En la primera parte de este artículo explorábamos una serie de ventajas de disponer de una Oficina de Proyectos (PMO) dentro de una iniciativa para implantar la norma ISO 21434:2021 Road vehicles — Cybersecurity engineering. De forma resumida, estas incluían la gestión del conocimiento, la convivencia entre varias realidades, y la capacidad de gestionar realidades altamente complejas no sólo dentro de la iniciativa sino con el resto de la organización.
En esta segunda parte continuaremos exponiendo otra serie de aspectos en los que la Oficina de Proyectos puede gestionar el conocimiento, de cara a poder alinear diferentes ciclos de trabajo, gestionar la capacitación del equipo de forma efectiva dentro de las restricciones temporales de la iniciativa, y preparar al equipo para afrontar una auditoría de la norma ISO 21434.
Ciclos de Vida
La complejidad en los desarrollos en el sector automoción no es nueva, basta con ver los diversos equipos de trabajo que lo conforman: desde hardware y mecánica hasta el software; calidad tanto en el desarrollo como en fabricación. Este listado no es completo de forma intencionada, pues, para aquellos productos que requieran conocimientos más específicos, las empresas podrían tener otros equipos diferentes. Por citar algunos: machine learning, ingeniería óptica para cámaras etc.
Este enfoque multidisciplinar ha demostrado ser adecuado al extraer más valor que una gestión monolítica que no diversifique por áreas de conocimiento. Pero, con esta disposición de varios equipos de trabajo, cada equipo acaba teniendo distintos ciclos de vida de sus work products y entregables. Aunque no es un paradigma estático, históricamente se ha asociado el desarrollo de la electrónica a ciclos de vida con modelos predictivos (i.e. modelo waterfall), mientras que los equipos de software abogan por gestionarse con una lógica más iterativa y ágil, con entregas más frecuentes y adaptaciones continuas.
Estos ciclos de vida ya sean de producto, software o procesos, varían enormemente en duración, enfoque y requerimientos, lo que frecuentemente acaba generando tensiones y desajustes si no se gestionan de forma adecuada. Posiblemente el ejemplo que más nos encontramos de esta problemática entre dominios sería el no disponer una versión concreta de la electrónica para validar un nuevo software, pero hay muchos otros.
¿Cómo cambia la ISO21434 los paradigmas existentes?
- Durante el proyecto, aparecen nuevos puntos de sincronización entre los diversos equipos de trabajo como lo es la realización del Cybersecurity Goals, Cybersecurity Technical Concept y TARA (Threat Analysis and Risk Assessment), tal cual se describe en el capitulo 5 de la norma.
- Tras el paso a producción de los productos, no se podrá simplemente liberar el equipo de desarrollo (decommisioning): debe existir una estructura operativa que recoja el feedback del equipo de monitorización en lo que respecta al análisis de vulnerabilidades.
- La norma también busca involucrar a los diferentes proveedores de nuestro producto, tanto en el mantenimiento, en la gestión de vulnerabilidades futuras, etc.
Para que el despliegue de la norma sea un éxito, se deberá trabajar de forma activa en la adaptación y coordinación de los distintos ciclos de vida, teniendo en cuenta sus dependencias temporales.
La Oficina de Proyectos puede actuar como un mediador y facilitador, no sólo para gestionar la convivencia de estos ciclos de vida, sino para fomentar su correcta integración. El disponer de un alto conocimiento del sector de automoción y sus ciclos de vida subyacentes permitirá desplegar las siguientes estrategias para mitigar los desafíos anteriormente mencionados:
- Creación de un mapa de integración de ciclos de vida: Identificar los puntos de integración y los momentos clave donde se deben coordinar entregables o actualizaciones de seguridad, para disponer de un enfoque holístico que abarque todo el ciclo de vida del vehículo.
- Creación del ciclo de vida extendido de la ciberseguridad: Dado que las amenazas cibernéticas evolucionan a lo largo del tiempo, la PMO debe asegurarse de que los ciclos de vida del producto o vehículo incluyan una fase de postproducción donde las actualizaciones de seguridad continúen. El tradicional ciclo de vida de muestras ABCD utilizado en el sector automoción sigue siendo necesario, pero no es suficiente para gestionar las vulnerabilidades detectadas cuando el vehículo esté en el mercado.
- Presentación y concienciación del nuevo paradigma en la organización: La ciberseguridad no es estática. Alineado con el ciclo de vida extendido, es necesario que en organizaciones que operan por proyectos, el nuevo paradigma sea presentado e incorporado en su cultura corporativa, incluyendo la cotización de la ciberseguridad en ofertas comerciales, la dotación económica para el equipo de monitorización, la capacidad de mantener el software cuando el equipo de proyecto haya sido liberado, etc.
Gestión de la formación
Como hemos estado comentando a lo largo del presente artículo y del anterior, uno de los objetivos de la iniciativa es la certificación del sistema de gestión bajo la norma ISO21434. En líneas generales, cuando se audita un sistema de gestión, una de las ideas que tiene que quedar claro a un auditor es que el Sistema de Gestión tiene los recursos en cantidad y calidad necesarios para su correcto funcionamiento. Dependiendo de la norma y del sistema de gestión, esto se puede expresar de varias maneras: a veces más explícita, con requisitos claros y concisos, y otras veces de forma más implícita, como es el compromiso de la alta dirección.
Un sistema de gestión entiende por recurso cualquier artefacto necesario para su correcto funcionamiento, tanto en cantidad como en calidad de estos. Por ello recursos serían licencias software, capacidad de computación, equipos de medición y por último lo más importante: las personas o recursos humanos.
Cuando hablamos de evaluar la cantidad de los recursos, podríamos simplificarlo bastante como una comparación de las estimaciones numéricas iniciales con las asignaciones en curso, pero la calidad de los recursos no se puede llevar tan fácilmente a una fórmula. Y, cuando hablamos de las personas, menos aún. Y de nuevo de forma simplificada, cuando hablamos de calidad de las personas entenderemos la capacitación de cada uno de ellos. Por tanto, ¿cómo medir si nuestros profesionales están capacitados para llevar a cabo sus responsabilidades?
Normalmente la respuesta de muchos auditados para evidenciar la capacitación del personal suele basarse en la formación que han recibido, pero los requisitos de los sistemas de gestión van un paso más allá: La formación ha de ser eficaz, esto es, que se cumplan los objetivos de formación para cada persona y que la persona pueda llevar a cabo sus responsabilidades en tiempo y forma. Por tanto, hay que evidenciar que no se ha producido ningún fallo en el sistema de gestión, y que a su vez los conocimientos se siguen aplicando correctamente pasado cierto tiempo.
Por último, añadir dos características esenciales para la evaluación: ser cualificada y ser independiente, o dicho de otro modo, la persona que evalúe tiene que determinar si la tarea se ha realizado correctamente y no haber tomado parte en su ejecución.
Y es aquí donde una Oficina de Proyectos dentro de la iniciativa vuelve a cobrar sentido. La PMO conoce el sistema de gestión que se está creando y sus resultados, pero a su vez es independiente de la ejecución de procesos del mismo. Su personal está capacitado para evaluar el trabajo realizado, por lo que puede identificar desviaciones puntuales o sistémicas, leves o significativas que incumplan los requisitos del sistema de gestión.
La PMO podrá determinar qué necesidades de formación se requieren para cada profesional involucrado en el sistema de gestión, o si las formaciones anteriores no han sido suficientes en alguno de los puntos tratados. Esto se puede llevar a cabo con evaluaciones post-formación, pruebas de conocimientos y análisis del rendimiento de los equipos en la aplicación práctica.
Pero de nuevo, la PMO puede ir un paso más allá, no sólo con la evaluación de la formación sino asegurando que el conocimiento se gestione de manera eficaz. La cantidad de conocimientos que los equipos deben adquirir es significativa, por lo que para que las formaciones sean verdaderamente productivas se deben implementar varias estrategias para mejorar la eficiencia en la transmisión de conocimiento. Entre dichas estrategias destacar:
- Estrategia Train The Trainers (TTT): Capacitar a los formadores correspondientes, haciendo hincapié en aquellos puntos que se han detectado como problemáticos en las evaluaciones. Proporcionar información con respecto a los puntos que concentran más problemas de la norma.
- Centralización y estandarización de la información: Esto facilita que los equipos accedan rápidamente a la información más relevante, minimizando el riesgo de interpretaciones erróneas o de duplicación de esfuerzos.
- Mantenimiento y actualización continua del conocimiento: Alineado con lo anterior, el disponer de recursos de formación centralizado permitirá una actualización continua del conocimiento, ya sea a través de comunicaciones internas tipo newsletters, workshops periódicos o material multimedia.
- Creación de un comité técnico especializado: La Oficina de Proyectos puede crear y de un comité de expertos en ciberseguridad (Subject Matter Experts o SMEs por sus siglas en inglés), destinado a resolver dudas técnicas. La PMO puede coordinar y dinamizar las actividades del comité, y hacer que la información generada fluya de forma adecuada al resto de la organización.
Preparación de Auditorías
Nuevamente, vale la pena recordar que uno de los objetivos de la iniciativa es no solamente desplegar un sistema de gestión, sino además su certificación contra la norma ISO 21434, o de forma más directa: pasar un proceso de auditoría contra dicha norma.
Las auditorías pueden generar un alto nivel de presión en los equipos de trabajo, especialmente si no están acostumbrados a enfrentarse a este tipo de evaluaciones. Esto es debido fundamentalmente a dos causas:
- Implantar un sistema de gestión no es lo mismo que demostrar su grado de implantación y efectividad
- La sobrecarga que supone dedicar tiempo y esfuerzo a las tareas relacionadas: Preparación de la auditoría, el tiempo de la propia auditoría e hipotéticamente, el plan de recuperación en caso de que aparezcan no conformidades.
Es frecuente que los equipos de trabajo vean estas líneas de trabajo como de escaso valor añadido o directamente innecesarias. En este sentido, de forma genérica, se pueden tomar una serie de buenas prácticas de el punto de vista de la gestión operativa:
- Concienciar al equipo de trabajo que las auditorías no son un evento aislado sino parte del ciclo de vida de la ciberseguirdad. No obstante, planear las auditorías adaptándose a los ritmos de los diferentes equipos, en fases valle con menor carga de trabajo desde el punto de vista de las operaciones del Sistema de Gestión.
- Desde el punto de vista de gestión de la iniciativa, asignar tiempo a la preparación y ejecución de auditorías dentro del cronograma, evitando la sobrecarga al realizar este tipo de ejercicios
- Registrar las decisiones relacionadas con la implementación, es decir, cuál ha sido la interpretación de la norma ISO 21434 para facilitar su explicación posterior
- Revisión por parte de terceros del estado de los documentos críticos que se revisarán dentro de las diversas auditorías, tales como el TARA, definición y resultados de las pruebas de penetración, revisión de la gestión de incidentes, etc.
Pero de forma más específica, la PMO puede tomar una serie de acciones que ayuden a mitigar los problemas y la presión subyacente de pasar una auditoría. La Oficina de Proyectos puede al preparar a los equipos de trabajo no solo para cumplir con los requisitos, sino también para demostrar de manera efectiva dicho cumplimiento ante los auditores. Al mejorar la capacidad de presentación, así como simular auditorías reales y las dinámicas de presentación de la información, harán que el equipo se sienta más preparado en la defensa de sus procesos y work products, amplificando el mensaje de correcta gestión de nuestro sistema y su alineamiento con la norma. Como principales estrategias podemos citar:
- Simulacros de auditoría: Esta práctica ayuda a los equipos a anticipar las preguntas, preparar la documentación de manera organizada y abordar cualquier duda que pueda surgir durante la auditoría real. Esto incluye cómo presentar la evidencia de cumplimiento, responder a preguntas técnicas, explicar procesos y justificar decisiones tomadas durante el desarrollo de productos. La PMO puede desarrollar guías prácticas para responder a las preguntas más complicadas que surgen durante una auditoría o cómo tratar aquellos aspectos que no estén tan maduros respecto a los requisitos de la norma.
- Desarrollo de habilidades de comunicación: Durante una auditoría, no solo es importante tener el conocimiento técnico, sino también la capacidad de comunicarlo de manera clara y efectiva. El poder crear un ambiente adecuado mediante un tono de voz amable y una sonrisa puede marcar una gran diferencia, transmitiendo al equipo auditor transparencia y confianza. La PMO puede ofrecer capacitación en habilidades de presentación, manejo de preguntas difíciles y desarrollo de argumentos sólidos.
- Coordinación entre equipos: En auditorías complejas, que involucran a múltiples equipos y múltiples casuísticas, la PMO puede servir como un puente de coordinación en la construcción de un relato común. No se trata de crear información falsa, sino de presentar la información existente de forma fluida y ordenada. Mediante el storytelling, seremos capaces de narrar los hechos de forma conexa para que las acciones de prevención de riesgos y solución de problemas tomen sentido.
- Gestor de tareas de la propia auditoría. Debido al objetivo último de la PMO, es probable que no sea parte de las entrevistas. Por tanto, podrá apoyar tanto al equipo auditor como auditados en tareas administrativas, como son la gestión de horarios, reserva de salas en auditorías presenciales, reserva de licencias software, exportación y envío de evidencias al auditor, etc.
- Debriefing de auditorías: Respuestas malentendidas, nerviosismo, exceso de scroll al presentar datos en la pantalla, no guiar al equipo auditor por la información que se está mostrando en cada momento, omitir las indicaciones del auditor, etc., son situaciones o conductas frecuentes en equipos no preparados para el ejercicio, y que sin un observador externo que nos aporte feedback son difíciles de detectar y corregir. La PMO como equipo observador dentro de la auditoría (real o simulada) puede proporcionar dicho feedback sobre estas casuísticas y otras similares, buscando no sólo el prevenirlos en siguientes auditorías, pero también comentando cual han sido los aspectos positivos de la intervención del equipo.
Tradeoffs
A lo largo de los puntos anteriores, hemos subrayado el papel crucial que desempeña una Oficina de Proyectos (PMO) en la implementación de la ISO 21434, desde la gestión del conocimiento hasta la preparación de auditorías. Sin embargo, como ocurre con cualquier estructura organizacional, la creación de una PMO dentro de una iniciativa de ciberseguridad también puede traer consigo ciertos desafíos y posibles impactos negativos que deben ser considerados y gestionados. Hablamos en este punto de “tradeoffs” porque no existe una solución perfecta desde el punto de vista de la gestión: cualquier decisión o estructura tiene sus “pros” y sus “contras”, pero podemos aumentar las probabilidades de éxito minimizando los posibles aspectos negativos que puedan presentarse.
Entre otras problemáticas, destacamos:
- Complejidad en la gestión: Dado que la ISO 21434 ya es una norma compleja por naturaleza, agregar trámites burocráticos adicionales puede complicar aún más su implementación. La PMO debe ser consciente de no añadir trámites innecesarios y asegurarse de que los procesos que gestiona están alineados con las necesidades reales de los equipos de desarrollo. Para mantener un equilibrio entre control y agilidad, se debe minimizar la sobrecarga de tareas buscando un enfoque basado en el valor añadido.
- Sobrecarga de solicitudes de información y reporting: Alineado con lo anterior, una PMO puede llegar a generar una cantidad significativa de reportes, análisis y reuniones de seguimiento, sobrecargando así a los equipos de trabajo con un flujo constante de solicitudes de información. Pero además, la PMO puede recibir un exceso de solicitudes de información por parte de la alta dirección. Solamente aquellas peticiones que sean críticos para la toma de decisiones a alto nivel de la iniciativa deberían aceptarse y enviarse a los equipos de trabajo.
- Confusión de roles y responsabilidades: Otro posible desafío que puede surgir con la incorporación de una PMO es la confusión en la asignación de roles y responsabilidades. Es un nuevo paradigma para muchas entidades y es posible que existan confusiones en saber quién está a cargo de cada aspecto. Se debe clarificar al detalle cuales es la responsabilidad de cada miembro de la iniciativa, en especial aquellos puestos con capacidad de gestión, evitando así solapamientos de responsabilidades o flujos de información incorrectos.
- Desconexión con los equipos técnicos y resistencia al cambio: Otro de los posibles impactos negativos de una PMO es la desconexión con los equipos técnicos. Cuando la Oficina de Proyectos se enfoca principalmente en los aspectos administrativos y de control, puede perder contacto con las realidades y los desafíos técnicos del equipo. Alineado con lo anterior, es posible que se produzca una resistencia al cambio dentro de la iniciativa si los equipos de trabajo ven a la Oficina de Proyectos como mera burocracia. Por ello, es necesario fomentar la inclusión de la PMO como parte del equipo y mejorar la colaboración desde la creación de la iniciativa, previniendo así esta problemática.
Conclusiones
Disponer de una Oficina de Proyectos integrada en la iniciativa de implantación de la norma ISO 21434:2021 Road vehicles — Cybersecurity engineering supone capacitar a la organización con un amplio abanico de soluciones para aumentar las probabilidades de éxito de la iniciativa. Aunque en un primer artículo explorábamos los beneficios sobre el conocimiento profundo de la norma y el manejo de la complejidad inherente al sector de la automoción, podemos añadir a dicha lista de beneficios la alineación de múltiples ciclos de vida, la centralización del conocimiento, la capacitación efectiva de los equipos. Alineado con el objetivo último de la iniciativa, destacar de forma significativa la preparación de auditorías bajo la norma manejada.
La mera presencia de una PMO presenta una serie de desafíos que deben ser gestionados cuidadosamente, que podrían derivarse de una posible burocratización, una no comprensión de la división de responsabilidades y una posible sobrecarga operativa. No obstante, el valor ganado supera ampliamente los costes derivados de mitigar los riesgos.
Aunque no se despliegue todo el potencial en la organización, los beneficios aportados por la PMO en la implementación de la ISO 21434 son evidentes, tanto a nivel estratégico como operativo. Su papel como catalizador de buenas prácticas es esencial para alcanzar las bases de la norma: un cambio cultural hacia la ciberseguridad basado en la mejora continua, allanado el camino hacia el objetivo último de la iniciativa: El cumplimiento normativo con la Regulación UNECE R155 y la certificación exitosa del Sistema de Gestión.