidos en el proceso “Secure Development Life Cycle” (SDLC) de Honeywell.

Honeywell realiza programas de formación para sus empleados sobre el proceso de seguridad de la empresa y sobre preocupaciones y soluciones específicas de ciberseguridad.

Todos los ingenieros de software en Honeywell reciben formaciones sobre el “SDLC” y sobre temas generales de ciberseguridad y seguridad de productos.

POLÍTICA DE INFORMES DE CIBERSEGURIDAD DE HONEYWELL

El objetivo de nuestro Equipo de Respuesta a Incidentes de Seguridad de Productos (PSIRT) es minimizar el riesgo de los clientes asociado con las vulnerabilidades de seguridad, proporcionando información oportuna, orientación y solución de las vulnerabilidades en nuestros productos, incluyendo software, aplicaciones, hardware, dispositivos, servicios y soluciones. Este equipo gestiona la recepción, investigación, coordinación interna, solución y divulgación de la información sobre vulnerabilidades de seguridad relacionadas con los productos de Honeywell.

El PSIRT coordina la respuesta y divulgación de todas las vulnerabilidades de productos identificadas externamente.

CÓMO INFORMAR SOBRE UNA POTENCIAL VULNERABILIDAD DE SEGURIDAD

Estamos abiertos a recibir informes de investigadores independientes, organizaciones de la industria, proveedores y clientes preocupados por la seguridad de los productos.

Para obtener más información sobre cómo informar de una posible vulnerabilidad, visite la página web sobre cómo reportar una vulnerabilidad en https://www.honeywell.com/us/en/product-security#vulnerability-reporting

PROCESO DE DIVULGACIÓN COORDINADA DE VULNERABILIDADES

Este proceso permite que las fuentes de información independientes que descubran una vulnerabilidad se pongan en contacto directamente con Honeywell y nos den la oportunidad de investigar y remediar la vulnerabilidad antes de que el informante divulgue la información al público.

El PSIRT (Equipo de Respuesta a Incidentes de Seguridad de Productos) coordinará con el informante durante toda la investigación de la vulnerabilidad y le proporcionará actualizaciones sobre el progreso según corresponda. Con su consentimiento, el PSIRT puede reconocer al informante en nuestros agradecimientos por encontrar una vulnerabilidad válida en el producto y reportar el problema de manera privada. Después de que Honeywell publique una actualización o información de mitigación, el informante podrá discutir públicamente la vulnerabilidad.

Seguir el Proceso de Divulagción de Vulnaverabilidades nos permite proteger a nuestros clientes y, al mismo tiempo, coordinar las divulgaciones públicas y reconocer adecuadamente al informante por su hallazgo. Si una vulnerabilidad reportada involucra un producto de un proveedor, el PSIRT notificará directamente al proveedor, coordinará con el informante o involucrará a un centro de coordinación de terceros.

Por favor consulte https://www.honeywell.com/us/en/product-security