Consideraciones sobre la seguridad de los datos en el sector de los recambios de automoción
La industria del automóvil está experimentando actualmente una de las mayores transformaciones tecnológicas de cualquier campo. La llegada de la conducción autónoma y el aumento de la conectividad están cambiando la forma en que operan los fabricantes de automóviles, los fabricantes de piezas de automóviles y las cadenas de suministro, creando nuevos modelos de negocio en constante evolución. Los sistemas informáticos de los coches conectados también implican un mayor número de datos recogidos y procesados, lo que conlleva un mayor riesgo de ciberataques.
Según el Informe Global de Ciberseguridad en Automoción 2021 de Upstream Security, en 2020 se registraron públicamente más de 200 incidentes cibernéticos en el sector de la automoción. En respuesta a este creciente panorama de amenazas cibernéticas, la Comisión Económica de las Naciones Unidas para Europa (CEPE) publicó una normativa que exige a los fabricantes que aporten pruebas de un Sistema de Gestión de la Ciberseguridad (CSMS) certificado y un Sistema de Gestión de la Actualización del Software (SUMS). A partir de 2022, cualquier coche nuevo tendrá que recibir estas dos certificaciones antes de ser aprobado para su uso en la carretera, y los fabricantes de equipos originales (OEM) no podrán vender vehículos sin ellas.
En la actualidad, los fabricantes de automóviles están organizados en diferentes grupos, cada uno de ellos centrado en la fabricación de diferentes piezas del coche. Para que la ciberseguridad sea eficaz, debe ser una característica fundamental de cada producto a lo largo de todo el ciclo de vida de un vehículo y de los sistemas de apoyo que hay detrás de los procesos de fabricación y comerciales. Por ello, los fabricantes de automóviles han comenzado a aplicar estrictos requisitos de ciberseguridad a cualquier empresa que desee formar parte de su cadena de suministro.
La importancia de la seguridad de los datos para los fabricantes de piezas de automóviles
Las organizaciones automovilísticas de todo el mundo han empezado a adoptar sus propias directrices de ciberseguridad y normas de cumplimiento para garantizar los requisitos de ciberseguridad. Por ejemplo, el grupo automovilístico alemán Verband der Automobilindustrie (VDA) desarrolló una Evaluación de Seguridad de la Información (ISA) basada en las normas internacionales existentes ISO/IEC 27001 y 27002. Todos los fabricantes de piezas de automóviles, los OEM, los socios y las empresas que forman parte de la cadena de suministro de la automoción, tengan o no su sede en Alemania, deben someterse a la evaluación de un estándar de información de seguridad (Trusted Information Security Assessment Exchange – TISAX) para demostrar el cumplimiento de la ISA.
El aumento de la legislación en materia de protección de datos en todo el mundo también ha hecho que los fabricantes de piezas de automóviles tengan que garantizar el cumplimiento de normas como el Reglamento General de Protección de Datos (GDPR) de la UE y la Ley de Privacidad del Consumidor de California (CCPA) para proteger la Información de Identificación Personal (PII) que recopilan y procesan de los empleados y clientes.
Otra consideración clave para los fabricantes de piezas de automóviles es la seguridad de la propiedad intelectual (PI), como los diseños de productos, el código fuente, las patentes y los planos. La confidencialidad de esta información es esencial para que las empresas mantengan su ventaja en el mercado y confíen en sus socios y clientes.
Proteger los datos sensibles de las amenazas internas
Para proteger eficazmente los datos sensibles, los fabricantes de piezas de automóviles deben comprender que las amenazas a la seguridad no sólo provienen del exterior. Las estrategias tradicionales de ciberseguridad tienden a adoptar un enfoque de castillo y ciénaga que se centra en bloquear el acceso de personas ajenas a los datos dentro de la red de la empresa. Pero, aunque este enfoque puede ayudar a proteger los datos de posibles amenazas externas, no aborda otra gran causa de las violaciones de datos: los empleados de la empresa con acceso privilegiado a los datos sensibles.
Ya sea por mala intención o por negligencia, los propios empleados constituyen uno de los mayores riesgos para la seguridad de los datos a los que se enfrentan las empresas. Por lo tanto, los fabricantes de piezas de automóviles deben asegurarse de que pueden proteger eficazmente los datos sensibles, como la información de identificación personal y la propiedad intelectual, frente a las amenazas internas sin que ello afecte significativamente a la productividad de los empleados.
Las empresas pueden utilizar soluciones de prevención de pérdida de datos (DLP) para proteger directamente los datos sensibles. Utilizando perfiles predefinidos para la PII y la propiedad intelectual, pero también permitiendo a los fabricantes crear sus propias definiciones para adaptarlas a sus necesidades empresariales, las herramientas de DLP identifican, supervisan y controlan el movimiento de los datos sensibles a través de las redes de la empresa.
Los fabricantes de piezas de automóviles pueden evitar que los archivos que contienen datos confidenciales se transfieran a través de canales inseguros, como aplicaciones de mensajería, direcciones de correo electrónico personales o servicios en la nube y de intercambio de archivos, utilizando soluciones de DLP. Con los intentos de transferencia registrados y notificados, las organizaciones pueden identificar fácilmente posibles fugas de datos y personas con información privilegiada.
Las soluciones de DLP, como Endpoint Protector, también pueden buscar en las redes de toda la empresa datos sensibles almacenados localmente. Estas prácticas pueden contravenir directamente los requisitos de la legislación sobre protección de datos y los acuerdos de no divulgación de los clientes. Al escanear, identificar y aplicar acciones de corrección, como el borrado y el cifrado, los fabricantes pueden garantizar que ningún archivo que contenga información sensible se almacene en ubicaciones no autorizadas.
Limitar el uso de dispositivos extraíbles
Otro punto de salida habitual de los datos son los dispositivos extraíbles. Los USB, en particular, son fáciles de perder, olvidar y robar, lo que los convierte en uno de los mayores puntos ciegos de la seguridad de los datos que las empresas deben abordar. Para mitigar esta amenaza, los fabricantes de piezas de automóviles tienen la opción de utilizar bloqueadores USB que eliminan el uso de puertos USB y periféricos, impidiendo efectivamente que los empleados utilicen dispositivos extraíbles.
Sin embargo, bloquear el uso de dispositivos extraíbles puede dificultar que los empleados realicen sus tareas de forma eficiente. Los fabricantes de piezas de automóviles pueden utilizar herramientas de DLP con funciones de control de dispositivos para gestionar y limitar el uso de dispositivos extraíbles a los usuarios que los necesiten en sus tareas diarias o en función de su nivel de acceso a datos sensibles. Los administradores pueden establecer diferentes derechos en función de los grupos, departamentos, individuos u ordenadores concretos. También pueden limitar el uso de dispositivos extraíbles a los dispositivos de confianza emitidos por la empresa con un alto nivel de seguridad.
Las funciones de control de dispositivos también facilitan a los fabricantes el seguimiento de qué empleado está copiando datos sensibles, cuándo y en qué dispositivo. De este modo, las empresas pueden identificar los posibles puntos de salida de los datos sensibles y de los empleados malintencionados que buscan robar datos.
Asegurar las herramientas de colaboración
Las herramientas de colaboración son muy utilizadas por los empleados del sector de la automoción para hacer un seguimiento de sus tareas diarias, impulsar su productividad y comunicarse entre sí. Y aunque han demostrado ser herramientas muy útiles en el entorno de trabajo moderno, también fomentan el intercambio de datos sensibles, lo que puede suponer un riesgo para la seguridad.
Ya sea que se adopten a través de canales oficiales por parte de las empresas directamente o que los empleados las utilicen sin saberlo, las herramientas de colaboración no siempre cumplen con las normas de alta seguridad requeridas dentro de la red de un fabricante de piezas de automóviles y pueden dar lugar a que se filtren datos o se pongan a disposición de partes no autorizadas. Las soluciones de DLP pueden controlar el movimiento de datos sensibles a través de herramientas de colaboración populares como Microsoft Teams, Zoom, Slack y Skype, restringiendo su uso y transferencia.