Salvaguardar la información confidencial, como los prototipos, proteger la reputación de la marca y fidelizar a los clientes.
En un entorno extremadamente innovador que depende de múltiples actores para tener éxito, el intercambio seguro de información es esencial. La industria del automóvil exige un enfoque de seguridad de la información «ecosistémico» dentro de sus largas y complejas cadenas de suministro.
En nuestra era digital, las necesidades de seguridad de la información se extienden desde los proveedores automovilísticos hasta las empresas de marketing y otras partes implicadas. La necesidad principal es proteger:
- proyectos o información de diseño, prototipos o planes secretos de inversión,
- grandes datos y datos de proceso, vinculados a los nuevos conceptos de digitalización, el desarrollo de coches autónomos,
- interconexiones dentro de la red de la cadena de suministro,
- y los datos personales de los clientes
Qué es TISAX
TISAX (Trusted Information Security Assessment eXchange) es un estándar de seguridad de información global para la industria del automóvil. Se trata de un enfoque de evaluación de la seguridad de la información basado en la madurez y orientado a las necesidades de la industria del automóvil. Aplicable principalmente a los proveedores de primer y segundo nivel, pero ampliable a cadenas de suministro más complejas, la evaluación es un requisito de ciertos OEM.
El objetivo del esquema es:
- establecer un nivel común de seguridad para la industria automotriz
- asegurar el reconocimiento común de las evaluaciones para reducir los costes, los esfuerzos y la complejidad para los fabricantes y proveedores
- garantizar la capacidad de comparación y la calidad de las evaluaciones
- intercambiar las mejores prácticas y las lecciones aprendidas
- dejar que cada participante decida a quién revelará los resultados y el grado de detalle
TISAX combina las antiguas Reglas de Seguridad de la Información (ISA) de la German Verband der Automobilindustrie (VDA) con el Apéndice A (Controles Técnicos) de ISO/IEC 2700, así como algunos requisitos de privacidad.
TISAX® vs ISO/IEC 27001
TISAX se basa en los elementos clave de la norma ISO/IEC 27001 sobre sistemas de gestión de la seguridad de la información, centrándose en los elementos específicamente pertinentes al contexto de la industria automotriz.
Las principales diferencias son:
| ISO/IEC 27001 | TISAX |
| Norma del sistema de gestión | Abarca los procesos de seguridad de la información y las partes relevantes para los asociados de la industria automotriz |
| Enfoque de encendido/apagado | Enfoque del nivel de madurez |
| Alcance definido antes de la certificación | El alcance es fijo |
| Análisis de riesgo basado en la empresa | Análisis de riesgo basado en el grupo de trabajo VDA-ISA |
| El organismo de certificación emite el certificado | TISAX emite la etiqueta y el registro de intercambio |
| Auditoría periódica y recertificación después de 3 años | Validez de 3 años, sin auditorías periódicas |
Beneficios de la evaluación TISAX
Más allá de ser un requisito de entrada al comercio de ciertos fabricantes, las evaluaciones TISAX contribuyen a crear confianza en la cadena de suministro. Los proveedores participantes pueden beneficiarse de :
- Ser reconocidos por los fabricantes de automóviles;
- Prevenir las violaciones de la seguridad de la información y los ciberataques;
- Ganar la confianza de los clientes;
- Identificar y abordar los riesgos;
- Obtener el reconocimiento de los procesos de seguridad de la información debidos;
- Compartir los resultados de las evaluaciones a través del intercambio ENX.
Cómo empezar con TISAX
Las empresas que entren en el programa deben registrarse en ENX como participantes.
El proceso se establece por etapas:
- Atención
Conozca los requisitos de TISAX. - Preparación
Regístrese en el portal de TISAX, seleccione su organismo de auditoría y prepárese para la auditoría. Esto incluye una autoevaluación para medir su cumplimiento y preparación. - Evaluación
La forma en que se ejecuta la auditoría depende de si califica para una auditoría remota (Nivel 2) o física (Nivel 3). La auditoría en sí consiste en entrevistas, una revisión de documentos, aclaración de posibles hallazgos y los próximos pasos. - Plan de acción correctiva y seguimiento
Preparar un plan de acción correctiva (PAC) para cerrar cualquier hallazgo (no conformidades) que se presente al proveedor de la auditoría. El PAC se evalúa mediante un seguimiento (o más, si es necesario) y completa el informe TISAX. - Intercambio de resultados
El proveedor de la auditoría sube el informe TISAX a la plataforma. La empresa auditada decide con quién quiere compartir los resultados. ENX emite las etiquetas de TISAX a la empresa auditada.
Como evaluador acreditado por la Asociación ENX, DNV puede proporcionar evaluaciones a TISAX a nivel mundial, a través de nuestra red de oficinas locales y auditores.
ENX mantiene el criterio de proveedor de auditoría y los requisitos de evaluación (TISAX ACAR). Aprueba a los proveedores de auditoría y supervisa la calidad de la aplicación, así como los resultados de la evaluación. La ENX cuenta con el apoyo del Comité TISAX, integrado por representantes de fabricantes, proveedores y asociaciones.