Las relaciones comerciales a nivel empresarial implican la entrega de servicios y/o productos, así como el intercambio de gran cantidad de información, la cual es considerada como el elemento más valioso para una organización.
Hoy en día la globalización de las relaciones, así como el trabajo en red ha traído consigo grandes beneficios para las compañías, como el acceso a mercados internacionales, reducción de costes de producción, mayor competitividad y calidad de los servicios, pero todo ello asumiendo riesgos, hasta la fecha desconocidos, debido a los diversos procesos tecnológicos que lo posibilitan.
Debido a ello las organizaciones deben controlar los riesgos a los que se ven expuestos estableciendo medidas de seguridad de la información estandarizadas para todos los actores involucrados, lo que garantiza una protección a lo largo de toda la cadena de valor.
En este sentido, la Asociación Alemana de la Industria del Automóvil (VDA) ha desarrollado una metodología para evaluar la seguridad de la información de una manera uniforme en la industria automotriz denominada TISAX (Trusted Information Security Assessment Exchange).
¿Qué es TISAX?
Es un estándar de seguridad cuyo objetivo es garantizar y acreditar la seguridad de la información aplicada, entre otros, a proveedores relacionados con los principales fabricantes de automoción alemanes.
Se basa en un enfoque orientado a la madurez de la seguridad cuyo objetivo es establecer unos niveles estandarizados de seguridad de la información en la industria, ahorrar costes y esfuerzos entre fabricantes y proveedores, así como permitir un reconocimiento común de los esfuerzos llevados a cabo para la protección de la información.
Requisitos para la adecuación a TISAX
Los requisitos para adecuarse al estándar de TISAX se desarrollan en la actual versión 5.1 del módulo de “Seguridad de la Información” de VDA, que contiene todos los controles necesarios de seguridad aplicables a empresas y colaboradores de la industria automotriz.
Los requisitos VDA se dividen en tres bloques de controles:
- Seguridad de la información: 41 preguntas de seguridad distribuidas en los siguientes bloques:
- Políticas de Seguridad de la Información
- Organización de la seguridad de la información
- Gestión de Activos
- Gestión de Riesgos
- Evaluaciones
- Gestión de Incidentes
- Recursos Humanos
- Seguridad Física y Continuidad de Negocio
- Gestión de Identidades
- Gestión de accesos
- Criptografía
- Seguridad de las operaciones
- Adquisición, gestión de requisitos y desarrollo de sistemas
- Relaciones con suministradores
- Cumplimiento
- Protección de Prototipos: 22 preguntas distribuidas en los siguientes bloques:
- Seguridad física y medioambiental
- Requisitos organizacionales
- Manipulación de vehículos, componentes y piezas
- Requisitos para los vehículos de prueba
- Requisitos para eventos y rodajes
- Protección de Datos: Estableciendo un único bloque con 4 preguntas sobre protección de datos personales.
Para cada una de las preguntas de control se establecen los objetivos a alcanzar por las organizaciones, detallando aquellos objetivos considerados obligatorios (must), objetivos a tener en cuenta (should), así como requisitos para necesidades de protección elevadas y adicionales para necesidades de protección muy elevadas.
La siguiente tabla resume los objetivos de seguridad a cumplir por las organizaciones:
| Objetivo de evaluación | Requisitos aplicables |
|---|---|
| Información de alta protección | Todos los requisitos del catálogo de criterios "Seguridad de la información" ("Requisitos (must)" y "Requisitos (should)") Adicionalmente los "Requisitos para necesidades de protección elevadas" (si procede) |
| Información de protección muy alta | Todos los requisitos del catálogo de criterios "Seguridad de la información" ("Requisitos (must)" y "Requisitos (should)") Adicionalmente los "Requisitos para necesidades de protección elevadas" y "Requisitos para necesidades de protección muy elevadas" (si procede) |
| Protección de piezas y componentes | Todos los requisitos aplicables a la “Información de alta protección”, más los requisitos del capítulo "Protección de prototipos": • Seguridad física y medioambiental • Requisitos organizacionales • Manipulación de vehículos, componentes y piezas |
| Protección de vehículos prototipo | Todos los requisitos aplicables a la “Información de alta protección”, más los requisitos del capítulo "Protección de prototipos": • Seguridad física y medioambiental • Requisitos organizacionales • Manipulación de vehículos, componentes y piezas |
| Manipulación de vehículos de prueba | Todos los requisitos aplicables a la “Información de alta protección”, más los requisitos del capítulo "Protección de prototipos": • Requisitos organizacionales • Manipulación de vehículos, componentes y piezas • Requisitos para vehículos de prueba |
| Protección en eventos y filmaciones | Todos los requisitos aplicables a la “Información de alta protección”, más los requisitos del capítulo "Protección de prototipos": • Requisitos organizacionales • Manipulación de vehículos, componentes y piezas • Requisitos para eventos y rodajes |
| Protección de datos | Todos los requisitos aplicables a la “Información de alta protección”, más los requisitos del capítulo "Protección de datos". |
| Protección categorías de datos especiales | Todos los requisitos aplicables a la “Información de protección muy alta”, más los requisitos del capítulo "Protección de datos": |
El formulario donde se definen los requisitos TISAX ha de completarse, según los criterios de la tabla anterior, indicando el nivel de madurez para cada una de las preguntas definidas, siendo requisito fundamental alcanzar una valoración de 3 o superior, en base a los 6 niveles de madurez establecidos:
- Nivel 0: Incompleto
- Nivel 1: Realizado
- Nivel 2: Gestionado
- Nivel 3: Establecido
- Nivel 4: Previsible
- Nivel 5: Optimizado
¿Cómo certificarse en TISAX?
El primer paso es el registro online en ENX (European Network Exchange) recopilando la información esencial sobre la organización como:
- Nombre del participante.
- Contacto principal.
- Dirección del participante.
- Alcance de la evaluación.
- Ubicaciones de alcance.
El segundo paso consiste en la evaluación del estándar diferenciando entre 3 niveles:
- Nivel 1: Definido para los proveedores que únicamente necesitan completar el cuestionario VDA y publicar la autoevaluación.
- Nivel 2: Establecido para proveedores más complejos, donde se ha de completar la autoevaluación VDA siendo necesaria una verificación aleatoria por parte de un proveedor de auditoría mediante videoconferencia o llamada telefónica.
- Nivel 3: Definido para aquellos proveedores que manejan datos externos altamente sensibles, donde se requiere una auditoría presencial por parte de un proveedor de auditoría acreditado.
Por último, tras la realización de la auditoría se emite un informe con los resultados obtenidos por la organización y si estos son satisfactorios se hace entrega de una certificación que así lo demuestra. El certificado TISAX tiene una vigencia de 3 años y no se realizan auditorías de seguimiento anuales para verificar la correcta adecuación al estándar.
¿Cómo podemos ayudarte en la adecuación a TISAX?
La implementación de TISAX es fundamental para aquellos proveedores relacionados con la industria del automóvil y que requieren proteger la información que gestionan en una organización. En este sentido, GlobalSuite Solutions brinda un apoyo esencial para la implementación de TISAX, y ayuda a las organizaciones a gestionar de manera más eficiente los controles de seguridad establecidos.
¡Contáctanos y descubre cómo podemos ayudar a tu organización a cumplir con los controles establecidos, a proteger tu información y mejorar la seguridad de la información de la compañía!
