Los vehículos actuales son computadoras sobre ruedas, por lo que están expuestos a los riesgos de un ciberataque. En julio de 2024 surgieron nuevas regulaciones para garantizar la ciberseguridad integral en toda la cadena de suministro de la industria automotriz. La Asociación ENX ha publicado la nueva Auditoría de Ciberseguridad de Vehículos (VCSA, por sus siglas en inglés) para ayudar a los fabricantes de equipos originales y a los proveedores a implementar los nuevos requisitos.

Este artículo se publicó por primera vez en la revista alemana "QZ - Quality and Reliability", vol. 69 (2024)

people in a car driving down the road happily
Loading...

La transformación digital ha hecho que los vehículos sean más eficientes y seguros. Gracias a los sistemas de control electrónico y la interconexión constante, también se han convertido en objetivos para los cibercriminales. Los sistemas críticos podrían ser atacados, con consecuencias potencialmente fatales. A pesar del desarrollo de software más estricto Estándares, incluso en aviación, no hay garantía de un software libre de errores. Sin embargo, el control de software permite una respuesta rápida a los problemas de calidad: ahora es posible realizar actualizaciones por aire (OTA) prácticamente de la noche a la mañana.

Normas vinculantes de ciberseguridad

Para hacer frente a las crecientes amenazas cibernéticas, las Naciones Unidas adoptaron las normas UNECE R 155 y UNECE R 156, que incluyen la implementación de un Sistema de Gestión de Ciberseguridad (CSMS) y un Sistema de Gestión de Actualizaciones de Software (SUMS), respectivamente. Las normas tienen por objeto garantizar la ciberseguridad durante todo el ciclo de vida de un modelo y a lo largo de toda la cadena de suministro. En la UE, las normas son obligatorias para todos los vehículos de nueva fabricación desde julio de 2024.

ENX VCS - programa de auditoría mundial para ISO/SAE 21434

Con la ISO/SAE 21434 (Road Vehicles - Cybersecurity Engineering) se intentó crear, en el marco de la normativa de la ONU, una directriz y una prueba de conformidad para el cumplimiento de las normas. Sin embargo, en la práctica, los programas de auditoría de los proveedores de servicios de inspección resultaron ser demasiado diferentes, a pesar de las especificaciones de la ISO/PAS 5112. Por lo tanto, los fabricantes seguían careciendo de la posibilidad de proporcionar al legislador pruebas fiables y comparables del cumplimiento de sus proveedores, quienes a su vez tenían problemas para demostrar el cumplimiento de sus disposiciones contractuales sobre la base de una base de pruebas comparable.

Por este motivo, la Asociación ENX (asociación de fabricantes, proveedores y asociaciones de automóviles europeos) ha diseñado el programa de auditoría ENX VCS. ENX VCS audita la implementación de un Sistema de Gestión de Ciberseguridad del vehículo (VCSMS) de acuerdo con  ISO 21434  e ISO 5112. Su ventaja decisiva es que la auditoría VCS está estandarizada a nivel mundial y se puede adaptar a nuevos desafíos con mayor rapidez que una norma ISO. Un grupo de expertos internacionales revisa periódicamente el programa de auditoría para mantenerlo actualizado.

 

¿Estás listo para ENX VCS?

Aprenda todo sobre el proceso ENX VCS y los requisitos previos para su etiqueta VCS.

¡Co­n­si­gue tu etiqueta VCS aquí!

Auditorías estandarizadas - resultados comparables

Con la auditoría estandarizada ENX VCS, las empresas evitan los gastos innecesarios, sobre todo financieros, que pueden surgir de los procesos de auditoría en varios niveles y de auditorías divergentes. Para garantizar procesos globalmente comparables entre todos los proveedores de auditoría, ENX también publicó en el lanzamiento del programa unos criterios y requisitos de evaluación específicos para los proveedores de auditoría (ACAR VCS) y un catálogo de auditoría vinculante para las auditorías de ciberseguridad de vehículos (VCSA). Estos definen una serie de competencias obligatorias y un modelo de procedimiento vinculante para los auditores de VCS, además de la auditoría organizativa de las regulaciones V-CSMS, por ejemplo, una auditoría obligatoria de documentos y procesos, y la formación de una muestra aleatoria orientada al riesgo de todos los proyectos relevantes para la ciberseguridad. A continuación, los equipos de ingeniería responsables de los proyectos de la muestra son entrevistados por los auditores y expertos. Los resultados del trabajo del equipo se revisan para garantizar que el V-CSMS se utiliza realmente en la práctica. Una vez que se ha superado la prueba con éxito, las empresas pueden solicitar a ENX una etiqueta VCS correspondiente y ponerla a disposición de las partes interesadas a través del mecanismo de intercambio de ENX.

Loading...

TISAX ® y VCS trabajan en conjunto

Estructuralmente, las auditorías VCS con ACAR VCS se basan en el estándar de automoción establecido TISAX ® Los dos mecanismos de auditoría se complementan: mientras que TISAX ® evalúa la seguridad de la información en una empresa, la etiqueta VCS confirma la ciberseguridad de los componentes del vehículo. Similar a TISAX ® La auditoría VCS tiene en cuenta los distintos roles de los proveedores en el suministro de componentes cibernéticos. Por lo tanto, cada proveedor debe cumplir únicamente los requisitos del catálogo de auditorías de VCSA que correspondan a su función real y específica. Se distinguen diferentes etiquetas:

  • Desarrollo de VCS: La empresa se encarga del desarrollo seguro de los componentes del VCS, desde la integración del sistema en la arquitectura de seguridad general hasta la implementación segura y la transición segura a la producción.
  • Producción VCS: La empresa produce componentes VCS y garantiza su configuración segura y el equipamiento de software.
  • Operaciones y mantenimiento de VCS: La empresa recibe datos de registro de la flota de vehículos, lo que permite identificar condiciones de funcionamiento problemáticas o detectar incidentes de seguridad específicos. Esta etiqueta también es adecuada para empresas que necesitan mantener actualizados sus componentes VCS.
Description of the various standards for cyber security throughout a vehicle's lifecycle
Loading...

Prueba de conformidad según ENX VCS

Como parte de la auditoría VCS, los OEM y los proveedores pueden hacer que sus V-CSMS sean auditados por proveedores de auditoría aprobados y recibir una etiqueta VCS de ENX La nueva certificación ENX VCS es válida por tres años. La mayor comparabilidad global de las nuevas etiquetas refuerza la confianza en la conformidad del V-CSMS con las especificaciones de ciberseguridad UNECE R 155, lo que permite a las empresas demostrar claramente su cumplimiento a las autoridades y socios comerciales y contribuir a una ciberseguridad integral en el sector automotriz. Vale la pena actuar rápido: durante la fase introductoria, el registro para la auditoría ENX VCS es gratuito.

DQS: cómo aprovechar al máximo la seguridad

DQS fue fundada en 1985 como el primer organismo de certificación de Alemania. Desde entonces, somos uno de los principales expertos mundiales en auditoría y certificación. Los socios fundadores DGQ (Deutsche Gesellschaft für Qualität e. V.) y DIN (Deutsches Institut für Normung e. V.) son socios importantes para la formación y la educación continua, así como para el trabajo de normalización.

Participamos activamente en comités y organismos en nombre de nuestros clientes y aportamos nuestro conocimiento experto a nuestra auditorías. Nuestra afirmación comienza donde terminan las listas de verificación de auditoría. Créanos.

Confianza y experiencia

Nuestros textos y folletos están redactados exclusivamente por nuestros expertos en normas o auditores con experiencia. Si tiene alguna pregunta sobre el contenido de los textos o sobre nuestros servicios a nuestros autores, estaremos encantados de atenderle.

Fuente: www.qz -online.de (La revista líder en Alemania sobre gestión de calidad).

Autor
Holger Schmeken

Product Manager para TISAX® y VCS, Auditor para ISO/IEC 27001, Experto en Ingeniería de Software con más de 30 años de experiencia y Subdirector de Seguridad de la Información. Holger Schmeken tiene un máster en informática empresarial y amplia competencia en auditoría de infraestructuras críticas en Alemania (KRITIS).

Loading...

Artículos y eventos relevantes

También puede interesarle esto
Blog
autonomous driving by a e-car, e-mobility
Loading...

ENX VCS versus ISO 21434: Auditoría de seguridad cibernética de vehículos

Blog
experience-with iso-27001-dqs-enterbrain-software-ag server cabinets
Loading...

Lecciones aprendidas de ISO 27001: un estudio de caso del software ENTERBRAIN

Blog
Mixing console in a recording studio with sliders at different heights
Loading...

Gestión de la configuración en seguridad de la información.