autonomous driving by a e-car, e-mobility

ENX VCS frente a ISO 21434: Auditoría de ciberseguridad de vehículos

Holger Schmeken

Experto DQS en seguridad de la información
jul. 10 , 2024
# Automotive Cyber Security

La transformación digital de la industria del automóvil está en pleno apogeo. Siempre que es posible, la mecánica está dando paso a la electrónica. La instalación de más componentes E/E hace que los vehículos sean más potentes y aumenta la seguridad de la conducción, pero también los expone a los peligros de los ciberataques. Por este motivo, las Naciones Unidas adoptaron la norma UN R 155, que prevé la implantación de sistemas modernos de gestión de la ciberseguridad (CSMS) y que entrará plenamente en vigor a partir de julio de 2024.

Con la norma ISO/SAE 21434 "Vehículos de carretera - Ingeniería de ciberseguridad", ya existe una directriz a la que se hace referencia en los requisitos oficiales, pero en la práctica resultó ser insuficientemente precisa. Para permitir una aplicación estandarizada a nivel mundial, la Asociación ENX ha creado una nueva opción de certificación con las Auditorías de Ciberseguridad de Vehículos (VCSA). En nuestra entrada de blog, las empresas del sector de la automoción pueden descubrir por qué este programa de auditoría es más adecuado para demostrar el cumplimiento de la nueva normativa que la certificación puramente conforme a la norma ISO/SAE 21434.

La importancia de la nueva normativa de ciberseguridad en la industria del automóvil

Con la nueva normativa de ciberseguridad en el sector de la automoción, a partir de julio de 2024 se aplicarán requisitos vinculantes a todos los vehículos de nueva fabricación. Si no se cumplen los requisitos, la serie de modelos respectiva no recibirá la homologación de tipo. La ciberseguridad holística, tal y como pretenden las autoridades con la implantación obligatoria de un Sistema de Gestión de la Ciberseguridad (CSMS), abarca todos los componentes del vehículo. 

La mayoría de los componentes instalados en los vehículos proceden de la cadena de suministro de los fabricantes de automóviles. La UN R 155 hace a estos fabricantes responsables de la ciberseguridad de los componentes que suministran. Sin embargo, sólo pueden influir en la ciberseguridad de los componentes a través de sus acuerdos contractuales con los proveedores. Por lo tanto, como parte de su gestión de riesgos, los fabricantes de vehículos dependen de contratos claros y auditorías significativas de sus proveedores para garantizar y mantener la ciberseguridad necesaria a largo plazo.

¿Qué problemas aborda la nueva normativa?

La introducción por el legislar de la normativa UN R 155 (y UN R 156, que se centra en las actualizaciones de software) llama la atención sobre varios problemas complejos que existen en relación con los componentes controlados por software de los vehículos de carretera y la ciberseguridad:

  • ¿Cómo puede garantizarse que el software para el funcionamiento de dichos componentes se diseñe, desarrolle e implemente de forma segura?
  • ¿Cómo se equipa un componente únicamente con la versión de software prevista en el proceso de producción, y cómo se exige a los sistemas de producción pertinentes que doten a los componentes de protección de software?
  • ¿Cómo puede controlarse que se registren los eventos de seguridad en los componentes y que las amenazas puedan remediarse eficazmente mediante actualizaciones incluso después de diez años?

¿La certificación ISO 21434 como solución?

Para responder a estas preguntas, la UN R 155 menciona el establecimiento de un sistema de gestión de la ciberseguridad (CSMS) conforme a la norma ISO/SAE 21434 en los fabricantes de vehículos. Un sistema de gestión es un conjunto de procesos y procedimientos utilizados para dirigir y controlar eficazmente una empresa u organización.
A efectos de la norma, el término "ciberseguridad" en la industria del automóvil se refiere específicamente a la protección de los sistemas informáticos, las redes y sus datos en los vehículos de carretera. Esto incluye medidas y estrategias para garantizar la seguridad e integridad de los sistemas digitales utilizados en los vehículos.

Para garantizar la ciberseguridad, la norma especifica procesos y procedimientos para un CSMS en el diseño de la seguridad, el desarrollo del producto, el mantenimiento del producto, la detección de riesgos, la prevención de peligros, la eliminación del producto y los procesos continuos asociados. Así, la norma proporciona un modelo arquitectónico completo de un CSMS, incluido un modelo de proceso para evaluar los riesgos en ciberseguridad, que se denomina Análisis de Amenazas y Riesgos (TARA).

A continuación, encontrará los argumentos que se oponen a que una certificación ISO/SAE 21434 pura cumpla los requisitos de la norma UN R 155.

Ciberseguridad en automoción: nueva normativa a partir de julio de 2024

Con la digitalización, los riesgos de ataques han aumentado rápidamente. Los fabricantes de automóviles son un objetivo atractivo para los ciberdelincuentes en muchos aspectos. Lee nuestra entrada en el blog para descubrir qué normativas existen para protegerlos.

Ir al Blog

Requisitos para las auditorías que utilizan ISO/PAS 5112

La norma ISO/SAE 21434 deja mucho margen a la interpretación sobre cómo auditar un CSMS. Dado que cada proveedor de auditorías crea su propio programa de auditoría para la norma ISO 21434 bajo las regulaciones de su organismo de acreditación, la norma ISO/PAS 5112 hizo necesario estandarizar el proceso de auditoría para la ciberseguridad y el CSMS de una organización.

ISO/PAS 5112 contiene directrices generales para la gestión de un programa de auditoría y proporciona a las organizaciones la información necesaria sobre la planificación y ejecución de una auditoría. También define las competencias de los auditores de CSMS y explica cómo se puede verificar la aplicación de la norma.

Por qué ENX ha desarrollado la auditoría VCS

A pesar de estos esfuerzos por mejorar la estandarización, los programas de auditoría de ciberseguridad resultantes en la industria de la automoción siguen variando mucho.

En el contexto de las cadenas de suministro profundamente integradas con múltiples socios contractuales, los programas de auditoría no comparables plantean un problema importante para los fabricantes de vehículos. Los fabricantes necesitan poder confiar en los resultados de las auditorías de proveedores del sistema de gestión de la ciberseguridad (CSMS) para su gestión de riesgos.

ENX ha reconocido esta necesidad y ha desarrollado una solución en colaboración con la industria automovilística mediante la implantación de un programa de auditoría estandarizado a nivel mundial denominado ENX VCS (Vehicle Cyber Security). ENX ha utilizado su red de miembros para adaptar el programa de auditoría a los requisitos específicos del sector.

Al mismo tiempo, la norma ISO/SAE 21434 por sí sola no es suficiente para cumplir todos los requisitos normativos de la norma UN R 155. Aunque la UN R 155 hace referencia a la norma ISO/SAE 21434 como ejemplo de los procesos de un SGC, también exige que las capacidades del SGC se mantengan de forma continua:

  • UN R 155, Capítulo 7.2.2.3: Las amenazas y vulnerabilidades cibernéticas que requieran una respuesta por parte del fabricante del vehículo deberán abordarse en un plazo razonable.
  • UN R 155, Capítulo 7.2.2.4: El fabricante del vehículo deberá demostrar que los procedimientos aplicados en su sistema de gestión de la ciberseguridad garantizan que la supervisión mencionada en el apartado 7.2.2.2 g) se produce con regularidad.

Los requisitos mencionados sólo pueden cumplirse de forma realista a largo plazo si, junto con el SGSI, se aplica un sistema de gestión de la seguridad de la información (SGSI) que garantice de forma permanente la seguridad de la información en toda la empresa. Por este motivo, ENX VCS siempre exige que los centros de desarrollo también hayan superado una evaluación TISAX. De este modo, el proveedor auditado puede demostrar de forma sostenible el cumplimiento de sus obligaciones de diligencia debida mediante una gestión consciente y preventiva de los riesgos.

ISO 27001 - la clásica seguridad de la información

ISO/IEC 27001 es la principal norma internacional para la introducción de un sistema de gestión integral de la seguridad de la información. La norma ISO ha sido revisada recientemente y reeditada el 25 de octubre de 2022.

ISO 27001 - más in­fo­r­ma­ción

Ventajas de ENX VCS

Implementación 1:1 de ISO 21434 e ISO/PAS 5112

En primer lugar, la buena noticia es que cualquiera que haya seguido las normas ISO 21434 e ISO/PAS 5112 en materia de ciberseguridad en automoción ya va por buen camino. Los requisitos de ambas normas son -matemáticamente hablando- un auténtico subconjunto de las especificaciones VCS. Esto significa que todos los requisitos de las dos normas ISO pueden encontrarse 1:1 en ENX VCS Vehicle Cyber Security.

Sin embargo, en comparación con las auditorías ISO, ENX VCS permite un modelo de procedimiento comparable. Con el fin de garantizar procesos comparables a nivel mundial entre todos los proveedores de auditorías, ENX también publicó "Criterios de proveedores de auditorías y requisitos de evaluación" específicos (ACAR VCS 1.0) y un catálogo de auditorías VCSA 1.0 vinculante en el lanzamiento del programa. Estos incluyen, entre otras cosas

  • La auditoría organizativa de la normativa SGC (principalmente auditorías de documentos y procesos),
  • La creación de una muestra orientada al riesgo de proyectos que se ocupan de la ciberseguridad de los componentes,
  • La muestra de proyectos se utiliza para comprobar si la normativa CSMS se aplica de forma coherente en los proyectos VCS. Incluye, por ejemplo, entrevistas con miembros del equipo de ingeniería y la revisión de los resultados de su trabajo.

Competencias normalizadas

El ACAR también define requisitos de competencia normalizados a nivel mundial y descripciones de funciones para auditores y expertos:

  • Auditor jefe VCS
  • Experto VCS

Los conocimientos de un experto VCS deben estar siempre representados en el equipo de auditoría VCS. Durante la fase de entrevista, el experto asume la conversación con los equipos de ingeniería para hacer posible una evaluación profesional de las actividades y los resultados del trabajo.

Auditoría orientada a la función

Siguiendo la tradición de TISAX®, ENX VCS también tiene en cuenta las distintas funciones que pueden desempeñar los proveedores a la hora de suministrar componentes relevantes para la ciberseguridad en forma de un nuevo sistema de etiquetas VCS. De este modo, un proveedor sólo tiene que cumplir los requisitos del catálogo de evaluación VCSA que sean apropiados para su función respectiva:

  • VCS Desarrollo
  • Producción VCS
  • Operaciones y mantenimiento VCS

Esfuerzos comparables

Las etiquetas ENX VCS tienen una validez de tres años y no requieren auditorías de vigilancia. Por el contrario, las auditorías de conformidad con la norma ISO/SAE 21434 requieren una auditoría de (re)certificación durante tres años y dos auditorías anuales de vigilancia con sus correspondientes gastos de viaje.

Agilidad

A diferencia de la norma ISO, ENX VCS también promete una mayor agilidad a la hora de adaptarse a nuevos requisitos. La normativa ACAR suele ser objeto de una revisión obligatoria una vez al año, que deben aplicar todos los proveedores de auditorías VCS.

vcs-iso21434-grafik-dqs-schmeken-s.jpg

Conclusiones: ENX VCS como forma sensata de marcar el rumbo

En resumen, el programa de auditoría ENX VCS permite una aplicación globalmente mejorada de la auditoría de acuerdo con los requisitos de las normas ISO/SAE 21434 e ISO/PAS 5112. La mayor comparabilidad global de la nueva etiqueta garantiza un aumento significativo de la confianza en la certificación y en la aplicación de los requisitos de ciberseguridad de la norma UN R 155.

DQS: su socio de confianza para la certificación

Como uno de los proveedores de servicios alemanes con más experiencia en la certificación de sistemas de gestión, DQS lleva muchos años trabajando con ENX y también participó directamente en el desarrollo del nuevo programa de auditoría. Durante el largo periodo de desarrollo que precedió a la publicación del programa, DQS adquirió una valiosa experiencia en un gran número de auditorías de prueba y, por lo tanto, está perfectamente preparada para auditar su SGC sobre la base de las especificaciones VCS.

Aproveche los conocimientos de nuestros expertos y aprenda todo lo que necesite sobre ENX VCS y su importancia para su empresa. Con más de 35 años de experiencia y los conocimientos de 2.500 auditores en todo el mundo, somos su socio de certificación competente y damos respuesta a todas las preguntas relacionadas con la protección de datos y la seguridad de la información.

questions-answers-dqs-question mark on wooden dice on table

We will be happy to answer your questions

¿Cuáles son los requisitos para obtener la certificación ISO 27001, IATF 16949, ENX VCS o una evaluación TISAX®? ¿Y qué esfuerzo hay que esperar? Descúbralo usted mismo. Sin compromiso y gratuito.

We look forward to hearing from you!
Autor
Holger Schmeken

Director de producto y experto en seguridad de la información y desarrollo de software. Holger Schmeken también aporta su experiencia como auditor de la norma ISO 27001 con competencia en el procedimiento de auditoría KRITIS y Jefe de Seguridad de la Información de DQS BIT GmbH.

Artículos y eventos relevantes

También podría interesarle esto
Blog
experience-with iso-27001-dqs-enterbrain-software-ag server cabinets

Lecciones aprendidas de ISO 27001 - un estudio de caso de ENTERBRAIN Software

Leer más
Blog
Code, HTML, PHP Web-Programmierung Quellcode. Abstrakter Codehintergrund

Codificación segura - Desafíos en la seguridad de la información

Leer más
Blog
Cyberattack - Bildschirm zeigt Zahlencodes mit Warnsignalen

Detección y prevención en la gestión de la seguridad de la información

Leer más

¿Tiene alguna pregunta?

Estamos a su disposición.
Contáctenos