Security: la visione del capo della sicurezza ZTE, Zhong Hong

Cybersecurity: la visione del capo della sicurezza ZTE, Zhong Hong

Zhong Hong asserisce che ZTE antepone la sicurezza dei propri clienti agli interessi commerciali; rispetta le leggi e i regolamenti in materia di sicurezza informatica in modo da garantire la consegna end-to-end di prodotti e servizi, sicuri e affidabili.

La sicurezza informatica è una delle massime priorità per lo sviluppo e la distribuzione dei prodotti ZTE. La Compagnia sta creando una struttura olistica di governance della cybersecurity incentrata sul piano strategico di sviluppo della società, con riferimento agli standard internazionali, alle leggi e ai regolamenti, promuovendo così la corretta consapevolezza della sicurezza per tutti i dipendenti e garantendo sicurezza all’intero processo.

Al fine di ottenere una consegna sicura end-to-end di prodotti e servizi, ZTE integra politiche e controlli di sicurezza in ogni fase del ciclo di vita del prodotto, stabilendo un meccanismo garante della sicurezza informatica che copre aree come: lo sviluppo del prodotto, la supply chain e la produzione, i servizi di ingegneria, la gestione degli incidenti in sicurezza, verifiche e audit. Nel frattempo, ZTE, ha anche costruito tre linee di struttura di governance per la cybersicurezza della difesa incentrata su processi di base, a ciclo chiuso.

In termini di struttura organizzativa, ZTE ha adottato le tre linee del modello di governance della cybersicurezza della difesa per implementare e rivedere la sicurezza informatica da più punti di vista. Le business unit fungono da prima linea di difesa per ottenere l’autogestione e il controllo della cybersicurezza mentre il laboratorio aziendale funge da seconda linea di difesa per implementare la verifica e la supervisione indipendente di ciascuna azione. Le istituzioni esterne ai clienti fungono da terza linea di difesa, verificando esse stesse l’efficacia della prima e della seconda linea di difesa.

Il PSRT (Product Security Incident Response Team) di ZTE identifica e analizza gli incidenti, tiene traccia dei processi di gestione dei medesimi e comunica strettamente con gli stakeholder interni ed esterni per comunicare le vulnerabilità della sicurezza in modo tempestivo e per mitigare gli effetti negativi degli incidenti. In qualità di membro del Forum di Incident Response and Security Teams (FIRST) e membro della CVE Numbering Authority (CNA), ZTE sta collaborando con i clienti e le parti interessate nella maniera più aperta.

ZTE ha superato la certificazione ISO 27001 per i sistemi di gestione della sicurezza delle informazioni nel 2005 e ha aggiornato il suo certificato ogni anno. Nel 2017, ZTE ha approvato la certificazione ISO 28000 (Specifica per i sistemi di gestione della sicurezza per la catena di approvvigionamento).

In termini di valutazione della sicurezza, l’azienda dispone di professionisti certificati a livello internazionale con CISSP, CISA, CCIE, CISAW e CCSK per abilitare le capacità di valutazione multidimensionale mature degli aspetti di revisione del codice, scansione delle vulnerabilità e test di penetrazione.