¿Qué es TISAX? Mecanismo para fortalecer la seguridad de la información en el sector de la automoción. Parte 1
TISAX
En este artículo haremos una breve introducción a TISAX (TRUSTED INFORMATION SECURITY ASSESSMENT EXCHANGE por sus siglas en inglés). Este representa un mecanismo de evaluación e intercambio de conocimiento sobre estado de la seguridad de la información de las empresas del sector automotriz, el cual permite el reconocimiento de los resultados de la evaluación entre las partes interesadas mediante un esquema de certificación de sistema de gestión. Está diseñado para apoyar a empresas de la cadena de suministros que requieren optimizar sus esfuerzos en procesar información sensible de sus clientes o evaluar la seguridad de la información de sus proveedores.
TISAX es impulsado por la VDA (Verband der deutschen Automobilindustrie, Asociación Alemana de la Industria Automotriz) y contiene un extracto de los requisitos de la ISO/IEC 27001, adaptados a la naturaleza y dinámica del sector de la automoción.
Entidades tan importantes como Grupo Volkswagen, Mercedes-Benz o BMW TISAX fueron los creadores de este mecanismo, por lo que es el reconocimiento del sector en esta disciplina. TISAX, además, brinda soporte en las 3 principales propiedades de la información: la confidencialidad, la disponibilidad y la integridad.
Definiciones importantes
La confidencialidad es definida como: “la propiedad de la información por la que se mantiene inaccesible y no se revela a individuos, entidades o procesos no autorizados” (2.12 de la ISO/IEC 27000:2018).
La confidencialidad de la información relevante para la industria como:
- planos,
- especificaciones técnicas,
- dosificaciones,
- ajustes de procesos,
- resultados de desempeño,
- otros.
Esta es una propiedad que debe ser considerada bajo cualquier circunstancia. Ya sea en la cadena de suministro, entre los empleados, en la oficina, en las visitas a la empresa, en casa… Incluso en las llamadas en espacios públicos, ya que la información puede llegar a terceros de forma totalmente inadvertida.
Los controles de seguridad de la información de TISAX ayudan a proteger la confidencialidad y es por lo que se considera que tiene un enfoque para mitigar el espionaje industrial.
Disponibilidad
La segunda propiedad de la información es la disponibilidad, conceptualizada como “la propiedad de ser accesible y estar lista para su uso a demanda de una entidad autorizada” (apartado 2.9 de la ISO/IEC 27000:2018).
En el caso de la industria automotriz, podemos mencionar la importancia de la disponibilidad de la información de entrega a los proveedores, la capacidad del uso del hardware, como:
- componentes,
- ensamblajes,
- estado de los pedidos,
- existencia de partes o materias primas en bodega,
- estado de los productos,
- entre otros.
Esto en el momento en que se necesite. Además, contribuye con la eficiencia de la organización a lo largo de todo el ciclo de vida de un proyecto.
La tercera y última propiedad de la información es la integridad, definida como: “Propiedad de exactitud y completitud” (apartado 2.40 de la ISO/IEC 27000:2018).
Una empresa del sector de la automoción, certificada y auditada bajo el estándar TISAX, garantiza un nivel uniforme de seguridad de la información, demuestra la integridad de los datos para la toma de decisiones oportunas y puede demostrar un desempeño confiable tanto a los clientes como a otras partes interesadas. Por eso, la certificación del mecanismo TISAX para el sector de la automoción es una opción más que recomendable. En especial en la cadena de suministro.
La próxima semana, en una nueva entrega, continuaremos ahondando en todos los aspectos del concepto de TISAX.
Software ISO 27001
El estándar internacional que supone la norma ISO 27001, junto con el resto de normas que componen su familia, proporcionan todos los requisitos necesarios para implementar un correcto Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla. La herramienta que supone el Software ISOTools Excellence presta solución a todas las cuestiones que se plantean a la hora de implementar un SGSI en una organización o empresa.