TISAX es una forma de acreditar el cumplimiento del Módulo de la familia de estándares ISA denominado VDA relativo a la seguridad de la información exigido por los principales fabricantes de automoción de origen alemán: Grupo Volkswagen, Mercedes-Benz y BMW.
Los requisitos a evaluar se encuentran en el módulo VDA que contiene los requisitos de seguridad de la información en las empresas de la industria automotriz y contemplan el Cumplimiento de cuatro bloques de controles.
1. 1
TISAX SEGURIDAD DE LA INFORMACIÓN EN LA INDUSTRIA AUTOMOTRIZ
INTERCAMBIO CONFIABLE DE EVALUACIÓN DE SEGURIDAD DE LA INFORMACIÓN
2. 2
Índice
1. ¿Qué es TISAX?
2. ¿En qué consiste TISAX?
3. Fases para la obtención de la
acreditación TISAX
4. Metodología de Implantación
5. Aspectos Clave para el Éxito del
Proyecto
6. Cronograma
3. 3
1. ¿Qué es TISAX?
La necesidad de garantizar la confdencialidad y seguridad en los
intercambios de información entre los fabricantes de la industria
automotriz y sus proveedores ha impulsado el desarrollo de una
plataforma de validación de requisitos de seguridad de la información
para los proveedores de la industria del automóvil.
TISAX es una forma de acreditar el cumplimiento del Módulo de la
familia de estándares ISA denominado VDA relativo a la seguridad de la
información exigido por los principales fabricantes de automoción de
origen alemán: Grupo Volkswagen, Mercedes-Benz y BMW.
La industria alemana en este campo, ha empezado a marcar la pauta
no solo en cuanto a los requisitos de gestión de la producción sino
también ahora en materia de garantizar la seguridad de la información
en las operaciones con sus proveedores.
4. 4
1. ¿Qué es TISAX?
En esta dirección la organización ENX (Asociación de fabricantes,
proveedores y organizaciones de vehículos europeos) que agrupa a los
principales actores del sector de la automoción europea cuenta con
una herramienta de control para determinar el nivel de cumplimiento
con los requisitos de seguridad de la información y el grado de
cumplimiento con los requisitos VDA mencionados. Se trata de la
plataforma TISAX.
Después de un proceso donde los fabricantes no tenían más
herramientas de evaluación de sus proveedores fuera de la realización
de auditorías y procesos de verifcación, se ha creado la plataforma
TISAX como el medio por el cual los fabricantes acreditan la seguridad
de sus proveedores. TISAX, abreviatura de «Intercambio confable de
evaluación de seguridad de la información».
5. 5
2. ¿En qué consiste TISAX?
Estos se encuentran en el módulo VDA que contiene los requisitos de
seguridad de la información en las empresas de la industria
automotriz. Los requisitos VDA contemplan el Cumplimiento de cuatro
bloques de controles:
●
64 controles para la Seguridad de la información.
●
4 controles sobre la relación con terceras partes.
●
22 controles para la protección de prototipos.
●
4 controles sobre RGPD Protección de datos de carácter personal.
6. 6
3. Fases para la obtención de la acreditación
TISAX
1. INSCRIPCIÓN
El primer paso es el registro TISAX. El objetivo principal del registro
TISAX es recopilar información sobre la empresa. Para ello se emplea
un proceso de registro On-line. Se trata de un paso previo a los pasos
posteriores y es imputable.
El requisito más importante durante el proceso de registro es
especifcación del alcance del control de seguridad de la información.
7. 7
3. Fases para la obtención de la acreditación
TISAX
2. AUDITORÍA (VERIFICACIÓN DEL NIVEL DE
MADUREZ)
a) preparación de la auditoria
La preparación de la auditoria consiste en:
●
Asegurarse del cumplimiento de los requisitos del módulo VDA
(ISA)
●
Generar la documentación necesaria exigida por los
procedimientos exigidos en el formulario VDA
●
Generar los recursos requeridos
●
Aunque se trata de una evaluación del nivel de madurez de su
sistema de gestión de seguridad de la información, la auditoria se
basara en el catálogo VDA ISA.
b) Selección de organismo de verifcación Certifcación)
Una vez que estemos preparados para la auditoria, deberemos
seleccionar uno de los organismos acreditados por TISAX para realizar
el proceso de verifcación o auditoria.
8. 8
3. Fases para la obtención de la acreditación
TISAX
2. AUDITORÍA (VERIFICACIÓN DEL NIVEL DE
MADUREZ)
c) Control de seguridad de la información
Finalmente la fase de control de la Seguridad de la Información
consiste en comprobar el cumplimiento de los requisitos en el entorno
de los servicios concretos de como proveedor de industria automotriz.
Se trata de verifcar el cumplimiento de los requisitos en el entorno
defnido por el “alcance del control de seguridad de la información”.
d) resultado de la prueba
Una vez que su empresa haya aprobado el trámite de la auditoria,
recibirá un informe de TISAX así como el certifcado correspondiente.
9. 9
3. Fases para la obtención de la acreditación
TISAX
3. INTERCAMBIO
La última fase consiste en la comunicación de los resultados o informe
de la auditoria a los clientes o fabricantes para los cuales se ha
obtenido el certifcado (Actividades dentro del alcance).
El contenido del informe TISAX está organizado en niveles, pudiéndose
decidir a qué nivel accederá su cliente.
Los informes o certifcados TISAX son válidos por tres años, tras este
periodo deberán repetirse los procesos de auditoria de cumplimiento
de los requisitos.
10. 10
4. Metodología de Implantación
1. INICIO DEL PROYECTO
Esta primera fase sirve para conocer la estructura de la empresa y
presentar al equipo directivo y al Comité de Seguridad la metodología
de trabajo que se pretende establecer.
Como punto fundamental en esta fase es obtener el Compromiso de
la Dirección, ya que una de las bases fundamentales sobre las que
iniciar un proyecto de este tipo es el apoyo claro y decidido de la
Dirección de la organización. No sólo por ser un punto contemplado de
forma especial por la norma sino porque el cambio de cultura y
concienciación que lleva consigo el proceso hacen necesario el impulso
constante de la Dirección.
Además esta primera toma de contacto servirá para realizar una
primera planifcación de los trabajos y fechas y asignaciones de
responsabilidades y nombramiento del Responsable del Sistema
11. 11
4. Metodología de Implantación
2. PLANIFICACIÓN
Esta es la fase fundamental de la estructura del Sistema, la
documentación aquí generada va a asegurar el éxito y la idoneidad del
Sistema. Dentro de esta fase se realizarán las siguientes tareas:
●
Defnir el alcance del Sistema. Una correcta defnición del
alcance es esencial para el correcto desarrollo del proyecto, ya que
según el modelo organizativo, se fjarán los límites del proyecto.
●
En este punto se identifcará la información realmente importante
para la organización.
●
El alcance incluirá los procesos de negocio que se pretenden
certifcar, los activos de información implicados y la ubicación
física de los mismos.
●
Defnir Política de Seguridad. Se trata del documento clave que
dirigirá y dará soporte al Sistema. Se formulará de tal forma que
aunará tantos los objetivos generales de la organización en cuanto
a su actividad, como los objetivos específcos de seguridad de la
información.
12. 12
4. Metodología de Implantación
2. PLANIFICACIÓN
Esta es la fase fundamental de la estructura del Sistema, la
documentación aquí generada va a asegurar el éxito y la idoneidad del
Sistema. Dentro de esta fase se realizarán las siguientes tareas:
●
Defnir el alcance del Sistema. Una correcta defnición del
alcance es esencial para el correcto desarrollo del proyecto, ya que
según el modelo organizativo, se fjarán los límites del proyecto.
●
En este punto se identifcará la información realmente
importante para la organización.
●
El alcance incluirá los procesos de negocio que se pretenden
certifcar, los activos de información implicados y la ubicación
física de los mismos.
●
Defnir Política de Seguridad. Se trata del documento clave que
dirigirá y dará soporte al Sistema. Se formulará de tal forma que
aunará tantos los objetivos generales de la organización en cuanto
a su actividad, como los objetivos específcos de seguridad de la
información.
13. 13
4. Metodología de Implantación
2. PLANIFICACIÓN
●
Inventario de activos. Según la propia norma, se defne como
activo “cualquier bien que tiene valor para la organización”, por lo
la realización de un buen inventario de activos es crucial para la
correcta gestión de la Seguridad en la organización, ya que será la
base para la identifcación y clasifcación de todos los elementos
que intervienen en los procesos de la organización. Los activos se
clasifcarán en diferentes grupos en función de su naturaleza, así
podemos hablar de activos físicos (hardware, ofcinas,
servidores…), activos de información (fcheros, bases de datos,
documentos, procedimientos…), activos de software y activos de
servicio.
●
Análisis de riesgos. Con este análisis se establece el criterio de
evaluación de riesgos y se identifcan las amenazas, los impactos y
las vulnerabilidades de cada activo inventariado en la fase anterior,
de tal forma que evalúe la Confdencialidad, la Integridad y la
Disponibilidad de la información. La realización del análisis de
riesgos es sin duda uno de los puntos más críticos del proceso de
implantación.
14. 14
4. Metodología de Implantación
2. PLANIFICACIÓN
●
Selección de controles y elaboración de la Declaración de
Aplicabilidad SOA). Tras los puntos anteriores, y en base a cada
uno de los activos identifcados en la organización se procederá a
seleccionar todos los controles u opciones que nos permitan dar
un tratamiento adecuado a los riesgos identifcados.
●
Defnir plan de tratamiento de riesgos. En este punto se trata de
identifcar las acciones, sus responsables y las prioridades en la
gestión de los riesgos de los activos relacionados con la seguridad
de la información, se trata de establecer las pautas que llevará a
cabo la organización para reducir los riesgos que se han detectado.
15. 15
4. Metodología de Implantación
3. IMPLANTACIÓN
Una vez defnidos todos los puntos de la fase anterior, la
implantación del sistema consiste en poner en práctica cada uno de
los puntos ya descritos, de esta manera se realizarán las siguientes
actuaciones:
●
Implantar el plan de tratamiento de riesgos, con la meta de
alcanzar los objetivos de control identifcados.
●
Implementar los controles que se determinaron en la fase
anterior.
●
Formación y concienciación de todo el personal en lo relativo a la
seguridad de la información.
●
Desarrollo y realización del marco normativo: normas,
manuales, procedimientos e instrucciones.
●
Gestionar todos los recursos asignados al Sistema.
16. 16
4. Metodología de Implantación
4. MONITORIZACIÓN
Esta fase nos permite analizar el estado del sistema, en ella se
establecerá la realización de las siguientes actuaciones:
●
Defnir los objetivos e indicadores para medir la efcacia de las
acciones implantadas en cada proceso, así como evaluar los
resultados de los mismos.
●
Revisar el Sistema para determinar si el alcance defnido sigue
siendo el adecuado, identifcar mejoras al proceso del Sistema,
identifcar nuevas vulnerabilidades, revisar cambios organizativos y
modifcar procedimientos. Se realizarán las siguientes actuaciones:
●
Realizar una revisión periódica de la efcacia del Sistema.
Establecer metodologías para las revisiones de los niveles de
riesgo.
●
Revisar la correcta operación de los procesos.
●
Realización de la revisión por la dirección
17. 17
4. Metodología de Implantación
4. MONITORIZACIÓN
●
Realizar auditorías internas del Sistema. La realización las
auditorías internas consisten en una evaluación que la propia
empresa realiza para saber el grado de adecuación de su Sistema
de Gestión a la Norma Tisax y para determinar la efectividad del
Sistema y detectar posibles no conformidades. Es un requisito
obligatorio para la certifcación.
Esta auditoría permite a la empresa realizar un ensayo general y la
prepara para el momento de la Certifcación, facilitando de esta
forma todo el proceso e incrementando de este modo las
probabilidades de certifcación.
18. 18
4. Metodología de Implantación
5. MEJORA CONTINUA
Está fase incluye los siguientes trabajos:
●
Medir el rendimiento del Sistema con los objetivos y los
indicadores que se hayan establecido.
●
Implantar las posibles mejoras detectadas. Se trata de poner en
marcha todas las mejoras que se hayan propuesto en la fase
anterior, tanto en los procesos de revisión como en las auditorias.
●
Acciones correctivas y preventivas. Aplicar las acciones que se
consideren oportunas, tanto preventivas como correctivas, para
mejorar la efcacia y desempeño del Sistema y asegurar el éxito de
la auditoría de certifcación en base a los resultados de la auditoría
interna.
19. 19
5. Aspectos Clave para el Éxito del Proyecto
●
La gestión del riesgo debe formar parte todas las actividades de la
organización, de manera que los riesgos se tengan en cuenta a lo
largo del desarrollo de cualquier proyecto.
●
Los controles deben ser acordes a las características de los riesgos
y, especialmente, la organización.
●
La certifcación no debe plantearse como un objetivo de la
seguridad, sino como una prueba o acreditación al trabajo bien
hecho.
●
La disposición previa en la organización de otros Sistemas de
Gestión simplifca y agiliza la implantación.