Täglich nutzen ca. 23.500 Züge die Netz-Infrastruktur und erzeugen so während eines Jahres über eine Milliarde Trassenkilometer. Für reibungslose Betriebsabläufe in dieser Größenordnung spielt IT eine entscheidende Rolle. Sie dient nicht nur dazu, Signale, Bahnübergänge und Weichen korrekt zu stellen, sondern unterstützt auch in der Koordination des kompletten Bahnverkehrs in Deutschland.
Die DB Netz AG ist in ihrer Funktion ein KRITIS-Unternehmen par excellence – sie sorgt dafür, dass eine einzigartige kritische Infrastruktur in Deutschland dauerhaft verfügbar bleibt. Als KRITIS-Unternehmen liegt die Messlatte für die IT-Sicherheit besonders hoch. Dokumentation und Erfüllungsgrad von Sicherheitsvorgaben sind ein wichtiger Aspekt für das Geschäft der DB Netz AG.
Con la nueva base para la gestión de la seguridad de la información, DB Netz AG pasa de un enfoque manual y reactivo a uno activo y planificado. Consigue así orquestar de forma eficiente la información necesaria y las obligaciones de colaboración. Las tareas de investigación tediosas, reactivas y recurrentes (por ejemplo, para próximas auditorías) se sustituyen por un enfoque sistemático e industrializado para la seguridad de la información. DB Netz AG está en disposición de instaurar una documentación de seguridad informática estructurada como requisito para las unidades del grupo, como prueba del cumplimiento y como herramienta para una gestión integral de la seguridad. La empresa gana en transparencia en todo momento y afianza la importancia de la seguridad informática, también a nivel de la dirección. La gestión de la seguridad informática se vuelve así controlable, incluso en empresas extensas y dinámicas, así como en condiciones marco y normativas cada vez más complejas. Los «silos» se disuelven y se genera una visión de toda la empresa.
Otras ventajas:
El uso de componentes de la arquitectura de seguridad ESARIS ayuda a lograr una base moderna para la gestión operativa de la seguridad informática. El cliente alcanza así eficiencia y transparencia en toda la empresa.
Los retos de la arquitectura crítica de DB Netz AG no son nuevos. Sin embargo, en los últimos años ha aumentado el número de estándares, listas de requisitos, instrucciones de trabajo y conceptos de seguridad cuyo establecimiento y cumplimiento comprueban auditores. Estos contenidos y las obligaciones de colaboración están distribuidos por toda la empresa y sus unidades especializadas. Todo ello supone enormes esfuerzos para el pequeño equipo de seguridad informática de la empresa. Con el fin de manejar tanto los requisitos de infraestructura crítica como otros estándares de seguridad y certificaciones, el equipo decidió poner a prueba su sistema actual de gestión de la seguridad de la información (ISMS). «Queríamos generar una transparencia total para la información necesaria y, al mismo tiempo, garantizar una implementación eficiente del ISMS», explica el Dr. Eberhard von Faber de T-Systems. El equipo de seguridad buscaba sentar una base moderna para la gestión de la seguridad informática y afianzarla en la empresa. Y es que un gran número de unidades internas deben trabajar activamente en ella de forma permanente. ¿Cómo es eso posible?
Con ESARIS (Enterprise Security Architecture for Reliable ICT Services) los responsables descubrieron una arquitectura de seguridad perfecta para renovar radicalmente la seguridad informática y sentarla sobre una nueva base. Recurrieron al asesoramiento de T-Systems/Deutsche Telekom Security. ESARIS es un conjunto de medidas, estándares y guías para garantizar la seguridad de los servicios TIC. ESARIS estandariza, armoniza y mejora la seguridad informática. ESARIS fue desarrollada en un principio para proveedores de servicios de TI en los que la creación de valor altamente distribuida está a la orden del día. Este es también el caso de DB Netz AG. En consecuencia, pueden utilizarse múltiples componentes de la arquitectura de seguridad de ESARIS. T-Systems y Deutsche Telekom Security lo demostraron en el marco de un proyecto de consultoría de varios meses en el año 2021. En colaboración con los especialistas, analizaron, entre otras cosas, la situación existente en relación a las herramientas utilizadas, las fuentes de información y la documentación disponible. Reflejaron los resultados del análisis en los modelos disponibles de la arquitectura de seguridad de ESARIS. Se comprobó que no solo deben tenerse en cuenta temas de seguridad informática originales de la TI de la empresa, sino también cuestiones cada vez más importantes como la seguridad OT e IIoT. Sobre esta base, los asesores desarrollaron una taxonomía de seguridad específica para la empresa junto con el equipo de seguridad. Muestra de forma detallada los temas y tareas que hay que tratar y cómo se conectan entre sí. La taxonomía permite obtener una visión general constante y sirve como instrumento de control. Con esta herramienta central, los responsables de seguridad informática de DB Netz AG pueden orquestar su gestión de la seguridad informática de forma eficiente. Disponen de una base sólida y de un plan para los próximos pasos de implementación. Además, la gestión centralizada de documentos, cuyos pilares se debatieron conjuntamente, resulta fundamental. Un modelo de cooperación define las obligaciones de colaboración, ayuda a organizar la cooperación y crea la base para la gobernanza dentro de la empresa.
