Seguridad cibernética
Administración segura de la cadena de suministro
En SEL, la seguridad cibernética y la seguridad de la cadena de suministro siempre han sido fundamentales para garantizar la calidad de nuestros productos; la seguridad ha sido una de las principales prioridades para SEL durante más de 35 años.
Todos nuestros dispositivos electrónicos se diseñan, prueban y fabrican en Estados Unidos, en instalaciones de las que somos propietarios y operadores.
Revisamos y probamos exhaustivamente el código incluido en nuestros productos. El código fuente se monitorea continuamente en busca de nuevas amenazas, y proporcionamos boletines y actualizaciones de seguridad cibernética para toda la vida útil de todos los dispositivos que fabricamos.
También participamos de iniciativas dirigidas por la industria y de actividades de desarrollo de normas (por ejemplo, utilizamos el marco de seguridad cibernética del NIST para mantenernos al día con las mejores prácticas actuales y seguirles el ritmo a las cambiantes exigencias con las que deben cumplir nuestros clientes.
Puesto que sabemos que nuestra cadena de suministro se convierte en parte de su cadena de suministro, también compartimos los procesos y las mejores prácticas de gestión de la cadena de suministro que seguimos. Nuestros equipos de seguridad cibernética y seguridad de las operaciones también están disponibles para consultas sobre el cumplimiento con las normas de gestión de la cadena de suministro NERC CIP.
Una estrategia de seguridad de la cadena de suministro en cinco partes
La cadena de suministro para SEL es global y compleja: exige una estrategia de gestión de riesgos sistemática y amplia a fin de garantizar la calidad, la seguridad cibernética y la disponibilidad confiable de los componentes críticos de todos nuestros productos.
Esperamos que la descripción de los procesos y las mejores prácticas que seguimos para garantizar una cadena de suministro segura le proporcionen información útil al considerar sus propias iniciativas de seguridad cibernética y cumplimiento.
Parte 1:
Construir redes de suministro de confianza
En SEL, la selección de proveedores es una tarea compartida entre nuestros grupos de desarrollo de productos, calidad y compras. De manera similar, los equipos con áreas de experiencia complementarias trabajan juntos en la selección de componentes, el monitoreo continuo de los proveedores y las piezas, y las auditorías en el sitio a los proveedores.
Usamos un sistema de calificación de proveedores que evalúa a cada uno según su precio, calidad, características, innovación, entrega y servicio. Para llegar a esta calificación, evaluamos varias áreas de riesgo:
- Plantas de manufactura
- Plazos de entrega de los materiales
- Solvencia financiera
- Metodologías de reabastecimiento
- Tipo de tecnología
- Desempeño de entrega a tiempo
A fin de ayudar a garantizar la entrega segura de nuestros productos a nuestros clientes, aplicamos los mismos procesos de calificación de proveedores a nuestros proveedores de transporte y envío.
Fomento del trabajo en conjunto con los proveedores
Realizamos una conferencia anual para los proveedores que nos proporcionan piezas para componentes, equipos y servicios. Durante este evento, compartimos nuestras necesidades técnicas y objetivos estratégicos para el año próximo con más de 200 proveedores, e identificamos maneras de mejorar mutuamente nuestra sociedad.
También construimos relaciones con nuestros proveedores al realizar auditorías en sus plantas a fin de verificar que sus procesos de calidad y seguridad cumplan con nuestros requisitos.
No es suficiente conocer a nuestros proveedores de primer nivel. Les pedimos que identifiquen a sus proveedores de primer nivel, junto con los riesgos clave, las estrategias de mitigación y las metodologías de reabastecimiento.
Privacidad
Para mantener la seguridad de la información de productos y piezas para SEL y nuestros proveedores, no compartimos nuestras listas de materiales (BOM) ni enviamos datos esquemáticos de diseño. Proporcionamos pronósticos utilizando números de parte no relacionados con el producto.
Parte 2:
Garantizar la integridad y la disponibilidad de los componentes
A fin de garantizar la integridad de nuestros productos, obtenemos los componentes directamente del fabricante o los distribuidores oficiales siempre que sea posible. Luego verificamos el desempeño de los componentes adquiridos comparándolo con las especificaciones de producto del proveedor.
Si deben obtenerse componentes de distribuidores independientes, usamos diversos métodos a fin de detectar productos falsos, que incluyen pruebas funcionales e inspecciones microscópicas, de rayos X, de fluorescencia con rayos X y de decapsulación.
Durante todo el proceso de manufactura, probamos nuestros productos constantemente. Si se encuentran variaciones en el desempeño, trabajamos para comprender la causa raíz de la discrepancia.
Minimización del impacto de las interrupciones
Somos una empresa con base en Estados Unidos, y por eso obtenemos materiales en Estados Unidos en la medida de lo posible.
Trabajamos con los proveedores para garantizar que tanto ellos como nosotros mantengamos un inventario suficiente de partes especializadas y en riesgo. Siempre que resulta posible, nos aseguramos de que los componentes críticos puedan obtenerse de dos proveedores calificados como mínimo.
Parte 3:
Verificar la seguridad del software y el firmware
No compartimos código fuente ni datos esquemáticos.
Desarrollamos la mayor parte del software de manera interna, lo que proporciona una ventaja en el control de la calidad, con la posibilidad de implementar mejoras rápidas. Si usamos componentes de terceros en nuestro firmware, adquirimos el código fuente.
El acceso al código se permite solo para los ingenieros de investigación y desarrollo de SEL que trabajen en esos proyectos.
Pruebas internas rigurosas
Todas las pruebas de software y firmware se llevan a cabo en las instalaciones de SEL, por parte de empleados de SEL.
Contamos con un proceso robusto que incluye revisiones por parte de desarrolladores, y pruebas positivas y negativas. También usamos herramientas automatizadas para inspeccionar el código, a fin de identificar posibles problemas que los desarrolladores puedan haber pasado por alto.
Firmas digitales y hashes de firmware de SEL
El software con firma digital le permite verificar que los archivos de software son auténticos (producidos por SEL) y que no se los ha alterado ni modificado.
Los productos de hardware de SEL realizan una comprobación transparente de la integridad de los archivos de firmware durante el proceso de actualización de firmware, utilizando datos integrados en el firmware. Si no hay coincidencia, el dispositivo de SEL rechazará el archivo de firmware e interrumpirá la actualización.
Proporcionamos los hashes de firmware como una herramienta adicional para comprobar la integridad de los archivos de firmware de SEL.
Parte 4:
Proteger las operaciones y el acceso de control
La seguridad de la información y la seguridad física en SEL funcionan en capas y cumplen con normas reconocidas internacionalmente. Esto garantiza que todos los dispositivos y servicios de SEL se entreguen de manera segura y que todos los datos confiados a SEL se protejan.
Protección de la información
Protegemos la información del cliente en nuestros sistemas de negocios y durante las actividades de soporte. Esto incluye la protección de la información del cliente en los productos devueltos para reparaciones.
Cuando se necesita acceso remoto para el soporte técnico, usamos un sistema de seguimiento y notificación a fin de documentar y coordinar el control de ese acceso. Compartimentalizamos los proyectos y limitamos el acceso a la información de manera interna a las personas que necesitan acceso.
Cuando identificamos un incidente que afecta la información de los clientes, notificamos a las personas afectadas y ofrecemos todo nuestro soporte para la respuesta a incidentes.
Protección de las operaciones
Todos los empleados de SEL se someten a verificaciones de antecedentes exhaustivas antes de la contratación. Los sistemas de seguridad física y de la información de SEL se monitorean y cuentan con el soporte de un centro de operaciones de seguridad operado por empleados de SEL las 24 horas del día, los 7 días de la semana. Nuestros equipos analizan diversas fuentes de inteligencia públicas y privadas a fin de detectar y analizar posibles amenazas.
También vamos más allá de las normas para aumentar la seguridad cibernética; por ejemplo, hemos implementado redes definidas por software en nuestra operación de manufactura a fin de eliminar varias vulnerabilidades de red frecuentes.
Parte 5:
Monitorear vulnerabilidades de calidad y seguridad
Nuestro Sistema de Gestión de Calidad tiene certificación según la norma ISO 9001, y nuestros procesos de manufactura cumplen con la norma de mano de obra IPC-A-610 Clase 3 para productos que requieren alta fiabilidad, como los que se usan en sistemas de soporte vital y aeroespaciales.
Mantenemos registros detallados de los productos que fabricamos y los componentes integrados en ellos, a fin de poder notificar a los clientes de posibles problemas de calidad o seguridad.
Boletines de servicio y seguridad
Cuando identificamos un problema con un producto que implica un riesgo, informamos a los clientes afectados con un boletín de servicio. Distribuimos boletines de servicio de manera directa y a través de nuestro equipo de ventas.
Los boletines de servicio incluyen una explicación del problema identificado, así como la causa raíz, el impacto, la tasa de defectos observada, las medidas correctivas y las soluciones de mantenimiento recomendadas.
Cuando se identifica una vulnerabilidad de seguridad, nuestro equipo desarrolla rápidamente pasos correctivos e informa a los clientes sobre la vulnerabilidad y las medidas sugeridas en un boletín de servicio.
Determinación de la causa raíz
Proporcionamos una garantía de reparación o reemplazo de diez años sin costo para todos los productos fabricados por SEL, que incita a nuestros clientes a que nos devuelvan los productos cuando presenten fallas.
Nuestro equipo de “hospital de productos” examina los productos devueltos a fin de encontrar la causa raíz de los fallos; cada devolución bajo garantía nos ayuda a mejorar nuestros procesos de diseño, manufactura y suministro.