Lecciones aprendidas del enfoque de la industria automovilística en materia de ciberseguridad

by | Published agosto 1st, 2016
Updated febrero 3rd, 2021

La ciberseguridad debe formar parte de la cadena de suministro.

Auto-ISAC, la organización dedicada al intercambio de información sobre amenazas cibernéticas en el sector de la automoción, ha anunciado recientemente sus buenas prácticas en materia de medidas de ciberseguridad para los vehículos. Estas buenas prácticas están dirigidas a todos los fabricantes y proveedores del sector de la automoción, independientemente de su tamaño. La organización afirma que se ha tenido en cuenta la flexibilidad necesaria para que puedan ser aplicadas por empresas de distintos tamaños.

Auto-ISAC es miembro del Consejo Nacional de Centros de Intercambio y Análisis de Información (ISAC). Los ISAC se crearon para diversos sectores de infraestructuras críticas a raíz de una directiva presidencial de 1998. Dicha directiva instaba a los sectores clave de infraestructuras críticas a establecer organizaciones que compartieran información sobre amenazas y vulnerabilidades dentro de su sector específico. Auto-ISAC es propiedad de fabricantes y proveedores del sector de la automoción, quienes también se encargan de su gestión.

Las buenas prácticas de Auto-ISAC se clasifican por funciones:

  • Gobernanza
  • Evaluación y gestión de riesgos
  • Seguridad desde el diseño
  • Detección de amenazas y protección
  • Respuesta ante incidentes
  • Sensibilización y formación
  • Colaboración y compromiso con terceros pertinentes

Una de las lecciones aprendidas en el ámbito de la evaluación y la gestión de riesgos es el reconocimiento de que la ciberseguridad debe formar parte de la cadena de suministro. Las mejores prácticas recomiendan incluir la cadena de suministro en las evaluaciones de riesgos, así como desarrollar un proceso para confirmar el cumplimiento por parte de los proveedores críticos, con el fin de verificar los requisitos de seguridad, las directrices y la formación. Un fabricante no puede garantizar la seguridad final sin incluir a todos los proveedores clave.

Otra lección que se puede extraer de la industria del automóvil es su reconocimiento de que la ciberseguridad en el sector es una cuestión de seguridad, y no una ventaja competitiva. Las mejores prácticas destacan específicamente la necesidad de compartir información con terceros, como Auto-ISAC, otras empresas del sector, investigadores y organismos gubernamentales. La colaboración entre las partes interesadas es fundamental para defenderse de los ciberataques.

Billington Cybersecurity, una empresa de comunicación que organiza diversos eventos sobre ciberseguridad, celebró la semana pasada una conferencia dirigida al sector de la automoción. The Cyber Wire cubrió la conferencia en profundidad y señaló que los grandes fabricantes se están tomando muy en serio la colaboración y el intercambio de información.

A la conferencia asistieron representantes del Ministerio de Transporte, fabricantes de automóviles y proveedores. Los participantes parecían mostrar un gran interés por conocer cómo están abordando la ciberseguridad otros sectores críticos, como el aeroespacial y el de la defensa. Otra lección que pueden extraer las pequeñas empresas es que , cada vez más, los sectores se dan cuenta de que es necesario debatir los ciberataques entre los distintos actores del sector y compartir las mejores prácticas.

Las pequeñas empresas tienen la oportunidad, en muchos de sus sectores, de participar en los debates sobre ciberseguridad y en las iniciativas del sector en este ámbito. Las pequeñas empresas tienen tanto que perder ante los ciberataques como las grandes empresas. Es necesario que se escuche la voz de las pequeñas empresas para garantizar que sus necesidades queden representadas.