Tempo di lettura: 6 minuti Difficoltà: AdvancedLe esigenze di cybersecurity sono in rapida evoluzione nel settore automobilistico, a fronte del crescente diffondersi di minacce informatiche a danno di veicoli e passeggeri. Se sei un OEM che opera secondo gli standard ISO/SAE 21434, segui i consigli affinché la tua organizzazione risulti conforme alle normative di protezione della sicurezza informatica.
Le esigenze di cybersecurity sono in rapida evoluzione nel settore automobilistico, a fronte del crescente diffondersi di minacce informatiche a danno di veicoli e passeggeri. Se sei un OEM che opera secondo gli standard ISO/SAE 21434, segui i consigli affinché la tua organizzazione risulti conforme alle normative di protezione della sicurezza informatica.
1: Rafforza i processi di cyber security iniziando dall’audit dell’organizzazione interna
Se riconosci nella tua organizzazione delle possibili lacune a livello di processo, la soluzione è pianificare audit regolari in conformità agli standard ISO/SAE 21434.
Per evitare il rischio di non conformità, o di tenere in vita processi che mettono a rischio la cyber security, il primo consiglio è identificare le aree di miglioramento della vostra postura di sicurezza informatica.
Le azioni che suggeriamo di intraprendere:
- Definizione degli obiettivi di cyber security
- Esame della documentazione e delle procedure esistenti
- Assessment rispetto ai requisiti ISO/SAE 21434 e del piano di Incident Response, piano di risposta agli incidenti di tipo informatico
- Report e mantenimento delle pratiche di igiene informatica
Tutto questo potete realizzarlo con il nostro aiuto. Scopri i servizi per la Automotive Cyber Security oppure continua a leggere gli altri consigli.
2: Prevedi una gestione sicura dei fornitori
Secondo le indicazioni della norma ISO/SAE 21434, i fornitori svolgono un ruolo cruciale nella sicurezza informatica dei sistemi automobilistici, poiché forniscono i componenti e i software che si integrano nel sistema complessivo del veicolo.
È essenziale porre attenzione alla fase di selezione e valutazione dei fornitori per:
- Definire i requisiti di sicurezza informatica dei fornitori
- Verificare, convalidare, e monitorare eventuali segnalazioni di incidenti informatici da parte dei fornitori
- Tracciare la catena di fornitura in linea con i requisiti ISO/SAE 21434
3: Garantisci Concept di prodotto in linea con gli standard ISO/SAE 21434
La norma ISO/SAE 21434 classifica la revisione dell’architettura e del design del veicolo un processo critico, da ottemperare nella fase iniziale di progettazione di un sistema automobilistico.
L’OEM non può tralasciare una oculata revisione dell’architettura del sistema, per garantire che esso sia in grado di resistere alle minacce informatiche nel corso del ciclo di vita del veicolo, fino alla formalizzazione del work product finale, Cyber Security Concept definito dalla norma ISO/SAE 21434.
4: Metti in atto misure di verifica e validazione della cyber security
Condurre test approfonditi di sicurezza informatica richiede strumenti e competenze radicate nel mondo degli standard normativi perchè il risultato sia di inconfutabile efficacia.
Se l’obiettivo è non tralasciare nessuna vulnerabilità, la verifica e la validazione della cyber security secondo gli standard ISO/SAE 21434 devono prevedere una vasta gamma di metodi di penetration test. Solo in questo modo il quadro sulla resilienza dei sistemi installati sui veicoli sarà completo.
5: Analizza i rischi di cyber security con il metodo TARA
L’analisi TARA (Threat Analysis e Risk Assessment) costituisce, secondo gli standard di settore, il prerequisito per la finalizzazione del Cyber Security Concept, che illustra l’intero funzionamento del sistema. Senza un’analisi approfondita del rischio informatico dei vari componenti del work product potreste non implementare strategie di mitigazione efficaci ad eliminare le vulnerabilità agli attacchi.
Il metodo TARA restituisce lo studio dettagliato delle potenziali minacce, garantendo che tutti i rischi siano identificati e gestiti correttamente, attraverso la valutazione dei vettori e delle conseguenze di un attacco.
6: Sviluppa il Sistema di Gestione ISO/SAE 21434
In assenza di un sistema di gestione formale, le pratiche di cybersecurity potrebbero risultare non sufficientemente integrate all’interno del ciclo di vita del veicolo.
Il processo di costruzione di un sistema di gestione che soddisfi i requisiti di ISO/SAE 21434, anche in ottica di future revisioni e audit normativi, passa attraverso la definizione di:
- Policy di cybersecurity
- Ruoli e responsabilità interne
- Gestione dei fornitori
- Piano di risposta agli incidenti informatici
- Formazione dei dipendenti
- Monitoraggio dei livelli di sicurezza informatica
Cerchi una guida per innalzare la conformità agli standard di sicurezza informatica?
Torna all'elenco degli articoli