¿Qué es TISAX? Mecanismo para fortalecer la seguridad de la información en el sector de la automoción. Parte 2
TISAX
de la automoción. En esta segunda parte continuaremos profundizando.
Nos encontramos en el marco de la cuarta revolución industrial. Según el Foro Económico Mundial esto representa una amenaza prioritaria, tanto para el mercado como las empresas del sector de la automoción las cuales están empezando a aprender gradualmente sobre la importancia de la seguridad de la información para la creación y protección del valor.
Captura: https://intelligence.weforum.org/topics/a1Gb0000000pTDXEA2/key-issues/a1Gb00000015QqAEAU
Es decir, van entendiendo que no se trata solo de implantar un estándar que exige el cliente, sino que:
- Es un gran mecanismo de protección de la propiedad intelectual de la empresa, la protege de la competencia, clientes, proveedores y otros actores de ciberamenazas con las que la organización interactúa pasiva o activamente.
- Promueve el reconocimiento entre las empresas y, por supuesto, la mejora de la imagen de marca.
- Permite hacer auditorías independientes y las empresas demuestran la madurez del sistema de gestión de seguridad de la información en el sector de la automoción, de acuerdo con los requisitos de su cliente, los contractuales, legales y reglamentarios.
¿Cómo evaluar/auditar TISAX?
Dentro de la evaluación, los controles se valoran tomando como referencia un modelo de madurez. Así, dependiendo de la criticidad de la información procesada (incluidos componentes, prototipos, piezas o datos especiales), obtendremos diferentes niveles tras la verificación con el catálogo VDA-ISA. De esta manera, se obtiene una descripción general de las fortalezas y oportunidades de la que derivará un plan de acción con acciones correctivas y otras iniciativas de mejora continua.
Si se alcanza un cierto límite de madurez, se pueden obtener certificados provisionales antes de que se implementen todas las medidas. En caso de que la evaluación de seguimiento, tras la total implantación de las medidas, sea correcta, se obtiene el certificado TISAX final.
¿Cómo se certifica TISAX?
Ya hemos mencionado que se trata de un mecanismo de evaluación de desempeño del sistema de gestión de seguridad de la información basado en ISO/IEC 27001 y que contiene requisitos específicos de la VDA para el sector automotriz. La versión vigente es la 5.0.4. Por lo antes expuesto, concluimos que apoya a la organización en cuanto a gestionar riegos que puedan afectar la confidencialidad y la seguridad del intercambio de información entre fabricantes y proveedores del sector, específicamente, en la cadena de suministro.
Es importante aclarar que el alcance de TISAX incluye:
- sistemas informáticos,
- la infraestructura de IT, OT e infraestructura general,
- los sistemas operativos,
- los softwares,
- sistemas,
- aplicaciones,
- redes,
- hasta cualquier información valiosa o sensible de la organización.
En otras palabras, todo el ciclo de vida de la información importante para las partes interesadas del sector.
La organización responsable de registrar lo concerniente a TISAX es ENX (Asociación de fabricantes, proveedores y organizaciones de vehículos europeos). ENX se encarga de determinar mediante la plataforma TISAX el grado de cumplimiento, tanto de los requisitos de VDA-ISA, como los de seguridad de la información, garantizando un intercambio seguro de datos.
La renovación del TISAX se hace con una frecuencia de cada 3 años, también se lleva a cabo un seguimiento anual. Pasado este tiempo, se vuelven a verificar los criterios de seguridad de VDA y se puede renovar el TISAX. Hay que destacar que en el momento en que lo requieran, las organizaciones pueden gestionar su alcance para poder hacer una implantación coherente con los recursos disponibles para el momento en que se decida emprender la certificación.
Software ISOTools Excellence
Al igual que la implementación de las diferentes normas, la puesta en marcha de una correcta política de seguridad puede llegar a ser muy compleja. Para ello, le recomendamos el uso del Software ISOTools Excellence.
A través de las diferentes funcionalidades, esta herramienta garantiza una mejora continua, ahorrando tiempo y dinero, y eliminando la documentación de forma física, haciendo uso del decálogo ciberseguridad. Así, será más eficaz a la hora de gestionar todo a través de sus dispositivos incluso sin conexión a internet.