TISAX® – Seguridad de la Información en automoción

Salvaguardar la información confidencial, como los prototipos, proteger la reputación de la marca y fidelizar a los clientes.

En un entorno extremadamente innovador que depende de múltiples actores para tener éxito, el intercambio seguro de información es esencial. La industria del automóvil exige un enfoque de seguridad de la información «ecosistémico» dentro de sus largas y complejas cadenas de suministro.

En nuestra era digital, las necesidades de seguridad de la información se extienden desde los proveedores automovilísticos hasta las empresas de marketing y otras partes implicadas. La necesidad principal es proteger: 

  • proyectos o información de diseño, prototipos o planes secretos de inversión, 
  • grandes datos y datos de proceso, vinculados a los nuevos conceptos de digitalización, el desarrollo de coches autónomos, 
  • interconexiones dentro de la red de la cadena de suministro, 
  • y los datos personales de los clientes

Qué es TISAX

TISAX (Trusted Information Security Assessment eXchange) es un estándar de seguridad de información global para la industria del automóvil. Se trata de un enfoque de evaluación de la seguridad de la información basado en la madurez y orientado a las necesidades de la industria del automóvil. Aplicable principalmente a los proveedores de primer y segundo nivel, pero ampliable a cadenas de suministro más complejas, la evaluación es un requisito de ciertos OEM. 

El objetivo del esquema es:

  • establecer un nivel común de seguridad para la industria automotriz
  • asegurar el reconocimiento común de las evaluaciones para reducir los costes, los esfuerzos y la complejidad para los fabricantes y proveedores
  • garantizar la capacidad de comparación y la calidad de las evaluaciones
  • intercambiar las mejores prácticas y las lecciones aprendidas
  • dejar que cada participante decida a quién revelará los resultados y el grado de detalle

TISAX combina las antiguas Reglas de Seguridad de la Información (ISA) de la German Verband der Automobilindustrie (VDA) con el Apéndice A (Controles Técnicos) de ISO/IEC 2700, así como algunos requisitos de privacidad.  

TISAX® vs ISO/IEC 27001

TISAX se basa en los elementos clave de la norma ISO/IEC 27001 sobre sistemas de gestión de la seguridad de la información, centrándose en los elementos específicamente pertinentes al contexto de la industria automotriz. 

Las principales diferencias son: 

ISO/IEC 27001TISAX
Norma del sistema de gestiónAbarca los procesos de seguridad de la información y las partes relevantes para los asociados de la industria automotriz
Enfoque de encendido/apagadoEnfoque del nivel de madurez
Alcance definido antes de la certificaciónEl alcance es fijo
Análisis de riesgo basado en la empresaAnálisis de riesgo basado en el grupo de trabajo VDA-ISA
El organismo de certificación emite el certificadoTISAX emite la etiqueta y el registro de intercambio
Auditoría periódica y recertificación después de 3 añosValidez de 3 años, sin auditorías periódicas

Beneficios de la evaluación TISAX

Más allá de ser un requisito de entrada al comercio de ciertos fabricantes, las evaluaciones TISAX contribuyen a crear confianza en la cadena de suministro. Los proveedores participantes pueden beneficiarse de :

  • Ser reconocidos por los fabricantes de automóviles;
  • Prevenir las violaciones de la seguridad de la información y los ciberataques;
  • Ganar la confianza de los clientes;
  • Identificar y abordar los riesgos;
  • Obtener el reconocimiento de los procesos de seguridad de la información debidos;
  • Compartir los resultados de las evaluaciones a través del intercambio ENX.

Cómo empezar con TISAX

Las empresas que entren en el programa deben registrarse en ENX como participantes.   

El proceso se establece por etapas: 

  1. Atención 
    Conozca los requisitos de TISAX.  
  2. Preparación 
    Regístrese en el portal de TISAX, seleccione su organismo de auditoría y prepárese para la auditoría. Esto incluye una autoevaluación para medir su cumplimiento y preparación.    
  3. Evaluación 
    La forma en que se ejecuta la auditoría depende de si califica para una auditoría remota (Nivel 2) o física (Nivel 3). La auditoría en sí consiste en entrevistas, una revisión de documentos, aclaración de posibles hallazgos y los próximos pasos.
  4. Plan de acción correctiva y seguimiento  
    Preparar un plan de acción correctiva (PAC) para cerrar cualquier hallazgo (no conformidades) que se presente al proveedor de la auditoría. El PAC se evalúa mediante un seguimiento (o más, si es necesario) y completa el informe TISAX. 
  5. Intercambio de resultados 
    El proveedor de la auditoría sube el informe TISAX a la plataforma. La empresa auditada decide con quién quiere compartir los resultados. ENX emite las etiquetas de TISAX a la empresa auditada.  

Como evaluador acreditado por la Asociación ENX, DNV puede proporcionar evaluaciones a TISAX a nivel mundial, a través de nuestra red de oficinas locales y auditores. 

ENX mantiene el criterio de proveedor de auditoría y los requisitos de evaluación (TISAX ACAR). Aprueba a los proveedores de auditoría y supervisa la calidad de la aplicación, así como los resultados de la evaluación. La ENX cuenta con el apoyo del Comité TISAX, integrado por representantes de fabricantes, proveedores y asociaciones. 

Deja una respuesta