CSMS, requisitos según UNECE WP.29, Euro NCAP o ISO 27001 - Toda la industria del automóvil está experimentando un cambio disruptivo: medido por la abundancia de nuevas normas y en el curso de la digitalización, cada vez más servicios de software, sistemas de control electrónico y APIs en la nube están encontrando su camino en los vehículos y por lo tanto también en su producción y desarrollo. Las cadenas de suministro estrechamente interconectadas y a menudo todavía intransparentes a través de las cuales se suministran las aplicaciones ofrecen innumerables puntos de ataque para los ciberataques.
En 2017, la Asociación Alemana de la Industria del Automóvil (VDA), junto con la Asociación Europea de Intercambio de Redes (ENX ) de Francia, desarrolló el procedimiento de prueba e intercambio TISAX -Intercambio de Evaluación de Seguridad de la Información de Confianza-, ahora reconocido internacionalmente, con el fin de hacer frente a los vectores de ataque, cada vez más numerosos. Se trata de un certificado que los proveedores pueden utilizar para documentar el cumplimiento de las normas de seguridad adecuadas a sus OEM. Un elemento clave es una fuerte identidad y acceso (IAM), así como Privileged Access Management (PAM), que protege las cuentas críticas y marca el rumbo de una cadena de suministro ciberresistente.
En el futuro, los vehículos de conducción autónoma, los sistemas de transporte y las tecnologías de conducción híbrida darán forma a los paisajes urbanos de todo el mundo: Mediante la consolidación inteligente de una gran variedad de sistemas electrónicos, los coches podrán comunicarse entre sí, tomar decisiones independientes y reaccionar con seguridad ante situaciones de peligro desconocidas. El potencial de innovación de esta tecnología es prácticamente ilimitado, al igual que los posibles daños en caso de que los sistemas informáticos correspondientes se vean comprometidos.
Norma de ensayo actual: Evaluación de la seguridad de la información VDA V. 5.1
El certificado otorgado por la Asociación ENX define las normas mínimas para el tratamiento seguro de la información, la protección de prototipos y la protección de datos en las empresas de automoción, y permite al sector, como procedimiento de prueba e intercambio, comprobar el nivel de madurez de la seguridad de la información en posibles socios, proveedores de servicios y suministradores. Esto se basa en una norma de ensayo uniforme con un procedimiento de ensayo definido para la comparabilidad.
Con la gran actualización de la VDA ISA a la versión 5.x en octubre de 2020, la estructura general de la norma de ensayo ha cambiado y se ha modernizado. Derivada de la norma de seguridad de la información ISO 27001, se centra fuertemente en el funcionamiento de la gestión de la ciberseguridad y la protección del acceso a los datos que merece la pena proteger dentro de la cadena de suministro.
La actualización de toda la VDA ISA aportó las siguientes novedades:
Con la actualización a la versión 5.0, el contenido del módulo "Conexión de terceros", incluidos los objetivos de las pruebas, se ha integrado en el módulo "Seguridad de la información". Esto significa que actualmente sólo hay tres módulos:
Seguridad de la información
Protección de datos
Protección del prototipo
El término "conexión de terceros" describe la situación en la que un usuario de TISAX® tiene su propio sitio en las instalaciones de un socio y puede acceder (mediante conexiones de red directas) a sus sistemas. Según la VDA, "no sólo se han comprobado todos los requisitos del módulo "Seguridad de la información" en relación con el estado actual de la técnica y la adecuación, sino que también se han eliminado las redundancias".
Evitar el acceso no autorizado a las cuentas privilegiadas
Un aspecto central es la gestión segura de las identidades y los accesos: En las cadenas de suministro estrechamente interconectadas de la industria del automóvil, la integración de socios y proveedores de servicios externos en los sistemas e infraestructuras o procesos propios es una práctica habitual, pero al mismo tiempo representa uno de los mayores factores de riesgo. La falta de concienciación sobre la seguridad, la vinculación de zonas de seguridad diferentes, en realidad separadas, o la falta de tecnología adecuada son sólo algunos factores críticos. Sea cual sea el propósito, un tercero conectado lógicamente suele requerir roles de usuario con derechos de acceso privilegiados para su acceso desde el exterior y, por lo general, incluso sigue siendo una identidad anónima.
Si además se tiene en cuenta que el número de cuentas privilegiadas de empleados, máquinas y clientes está aumentando rápidamente, además de las cuentas de usuarios externos, queda claro rápidamente la importancia de una gestión de identidades coherente para la industria del automóvil, y la importancia que tiene una estrategia a medida con una solución PAM controlable para la gestión de acceso centralizada de estas cuentas.
Proporcionarderechos privilegiados "Just in Time" y seguir los principios
Acceso a la red de confianza cero
Zero Trust es el estado del arte. Toda la comunidad cibernética está hablando de ello. Muchas empresas hacen de la confianza cero el principio básico de las estrategias holísticas de seguridad de la información. Pero la estrategia que hay detrás de la implantación de un verdadero modelo de confianza cero no es la palabra de moda "confianza cero" en sí misma. La confianza cero tiene que complementarse con la parte realmente importante, el acceso a la red. Si se combinan, el resultado es el nuevo principio: Acceso a la Red de Confianza Cero, o ZTNA por sus siglas en inglés.
ElAcceso a la Red de Confianza Cero (ZTNA), también conocido como Perímetro Definido por Software (SDP), se refiere a un conjunto de tecnologías y características que permiten a los usuarios remotos acceder de forma segura a las aplicaciones internas. La ZTNA se basa en un modelo de confianza adaptable. Pero sólo confía en quien se conoce implícitamente. El acceso sólo se concede según el principio de necesidad absoluta y justo a tiempo con una asignación mínima de derechos. La ZTNA no es una solución aislada que deba aplicarse. La ZTNA es un principio organizativo, técnico y cultural dentro de la ciberseguridad de toda una organización. Los usuarios remotos se benefician de una conectividad perfecta y segura a las aplicaciones privadas sin tener que acoplar zonas de seguridad....
Menos Privilegios
El principio de mínimo privilegio (PoLP) es un concepto bien establecido que se basa en el principio de que a un usuario interno o externo sólo se le concede el número exacto de permisos sobre determinados datos e información que necesita para realizar sus tareas específicas en la empresa o en nombre de ella, en ningún caso más.
Sin embargo, el principio de mínimo privilegio también va más allá del acceso de los usuarios humanos. El modelo también puede aplicarse a aplicaciones, sistemas o dispositivos en red que requieren ciertos privilegios o permisos para realizar tareas.
El principio de mínimo privilegio garantiza que una herramienta no humana tenga el acceso que necesita, pero no más que eso.
El principio de mínimo privilegio se considera la mejor práctica en la industria de la ciberseguridad y es un paso esencial para proteger el acceso privilegiado a datos y recursos de alto valor. En este caso, es importante que la interacción entre la seguridad de la información de la organización y la seguridad operativa de las TI funcione a la perfección y de forma ideal.
Medidas de una estrategia PAM moderna conforme a TISAX
Sin embargo, la forma en que las empresas abordan la protección de sus cuentas privilegiadas ha cambiado considerablemente en los últimos años: Hoy en día, las soluciones automatizadas, denominadas de nueva generación, sustituyen cada vez más a los proyectos selectivos gestionados manualmente. Lo ideal es que las iniciativas PAM amplíen sucesivamente los sólidos cimientos del principio de mínimo privilegio con otros componentes y se basen en una estrategia de confianza cero. Las funciones estándar de una solución PAM deben incluir, como mínimo, la grabación de sesiones, el uso compartido de aplicaciones, la transferencia segura de datos, Multi Factor Authentication y el estado en directo.
Sin embargo, una solución PAM moderna debería ser capaz de distinguir entre un usuario privilegiado externo y los empleados internos, sin necesidad de dos sistemas diferentes.
TISAX espera que se documente completamente el acceso a los datos del cliente y la trazabilidad de todas las actividades en áreas sensibles.
Las medidas organizativas por sí solas no son suficientes. Seleccionar e integrar la solución PAM adecuada puede ser tedioso.
La gama de soluciones internacionales de AMPA en el mercado es comparativamente amplia y la elección del fabricante adecuado depende de varios factores:
- En primer lugar, la arquitectura de la red existente es de crucial importancia, ya sea nativa de la nube, híbrida o local, ya sea de tipo marrón o verde. No todas las soluciones PAM son igualmente adecuadas para el propósito requerido.
- Entonces hay que preguntarse si la futura solución PAM debe asumir toda la administración de usuarios y la gestión de contraseñas o si la solución PAM debe conectarse a las aplicaciones existentes e integrarse como una extensión.
- Igual de importante es la perspectiva: El esfuerzo de integración, medido en función de los resultados alcanzables. No hay que descuidar que una solución PAM holística ata una cantidad considerable de recursos y cambia fundamentalmente los procesos internos en el ámbito de la gestión de identidades y accesos. Una solución PAM debe ajustarse al caso de uso.
- Cuando se trata de la seguridad de la información, es importante no descuidar el punto de que el propio proveedor de una solución PAM no suponga un riesgo futuro para la integridad de su propia información que merece ser protegida. Los ejemplos actuales muestran que las soluciones "todo en uno", en particular, ofrecen inevitablemente nuevas superficies de ataque, cuantas más funciones quiera ofrecer la solución PAM original.
- A partir de esta primera configuración fundamental del curso, se trata entonces de seleccionar, entre la multitud de soluciones disponibles, la que mejor pueda integrarse en la infraestructura informática existente y que cumpla con los requisitos predefinidos de cada uno de los interesados.
En general, la experiencia de la industria muestra que los departamentos de TI que tienen su primer contacto con la selección de una solución PAM suelen estar abrumados y, en consecuencia, siguen las declaraciones del mercado. En el segundo paso, esto lleva a que PAM se convierta en un proyecto de consultoría más que deseado, y los consultores e integradores de sistemas alimentan el campo casi ilimitado de la gestión de identidades y accesos con amplias ofertas y supuestas estrategias siempre nuevas.
El objetivo debe ser encontrar una solución PAM que pueda integrarse en el funcionamiento sin grandes intervenciones y que no requiera modificaciones en los clientes y los puntos finales. Si es necesario, hay que tener en cuenta que estos ofrecen nuevos puntos de entrada potenciales y deben tenerse en cuenta en la gestión de riesgos.
TISAX exige una estricta separación de la información del cliente también en el área lógica. Las zonas de seguridad establecidas no deben acoplarse aunque se acceda a la información
VDA ISA
VISULOX - Una solución PAM con integración Remote Support
VISULOX es la solución líder en Alemania de PAM con plataforma remota integradaSupport para un acceso seguro desde cualquier lugar. Ayudamos a responder a la pregunta de quién hizo qué, dónde y cuándo en las infraestructuras de TI.
amitego es el principal proveedor de soluciones Privileged Access Management y Remote Support en Alemania, desde 2003.
Adaptado a los requisitos de acceso y documentación de TISAX, VISULOX es utilizado actualmente como solución PAM por un gran número de pequeños y medianos proveedores de automóviles, así como por fabricantes de equipos originales multinacionales. Nuestro equipo está formado por los mejores desarrolladores que mantienen deliberadamente un estrecho contacto con colegas con muchos años de experiencia en consultoría de TISAX. También contamos con auditores principales de TISAX de probada eficacia entre nuestro equipo.
Nuestra experiencia demuestra que sabemos escuchar. Una breve conversación personal puede ahorrar muy a menudo largos desplazamientos. Estaremos encantados de reunirnos con usted en una breve cita, si lo desea con una posible demostración en vivo, sin compromiso.
También estaremos encantados de explicarle individualmente, sobre la base del catálogo VDA ISA vigente, qué controles puede cumplir con la introducción de VISULOX adhoc de acuerdo con los criterios.