El papel de la PMO en la auditoría de ISO 21434

Aun cuando la regulación UNECE R155 no exige una certificación explícita, obtenerla puede proporcionar un gran valor añadido a cualquier organización. Y para obtenerla, el proceso incluirá lo que comúnmente es conocido como una auditoría de certificación: una evaluación reglada e independiente de los requisitos de la norma que define el sistema de gestión.

En los dos anteriores artículos sobre la ISO 21434 (disponibles aquí y aquí), explorábamos las ventajas de disponer una Oficina de Proyectos Oficina de Proyectos (frecuentemente abreviado PMO por sus siglas en inglés, Project Management Office) dentro de una iniciativa para implantar la norma ISO 21434:2021 Road vehicles — Cybersecurity engineering.

Alineado con lo anterior, revisaremos el papel clave que una PMO puede desempeñar para facilitar el proceso de auditoría y ayudar a asegurar que la organización esté preparada y alineada con los requisitos de certificación.

 

Auditoría de Certificación

Una auditoría de certificación es un proceso sistemático, documentado y objetivo en el que un organismo independiente examina y evalúa los sistemas, procesos y controles de una organización para verificar su conformidad con los requisitos de una norma específica.

En el contexto de la norma ISO 21434:2021, se evaluará le sistema de gestión para la ciberseguridad, enfocándose más concretamente en la identificación y gestión de amenazar y riesgos a través del documento TARA (Threat Analysis and Risk Assessment), la detección y posterior gestión de amenazas y vulnerabilidades en todo el ciclo de vida del vehículo, y de forma general en la mitigación de riesgos.

Si bien la norma ISO 17021-1:2015 “Evaluación de la conformidad — Requisitos para los organismos que realizan la auditoría y la certificación de sistemas de gestión” define más pasos para obtener una certificación, es sin duda la auditoría la actividad más conocida y significativa de todo el proceso.

Pero pese a lo conocido, es esencial recordar cuáles son las principales características de esta actividad:

  • El objetivo de la auditoría es verificar el cumplimiento de los requisitos establecidos dentro de la norma a auditar.
  • Es una actividad rigurosamente estructurada. Existe una agenda previamente definida y pactada, con los miembros del equipo de trabajo adecuados a cada bloque asignados según el contenido del bloque. El equipo que será auditado debe de estar informado de fechas, duración, herramientas utilizadas, y tener disponible la información y los recursos necesarios para contestar a las preguntas que en la auditoría se formulen.
  • La periodicidad para la realización de auditorías de recertificación y seguimiento está fijada, siendo para un Sistema de Gestión de Ciberseguridad (CSMS) de carácter anual.
  • Al finalizar la auditoría, el equipo auditor emite un informe de cumplimiento, con las acciones correctivas en caso de que existan.

 

Preparación de Auditorías

Las auditorías pueden generar un alto nivel de presión en los equipos de trabajo, especialmente si no están acostumbrados a enfrentarse a este tipo de ejercicios. Esto es debido fundamentalmente a dos causas:

  • Implantar un sistema de gestión no es lo mismo que demostrar su grado de cumplimiento de los requisitos y su efectividad.
  • La sobrecarga que supone dedicar tiempo y esfuerzo a las tareas relacionadas: Preparación de la auditoría, el tiempo de la propia auditoría e hipotéticamente, el plan de recuperación en caso de que aparezcan no conformidades.

Es frecuente que los equipos de trabajo vean estas líneas de trabajo como de escaso valor añadido o directamente innecesarias. En este sentido, de forma genérica, se pueden tomar una serie de buenas prácticas de el punto de vista de la gestión operativa:

  • Concienciar al equipo de trabajo que las auditorías no son un evento aislado sino parte del ciclo de vida de la ciberseguridad. No obstante, planear las auditorías adaptándose a los ritmos de los diferentes equipos, en fases valle con menor carga de trabajo desde el punto de vista de las operaciones del Sistema de Gestión.
  • Desde el punto de vista de gestión de la iniciativa, asignar tiempo a la preparación y ejecución de auditorías dentro del cronograma, evitando la sobrecarga al realizar este tipo de ejercicios.
  • Registrar las decisiones relacionadas con la implementación, es decir, cuál ha sido la interpretación de la norma ISO 21434 para facilitar su explicación posterior.
  • Revisión por parte de terceros del estado de los documentos críticos que se revisarán dentro de las diversas auditorías, tales como el TARA, definición y resultados de las pruebas de penetración, revisión de la gestión de incidentes, etc.

Pero de forma más específica, la PMO puede tomar una serie de acciones que ayuden a mitigar los problemas y la presión subyacente de pasar una auditoría. La PMO puede al preparar a los equipos de trabajo no solo para cumplir con los requisitos, sino también para demostrar de manera efectiva dicho cumplimiento ante los auditores. Al mejorar la comunicación, se amplifica el mensaje de un Sistema de Gestión definido, desplegado y operado de forma sistemática.  Para ello, existen una serie de estrategias que, aplicadas de forma individual o conjunta, aumentarán nuestras posibilidades de éxito en la auditoría:

  • Simulacros de Auditoría: Esta práctica ayuda a los equipos a anticipar las preguntas, preparar la documentación de manera organizada y abordar cualquier duda que pueda surgir durante la auditoría real. Esto incluye cómo presentar la evidencia de cumplimiento, responder a preguntas técnicas, explicar procesos y justificar decisiones tomadas durante el desarrollo de productos. La PMO puede desarrollar guías prácticas para responder a las preguntas más complicadas que surgen durante una auditoría o cómo tratar aquellos aspectos que no estén tan maduros respecto a los requisitos de la norma.
  • Desarrollo de habilidades de comunicación: Durante una auditoría, no solo es importante tener el conocimiento técnico, sino también la capacidad de comunicarlo de manera clara y efectiva. El poder crear un ambiente adecuado mediante un tono de voz amable y una sonrisa puede marcar una gran diferencia, transmitiendo al equipo auditor transparencia y confianza. La PMO puede ofrecer capacitación en habilidades de presentación, manejo de preguntas difíciles y desarrollo de argumentos sólidos.
  • Coordinación entre equipos: En auditorías complejas que involucran a múltiples equipos y múltiples casuísticas, la PMO puede servir como un puente de coordinación en la construcción de un relato común. No se trata de crear información falsa, sino de presentar la información existente de forma fluida y ordenada. Mediante el storytelling, seremos capaces de narrar los hechos de forma conexa para que las acciones de prevención de riesgos y solución de problemas tomen sentido.
  • Coordinador de tareas de la propia auditoría. Debido al objetivo último de la PMO, es probable que no sea parte de las entrevistas. Por tanto, podrá apoyar tanto al equipo auditor como auditados en tareas administrativas, como son la gestión de horarios, reserva de salas en auditorías presenciales, reserva de licencias software, exportación y envío de evidencias al auditor, etc.
  • Debriefing de auditorías: Respuestas malentendidas, nerviosismo, exceso de scroll al presentar datos en la pantalla, no guiar al equipo auditor por la información que se está mostrando en cada momento, omitir las indicaciones del auditor, etc., son situaciones o conductas frecuentes en equipos no preparados para el ejercicio, y que sin un observador externo que nos aporte feedback son difíciles de detectar y corregir. La PMO como equipo observador dentro de la auditoría (real o simulada) puede proporcionar dicho feedback sobre estas casuísticas y otras similares, buscando no sólo el prevenirlos en siguientes auditorías, pero también comentando cual han sido los aspectos positivos de la intervención del equipo.

 

Otras tareas del proceso de certificación

Existen una serie de tareas adicionales en las que la oficina de proyectos puede colaborar o directamente liderar, permitiendo liberar al equipo de trabajo y enfocarse en las actividades propias del sistema de gestión:

  • Enviar toda la información que se solicite de forma previa a la auditoría: Estas solicitudes suelen incluir mapa de procesos, roles, o un manual del sistema de gestión, etc. que deben realizarse mediante canales y herramientas adecuadas, manteniendo así los requisitos de confidencialidad.
  • Gestión de las actividades logísticas de la auditoría: Desde la organización de los temas de la agenda, convocatorias a los usuarios clave de la auditoría, gestión de salas y otros recursos, como licencias específicas, etc.
  • Gestión de temas pendientes durante las entrevistas: Es frecuente que cierta información no sea presentada, o que alguna pregunta deba ser contestada por un alguien que no estaba convocado. La PMO puede la PMO por tanto puede actuar como un canal de apoyo al no ser el interlocutor principal.
  • Identificación de fallos documentales: Al no ser los interlocutores principales, es fácil para el equipo de la PMO detectar ciertos fallos en la documentación, que quizá hayan pasado desapercibidos al equipo auditor, como por ejemplo plantillas de documentos desactualizadas, documentos con panel de firmas mal cumplimentado, etc. La PMO puede tomar nota de estos hallazgos que quizá no estén presentes en el informe de auditoría.
  • Gestión de no conformidades: En caso de que se encuentren no conformidades, la PMO puede liderar la comunicación y la gestión del plan de acción, liberando al equipo técnico para que se concentre en resolver las incidencias.

 

Conclusiones

Las auditorías son una actividad exigente, donde la tensión es frecuentemente palpable debido al carácter evaluador de la actividad. La preparación de dicha actividad resulta crítica si se quiere alcanzar el objetivo de la certificación. Requiere de meticulosidad y herramientas adecuadas para potenciar las habilidades de comunicación y presentación de información.

Es aquí donde nuevamente, disponer de una Oficina de Gestión de Proyectos integrada en la iniciativa de implantación de la norma ISO 21434:2021 Road vehicles — Cybersecurity engineering, se vuelve un factor decisivo de éxito, pues capacita a la empresa con otras herramientas y técnicas que, aplicadas sistemáticamente, aumentarán significativamente las probabilidades de definir, desplegar y certificar nuestro Sistema de Gestión para la Ciberseguridad.

El liderazgo a la hora de cohesionar al grupo y la potenciación de sus habilidades marcarán un camino hacia la mejora continua y finalmente, el compromiso con la excelencia que permite a las empresas seguir siendo relevantes en un mercado tan tensionado como es el desarrollo de componentes en automoción.