Los fabricantes de equipos originales (OEMs) deben garantizar la seguridad de la información de las operaciones y superar múltiples evaluaciones para poder trabajar con distintos clientes.
Hasta la fecha, no se exigía a los clientes de la industria del automóvil certificaciones externas como prueba de seguridad informática, sino que ellos mismos comprobaban, en el marco de las auditorías pertinentes, si se cumplían realmente todas las condiciones de compra, lo que suponía un gran esfuerzo para todos los involucrados. Con el mecanismo de pruebas e intercambio TISAX (Trusted Information Security Exchange), enmarcado dentro de la asociación ENX, surge una organización independiente que evalúa sistemáticamente a todos los proveedores sobre la base de una normativa generalmente aceptada por toda la industria automotriz. De ahí que todos los OEMs apuesten por ella.
Al compartir los resultados de las evaluaciones a través de una plataforma online, demuestran que la seguridad de su información es compatible con TISAX y, a su vez, intercambian las conclusiones del estudio con todas las partes interesadas. Para estas evaluaciones, ENX confía únicamente en entidades independientes con amplios conocimientos del sector, como TÜV SÜD, para garantizar el nivel de exigencia deseado.
Normalmente, el departamento de compras del fabricante indica al proveedor qué nivel de evaluación se espera entre los tres existentes, teniendo en cuenta que los niveles 1 y 2 son evaluaciones remotas y el nivel 3 implica evaluación in situ. Nuestra recomendación para obtener las máximas garantías es optar por el nivel de evaluación 3 con una evaluación in situ. Esta evaluación permite identificar y explotar los potenciales de mejora y, en general, como enfoque integral, es significativamente más sostenible que la mera comprobación de documentos que puede suponer un nivel de evaluación 2.
El tiempo de preparación requerido varía mucho y la duración depende del número de emplazamientos. En general, una auditoría in situ puede requerir entre 4 y 5 días en la evaluación inicial nivel 3. Para preparar la auditoría, los clientes deben usar como base el cuestionario VDA-ISA realizando una autoevaluación y como recomendación, ser muy honesto al hacerla. En caso de duda, es mejor admitir una debilidad sobre la que se puede trabajar y mejorar.
La duración máxima del proceso de prueba TISAX es de 9 meses. Si la evaluación no se ha completado con éxito para entonces, el proceso comienza de nuevo. Los plazos suelen ser definidos por el OEM y, por tanto, recomendamos consultar/acordarlo con él. En TÜV SÜD nos comprometemos a ayudar a nuestros clientes a cumplir con estos plazos.
Entre sus principales ventajas, los proveedores se ahorran las auditorías de proveedores y solo tienen que ser revisados cada 3 años. Además, disponen de un sistema de gestión de la seguridad de la información (SGSI) en funcionamiento que les proporciona seguridad. TISAX implica un esfuerzo de implantación, como en otros sistemas de gestión, que requiere el compromiso de la dirección y que debe respaldar al 100% los objetivos del SGSI.
En definitiva, la etiqueta TISAX es el billete de entrada para los proveedores de la industria del automóvil, un requisito básico para que puedan trabajar con OEMs ahora y en el futuro. Sin etiqueta, no hay negocio. TISAX ha supuesto un gran empuje para el desarrollo ulterior de las empresas, ya que por fin existe un un estándar específico por el que puedan orientarse y que sea reconocido en todo el sector.
ISO 27001 es la norma general para un SGSI, mientras que TISAX es una norma específica de la industria de automoción. TISAX se basa en el VDA-ISA, un cuestionario de evaluación de la seguridad de la información desarrollado por la Asociación Alemana de la Industria Automotriz y la Asociación ENX. Así pues, procede directamente de la industria del automóvil y, por lo tanto, cumple exactamente con las exigencias de esta industria. La formulación es muy diferente a la norma ISO, precisamente por esta orientación sectorial. TISAX contiene numerosos términos técnicos específicos que no existen en otras áreas de la seguridad de la información.
Además, los modelos de desarrollo en el sector de la automoción difieren significativamente de otras industrias, no solo en cuanto a ciclos, sino también en requisitos de confidencialidad o en materia de protección de datos. En el caso de TISAX, se trata de un módulo u "objetivo" independiente, aunque no obligatorio para todas las empresas, sino que depende del servicio prestado al fabricante de automóviles. Otra diferencia es el manejo de prototipos y datos, parte no incluida de forma directa en ISO 27001.
Desde TÜV SÜD Academy impartimos un curso sobre el sistema de gestión de seguridad de la información, TISAX de un día de duración (8 horas) dirigido a directores y responsables de la protección y seguridad de los sistemas de información del sector de automoción. Consultores y cualquier otra persona interesada en recibir formación sobre TISAX. Más información.
Marta Sangüesa, responsable de Certificación de Sistemas de Gestión de TÜV SÜD en España y Portugal.
La certificación tipo es un procedimiento reconoc...
La gestión de riesgos es hoy crítica para la fij...
Si piensas en productos de consumo, es probable qu...
