VCS Audit: Cyber security according to ENX standard I DQS

Auditoría VCS: Ciberseguridad de los vehículos en la industria del automóvil

¿Está desarrollando, fabricando o es responsable del mantenimiento a largo plazo de componentes VCS que se integran en la arquitectura de ciberseguridad de un vehículo? Si es así, necesita demostrar que cumple los requisitos garantizados contractualmente de la norma ISA/SAE 21434 durante todo el ciclo de vida del vehículo.

Como participante en el programa VCS, puede hacerlo a través de auditorías apropiadas que deben realizarse cada tres años y mientras duren sus obligaciones contractuales. La certificación VCS es aplicable a todos los sectores y define los requisitos para su Sistema de Gestión de Ciberseguridad (CSMS) a lo largo de todos los ciclos de vida relevantes de sus componentes VCS. Un requisito previo para la auditoría VCS es un Sistema de Gestión de la Seguridad de la Información (SGSI) según TISAX® y un Sistema de Gestión de la Calidad (SGC ).

Reconocimiento mutuo entre todos los participantes en el VCS

Los proveedores y prestadores de servicios ganan más confianza en su empresa auditada

Auditoría de certificación VCS sólo cada tres años

La pertenencia a la red VCS ahorra tiempo y dinero

Información básica sobre las auditorías VCS

VCS es un programa común de auditoría e intercambio para empresas del sector de la automoción. Se basa en el cuestionario Vehicle Cyber Security Audit (VCSA). VCS es un programa de auditoría estandarizado internacionalmente e implementa los aspectos esenciales de las normas internacionales ISO/SAE 21434 e ISO/PAS 5112 para Sistemas de Gestión de C iberseguridad (CSMS).

En virtud de la norma UN R 155, los fabricantes de vehículos de carretera deben asumir la responsabilidad de la ciberseguridad de sus vehículos. En este contexto, la ciberseguridad se refiere a la seguridad y fiabilidad de todos los componentes basados en TI de un vehículo. A diferencia de los componentes puramente electrónicos o controlados físicamente, los componentes VCS se basan en software. Esto permite a un vehículo adaptar dinámicamente su comportamiento al conductor y al entorno, aparcar por sí mismo o iniciar un frenado de emergencia. Las soluciones by-wire, utilizadas desde hace tiempo en la aviación, permiten nuevas soluciones de diseño para los habitáculos, una maniobrabilidad más fácil en el centro de las ciudades gracias a ángulos de dirección más elevados a baja velocidad (steer-by-wire), o frenos de estacionamiento totalmente automáticos (brake-by-wire).

Al igual que TISAX®, VCS dispone de un mecanismo de intercambio de los resultados de las auditorías ENX VCS. VCS es un mecanismo de auditoría de la Asociación ENX. Una asociación de fabricantes europeos de automóviles, proveedores de automóviles y asociaciones de automoción que supervisa la calidad de las auditorías VCS y controla la aprobación de los proveedores de servicios de auditoría VCS.

Mostrar menos

¿Cuáles son los beneficios de una auditoría VCS para su empresa?

Como proveedor de servicios o suministrador de componentes VCS, usted asume la responsabilidad ante los fabricantes de ciertas actividades que determinan la ciberseguridad de los componentes. Con una auditoría VCS, no sólo recibe una prueba de conformidad de DQS, sino que también participa de forma proactiva en la gestión de riesgos. Especialmente en lo que respecta a las obligaciones a muy largo plazo, podemos ayudarle a garantizar que sus medidas son adecuadas a largo plazo. En el pasado, estas auditorías las realizaban principalmente los propios fabricantes. Los participantes registrados en la red VCS pueden seleccionar un proveedor de servicios de auditoría y encargar una auditoría VCS a través de una plataforma común en línea. Las ventajas para las empresas superan a las desventajas:

Se pueden evitar auditorías duplicadas y múltiples por parte de distintos clientes, lo que ahorra tiempo y dinero.
Reconocimiento interempresarial de las auditorías para los participantes en el VCS
Resultados fiables gracias al catálogo de auditorías VCSA armonizado, que garantiza un proceso de auditoría coherente.
Mayor confianza en su organización auditada con una o varias etiquetas VCS denominadas "VCS Development", "VCS Production" o "VCS Operations & Maintenance".

Tras una auditoría satisfactoria, recibirá sus etiquetas VCS en la plataforma en línea de VCS. Estas etiquetas son comparables a los certificados y sirven para confirmar sus capacidades como proveedor VCS.

Mostrar menos

¿Cómo funciona el VCS?

En VCS, los participantes pueden asumir dos papeles diferentes: el de "consumidor de información" (pasivo), por ejemplo, un fabricante que desea recibir información sobre un proveedor, y el de "aportador de información" (activo), por ejemplo, un proveedor o prestador de servicios VCS que desea someterse a una auditoría de idoneidad para recibir pedidos de los fabricantes.

Una empresa también puede asumir ambos papeles de participante. Quien desee participar en el VCS como Aportador de Información debe seguir los cuatro pasos principales siguientes:

1. 1. Registrarse en línea en www.enx.com/VCS

2. 2. Seleccionar un proveedor de servicios de auditoría aprobado por ENX, como DQS.

3. Someterse a una auditoría ENX VCS

4. Intercambiar los resultados de la auditoría en la plataforma en línea VCS

Si una empresa está interesada en sus resultados VCS, puede registrarse en ENX como "Consumidor de información". Puede decidir para cada Consumidor de Información si desea compartir su estado VCS actual con ellos.

Mostrar menos

¿Cómo funciona una auditoría VCS?

Antes de comenzar con la auditoría VCS, su empresa debe definir un alcance claro. Esto incluye determinar de qué actividades VCS es responsable su empresa. Si se trata de actividades de desarrollo del VCS, deberá cumplir los requisitos de "Desarrollo del VCS". Si su empresa es responsable de la producción segura y la configuración básica de componentes VCS, debe cumplir los requisitos de "Producción VCS". Si su empresa es responsable de la explotación y el mantenimiento a largo plazo de los componentes del VCS, deberá cumplir los requisitos de "Explotación y mantenimiento del VCS".

El Sistema de Gestión de Ciberseguridad central será auditado en el sitio que controla principalmente el CSMS. La eficacia del CSMS central se audita en los emplazamientos donde se realizan las actividades VCS del CSMS. Por lo tanto, todas las ubicaciones en las que tienen lugar estas actividades VCS distribuidas están incluidas en el alcance de la auditoría. Sin embargo, en el transcurso de la auditoría, se toma una muestra de proyectos VCS para determinar qué emplazamientos se incluyen realmente en la auditoría. En principio, todos los centros en cuestión deben tener una etiqueta ^TISAX® válida en el momento de la auditoría.

En el primer paso, usted selecciona a DQS como su proveedor de auditoría autorizado.
En el segundo paso, se celebra una reunión inicial para orientar a todas las partes responsables sobre las expectativas del equipo de auditoría.
En el tercer paso, usted realiza una autoevaluación de su CSMS central utilizando el catálogo de auditoría VCSA y compila un paquete de documentos referenciados en el catálogo que pone a disposición del equipo de auditoría.
En el cuarto paso, el auditor principal lleva a cabo una revisión de todos los documentos proporcionados.
En el quinto paso, se audita su CSMS central y se evalúa su conformidad con la VCSA.
En el sexto paso, se selecciona una muestra aleatoria de sus proyectos VCS en función de criterios de riesgo.
En el séptimo paso, se auditan los proyectos VCS de la muestra para garantizar que se han implementado los requisitos del CSMS. Para ello, se audita a los jefes de equipo del proyecto y se revisan los productos de trabajo exigidos por la norma ISO/SAE 21434.

Las conclusiones de la auditoría ENX VCS se registran en un informe provisional. En caso de no conformidad, se acuerdan las medidas que deben aplicarse. Si es necesario, se determina la aplicación de las medidas en un plazo acordado. Este procedimiento garantiza que todas las no conformidades identificadas se aborden de forma eficaz y rápida.

Una vez cerradas las no conformidades, se realiza una revisión de la eficacia para validar el cierre de las no conformidades y evaluar la eficacia general de las medidas correctoras adoptadas.

El resultado final se publicará en línea en el portal ^ENX®. A continuación, su empresa figurará como participante en el proceso VCS con las etiquetas correspondientes.

¿Cuánto cuesta una auditoría VCS?

El número exacto de días de auditoría necesarios para una auditoría VCS variará de una organización a otra. Incluso durante la auditoría pueden ser necesarios días de auditoría adicionales. Esto, a su vez, influye en el alcance de la auditoría y, por tanto, en el coste.

El número total de proyectos VCS determina el tamaño mínimo de la muestra. Esto determina qué equipos de proyecto en qué ubicaciones serán auditados.

Qué puede esperar de nosotros

DQS es un proveedor de servicios de auditoría autorizado por la Asociación ENX.
Una visión de valor añadido sobre la seguridad de la información de su organización
Acreditaciones para todas las normas de automoción pertinentes
Auditores experimentados y expertos de los sectores de la automoción y la seguridad de la información
Más de 35 años de experiencia en la certificación de sistemas y procesos de gestión
Asistencia personal y sin fisuras de nuestros especialistas a escala regional, nacional e internacional
Ofertas personalizadas con condiciones contractuales flexibles y sin costes ocultos