Audit, valutazioni e certificazione della sicurezza informatica nel settore automobilistico

Un audit di processo esamina il processo di sviluppo controllando l'esistenza di modelli di documenti generici, di descrizioni dei processi associati, di un sistema di gestione della sicurezza informatica (CSMS), di un processo di risposta agli incidenti e di una cultura della sicurezza effettivamente applicata. L'audit richiede solitamente uno o due giorni ed è guidato dalla revisione della descrizione del processo ed è documentato in un registro di audit. Tutto ciò che risulta mancante viene quindi affrontato, dopodiché viene rilasciato un rapporto tecnico e, se necessario, un certificato.

Questa fase valuta le capacità del prodotto finito di difendersi dagli attacchi informatici attraverso misure preventive, secondo lo standard ISO/SAE 21434. Tutta la documentazione necessaria del prodotto viene registrata ed esaminata e i risultati vengono documentati e messi a disposizione del cliente. Anche in questa fase, si gestiscono eventuali fasi mancanti o documenti. Dopodiché, viene rilasciato un rapporto tecnico contenente le valutazioni finali sulla sicurezza informatica. Se necessario, è anche possibile ottenere un certificato di prodotto.

La certificazione rimarca la vostra dichiarazione di aver eseguito una valutazione tecnica con la massima indipendenza possibile. Allo stesso tempo, consente ai vostri clienti di vedere a colpo d'occhio il livello raggiunto di sicurezza informatica integrata. La certificazione si basa su una relazione tecnica sull'audit o sulla valutazione e può essere effettuata per entrambi. Il Cybersecurity Assurance Level (CAL) è attualmente irrilevante, in quanto il suo utilizzo è considerato solo informativo secondo ISO/SAE 21434.

ISO/SAE 21434 raccomanda anche che per una valutazione della sicurezza informatica vengano effettuati test dedicati, come i test di penetrazione e i test di fuzzing. Se necessario, saremo lieti di offrirli nei nostri laboratori di sicurezza informatica.