Lecciones aprendidas del enfoque de la industria del automóvil en materia de ciberseguridad
La organización de intercambio de información sobre ciberamenazas de la industria del automóvil, Auto-ISAC, ha anunciado recientemente sus mejores prácticas para las medidas de ciberseguridad en los automóviles. Las mejores prácticas están destinadas a todos los fabricantes y proveedores de la industria del automóvil, independientemente de su tamaño. La organización afirma que ha incorporado flexibilidad para su aplicación por parte de diversas empresas.
Auto-ISAC es miembro del Consejo Nacional de Centros de Análisis e Intercambio de Información (ISAC). Los ISAC se crearon para varios sectores de infraestructuras críticas tras una directiva presidencial de 1998. La directiva pedía a los principales sectores de infraestructuras críticas que establecieran organizaciones que compartieran información sobre amenazas y vulnerabilidades dentro de su industria específica. Auto-ISAC es propiedad de los fabricantes y proveedores de automóviles y está gestionado por ellos.
Las mejores prácticas del Auto-ISAC se clasifican por funciones:
- Gobernanza
- Evaluación y gestión de riesgos
- Seguridad por diseño
- Detección y protección de amenazas
- Respuesta a incidentes
- Sensibilización y formación
- Colaboración y compromiso con terceros adecuados
Una lección aprendida de la categoría de evaluación y gestión de riesgos es el reconocimiento de que la ciberseguridad debe formar parte de la cadena de suministro. Las mejores prácticas recomiendan incluir la cadena de suministro en las evaluaciones de riesgos, así como desarrollar un proceso para confirmar el cumplimiento por parte de los proveedores críticos para verificar los requisitos de seguridad, las directrices y la formación. Un fabricante no puede garantizar la seguridad final sin incluir a todos los proveedores clave.
Otra lección que se puede aprender de la industria del automóvil es su reconocimiento de que la ciberseguridad en la industria es una cuestión de seguridad, no una ventaja competitiva. Las mejores prácticas llaman específicamente a la necesidad de compartir información con terceras partes como Auto-ISAC, compañeros, investigadores y agencias gubernamentales. La colaboración es importante entre las partes interesadas para defenderse de los ciberataques.
Billington Cybersecurity, una empresa de medios de comunicación que produce diversos eventos sobre ciberseguridad, organizó la semana pasada una conferencia para la industria del automóvil. The Cyber Wire cubrió la conferencia en detalle y señaló que los grandes fabricantes se están tomando en serio la colaboración y el intercambio.
A la conferencia asistieron el Departamento de Transporte, fabricantes de automóviles y proveedores. Los participantes parecen estar muy interesados en cómo otras industrias críticas, como la aeroespacial y la de defensa, están gestionando la ciberseguridad. Otra lección aprendida para las pequeñas empresas es que , cada vez más, las industrias se dan cuenta de que los ciberataques deben ser discutidos entre los actores de la industria y compartir las mejores prácticas.
Las pequeñas empresas tienen la oportunidad, en muchos de sus sectores, de participar en las conversaciones sobre ciberseguridad y en las iniciativas de ciberseguridad del sector. Las pequeñas empresas tienen tanto que perder en los ciberataques como las grandes empresas. Las voces de las pequeñas empresas deben expresarse para garantizar que sus necesidades estén representadas.