autonomous driving by a e-car, e-mobility

ENX VCS versus ISO 21434: Auditoría de seguridad cibernética de vehículos

Holger Schmeken

Experto en seguridad de la información de DQS
jul. 10 , 2024

La transformación digital de la industria del automóvil está en pleno apogeo. Siempre que es posible, la mecánica está dando paso a la electrónica. La instalación de más componentes E/E hace que los vehículos sean más potentes y aumenta la seguridad en la conducción, pero también los expone a los peligros de los ciberataques. Por este motivo, las Naciones Unidas adoptaron la R 155 de las Naciones Unidas, que prevé la implementación de modernos sistemas de gestión de la ciberseguridad (CSMS) y entrará en pleno vigor a partir de julio de 2024.

Con la norma ISO/SAE 21434 "Vehículos de carretera - Ingeniería de ciberseguridad" ya existe una directriz a la que se hace referencia en los requisitos oficiales, pero en la práctica no resultó suficientemente precisa. Para permitir una implementación estandarizada a nivel mundial, la Asociación ENX ha creado una nueva opción de certificación con las Auditorías de ciberseguridad de vehículos (VCSA). En nuestra entrada de blog, las empresas de la industria automovilística podrán descubrir por qué este programa de auditoría es más adecuado para demostrar el cumplimiento de las nuevas regulaciones que la certificación puramente según ISO/SAE 21434.

La importancia de la nueva normativa de ciberseguridad en la industria del automóvil

Con las nuevas normas de ciberseguridad para el automóvil, a partir de julio de 2024 se aplicarán requisitos vinculantes a todos los vehículos de nueva fabricación. Si no se cumplen los requisitos, la serie de modelos correspondiente no recibirá la homologación. La ciberseguridad integral, tal como pretenden las autoridades con la implementación obligatoria de un Sistema de Gestión de Seguridad Cibernética (CSMS), abarca todos los componentes del vehículo.

La mayoría de los componentes instalados en los vehículos proceden de la cadena de suministro de los fabricantes de automóviles. La R 155 de la ONU responsabiliza a estos fabricantes de la ciberseguridad de los componentes que suministran. Sin embargo, sólo pueden influir en la ciberseguridad de los componentes a través de sus acuerdos contractuales con los proveedores. Por lo tanto, como parte de su gestión de riesgos, los fabricantes de vehículos dependen de contratos claros y auditorías significativas de sus proveedores para garantizar y mantener la ciberseguridad necesaria a largo plazo.

¿Qué problemas abordan las nuevas regulaciones?

La introducción de la R 155 (y la R 156, que se centra en las actualizaciones de software) por parte del legislador llama la atención sobre varias cuestiones complejas que existen en relación con los componentes controlados por software de los vehículos de carretera y la ciberseguridad:

  • ¿Cómo se puede garantizar que el software para operar dichos componentes se diseñe, desarrolle e implemente de forma segura?
  • ¿Cómo se equipa un componente únicamente con la versión de software prevista en el proceso de producción y cómo se requieren los sistemas de producción relevantes para equipar los componentes con protección de software?
  • ¿Cómo se puede controlar que los eventos de seguridad en los componentes se registren y que las amenazas puedan solucionarse eficazmente mediante actualizaciones incluso después de diez años?

¿La certificación ISO 21434 como solución?

Para responder a estas preguntas, la R 155 de las Naciones Unidas menciona el establecimiento de un sistema de gestión de la ciberseguridad (CSMS) de acuerdo con la norma ISO/SAE 21434 en los fabricantes de vehículos. Un sistema de gestión es un conjunto de procesos y procedimientos utilizados para gestionar y controlar una empresa u organización de forma eficaz.
A los efectos de la norma, el término "ciberseguridad" en la industria automotriz se refiere específicamente a la protección de sistemas informáticos, redes y sus datos en vehículos de carretera. Esto incluye medidas y estrategias para garantizar la seguridad e integridad de los sistemas digitales utilizados en los vehículos.

Para garantizar la ciberseguridad, el estándar especifica procesos y procedimientos para un CSMS en diseño de seguridad, desarrollo de productos, mantenimiento de productos, detección de riesgos, prevención de peligros, eliminación de productos y los procesos continuos asociados. Por lo tanto, el estándar proporciona un modelo arquitectónico integral de un CSMS, incluido un modelo de proceso para evaluar los riesgos en ciberseguridad, que se conoce como Análisis de riesgos y amenazas (TARA).

A continuación podrá descubrir qué argumentos se oponen a que una certificación ISO/SAE 21434 pura cumpla los requisitos de la norma UN R 155.

Ciberseguridad en automoción: nueva normativa a partir de julio de 2024

Con la digitalización, los riesgos de ataques han aumentado rápidamente. Los fabricantes de automóviles son un objetivo atractivo para los ciberdelincuentes en muchos aspectos. Lea nuestra publicación de blog para descubrir qué regulaciones existen para protegerlos.

Ir al ar­tícu­lo del blog

Requisitos para auditorías utilizando ISO/PAS 5112

ISO/SAE 21434 deja mucho margen de interpretación sobre cómo auditar un CSMS. Dado que cada proveedor de auditoría crea su propio programa de auditoría para la norma ISO 21434 según las regulaciones de su organismo de acreditación, ISO/PAS 5112 hizo necesario estandarizar el proceso de auditoría para la seguridad cibernética y el CSMS de una organización.

ISO/PAS 5112 contiene directrices generales para gestionar un programa de auditoría y proporciona a las organizaciones la información necesaria sobre la planificación e implementación de una auditoría. También define las competencias de los auditores del CSMS y explica cómo se puede verificar la implementación del estándar.

Por qué ENX desarrolló la auditoría VCS

A pesar de estos esfuerzos por mejorar la estandarización, los programas de auditoría de ciberseguridad resultantes en la industria automotriz todavía varían ampliamente.

En un contexto de cadenas de suministro profundamente integradas con múltiples socios contractuales, los programas de auditoría no comparables plantean un problema importante para los fabricantes de vehículos. Los fabricantes deben poder confiar en los resultados de las auditorías de los proveedores del sistema de gestión de seguridad cibernética (CSMS) para su gestión de riesgos.

ENX ha reconocido esta necesidad y ha desarrollado una solución en cooperación con la industria automotriz mediante la implementación de un programa de auditoría estandarizado a nivel mundial llamado ENX VCS (Vehicle Cyber Security). ENX ha utilizado su red de miembros para adaptar el programa de auditoría a los requisitos específicos de la industria.

Al mismo tiempo, ISO/SAE 21434 por sí sola no es suficiente para cumplir todos los requisitos reglamentarios de UN R 155. Aunque UN R 155 se refiere a ISO/SAE 21434 como un ejemplo de los procesos de un CSMS, también requiere que las capacidades del CSMS debe mantenerse de forma continua:

  • R 155 de las Naciones Unidas, Capítulo 7.2.2.3: Las ciberamenazas y vulnerabilidades que requieran una respuesta por parte del fabricante del vehículo se abordarán en el plazo de un plazo razonable .
  • R ONU 155, Capítulo 7.2.2.4: El fabricante del vehículo deberá demostrar que los procedimientos aplicados en su sistema de gestión de la ciberseguridad garantizan que supervisión mencionado en el párrafo 7.2.2.2 g) se produce periódicamente.

Los requisitos antes mencionados sólo pueden cumplirse de manera realista a largo plazo si junto con el CSMS se utiliza un sistema de gestión de seguridad de la información (SGSI) que garantice permanentemente la seguridad de la información en toda la empresa. Por esta razón, ENX VCS siempre requiere que los sitios de desarrollo también hayan pasado una evaluación TISAX. De esta manera, el proveedor auditado puede demostrar de forma sostenible el cumplimiento de sus obligaciones de diligencia debida mediante una gestión consciente y adversa al riesgo.

ISO 27001: seguridad de la información clásica

ISO/IEC 27001 es el estándar internacional líder para la introducción de un sistema de gestión holístico para la seguridad de la información. La norma ISO se revisó recientemente y se volvió a publicar el 25 de octubre de 2022.

ISO 27001 - más in­fo­r­ma­ción

Ventajas de ENX VCS

Implementación 1:1 de ISO 21434 e ISO/PAS 5112

En primer lugar, la buena noticia es que cualquiera que haya seguido las normas ISO 21434 e ISO/PAS 5112 en términos de ciberseguridad automotriz ya está en el camino correcto. Los requisitos de ambos estándares son, matemáticamente hablando, un subconjunto genuino de las especificaciones VCS. Esto significa que todos los requisitos de los dos estándares ISO se pueden encontrar 1:1 en ENX VCS Vehicle Cyber Security.

Sin embargo, en comparación con las auditorías ISO, ENX VCS permite un modelo de procedimiento comparable. Para garantizar procesos comparables a nivel mundial entre todos los proveedores de auditoría, ENX también publicó "Criterios y requisitos de evaluación de proveedores de auditoría" específicos (ACAR VCS 1.0) y un catálogo de auditoría VCSA 1.0 vinculante en el lanzamiento del programa. Estos incluyen, entre otras cosas:

  • La auditoría organizacional de las regulaciones CSMS (principalmente auditorías de documentos y procesos),
  • La creación de una muestra de proyectos orientados al riesgo que se ocupan de la ciberseguridad de componentes,
  • La muestra de proyectos se utiliza para comprobar si las regulaciones CSMS se aplican consistentemente en los proyectos VCS. Incluye, por ejemplo, entrevistas con miembros del equipo de ingeniería y la revisión de los resultados de su trabajo.

Competencias estandarizadas

ACAR también define requisitos de competencia estandarizados a nivel mundial y descripciones de roles para auditores y expertos:

  • Auditor Líder de VCS
  • Experto en VCS

El conocimiento de un experto en VCS siempre debe estar representado en el equipo de auditoría de VCS. Durante la fase de entrevista, el experto retoma la conversación con los equipos de ingeniería para hacer posible una valoración profesional de las actividades y de los resultados del trabajo.

Auditoría orientada a roles

Siguiendo la tradición de TISAX®, ENX VCS también considera las diversas funciones que los proveedores pueden desempeñar al proporcionar componentes relevantes para la seguridad cibernética en forma de un nuevo sistema para etiquetas VCS. De esta forma, un proveedor sólo debe cumplir aquellos requisitos del catálogo de evaluación VCSA que sean adecuados a su respectivo rol:

  • Desarrollo de VCS
  • Producción de VCS
  • Operaciones y mantenimiento de VCS

Esfuerzos comparables

Las etiquetas ENX VCS tienen una validez de tres años y no requieren auditorías de vigilancia. Por el contrario, las auditorías de conformidad con ISO/SAE 21434 requieren una auditoría de (re)certificación durante tres años y dos auditorías de seguimiento anuales con los correspondientes gastos de viaje.

Agilidad

A diferencia del estándar ISO, ENX VCS también promete una mayor agilidad a la hora de adaptarse a nuevos requisitos. Las normas ACAR suelen estar sujetas a una revisión obligatoria una vez al año, que deben implementar todos los proveedores de auditorías de VCS.

vcs-iso21434-grafik-dqs-schmeken-s.jpg

Conclusión: ENX VCS como forma sensata de marcar el rumbo

En resumen, el programa de auditoría ENX VCS permite una implementación globalmente mejorada de la auditoría de acuerdo con los requisitos de ISO/SAE 21434 e ISO/PAS 5112. La mayor comparabilidad global de la nueva etiqueta garantiza una confianza significativamente mayor en la certificación y en la implementación. de los requisitos de ciberseguridad de la R 155 de la ONU.

DQS: su socio confiable para la certificación

Como uno de los proveedores de servicios alemanes con más experiencia en la certificación de sistemas de gestión, DQS trabaja desde hace muchos años con ENX y también participó directamente en el desarrollo del nuevo programa de auditoría. Durante el largo período de desarrollo previo a la publicación del programa, DQS adquirió una valiosa experiencia en una gran cantidad de auditorías de prueba y, por lo tanto, está idealmente preparado para auditar su CSMS sobre la base de las especificaciones de VCS.

Aproveche el conocimiento de nuestros expertos y aprenda todo lo que necesita sobre ENX VCS y su importancia para su empresa. Con más de 35 años de experiencia y el know-how de 2500 auditores en todo el mundo, somos su socio de certificación competente y brindamos respuestas a todas las preguntas relacionadas con la protección de datos y la seguridad de la información.

questions-answers-dqs-question mark on wooden dice on table

Estaremos encantados de responder a tus preguntas.

¿Cuáles son los requisitos para certificación ISO 27001, IATF 16949, ENX VCS o un tisax ® evaluación ? ¿Y qué esfuerzo hay que esperar? Descubrir por ti mismo. Sin compromiso y gratuito.

¡Esperamos escuchar de usted!
Autor
Holger Schmeken

Product Manager para TISAX® y VCS, Auditor para ISO/IEC 27001, Experto en Ingeniería de Software con más de 30 años de experiencia y Subdirector de Seguridad de la Información. Holger Schmeken tiene un máster en informática empresarial y amplia competencia en auditoría de infraestructuras críticas en Alemania (KRITIS).

Artículos y eventos relevantes

También puede interesarle esto
Blog
experience-with iso-27001-dqs-enterbrain-software-ag server cabinets

Lecciones aprendidas de ISO 27001: un estudio de caso del software ENTERBRAIN

Leer más
Blog
Mixing console in a recording studio with sliders at different heights

Gestión de la configuración en seguridad de la información.

Leer más
Blog
a young woman sits at a desk in front of a screen with a reference to cloud storage

Seguridad en la nube con ISO 27001:2022

Leer más

¿Tiene alguna pregunta?

Estamos a su disposición.
Contáctese con nosotros