racing cars on a track

Ciberseguridad del automóvil certificada con ENX VCS

Holger Schmeken

Experto DQS en seguridad de la información
oct 11 , 2024

Los vehículos actuales son ordenadores sobre ruedas; por lo tanto, están expuestos a los riesgos de un ciberataque. En julio de 2024 surgieron nuevas normativas para garantizar la ciberseguridad integral de la automoción en toda la cadena de suministro de la industria automovilística. La Asociación ENX ha publicado la nueva Auditoría de Ciberseguridad de Vehículos (VCSA) para ayudar a los fabricantes de equipos originales y a los proveedores a aplicar los nuevos requisitos.

Este artículo se publicó por primera vez en la revista alemana "QZ - Calidad y Fiabilidad", vol. 69 (2024)

Índice

 

 

people in a car driving down the road happily

La transformación digital ha hecho que los vehículos sean más eficientes y seguros. Gracias a los sistemas de control electrónico y a la constante conexión en red, también se han convertido en objetivos para los ciberdelincuentes. Los sistemas críticos podrían ser atacados, con consecuencias potencialmente fatales. A pesar de las normas más estrictas de desarrollo de software
, ni siquiera en la aviación se puede garantizar un software libre de errores.
Sin embargo, el control del software permite una respuesta rápida a los problemas de calidad: ahora las actualizaciones pueden hacerse por aire (OTA) prácticamente de la noche a la mañana.

Normativa vinculante sobre ciberseguridad

Para contrarrestar las crecientes amenazas cibernéticas, las Naciones Unidas adoptaron las normas UNECE R 155 y 156, que incluyen la implantación de un Sistema de Gestión de Ciberseguridad (CSMS) y un Sistema de Gestión de Actualizaciones de Software (SUMS), respectivamente. Las normativas pretenden garantizar la ciberseguridad a lo largo de todo el ciclo de vida de un modelo y de toda la cadena de suministro. En la UE, la normativa es obligatoria para todos los vehículos de nueva fabricación desde julio de 2024.

ENX VCS: programa de auditoría mundial para ISO/SAE 21434

Con la norma ISO/SAE 21434 (Vehículos de carretera - Ingeniería de ciberseguridad), se intentó crear una directriz y una prueba de conformidad para el cumplimiento de la normativa. En la práctica, sin embargo, los respectivos programas de auditoría de los proveedores de servicios de pruebas resultaron ser demasiado diferentes - a pesar de las especificaciones de la norma ISO/PAS 5112. Por lo tanto, los fabricantes seguían sin tener la oportunidad de proporcionar al legislador pruebas fiables y comparables del cumplimiento de la normativa por parte de sus proveedores, que a su vez tenían problemas para demostrar el cumplimiento de sus disposiciones contractuales sobre la base de pruebas comparables.

Por este motivo, la Asociación ENX (una asociación de fabricantes, proveedores y asociaciones europeas del sector del automóvil) ha diseñado el programa de auditoría ENX VCS. ENX VCS audita la implantación de un sistema de gestión de la ciberseguridad de los vehículos (VCSMS) de conformidad con las normas ISO 21434 e ISO
5112. Su ventaja decisiva: la auditoría VCS está estandarizada en todo el mundo y puede adaptarse más rápidamente a los nuevos retos que una norma ISO. Un grupo de expertos internacionales revisa periódicamente el programa de auditoría para mantenerlo actualizado.

¿Está preparado para ENX VCS?

Conozca todo sobre el proceso ENX VCS y los requisitos previos para su etiqueta VCS.

Get your VCS label here!

Auditorías estandarizadas - resultados comparables

Con la auditoría ENX VCS estandarizada, las empresas evitan gastos innecesarios, sobre todo financieros, que pueden derivarse de procesos de auditoría multiplano y auditorías divergentes. Para garantizar procesos comparables a nivel mundial entre todos los proveedores de auditorías, ENX también publicó criterios y requisitos de evaluación específicos para proveedores de auditorías (ACAR VCS) y un catálogo de auditorías vinculante para auditorías de ciberseguridad de vehículos (VCSA) en el lanzamiento del programa. Estos definen una serie de competencias obligatorias y un modelo de procedimiento vinculante para los auditores VCS -además de la auditoría organizativa de la normativa V-CSMS, por ejemplo, una auditoría obligatoria de documentos y procesos- y la formación de una muestra aleatoria orientada al riesgo de todos los proyectos relevantes para la ciberseguridad. A continuación, los auditores y expertos entrevistan a los equipos de ingenieros responsables de los proyectos de la muestra. Los resultados del trabajo del equipo se revisan para garantizar que el V-CSMS se utiliza realmente en la práctica. Una vez superada la prueba, las empresas pueden solicitar a ENX la etiqueta VCS correspondiente y ponerla a disposición de los interesados a través del mecanismo de intercambio ENX.

TISAX® y VCS trabajan en tándem

Estructuralmente, las auditorías VCS con el ACAR VCS se basan en el estándar de automoción establecido TISAX®. Los dos mecanismos de auditoría se complementan: mientras que TISAX®evalúa la seguridad de la información en una empresa, la etiqueta VCS confirma la ciberseguridad de los componentes de los vehículos. Al igual que TISAX®, la auditoría VCS tiene en cuenta las distintas funciones de los proveedores en el suministro de componentes ciberimportantes. Por tanto, cada proveedor debe cumplir únicamente los requisitos del catálogo de auditoría VCSA que correspondan a su función real y específica. Se distingue entre diferentes etiquetas:

  • Desarrollo VCS: La empresa lleva a cabo el desarrollo seguro de componentes VCS - de la integración. El proceso de integración del sistema en la arquitectura general de seguridad hasta la implementación segura y la transición segura a la producción.
  • Producción de VCS: La empresa produce componentes VCS y garantiza su configuración segura y el equipamiento del software.
  • Operaciones y mantenimiento del VCS: La empresa se encarga de los datos de registro de la flota de vehículos, lo que permite identificar condiciones de funcionamiento problemáticas o identificar incidentes de seguridad específicos. Esta etiqueta también es adecuada para empresas que necesitan mantener actualizados sus componentes VCS.
Description of the various standards for cyber security throughout a vehicle's lifecycle

Prueba de conformidad según ENX VCS

Como parte de la auditoría VCS, los fabricantes de equipos originales y los proveedores pueden hacer auditar su V-CSMS por proveedores de auditoría autorizados y recibir una etiqueta VCS de ENX válida durante tres años. La mayor comparabilidad global de las nuevas etiquetas refuerza la confianza en la conformidad del V-CSMS con las especificaciones de ciberseguridad UNECE R 155, lo que permite a las empresas demostrar claramente su cumplimiento a las autoridades y socios comerciales y contribuir a la ciberseguridad integral del automóvil. Aquí vale la pena actuar con rapidez: Durante la fase introductoria, la inscripción para la auditoría ENX VCS es gratuita.

DQS - Simplemente aprovechando la seguridad

DQS se fundó en 1985 como primer organismo de certificación de Alemania. Desde entonces, somos uno de los principales expertos en auditoría y certificación del mundo. Los socios fundadores DGQ (Deutsche Gesellschaft für Qualität e. V.) y DIN (Deutsches Institut für Normung e. V.) son socios importantes para la formación y el perfeccionamiento, así como para la labor de normalización.

Participamos activamente en comités y organismos en nombre de nuestros clientes y aportamos nuestros conocimientos especializados a nuestras auditorías. Nuestra afirmación comienza donde terminan las listas de comprobación de las auditorías. Créanos.

Confianza y experiencia

Nuestros textos y folletos están redactados exclusivamente por nuestros expertos en normas o auditores de larga trayectoria. Si tiene alguna pregunta sobre el contenido de los textos o los servicios que ofrecemos a nuestro autor, estaremos encantados de atenderle.

Fuente: www.qz-online.de (la revista alemana líder en gestión de calidad).

Autor

Holger Schmeken

Director de producto y experto en seguridad de la información y desarrollo de software. Holger Schmeken también aporta su experiencia como auditor de la norma ISO 27001 con competencia en el procedimiento de auditoría KRITIS y Jefe de Seguridad de la Información de DQS BIT GmbH.

Artículos y eventos relevantes

También podría interesarle esto
Blog

Ciberseguridad en los dispositivos médicos: lo que los fabricantes deben saber

Leer más
Blog

Comunicación de crisis durante un ataque de ransomware: Gestión de la información en caso de emergencia

Leer más
Blog

ISO/IEC 27001 en Logística: Integrar la seguridad en el flujo de mercancías y datos

Leer más