Pozice interního auditora v automotive byla dlouhá léta stabilní disciplínou spojenou s normami ISO 9001, IATF 16949 nebo VDA 6.3. S nástupem kybernetických hrozeb a normy ISO/SAE 21434 však organizace potřebují prověřovat zcela nové procesy. Stát se interním auditorem ACSMS (Automotive Cybersecurity Management System) je tak pro zástupce oddělení kvality obrovskou kariérní příležitostí, jak zvýšit svou hodnotu na trhu práce.
Auditing procesů, nikoliv programového kódu
Největší bariérou pro běžné auditory je strach z informačních technologií. Mnozí se mylně domnívají, že prověřování kyberbezpečnosti znamená nutnost číst zdrojový kód softwaru. Ve skutečnosti je systémový audit o procesech. Vaším cílem je ověřit, zda organizace vůbec identifikuje hrozby, zda na ně má zpracovanou analýzu rizik a zda tyto požadavky propadají do návrhu produktu. Nehodnotíte technickou dokonalost kódu, ale metodický přístup vývojového týmu.
Tajemství správných otázek a Cybersecurity Case
Klíčem k úspěšnému auditu je nenechat se od vývojářů a IT specialistů odbýt složitým odborným žargonem. Auditor musí umět klást cílené otázky a vyžadovat adekvátní důkazy. Nejkomplexnějším důkazním materiálem je Cybersecurity Case – dokument shrnující, proč je produkt bezpečný. Auditor musí být schopen tento dokument kriticky projít a ověřit, že obsahuje vazby na výsledky penetračních testů a vypořádání nalezených zranitelností.
SQA na nové úrovni: Hodnocení subdodavatelů
Kybernetická bezpečnost silně dopadá také na SQA inženýry (Supplier Quality Assurance). Představte si, že nakupujete řídicí jednotku od subdodavatele. Zákazník požaduje, abyste i za ni garantovali odolnost vůči hackerům. Musíte tedy být schopni u svého dodavatele provést cílený audit a prověřit, zda dodržuje smluvené dohody (CIA) a zda provádí bezpečnostní testy ve správném rozsahu. Schopnost realizovat tyto dodavatelské audity je pro ochranu vaší vlastní organizace naprosto klíčová.
Co si z článku odnést?
- Nový směr pro profesionály v kvalitě. Auditování kyberbezpečnosti je logickým a vysoce žádaným rozšířením dovedností pro stávající auditory IATF 16949 nebo VDA 6.3.
- IT znalosti nejsou hlavní podmínkou. Auditujete metodiku řízení rizik a shodu s procesy, nehledáte konkrétní programátorské chyby ve zdrojovém kódu.
- Základem je správná komunikace. Úspěšný auditor se naučí nepodlehnout IT žargonu vývojářů a dokáže si vyžádat hmatatelné důkazy o testování hrozeb.
- Cybersecurity Case jako hlavní opora. Tento klíčový dokument vám dává strukturovaný přehled o tom, jak byla bezpečnost do produktu implementována a reálně ověřena.
- Nezbytná dovednost pro řízení nákupu. Ochrana před sankcemi ze strany automobilek vyžaduje tvrdé auditování a hodnocení kybernetické způsobilosti vlastních subdodavatelů.
