SlideShare a Scribd company logo

Tisax - Ingertec

G
Grupo Ingertec

TISAX es una forma de acreditar el cumplimiento del Módulo de la familia de estándares ISA denominado VDA relativo a la seguridad de la información exigido por los principales fabricantes de automoción de origen alemán: Grupo Volkswagen, Mercedes-Benz y BMW. Los requisitos a evaluar se encuentran en el módulo VDA que contiene los requisitos de seguridad de la información en las empresas de la industria automotriz y contemplan el Cumplimiento de cuatro bloques de controles.

Automotive
1 of 21
Download to read offline
1 TISAX SEGURIDAD DE LA INFORMACIÓN EN LA INDUSTRIA AUTOMOTRIZ INTERCAMBIO CONFIABLE DE EVALUACIÓN DE SEGURIDAD DE LA INFORMACIÓN
2 Índice 1. ¿Qué es TISAX? 2. ¿En qué consiste TISAX? 3. Fases para la obtención de la acreditación TISAX 4. Metodología de Implantación 5. Aspectos Clave para el Éxito del Proyecto 6. Cronograma
3 1. ¿Qué es TISAX? La necesidad de garantizar la confdencialidad y seguridad en los intercambios de información entre los fabricantes de la industria automotriz y sus proveedores ha impulsado el desarrollo de una plataforma de validación de requisitos de seguridad de la información para los proveedores de la industria del automóvil. TISAX es una forma de acreditar el cumplimiento del Módulo de la familia de estándares ISA denominado VDA relativo a la seguridad de la información exigido por los principales fabricantes de automoción de origen alemán: Grupo Volkswagen, Mercedes-Benz y BMW. La industria alemana en este campo, ha empezado a marcar la pauta no solo en cuanto a los requisitos de gestión de la producción sino también ahora en materia de garantizar la seguridad de la información en las operaciones con sus proveedores.
4 1. ¿Qué es TISAX? En esta dirección la organización ENX (Asociación de fabricantes, proveedores y organizaciones de vehículos europeos) que agrupa a los principales actores del sector de la automoción europea cuenta con una herramienta de control para determinar el nivel de cumplimiento con los requisitos de seguridad de la información y el grado de cumplimiento con los requisitos VDA mencionados. Se trata de la plataforma TISAX. Después de un proceso donde los fabricantes no tenían más herramientas de evaluación de sus proveedores fuera de la realización de auditorías y procesos de verifcación, se ha creado la plataforma TISAX como el medio por el cual los fabricantes acreditan la seguridad de sus proveedores. TISAX, abreviatura de «Intercambio confable de evaluación de seguridad de la información».
5 2. ¿En qué consiste TISAX? Estos se encuentran en el módulo VDA que contiene los requisitos de seguridad de la información en las empresas de la industria automotriz. Los requisitos VDA contemplan el Cumplimiento de cuatro bloques de controles: ● 64 controles para la Seguridad de la información. ● 4 controles sobre la relación con terceras partes. ● 22 controles para la protección de prototipos. ● 4 controles sobre RGPD Protección de datos de carácter personal.
6 3. Fases para la obtención de la acreditación TISAX 1. INSCRIPCIÓN El primer paso es el registro TISAX. El objetivo principal del registro TISAX es recopilar información sobre la empresa. Para ello se emplea un proceso de registro On-line. Se trata de un paso previo a los pasos posteriores y es imputable. El requisito más importante durante el proceso de registro es especifcación del alcance del control de seguridad de la información.
7 3. Fases para la obtención de la acreditación TISAX 2. AUDITORÍA (VERIFICACIÓN DEL NIVEL DE MADUREZ) a) preparación de la auditoria La preparación de la auditoria consiste en: ● Asegurarse del cumplimiento de los requisitos del módulo VDA (ISA) ● Generar la documentación necesaria exigida por los procedimientos exigidos en el formulario VDA ● Generar los recursos requeridos ● Aunque se trata de una evaluación del nivel de madurez de su sistema de gestión de seguridad de la información, la auditoria se basara en el catálogo VDA ISA. b) Selección de organismo de verifcación Certifcación) Una vez que estemos preparados para la auditoria, deberemos seleccionar uno de los organismos acreditados por TISAX para realizar el proceso de verifcación o auditoria.
8 3. Fases para la obtención de la acreditación TISAX 2. AUDITORÍA (VERIFICACIÓN DEL NIVEL DE MADUREZ) c) Control de seguridad de la información Finalmente la fase de control de la Seguridad de la Información consiste en comprobar el cumplimiento de los requisitos en el entorno de los servicios concretos de como proveedor de industria automotriz. Se trata de verifcar el cumplimiento de los requisitos en el entorno defnido por el “alcance del control de seguridad de la información”. d) resultado de la prueba Una vez que su empresa haya aprobado el trámite de la auditoria, recibirá un informe de TISAX así como el certifcado correspondiente.
9 3. Fases para la obtención de la acreditación TISAX 3. INTERCAMBIO La última fase consiste en la comunicación de los resultados o informe de la auditoria a los clientes o fabricantes para los cuales se ha obtenido el certifcado (Actividades dentro del alcance). El contenido del informe TISAX está organizado en niveles, pudiéndose decidir a qué nivel accederá su cliente. Los informes o certifcados TISAX son válidos por tres años, tras este periodo deberán repetirse los procesos de auditoria de cumplimiento de los requisitos.
10 4. Metodología de Implantación 1. INICIO DEL PROYECTO Esta primera fase sirve para conocer la estructura de la empresa y presentar al equipo directivo y al Comité de Seguridad la metodología de trabajo que se pretende establecer. Como punto fundamental en esta fase es obtener el Compromiso de la Dirección, ya que una de las bases fundamentales sobre las que iniciar un proyecto de este tipo es el apoyo claro y decidido de la Dirección de la organización. No sólo por ser un punto contemplado de forma especial por la norma sino porque el cambio de cultura y concienciación que lleva consigo el proceso hacen necesario el impulso constante de la Dirección. Además esta primera toma de contacto servirá para realizar una primera planifcación de los trabajos y fechas y asignaciones de responsabilidades y nombramiento del Responsable del Sistema
11 4. Metodología de Implantación 2. PLANIFICACIÓN Esta es la fase fundamental de la estructura del Sistema, la documentación aquí generada va a asegurar el éxito y la idoneidad del Sistema. Dentro de esta fase se realizarán las siguientes tareas: ● Defnir el alcance del Sistema. Una correcta defnición del alcance es esencial para el correcto desarrollo del proyecto, ya que según el modelo organizativo, se fjarán los límites del proyecto. ● En este punto se identifcará la información realmente importante para la organización. ● El alcance incluirá los procesos de negocio que se pretenden certifcar, los activos de información implicados y la ubicación física de los mismos. ● Defnir Política de Seguridad. Se trata del documento clave que dirigirá y dará soporte al Sistema. Se formulará de tal forma que aunará tantos los objetivos generales de la organización en cuanto a su actividad, como los objetivos específcos de seguridad de la información.
12 4. Metodología de Implantación 2. PLANIFICACIÓN Esta es la fase fundamental de la estructura del Sistema, la documentación aquí generada va a asegurar el éxito y la idoneidad del Sistema. Dentro de esta fase se realizarán las siguientes tareas: ● Defnir el alcance del Sistema. Una correcta defnición del alcance es esencial para el correcto desarrollo del proyecto, ya que según el modelo organizativo, se fjarán los límites del proyecto. ● En este punto se identifcará la información realmente importante para la organización. ● El alcance incluirá los procesos de negocio que se pretenden certifcar, los activos de información implicados y la ubicación física de los mismos. ● Defnir Política de Seguridad. Se trata del documento clave que dirigirá y dará soporte al Sistema. Se formulará de tal forma que aunará tantos los objetivos generales de la organización en cuanto a su actividad, como los objetivos específcos de seguridad de la información.
13 4. Metodología de Implantación 2. PLANIFICACIÓN ● Inventario de activos. Según la propia norma, se defne como activo “cualquier bien que tiene valor para la organización”, por lo la realización de un buen inventario de activos es crucial para la correcta gestión de la Seguridad en la organización, ya que será la base para la identifcación y clasifcación de todos los elementos que intervienen en los procesos de la organización. Los activos se clasifcarán en diferentes grupos en función de su naturaleza, así podemos hablar de activos físicos (hardware, ofcinas, servidores…), activos de información (fcheros, bases de datos, documentos, procedimientos…), activos de software y activos de servicio. ● Análisis de riesgos. Con este análisis se establece el criterio de evaluación de riesgos y se identifcan las amenazas, los impactos y las vulnerabilidades de cada activo inventariado en la fase anterior, de tal forma que evalúe la Confdencialidad, la Integridad y la Disponibilidad de la información. La realización del análisis de riesgos es sin duda uno de los puntos más críticos del proceso de implantación.
14 4. Metodología de Implantación 2. PLANIFICACIÓN ● Selección de controles y elaboración de la Declaración de Aplicabilidad SOA). Tras los puntos anteriores, y en base a cada uno de los activos identifcados en la organización se procederá a seleccionar todos los controles u opciones que nos permitan dar un tratamiento adecuado a los riesgos identifcados. ● Defnir plan de tratamiento de riesgos. En este punto se trata de identifcar las acciones, sus responsables y las prioridades en la gestión de los riesgos de los activos relacionados con la seguridad de la información, se trata de establecer las pautas que llevará a cabo la organización para reducir los riesgos que se han detectado.
15 4. Metodología de Implantación 3. IMPLANTACIÓN Una vez defnidos todos los puntos de la fase anterior, la implantación del sistema consiste en poner en práctica cada uno de los puntos ya descritos, de esta manera se realizarán las siguientes actuaciones: ● Implantar el plan de tratamiento de riesgos, con la meta de alcanzar los objetivos de control identifcados. ● Implementar los controles que se determinaron en la fase anterior. ● Formación y concienciación de todo el personal en lo relativo a la seguridad de la información. ● Desarrollo y realización del marco normativo: normas, manuales, procedimientos e instrucciones. ● Gestionar todos los recursos asignados al Sistema.
16 4. Metodología de Implantación 4. MONITORIZACIÓN Esta fase nos permite analizar el estado del sistema, en ella se establecerá la realización de las siguientes actuaciones: ● Defnir los objetivos e indicadores para medir la efcacia de las acciones implantadas en cada proceso, así como evaluar los resultados de los mismos. ● Revisar el Sistema para determinar si el alcance defnido sigue siendo el adecuado, identifcar mejoras al proceso del Sistema, identifcar nuevas vulnerabilidades, revisar cambios organizativos y modifcar procedimientos. Se realizarán las siguientes actuaciones: ● Realizar una revisión periódica de la efcacia del Sistema. Establecer metodologías para las revisiones de los niveles de riesgo. ● Revisar la correcta operación de los procesos. ● Realización de la revisión por la dirección
17 4. Metodología de Implantación 4. MONITORIZACIÓN ● Realizar auditorías internas del Sistema. La realización las auditorías internas consisten en una evaluación que la propia empresa realiza para saber el grado de adecuación de su Sistema de Gestión a la Norma Tisax y para determinar la efectividad del Sistema y detectar posibles no conformidades. Es un requisito obligatorio para la certifcación. Esta auditoría permite a la empresa realizar un ensayo general y la prepara para el momento de la Certifcación, facilitando de esta forma todo el proceso e incrementando de este modo las probabilidades de certifcación.
18 4. Metodología de Implantación 5. MEJORA CONTINUA Está fase incluye los siguientes trabajos: ● Medir el rendimiento del Sistema con los objetivos y los indicadores que se hayan establecido. ● Implantar las posibles mejoras detectadas. Se trata de poner en marcha todas las mejoras que se hayan propuesto en la fase anterior, tanto en los procesos de revisión como en las auditorias. ● Acciones correctivas y preventivas. Aplicar las acciones que se consideren oportunas, tanto preventivas como correctivas, para mejorar la efcacia y desempeño del Sistema y asegurar el éxito de la auditoría de certifcación en base a los resultados de la auditoría interna.
19 5. Aspectos Clave para el Éxito del Proyecto ● La gestión del riesgo debe formar parte todas las actividades de la organización, de manera que los riesgos se tengan en cuenta a lo largo del desarrollo de cualquier proyecto. ● Los controles deben ser acordes a las características de los riesgos y, especialmente, la organización. ● La certifcación no debe plantearse como un objetivo de la seguridad, sino como una prueba o acreditación al trabajo bien hecho. ● La disposición previa en la organización de otros Sistemas de Gestión simplifca y agiliza la implantación.
20 6. Cronograma de Implantación
21 GRUPO INGERTEC 900 897 931 info@ingertec.com

Recommended

¿Qué es una auditoría TISAX?
¿Qué es una auditoría TISAX? ¿Qué es una auditoría TISAX?
¿Qué es una auditoría TISAX? DQS de México
 
Soc Compliance Overview
Soc Compliance OverviewSoc Compliance Overview
Soc Compliance OverviewFabio Ferrari
 
BSidesDFW2022-PurpleTeam_Cloud_Identity.pptx
BSidesDFW2022-PurpleTeam_Cloud_Identity.pptxBSidesDFW2022-PurpleTeam_Cloud_Identity.pptx
BSidesDFW2022-PurpleTeam_Cloud_Identity.pptxJasonOstrom1
 
PCI Guidance On Penetration Testing
PCI Guidance On Penetration TestingPCI Guidance On Penetration Testing
PCI Guidance On Penetration TestingThe Hacker News
 
A Practical Guide to Anomaly Detection for DevOps
A Practical Guide to Anomaly Detection for DevOpsA Practical Guide to Anomaly Detection for DevOps
A Practical Guide to Anomaly Detection for DevOpsBigPanda
 
Three ways-zero-trust-security-redefines-partner-access-ch
Three ways-zero-trust-security-redefines-partner-access-chThree ways-zero-trust-security-redefines-partner-access-ch
Three ways-zero-trust-security-redefines-partner-access-chZscaler
 
Rothke secure360 building a security operations center (soc)
Rothke secure360 building a security operations center (soc)Rothke secure360 building a security operations center (soc)
Rothke secure360 building a security operations center (soc)Ben Rothke
 
ICION 2016 - Cyber Security Governance
ICION 2016 - Cyber Security GovernanceICION 2016 - Cyber Security Governance
ICION 2016 - Cyber Security GovernanceCharles Lim
 

Recommended

¿Qué es una auditoría TISAX?
¿Qué es una auditoría TISAX? ¿Qué es una auditoría TISAX?
¿Qué es una auditoría TISAX? DQS de México
 
Soc Compliance Overview
Soc Compliance OverviewSoc Compliance Overview
Soc Compliance OverviewFabio Ferrari
 
BSidesDFW2022-PurpleTeam_Cloud_Identity.pptx
BSidesDFW2022-PurpleTeam_Cloud_Identity.pptxBSidesDFW2022-PurpleTeam_Cloud_Identity.pptx
BSidesDFW2022-PurpleTeam_Cloud_Identity.pptxJasonOstrom1
 
PCI Guidance On Penetration Testing
PCI Guidance On Penetration TestingPCI Guidance On Penetration Testing
PCI Guidance On Penetration TestingThe Hacker News
 
A Practical Guide to Anomaly Detection for DevOps
A Practical Guide to Anomaly Detection for DevOpsA Practical Guide to Anomaly Detection for DevOps
A Practical Guide to Anomaly Detection for DevOpsBigPanda
 
Three ways-zero-trust-security-redefines-partner-access-ch
Three ways-zero-trust-security-redefines-partner-access-chThree ways-zero-trust-security-redefines-partner-access-ch
Three ways-zero-trust-security-redefines-partner-access-chZscaler
 
Rothke secure360 building a security operations center (soc)
Rothke secure360 building a security operations center (soc)Rothke secure360 building a security operations center (soc)
Rothke secure360 building a security operations center (soc)Ben Rothke
 
ICION 2016 - Cyber Security Governance
ICION 2016 - Cyber Security GovernanceICION 2016 - Cyber Security Governance
ICION 2016 - Cyber Security GovernanceCharles Lim
 
How to Hunt for Lateral Movement on Your Network
How to Hunt for Lateral Movement on Your NetworkHow to Hunt for Lateral Movement on Your Network
How to Hunt for Lateral Movement on Your NetworkSqrrl
 
It's just a jump to the left (of boom): Prioritizing detection implementation...
It's just a jump to the left (of boom): Prioritizing detection implementation...It's just a jump to the left (of boom): Prioritizing detection implementation...
It's just a jump to the left (of boom): Prioritizing detection implementation...MITRE ATT&CK
 
Keynote: Elastic Security evolution and vision
Keynote: Elastic Security evolution and visionKeynote: Elastic Security evolution and vision
Keynote: Elastic Security evolution and visionElasticsearch
 
Palo Alto Networks: Protection for Security & Compliance
Palo Alto Networks: Protection for Security & CompliancePalo Alto Networks: Protection for Security & Compliance
Palo Alto Networks: Protection for Security & ComplianceAmazon Web Services
 
Rise of software supply chain attack
Rise of software supply chain attackRise of software supply chain attack
Rise of software supply chain attackYadnyawalkya Tale
 
Threat modeling web application: a case study
Threat modeling web application: a case studyThreat modeling web application: a case study
Threat modeling web application: a case studyAntonio Fontes
 
SOC Architecture - Building the NextGen SOC
SOC Architecture - Building the NextGen SOCSOC Architecture - Building the NextGen SOC
SOC Architecture - Building the NextGen SOCPriyanka Aash
 
Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro...
Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro... Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro...
Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro...MITRE ATT&CK
 
.conf Go 2022 - Observability Session
.conf Go 2022 - Observability Session.conf Go 2022 - Observability Session
.conf Go 2022 - Observability SessionSplunk
 
Splunk for Enterprise Security featuring User Behavior Analytics
Splunk for Enterprise Security featuring User Behavior AnalyticsSplunk for Enterprise Security featuring User Behavior Analytics
Splunk for Enterprise Security featuring User Behavior AnalyticsSplunk
 
Equity Dilemmas for Psychological Operations and Public Information in Milita...
Equity Dilemmas for Psychological Operations and Public Information in Milita...Equity Dilemmas for Psychological Operations and Public Information in Milita...
Equity Dilemmas for Psychological Operations and Public Information in Milita...Jeffrey Malone
 
A Guide to Managed Security Services
A Guide to Managed Security ServicesA Guide to Managed Security Services
A Guide to Managed Security ServicesGraham Mann
 
NIST Security Awareness SP 800-50
NIST Security Awareness SP 800-50NIST Security Awareness SP 800-50
NIST Security Awareness SP 800-50David Sweigert
 
Sample network vulnerability analysis proposal
Sample network vulnerability analysis proposalSample network vulnerability analysis proposal
Sample network vulnerability analysis proposalDavid Sweigert
 
PPT-Splunk-LegacySIEM-101_FINAL
PPT-Splunk-LegacySIEM-101_FINALPPT-Splunk-LegacySIEM-101_FINAL
PPT-Splunk-LegacySIEM-101_FINALRisi Avila
 
MITRE ATT&CKcon 2.0: State of the ATT&CK; Blake Strom, MITRE
MITRE ATT&CKcon 2.0: State of the ATT&CK; Blake Strom, MITREMITRE ATT&CKcon 2.0: State of the ATT&CK; Blake Strom, MITRE
MITRE ATT&CKcon 2.0: State of the ATT&CK; Blake Strom, MITREMITRE - ATT&CKcon
 
The top 10 windows logs event id's used v1.0
The top 10 windows logs event id's used v1.0The top 10 windows logs event id's used v1.0
The top 10 windows logs event id's used v1.0Michael Gough
 
Deep dive into Microsoft Purview Data Loss Prevention
Deep dive into Microsoft Purview Data Loss PreventionDeep dive into Microsoft Purview Data Loss Prevention
Deep dive into Microsoft Purview Data Loss PreventionDrew Madelung
 
Active Directory Trusts
Active Directory TrustsActive Directory Trusts
Active Directory Trustsn|u - The Open Security Community
 
Segmenting your Network for Security - The Good, the Bad and the Ugly
Segmenting your Network for Security - The Good, the Bad and the UglySegmenting your Network for Security - The Good, the Bad and the Ugly
Segmenting your Network for Security - The Good, the Bad and the UglyAlgoSec
 
Presentaciones Procesos Informaticos
Presentaciones Procesos InformaticosPresentaciones Procesos Informaticos
Presentaciones Procesos InformaticosByron Zurita
 
Resumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las TsiResumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las Tsisantosperez
 

More Related Content

What's hot

How to Hunt for Lateral Movement on Your Network
How to Hunt for Lateral Movement on Your NetworkHow to Hunt for Lateral Movement on Your Network
How to Hunt for Lateral Movement on Your NetworkSqrrl
 
It's just a jump to the left (of boom): Prioritizing detection implementation...
It's just a jump to the left (of boom): Prioritizing detection implementation...It's just a jump to the left (of boom): Prioritizing detection implementation...
It's just a jump to the left (of boom): Prioritizing detection implementation...MITRE ATT&CK
 
Keynote: Elastic Security evolution and vision
Keynote: Elastic Security evolution and visionKeynote: Elastic Security evolution and vision
Keynote: Elastic Security evolution and visionElasticsearch
 
Palo Alto Networks: Protection for Security & Compliance
Palo Alto Networks: Protection for Security & CompliancePalo Alto Networks: Protection for Security & Compliance
Palo Alto Networks: Protection for Security & ComplianceAmazon Web Services
 
Rise of software supply chain attack
Rise of software supply chain attackRise of software supply chain attack
Rise of software supply chain attackYadnyawalkya Tale
 
Threat modeling web application: a case study
Threat modeling web application: a case studyThreat modeling web application: a case study
Threat modeling web application: a case studyAntonio Fontes
 
SOC Architecture - Building the NextGen SOC
SOC Architecture - Building the NextGen SOCSOC Architecture - Building the NextGen SOC
SOC Architecture - Building the NextGen SOCPriyanka Aash
 
Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro...
Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro... Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro...
Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro...MITRE ATT&CK
 
.conf Go 2022 - Observability Session
.conf Go 2022 - Observability Session.conf Go 2022 - Observability Session
.conf Go 2022 - Observability SessionSplunk
 
Splunk for Enterprise Security featuring User Behavior Analytics
Splunk for Enterprise Security featuring User Behavior AnalyticsSplunk for Enterprise Security featuring User Behavior Analytics
Splunk for Enterprise Security featuring User Behavior AnalyticsSplunk
 
Equity Dilemmas for Psychological Operations and Public Information in Milita...
Equity Dilemmas for Psychological Operations and Public Information in Milita...Equity Dilemmas for Psychological Operations and Public Information in Milita...
Equity Dilemmas for Psychological Operations and Public Information in Milita...Jeffrey Malone
 
A Guide to Managed Security Services
A Guide to Managed Security ServicesA Guide to Managed Security Services
A Guide to Managed Security ServicesGraham Mann
 
NIST Security Awareness SP 800-50
NIST Security Awareness SP 800-50NIST Security Awareness SP 800-50
NIST Security Awareness SP 800-50David Sweigert
 
Sample network vulnerability analysis proposal
Sample network vulnerability analysis proposalSample network vulnerability analysis proposal
Sample network vulnerability analysis proposalDavid Sweigert
 
PPT-Splunk-LegacySIEM-101_FINAL
PPT-Splunk-LegacySIEM-101_FINALPPT-Splunk-LegacySIEM-101_FINAL
PPT-Splunk-LegacySIEM-101_FINALRisi Avila
 
MITRE ATT&CKcon 2.0: State of the ATT&CK; Blake Strom, MITRE
MITRE ATT&CKcon 2.0: State of the ATT&CK; Blake Strom, MITREMITRE ATT&CKcon 2.0: State of the ATT&CK; Blake Strom, MITRE
MITRE ATT&CKcon 2.0: State of the ATT&CK; Blake Strom, MITREMITRE - ATT&CKcon
 
The top 10 windows logs event id's used v1.0
The top 10 windows logs event id's used v1.0The top 10 windows logs event id's used v1.0
The top 10 windows logs event id's used v1.0Michael Gough
 
Deep dive into Microsoft Purview Data Loss Prevention
Deep dive into Microsoft Purview Data Loss PreventionDeep dive into Microsoft Purview Data Loss Prevention
Deep dive into Microsoft Purview Data Loss PreventionDrew Madelung
 
Segmenting your Network for Security - The Good, the Bad and the Ugly
Segmenting your Network for Security - The Good, the Bad and the UglySegmenting your Network for Security - The Good, the Bad and the Ugly
Segmenting your Network for Security - The Good, the Bad and the UglyAlgoSec
 

What's hot (20)

How to Hunt for Lateral Movement on Your Network
How to Hunt for Lateral Movement on Your NetworkHow to Hunt for Lateral Movement on Your Network
How to Hunt for Lateral Movement on Your Network
 
It's just a jump to the left (of boom): Prioritizing detection implementation...
It's just a jump to the left (of boom): Prioritizing detection implementation...It's just a jump to the left (of boom): Prioritizing detection implementation...
It's just a jump to the left (of boom): Prioritizing detection implementation...
 
Keynote: Elastic Security evolution and vision
Keynote: Elastic Security evolution and visionKeynote: Elastic Security evolution and vision
Keynote: Elastic Security evolution and vision
 
Palo Alto Networks: Protection for Security & Compliance
Palo Alto Networks: Protection for Security & CompliancePalo Alto Networks: Protection for Security & Compliance
Palo Alto Networks: Protection for Security & Compliance
 
Rise of software supply chain attack
Rise of software supply chain attackRise of software supply chain attack
Rise of software supply chain attack
 
Threat modeling web application: a case study
Threat modeling web application: a case studyThreat modeling web application: a case study
Threat modeling web application: a case study
 
SOC Architecture - Building the NextGen SOC
SOC Architecture - Building the NextGen SOCSOC Architecture - Building the NextGen SOC
SOC Architecture - Building the NextGen SOC
 
Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro...
Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro... Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro...
Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro...
 
.conf Go 2022 - Observability Session
.conf Go 2022 - Observability Session.conf Go 2022 - Observability Session
.conf Go 2022 - Observability Session
 
Splunk for Enterprise Security featuring User Behavior Analytics
Splunk for Enterprise Security featuring User Behavior AnalyticsSplunk for Enterprise Security featuring User Behavior Analytics
Splunk for Enterprise Security featuring User Behavior Analytics
 
Equity Dilemmas for Psychological Operations and Public Information in Milita...
Equity Dilemmas for Psychological Operations and Public Information in Milita...Equity Dilemmas for Psychological Operations and Public Information in Milita...
Equity Dilemmas for Psychological Operations and Public Information in Milita...
 
A Guide to Managed Security Services
A Guide to Managed Security ServicesA Guide to Managed Security Services
A Guide to Managed Security Services
 
NIST Security Awareness SP 800-50
NIST Security Awareness SP 800-50NIST Security Awareness SP 800-50
NIST Security Awareness SP 800-50
 
Sample network vulnerability analysis proposal
Sample network vulnerability analysis proposalSample network vulnerability analysis proposal
Sample network vulnerability analysis proposal
 
PPT-Splunk-LegacySIEM-101_FINAL
PPT-Splunk-LegacySIEM-101_FINALPPT-Splunk-LegacySIEM-101_FINAL
PPT-Splunk-LegacySIEM-101_FINAL
 
MITRE ATT&CKcon 2.0: State of the ATT&CK; Blake Strom, MITRE
MITRE ATT&CKcon 2.0: State of the ATT&CK; Blake Strom, MITREMITRE ATT&CKcon 2.0: State of the ATT&CK; Blake Strom, MITRE
MITRE ATT&CKcon 2.0: State of the ATT&CK; Blake Strom, MITRE
 
The top 10 windows logs event id's used v1.0
The top 10 windows logs event id's used v1.0The top 10 windows logs event id's used v1.0
The top 10 windows logs event id's used v1.0
 
Deep dive into Microsoft Purview Data Loss Prevention
Deep dive into Microsoft Purview Data Loss PreventionDeep dive into Microsoft Purview Data Loss Prevention
Deep dive into Microsoft Purview Data Loss Prevention
 
Active Directory Trusts
Active Directory TrustsActive Directory Trusts
Active Directory Trusts
 
Segmenting your Network for Security - The Good, the Bad and the Ugly
Segmenting your Network for Security - The Good, the Bad and the UglySegmenting your Network for Security - The Good, the Bad and the Ugly
Segmenting your Network for Security - The Good, the Bad and the Ugly
 

Similar to Tisax - Ingertec

Presentaciones Procesos Informaticos
Presentaciones Procesos InformaticosPresentaciones Procesos Informaticos
Presentaciones Procesos InformaticosByron Zurita
 
Resumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las TsiResumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las Tsisantosperez
 
Articles 5482 g3-procedimiento_de_seguridad
Articles 5482 g3-procedimiento_de_seguridadArticles 5482 g3-procedimiento_de_seguridad
Articles 5482 g3-procedimiento_de_seguridadMonic Arguello
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezRenzo Lomparte
 
Auditor base de datos y tecnicas de sistemas
Auditor base de datos y tecnicas de sistemasAuditor base de datos y tecnicas de sistemas
Auditor base de datos y tecnicas de sistemasStéfano Morán Noboa
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezRenzo Lomparte
 
207811194-iso-27001-2013-v final
207811194-iso-27001-2013-v final 207811194-iso-27001-2013-v final
207811194-iso-27001-2013-v finalxavazquez
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
Plantilla unidad II
Plantilla unidad IIPlantilla unidad II
Plantilla unidad IIAnnie Mrtx
 
Mto3 gr14 compilacion_v4
Mto3 gr14 compilacion_v4Mto3 gr14 compilacion_v4
Mto3 gr14 compilacion_v4arodri7703
 
Auditoría y seguridad informática
Auditoría y seguridad informáticaAuditoría y seguridad informática
Auditoría y seguridad informáticaMartin Miranda
 
Trabajo de investigacion_auditoria_(victor_lara)
Trabajo de investigacion_auditoria_(victor_lara)Trabajo de investigacion_auditoria_(victor_lara)
Trabajo de investigacion_auditoria_(victor_lara)IsJmlr
 

Similar to Tisax - Ingertec (20)

Presentaciones Procesos Informaticos
Presentaciones Procesos InformaticosPresentaciones Procesos Informaticos
Presentaciones Procesos Informaticos
 
Resumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las TsiResumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las Tsi
 
Taller EFC-Auditoría
Taller EFC-AuditoríaTaller EFC-Auditoría
Taller EFC-Auditoría
 
Articles 5482 g3-procedimiento_de_seguridad
Articles 5482 g3-procedimiento_de_seguridadArticles 5482 g3-procedimiento_de_seguridad
Articles 5482 g3-procedimiento_de_seguridad
 
Para imprimer a hora
Para imprimer a horaPara imprimer a hora
Para imprimer a hora
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte Sanchez
 
Exposición grupal
Exposición grupalExposición grupal
Exposición grupal
 
Auditor base de datos y tecnicas de sistemas
Auditor base de datos y tecnicas de sistemasAuditor base de datos y tecnicas de sistemas
Auditor base de datos y tecnicas de sistemas
 
Cobit
CobitCobit
Cobit
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte Sanchez
 
207811194-iso-27001-2013-v final
207811194-iso-27001-2013-v final 207811194-iso-27001-2013-v final
207811194-iso-27001-2013-v final
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
Documento a seguir.pdf
Documento a seguir.pdfDocumento a seguir.pdf
Documento a seguir.pdf
 
Plantilla unidad II
Plantilla unidad IIPlantilla unidad II
Plantilla unidad II
 
Mto3 gr14 compilacion_v4
Mto3 gr14 compilacion_v4Mto3 gr14 compilacion_v4
Mto3 gr14 compilacion_v4
 
27001
2700127001
27001
 
Auditoría y seguridad informática
Auditoría y seguridad informáticaAuditoría y seguridad informática
Auditoría y seguridad informática
 
Trabajo de investigacion_auditoria_(victor_lara)
Trabajo de investigacion_auditoria_(victor_lara)Trabajo de investigacion_auditoria_(victor_lara)
Trabajo de investigacion_auditoria_(victor_lara)
 
Cap.11.ISO27001
Cap.11.ISO27001Cap.11.ISO27001
Cap.11.ISO27001
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001
 

More from Grupo Ingertec

Blanqueo de capitales - Ingertec
Blanqueo de capitales - IngertecBlanqueo de capitales - Ingertec
Blanqueo de capitales - IngertecGrupo Ingertec
 
Huella de Carbono - Ingertec
Huella de Carbono - IngertecHuella de Carbono - Ingertec
Huella de Carbono - IngertecGrupo Ingertec
 
Recomendaciones ciberseguridad - Ingertec
Recomendaciones ciberseguridad - IngertecRecomendaciones ciberseguridad - Ingertec
Recomendaciones ciberseguridad - IngertecGrupo Ingertec
 
Esquema Nacional de Seguridad ENS - Ingertec
Esquema Nacional de Seguridad ENS - IngertecEsquema Nacional de Seguridad ENS - Ingertec
Esquema Nacional de Seguridad ENS - IngertecGrupo Ingertec
 
Ley 11 2018 - Memoria Información no Financiera
Ley 11 2018 - Memoria Información no Financiera Ley 11 2018 - Memoria Información no Financiera
Ley 11 2018 - Memoria Información no Financiera Grupo Ingertec
 

More from Grupo Ingertec (9)

Blanqueo de capitales - Ingertec
Blanqueo de capitales - IngertecBlanqueo de capitales - Ingertec
Blanqueo de capitales - Ingertec
 
Huella de Carbono - Ingertec
Huella de Carbono - IngertecHuella de Carbono - Ingertec
Huella de Carbono - Ingertec
 
Recomendaciones ciberseguridad - Ingertec
Recomendaciones ciberseguridad - IngertecRecomendaciones ciberseguridad - Ingertec
Recomendaciones ciberseguridad - Ingertec
 
ISO 22301 - Ingertec
ISO 22301 - IngertecISO 22301 - Ingertec
ISO 22301 - Ingertec
 
ISO 14001 - Ingertec
ISO 14001 - IngertecISO 14001 - Ingertec
ISO 14001 - Ingertec
 
Esquema Nacional de Seguridad ENS - Ingertec
Esquema Nacional de Seguridad ENS - IngertecEsquema Nacional de Seguridad ENS - Ingertec
Esquema Nacional de Seguridad ENS - Ingertec
 
ISO 9001 - Ingertec
ISO 9001 - Ingertec ISO 9001 - Ingertec
ISO 9001 - Ingertec
 
ISO 27001 - Ingertec
ISO 27001 - IngertecISO 27001 - Ingertec
ISO 27001 - Ingertec
 
Ley 11 2018 - Memoria Información no Financiera
Ley 11 2018 - Memoria Información no Financiera Ley 11 2018 - Memoria Información no Financiera
Ley 11 2018 - Memoria Información no Financiera
 

Tisax - Ingertec

  • 1. 1 TISAX SEGURIDAD DE LA INFORMACIÓN EN LA INDUSTRIA AUTOMOTRIZ INTERCAMBIO CONFIABLE DE EVALUACIÓN DE SEGURIDAD DE LA INFORMACIÓN
  • 2. 2 Índice 1. ¿Qué es TISAX? 2. ¿En qué consiste TISAX? 3. Fases para la obtención de la acreditación TISAX 4. Metodología de Implantación 5. Aspectos Clave para el Éxito del Proyecto 6. Cronograma
  • 3. 3 1. ¿Qué es TISAX? La necesidad de garantizar la confdencialidad y seguridad en los intercambios de información entre los fabricantes de la industria automotriz y sus proveedores ha impulsado el desarrollo de una plataforma de validación de requisitos de seguridad de la información para los proveedores de la industria del automóvil. TISAX es una forma de acreditar el cumplimiento del Módulo de la familia de estándares ISA denominado VDA relativo a la seguridad de la información exigido por los principales fabricantes de automoción de origen alemán: Grupo Volkswagen, Mercedes-Benz y BMW. La industria alemana en este campo, ha empezado a marcar la pauta no solo en cuanto a los requisitos de gestión de la producción sino también ahora en materia de garantizar la seguridad de la información en las operaciones con sus proveedores.
  • 4. 4 1. ¿Qué es TISAX? En esta dirección la organización ENX (Asociación de fabricantes, proveedores y organizaciones de vehículos europeos) que agrupa a los principales actores del sector de la automoción europea cuenta con una herramienta de control para determinar el nivel de cumplimiento con los requisitos de seguridad de la información y el grado de cumplimiento con los requisitos VDA mencionados. Se trata de la plataforma TISAX. Después de un proceso donde los fabricantes no tenían más herramientas de evaluación de sus proveedores fuera de la realización de auditorías y procesos de verifcación, se ha creado la plataforma TISAX como el medio por el cual los fabricantes acreditan la seguridad de sus proveedores. TISAX, abreviatura de «Intercambio confable de evaluación de seguridad de la información».
  • 5. 5 2. ¿En qué consiste TISAX? Estos se encuentran en el módulo VDA que contiene los requisitos de seguridad de la información en las empresas de la industria automotriz. Los requisitos VDA contemplan el Cumplimiento de cuatro bloques de controles: ● 64 controles para la Seguridad de la información. ● 4 controles sobre la relación con terceras partes. ● 22 controles para la protección de prototipos. ● 4 controles sobre RGPD Protección de datos de carácter personal.
  • 6. 6 3. Fases para la obtención de la acreditación TISAX 1. INSCRIPCIÓN El primer paso es el registro TISAX. El objetivo principal del registro TISAX es recopilar información sobre la empresa. Para ello se emplea un proceso de registro On-line. Se trata de un paso previo a los pasos posteriores y es imputable. El requisito más importante durante el proceso de registro es especifcación del alcance del control de seguridad de la información.
  • 7. 7 3. Fases para la obtención de la acreditación TISAX 2. AUDITORÍA (VERIFICACIÓN DEL NIVEL DE MADUREZ) a) preparación de la auditoria La preparación de la auditoria consiste en: ● Asegurarse del cumplimiento de los requisitos del módulo VDA (ISA) ● Generar la documentación necesaria exigida por los procedimientos exigidos en el formulario VDA ● Generar los recursos requeridos ● Aunque se trata de una evaluación del nivel de madurez de su sistema de gestión de seguridad de la información, la auditoria se basara en el catálogo VDA ISA. b) Selección de organismo de verifcación Certifcación) Una vez que estemos preparados para la auditoria, deberemos seleccionar uno de los organismos acreditados por TISAX para realizar el proceso de verifcación o auditoria.
  • 8. 8 3. Fases para la obtención de la acreditación TISAX 2. AUDITORÍA (VERIFICACIÓN DEL NIVEL DE MADUREZ) c) Control de seguridad de la información Finalmente la fase de control de la Seguridad de la Información consiste en comprobar el cumplimiento de los requisitos en el entorno de los servicios concretos de como proveedor de industria automotriz. Se trata de verifcar el cumplimiento de los requisitos en el entorno defnido por el “alcance del control de seguridad de la información”. d) resultado de la prueba Una vez que su empresa haya aprobado el trámite de la auditoria, recibirá un informe de TISAX así como el certifcado correspondiente.
  • 9. 9 3. Fases para la obtención de la acreditación TISAX 3. INTERCAMBIO La última fase consiste en la comunicación de los resultados o informe de la auditoria a los clientes o fabricantes para los cuales se ha obtenido el certifcado (Actividades dentro del alcance). El contenido del informe TISAX está organizado en niveles, pudiéndose decidir a qué nivel accederá su cliente. Los informes o certifcados TISAX son válidos por tres años, tras este periodo deberán repetirse los procesos de auditoria de cumplimiento de los requisitos.
  • 10. 10 4. Metodología de Implantación 1. INICIO DEL PROYECTO Esta primera fase sirve para conocer la estructura de la empresa y presentar al equipo directivo y al Comité de Seguridad la metodología de trabajo que se pretende establecer. Como punto fundamental en esta fase es obtener el Compromiso de la Dirección, ya que una de las bases fundamentales sobre las que iniciar un proyecto de este tipo es el apoyo claro y decidido de la Dirección de la organización. No sólo por ser un punto contemplado de forma especial por la norma sino porque el cambio de cultura y concienciación que lleva consigo el proceso hacen necesario el impulso constante de la Dirección. Además esta primera toma de contacto servirá para realizar una primera planifcación de los trabajos y fechas y asignaciones de responsabilidades y nombramiento del Responsable del Sistema
  • 11. 11 4. Metodología de Implantación 2. PLANIFICACIÓN Esta es la fase fundamental de la estructura del Sistema, la documentación aquí generada va a asegurar el éxito y la idoneidad del Sistema. Dentro de esta fase se realizarán las siguientes tareas: ● Defnir el alcance del Sistema. Una correcta defnición del alcance es esencial para el correcto desarrollo del proyecto, ya que según el modelo organizativo, se fjarán los límites del proyecto. ● En este punto se identifcará la información realmente importante para la organización. ● El alcance incluirá los procesos de negocio que se pretenden certifcar, los activos de información implicados y la ubicación física de los mismos. ● Defnir Política de Seguridad. Se trata del documento clave que dirigirá y dará soporte al Sistema. Se formulará de tal forma que aunará tantos los objetivos generales de la organización en cuanto a su actividad, como los objetivos específcos de seguridad de la información.
  • 12. 12 4. Metodología de Implantación 2. PLANIFICACIÓN Esta es la fase fundamental de la estructura del Sistema, la documentación aquí generada va a asegurar el éxito y la idoneidad del Sistema. Dentro de esta fase se realizarán las siguientes tareas: ● Defnir el alcance del Sistema. Una correcta defnición del alcance es esencial para el correcto desarrollo del proyecto, ya que según el modelo organizativo, se fjarán los límites del proyecto. ● En este punto se identifcará la información realmente importante para la organización. ● El alcance incluirá los procesos de negocio que se pretenden certifcar, los activos de información implicados y la ubicación física de los mismos. ● Defnir Política de Seguridad. Se trata del documento clave que dirigirá y dará soporte al Sistema. Se formulará de tal forma que aunará tantos los objetivos generales de la organización en cuanto a su actividad, como los objetivos específcos de seguridad de la información.
  • 13. 13 4. Metodología de Implantación 2. PLANIFICACIÓN ● Inventario de activos. Según la propia norma, se defne como activo “cualquier bien que tiene valor para la organización”, por lo la realización de un buen inventario de activos es crucial para la correcta gestión de la Seguridad en la organización, ya que será la base para la identifcación y clasifcación de todos los elementos que intervienen en los procesos de la organización. Los activos se clasifcarán en diferentes grupos en función de su naturaleza, así podemos hablar de activos físicos (hardware, ofcinas, servidores…), activos de información (fcheros, bases de datos, documentos, procedimientos…), activos de software y activos de servicio. ● Análisis de riesgos. Con este análisis se establece el criterio de evaluación de riesgos y se identifcan las amenazas, los impactos y las vulnerabilidades de cada activo inventariado en la fase anterior, de tal forma que evalúe la Confdencialidad, la Integridad y la Disponibilidad de la información. La realización del análisis de riesgos es sin duda uno de los puntos más críticos del proceso de implantación.
  • 14. 14 4. Metodología de Implantación 2. PLANIFICACIÓN ● Selección de controles y elaboración de la Declaración de Aplicabilidad SOA). Tras los puntos anteriores, y en base a cada uno de los activos identifcados en la organización se procederá a seleccionar todos los controles u opciones que nos permitan dar un tratamiento adecuado a los riesgos identifcados. ● Defnir plan de tratamiento de riesgos. En este punto se trata de identifcar las acciones, sus responsables y las prioridades en la gestión de los riesgos de los activos relacionados con la seguridad de la información, se trata de establecer las pautas que llevará a cabo la organización para reducir los riesgos que se han detectado.
  • 15. 15 4. Metodología de Implantación 3. IMPLANTACIÓN Una vez defnidos todos los puntos de la fase anterior, la implantación del sistema consiste en poner en práctica cada uno de los puntos ya descritos, de esta manera se realizarán las siguientes actuaciones: ● Implantar el plan de tratamiento de riesgos, con la meta de alcanzar los objetivos de control identifcados. ● Implementar los controles que se determinaron en la fase anterior. ● Formación y concienciación de todo el personal en lo relativo a la seguridad de la información. ● Desarrollo y realización del marco normativo: normas, manuales, procedimientos e instrucciones. ● Gestionar todos los recursos asignados al Sistema.
  • 16. 16 4. Metodología de Implantación 4. MONITORIZACIÓN Esta fase nos permite analizar el estado del sistema, en ella se establecerá la realización de las siguientes actuaciones: ● Defnir los objetivos e indicadores para medir la efcacia de las acciones implantadas en cada proceso, así como evaluar los resultados de los mismos. ● Revisar el Sistema para determinar si el alcance defnido sigue siendo el adecuado, identifcar mejoras al proceso del Sistema, identifcar nuevas vulnerabilidades, revisar cambios organizativos y modifcar procedimientos. Se realizarán las siguientes actuaciones: ● Realizar una revisión periódica de la efcacia del Sistema. Establecer metodologías para las revisiones de los niveles de riesgo. ● Revisar la correcta operación de los procesos. ● Realización de la revisión por la dirección
  • 17. 17 4. Metodología de Implantación 4. MONITORIZACIÓN ● Realizar auditorías internas del Sistema. La realización las auditorías internas consisten en una evaluación que la propia empresa realiza para saber el grado de adecuación de su Sistema de Gestión a la Norma Tisax y para determinar la efectividad del Sistema y detectar posibles no conformidades. Es un requisito obligatorio para la certifcación. Esta auditoría permite a la empresa realizar un ensayo general y la prepara para el momento de la Certifcación, facilitando de esta forma todo el proceso e incrementando de este modo las probabilidades de certifcación.
  • 18. 18 4. Metodología de Implantación 5. MEJORA CONTINUA Está fase incluye los siguientes trabajos: ● Medir el rendimiento del Sistema con los objetivos y los indicadores que se hayan establecido. ● Implantar las posibles mejoras detectadas. Se trata de poner en marcha todas las mejoras que se hayan propuesto en la fase anterior, tanto en los procesos de revisión como en las auditorias. ● Acciones correctivas y preventivas. Aplicar las acciones que se consideren oportunas, tanto preventivas como correctivas, para mejorar la efcacia y desempeño del Sistema y asegurar el éxito de la auditoría de certifcación en base a los resultados de la auditoría interna.
  • 19. 19 5. Aspectos Clave para el Éxito del Proyecto ● La gestión del riesgo debe formar parte todas las actividades de la organización, de manera que los riesgos se tengan en cuenta a lo largo del desarrollo de cualquier proyecto. ● Los controles deben ser acordes a las características de los riesgos y, especialmente, la organización. ● La certifcación no debe plantearse como un objetivo de la seguridad, sino como una prueba o acreditación al trabajo bien hecho. ● La disposición previa en la organización de otros Sistemas de Gestión simplifca y agiliza la implantación.
  • 20. 20 6. Cronograma de Implantación
  • 21. 21 GRUPO INGERTEC 900 897 931 info@ingertec.com