TISAX® - Seguridad de la Información en la industria de la automoción
En un entorno extremadamente innovador que depende del éxito de múltiples operadores, el intercambio seguro de información es esencial para salvaguardar la información confidencial como los prototipos, proteger la reputación de las marcas y fomentar la lealtad de los clientes.
Con una larga y compleja cadena de suministro, la industria de la automoción exige un enfoque de seguridad de la información "ecosistémica". En nuestra era digital, las necesidades de seguridad de la información se extienden desde los proveedores automovilísticos hasta las empresas de marketing y otras partes implicadas. La necesidad principal es proteger:
- proyectos o información de diseño, prototipos o planes secretos de inversión,
- grandes datos y datos de proceso, vinculados a los nuevos conceptos de digitalización, el desarrollo de coches autónomos,
- interconexiones dentro de la red de la cadena de suministro,
- y los datos personales de los clientes
TISAX (Trusted Information Security Assessment eXchange) es un enfoque de evaluación de la seguridad de la información basado en la madurez y dirigido a las necesidades de la industria automotriz. Aplicable principalmente a los proveedores de primer y segundo nivel, pero extensible a cadenas de suministro más complejas, la evaluación es un requisito de ciertos fabricantes de equipos originales (OEMs)
¿QUÉ ES TISAX?
TISAX es un estándar de seguridad de información global para la industria automotriz. Los proveedores de seguridad, como DNV, están aprobados por el ENX Association. El objetivo del esquema es:
- establecer un nivel común de seguridad para la industria automotriz
- asegurar el reconocimiento común de las evaluaciones para reducir los costes, los esfuerzos y la complejidad para los fabricantes y proveedores
- garantizar la capacidad de comparación y la calidad de las evaluaciones
- intercambiar las mejores prácticas y las lecciones aprendidas
- dejar que cada participante decida a quién revelará los resultados y el grado de detalle
TISAX combina las antiguas Reglas de Seguridad de la Información (ISA) de la German Verband der Automobilindustrie (VDA) con el Apéndice A (Controles Técnicos) de ISO/IEC 2700, así como algunos requisitos de privacidad.
Beneficios de TISAX
Más allá de ser un requisito de entrada al comercio de ciertos fabricantes, las evaluaciones TISAX contribuyen a crear confianza en la cadena de suministro. Los proveedores participantes pueden beneficiarse de :
- Ser reconocidos por los fabricantes de automóviles;
- Prevenir las violaciones de la seguridad de la información y los ciberataques;
- Ganar la confianza de los clientes;
- Identificar y abordar los riesgos;
- Obtener el reconocimiento de los procesos de seguridad de la información debidos;
- Compartir los resultados de las evaluaciones a través del intercambio ENX.
TISAX® vs ISO/IEC 27001
Mientras que ambos cubren la seguridad de la información, TISAX se basa en los elementos clave de la norma ISO/IEC 27001 sobre sistemas de gestión de la seguridad de la información. Sin embargo, se centra en los elementos específicamente pertinentes al contexto de la industria automotriz.
Las principales diferencias son:
ISO/IEC 27001 | TISAX |
Norma del sistema de gestión | Abarca los procesos de seguridad de la información y las partes relevantes para los asociados de la industria automotriz |
Enfoque de encendido/apagado | Enfoque del nivel de madurez |
Alcance definido antes de la certificación | El alcance es fijo |
Análisis de riesgo basado en la empresa | Análisis de riesgo basado en el grupo de trabajo VDA-ISA |
El organismo de certificación emite el certificado | TISAX emite la etiqueta y el registro de intercambio |
Auditoría periódica y recertificación después de 3 años | Validez de 3 años, sin auditorías periódicas |
¿Cómo se evalúa TISAX?
Las empresas que entren en el programa deben registrarse en ENX como participantes.
El proceso se establece por etapas:
- Atención
Conozca los requisitos de TISAX. - Preparación
Regístrese en el portal de TISAX, seleccione su organismo de auditoría y prepárese para la auditoría. Esto incluye una autoevaluación para medir su cumplimiento y preparación. - Evaluación
La forma en que se ejecuta la auditoría depende de si califica para una auditoría remota (Nivel 2) o física (Nivel 3). La auditoría en sí consiste en entrevistas, una revisión de documentos, aclaración de posibles hallazgos y los próximos pasos. - Plan de acción correctiva y seguimiento
Preparar un plan de acción correctiva (PAC) para cerrar cualquier hallazgo (no conformidades) que se presente al proveedor de la auditoría. El PAC se evalúa mediante un seguimiento (o más, si es necesario) y completa el informe TISAX. - Intercambio de resultados
El proveedor de la auditoría sube el informe TISAX a la plataforma. La empresa auditada decide con quién quiere compartir los resultados. ENX emite las etiquetas de TISAX a la empresa auditada.
¿Cómo puede ayudarle DNV?
Como evaluador aprobado por ENX, DNV puede proporcionar evaluaciones a TISAX a nivel mundial, a través de nuestra red de oficinas locales y auditores.
ENX mantiene el criterio de proveedor de auditoría y los requisitos de evaluación (TISAX ACAR). Aprueba a los proveedores de auditoría y supervisa la calidad de la aplicación, así como los resultados de la evaluación. La ENX cuenta con el apoyo del Comité TISAX, integrado por representantes de fabricantes, proveedores y asociaciones.