Las relaciones comerciales a nivel empresarial implican la entrega de servicios y/o productos, así como el intercambio de gran cantidad de información, la cual es considerada como el elemento más valioso para una organización.
Hoy en día la globalización de las relaciones, así como el trabajo en red ha traído consigo grandes beneficios para las compañías, como el acceso a mercados internacionales, reducción de costes de producción, mayor competitividad y calidad de los servicios, pero todo ello asumiendo riesgos, hasta la fecha desconocidos, debido a los diversos procesos tecnológicos que lo posibilitan.
Debido a ello las organizaciones deben controlar los riesgos a los que se ven expuestos estableciendo medidas de seguridad de la información estandarizadas para todos los actores involucrados, lo que garantiza una protección a lo largo de toda la cadena de valor.
En este sentido, la Asociación Alemana de la Industria del Automóvil (VDA) ha desarrollado una metodología para evaluar la seguridad de la información de una manera uniforme en la industria automotriz denominada TISAX (Trusted Information Security Assessment Exchange).
¿Qué es TISAX?
Es un estándar de seguridad cuyo objetivo es garantizar y acreditar la seguridad de la información aplicada, entre otros, a proveedores relacionados con los principales fabricantes de automoción alemanes.
Se basa en un enfoque orientado a la madurez de la seguridad cuyo objetivo es establecer unos niveles estandarizados de seguridad de la información en la industria, ahorrar costes y esfuerzos entre fabricantes y proveedores, así como permitir un reconocimiento común de los esfuerzos llevados a cabo para la protección de la información.
Requisitos para la adecuación a TISAX
Los requisitos para adecuarse al estándar de TISAX se desarrollan en la actual versión 5.1 del módulo de “Seguridad de la Información” de VDA, que contiene todos los controles necesarios de seguridad aplicables a empresas y colaboradores de la industria automotriz.
Los requisitos VDA se dividen en tres bloques de controles:
- Seguridad de la información: 41 preguntas de seguridad distribuidas en los siguientes bloques:
- Políticas de Seguridad de la Información
- Organización de la seguridad de la información
- Gestión de Activos
- Gestión de Riesgos
- Evaluaciones
- Gestión de Incidentes
- Recursos Humanos
- Seguridad Física y Continuidad de Negocio
- Gestión de Identidades
- Gestión de accesos
- Criptografía
- Seguridad de las operaciones
- Adquisición, gestión de requisitos y desarrollo de sistemas
- Relaciones con suministradores
- Cumplimiento
- Protección de Prototipos: 22 preguntas distribuidas en los siguientes bloques:
- Seguridad física y medioambiental
- Requisitos organizacionales
- Manipulación de vehículos, componentes y piezas
- Requisitos para los vehículos de prueba
- Requisitos para eventos y rodajes
- Protección de Datos: Estableciendo un único bloque con 4 preguntas sobre protección de datos personales.
Para cada una de las preguntas de control se establecen los objetivos a alcanzar por las organizaciones, detallando aquellos objetivos considerados obligatorios (must), objetivos a tener en cuenta (should), así como requisitos para necesidades de protección elevadas y adicionales para necesidades de protección muy elevadas.
La siguiente tabla resume los objetivos de seguridad a cumplir por las organizaciones:
Evaluation objective | Applicable requirements |
---|---|
High protection information | All requirements of the criteria catalog "Information Security" ("Requirements (must)" and "Requirements (should)") Additionally "Requirements for high protection needs" (if applicable) |
Very high protection information | All requirements of the "Information Security" criteria catalog ("Requirements (must)" and "Requirements (should)") Additionally "Requirements for high protection needs" and "Requirements for very high protection needs" (if applicable) |
Protection of parts and components | All requirements applicable to "High Protection Information" plus the requirements of the "Protection of Prototypes" chapter: • Physical and environmental security • Organizational requirements • Handling of vehicles, components and parts |
Protection of prototype vehicles | All requirements applicable to "High Protection Information" plus the requirements of the "Protection of Prototypes" chapter: • Physical and environmental security • Organizational requirements • Handling of vehicles, components and parts |
Handling of test vehicles | All requirements applicable to "High Protection Information" plus the requirements of the chapter "Protection of Prototypes": • Organizational requirements • Handling of vehicles, components and parts • Requirements for test vehicles |
Protection at events and filming | All requirements applicable to "High Protection Information", plus the requirements of the "Protection of Prototypes" chapter: • Organizational requirements • Handling of vehicles, components and parts • Requirements for events and filming |
Data protection | All requirements applicable to "Highly Protected Information" plus the requirements of the "Data Protection" chapter. |
Protection special data categories | All requirements applicable to "Very Highly Protected Information" plus the requirements of the "Data Protection" chapter. |
El formulario donde se definen los requisitos TISAX ha de completarse, según los criterios de la tabla anterior, indicando el nivel de madurez para cada una de las preguntas definidas, siendo requisito fundamental alcanzar una valoración de 3 o superior, en base a los 6 niveles de madurez establecidos:
- Nivel 0: Incompleto
- Nivel 1: Realizado
- Nivel 2: Gestionado
- Nivel 3: Establecido
- Nivel 4: Previsible
- Nivel 5: Optimizado
¿Cómo certificarse en TISAX?
El primer paso es el registro online en ENX (European Network Exchange) recopilando la información esencial sobre la organización como:
- Nombre del participante.
- Contacto principal.
- Dirección del participante.
- Alcance de la evaluación.
- Ubicaciones de alcance.
El segundo paso consiste en la evaluación del estándar diferenciando entre 3 niveles:
- Nivel 1: Definido para los proveedores que únicamente necesitan completar el cuestionario VDA y publicar la autoevaluación.
- Nivel 2: Establecido para proveedores más complejos, donde se ha de completar la autoevaluación VDA siendo necesaria una verificación aleatoria por parte de un proveedor de auditoría mediante videoconferencia o llamada telefónica.
- Nivel 3: Definido para aquellos proveedores que manejan datos externos altamente sensibles, donde se requiere una auditoría presencial por parte de un proveedor de auditoría acreditado.
Por último, tras la realización de la auditoría se emite un informe con los resultados obtenidos por la organización y si estos son satisfactorios se hace entrega de una certificación que así lo demuestra. El certificado TISAX tiene una vigencia de 3 años y no se realizan auditorías de seguimiento anuales para verificar la correcta adecuación al estándar.
¿Cómo podemos ayudarte en la adecuación a TISAX?
La implementación de TISAX es fundamental para aquellos proveedores relacionados con la industria del automóvil y que requieren proteger la información que gestionan en una organización. En este sentido, GlobalSuite Solutions brinda un apoyo esencial para la implementación de TISAX, y ayuda a las organizaciones a gestionar de manera más eficiente los controles de seguridad establecidos.
¡Contáctanos y descubre cómo podemos ayudar a tu organización a cumplir con los controles establecidos, a proteger tu información y mejorar la seguridad de la información de la compañía!