Evaluación TISAX® - Seguridad de la información en la industria del automóvil
Reconocimiento mutuo entre todos los participantes en TISAX®
Los proveedores y prestadores de servicios logran una mayor confianza en su empresa auditada
La evaluación para la certificación TISAX® tiene lugar sólo cada tres años
Ahorro de tiempo y costes al participar en la red TISAX®
Información básica sobre la evaluación TISAX®
ISA también hace referencia a la norma ISO/SAE 62443-2-1 para sistemas de control industrial para la automatización y supervisión de instalaciones de producción industrial (IACS) y tecnologías operativas (OT).
Además, los organismos responsables de la Asociación Alemana de la Industria del Automóvil (VDA) han creado las condiciones para establecer el mecanismo conjunto de evaluación e intercambio bajo el nombre de TISAX® (Trusted Information Security Assessment eXchange). TISAX® es una marca registrada de la Asociación ENX. La Asociación de fabricantes europeos de automóviles, proveedores de automóviles y asociaciones de automoción supervisa la calidad de las evaluaciones TISAX® y controla la aprobación de los proveedores de servicios de auditoría TISAX®.
Ya se han evaluado más de 10.000 emplazamientos según TISAX®, lo que convierte a esta norma en el segundo conjunto de reglas para la seguridad de la información más implantado en todo el mundo después de ISO 27001. VDA y ENX han formado grupos de trabajo internacionales para TISAX® y el catálogo ISA para seguir desarrollando la norma. Al mismo tiempo, esto promueve una cooperación más estrecha con la industria automovilística mundial. Con TISAX® 6.0, la forma actualizada del procedimiento de evaluación e intercambio se publicó en otoño de 2023.
TISAX® 2.2 - Obligatorio a partir del 1 de abril de 2024 - Notas de transición
El nuevo Catálogo ISA 6.0 es un hito importante para TISAX®. El catálogo de evaluación conlleva ajustes de los requisitos para los proveedores de auditoría, que se definieron en el reglamento TISAX® ACAR 2.2. El cambio del idioma principal al inglés subraya la perspectiva global y los esfuerzos conjuntos para el desarrollo mundial. Están previstas más traducciones de TISAX® VDA 6.0. Los cambios más importantes del nuevo catálogo ISA 6.0 son:Cambios en las etiquetas de seguridad:
- La etiqueta Seguridad de la información se sustituye por las etiquetas Disponibilidad y Confidencialidad. Dependiendo de su función en la cadena de suministro, la Disponibilidad o la Confidencialidad, o ambas, pueden ser relevantes para usted.
- Una etiqueta existente de “Seguridad de la información alta” se sustituirá por las etiquetas combinadas de “Disponibilidad alta” y “Confidencialidad alta”. Lo mismo se aplica a una etiqueta existente de “Seguridad de la información muy alta”. Se sustituirá por “Disponibilidad muy alta” y “Confidencialidad estricta”.
- Ambas etiquetas deben cumplir el mismo conjunto de requisitos básicos. Además, cada etiqueta tiene requisitos específicos para las necesidades de protección alta y muy alta. El proceso de evaluación se rige por las etiquetas, teniendo en cuenta su papel en la cadena de suministro. Por tanto, merece la pena comprobar con sus clientes qué etiquetas son pertinentes para su función.
Mayor atención a la seguridad de la información y los sistemas de OT en la cadena de suministro
- Las empresas pertinentes de la cadena de suministro deben cumplir requisitos de “alta disponibilidad” o “muy alta disponibilidad”.
- Énfasis en los sistemas de Tecnología Operativa (OT) en producción y otras áreas en la evaluación TISAX®.
- Las referencias a IEC 62443-2-1 y los nuevos requisitos del catálogo ISA fomentan el enfoque OT.
- Inclusión de sistemas industriales de comunicación y control (IACS).
- Las empresas de esta categoría deben demostrar una protección adecuada de los datos sensibles en el desarrollo y la producción.
- Muchos de los requisitos se solapan con los de “Alta sensibilidad” o “Muy alta sensibilidad”.
- Las empresas de la cadena de suministro que no son de alta relevancia pero a las que se confía información sensible deben demostrar que esta información puede protegerse adecuadamente.
- Las etiquetas “Alta Confidencialidad” o “Confidencialidad Estricta” se utilizan para seleccionar los requisitos TISAX® que contribuyen a este objetivo de protección.
- El principal objetivo de la evaluación selectiva descrita anteriormente es garantizar que las empresas sólo tengan que cumplir los requisitos del catálogo ISA que sean pertinentes para su función.
Nuevos retos para las empresas de fabricación
- Los sistemas OT deben estar sujetos a una gestión similar a la que se exige generalmente para los sistemas TISAX®.
- Como resultado, la OT en la gestión de activos se identifica con sus riesgos específicos, se analiza en busca de vulnerabilidades potenciales, se gestiona por empleados competentes, se somete a procesos conformes con el SGSI para el mantenimiento remoto y otras mejores prácticas de gestión.
¿Cuáles son las ventajas de una evaluación TISAX® para su empresa?
- Se pueden evitar las evaluaciones duplicadas y múltiples por parte de diferentes clientes, lo que ahorra tiempo y dinero.
- Reconocimiento interempresarial de las evaluaciones para los participantes en TISAX®.
- Resultados fiables gracias al catálogo de evaluación armonizado, que garantiza un proceso de evaluación coherente.
- Mayor confianza en la empresa evaluada gracias a la etiqueta TISAX®.
Tras una evaluación satisfactoria, recibirá una etiqueta TISAX® en la plataforma en línea TISAX®. Esta etiqueta es comparable a un certificado y sirve para reforzar la confianza en su empresa y confirmar sus esfuerzos por garantizar la seguridad de la información.
¿Cómo funciona TISAX®?
Una empresa también puede asumir ambos papeles de participante. Quien desee participar en TISAX® como contribuyente de información debe seguir los cuatro pasos principales siguientes
- Registrarse en línea en www.enx.com/TISAX
- Seleccionar un proveedor de servicios de auditoría aprobado por ENX, como DQS
- Someterse a una evaluación TISAX®
- Intercambiar los resultados de la auditoría en la plataforma online de TISAX®
Si una empresa está interesada en tus resultados TISAX®, puede registrarse en ENX como "Consumidor de información". Puedes decidir para cada Consumidor de Información si quieres compartir tu estado actual de TISAX® con ellos.
¿Cómo funciona una evaluación TISAX®?
Antes de comenzar con la evaluación TISAX®, su empresa debe definir un alcance claro. Esto incluye el nivel de evaluación, que define los requisitos específicos de la evaluación. Estos requisitos pueden incluir asegurar la "disponibilidad" de las capacidades de producción, garantizar la "confidencialidad" de la información confiada o asegurar las "piezas prototipo" y los "datos personales". Estos criterios básicos se aplican a todos los centros incluidos en el ámbito de aplicación.
Un reto clave es combinar centros con requisitos similares en un único ámbito de aplicación. El DQS puede proporcionar una valiosa orientación sobre si se trata de un único ámbito global o de varios. En principio, la combinación de centros en un único ámbito presenta ventajas, como la posible reducción del esfuerzo de auditoría si todos los centros operan con un SGSI centralizado.
En el primer paso, se selecciona un proveedor de servicios de auditoría autorizado. En el segundo paso, hay un inicio, la revisión de documentos (autoevaluación, no in situ) y una evaluación posterior (Nivel 2: no in situ, Nivel 3: in situ).
Tenga en cuenta: existe un método alternativo para realizar una evaluación en el Nivel 2 de evaluación. En lugar de una comprobación de plausibilidad, el proveedor de servicios de auditoría realiza una evaluación remota completa. Este método se denomina a veces «Nivel de evaluación 2.5». La ventaja de un Nivel de Evaluación 2.5 es que el enfoque es metodológicamente compatible con el Nivel de Evaluación 3. Por lo tanto, es posible pasar más adelante a un examen completo de evaluación de nivel 3 con un esfuerzo razonable.
Los resultados de la auditoría TISAX® se registran en un informe provisional. En caso de no conformidad, se acuerdan las medidas que deben aplicarse. Si es necesario, se determina la aplicación de las medidas en un plazo acordado. Este procedimiento garantiza que todos los problemas detectados se aborden con eficacia y prontitud.
Una vez cerradas las no conformidades, se realiza una revisión de la eficacia para validar el cierre de las no conformidades y evaluar la eficacia general de las medidas correctoras adoptadas.
El resultado final se publicará en línea en el portal ENX®. Su empresa figurará entonces como participante en el proceso TISAX® con la etiqueta de prueba correspondiente. A diferencia de otras certificaciones, no existe un certificado TISAX®.
¿Cuánto cuesta la evaluación TISAX®?
Los objetivos de protección, por ejemplo, se refieren a si quiere incluir en la evaluación temas como la protección de prototipos o la protección de datos. Si desea participar en el procedimiento TISAX®, hable con DQS, su proveedor de servicios de auditoría autorizado, lo antes posible. Sólo así podremos determinar el cálculo correcto del alcance de la evaluación y ofrecerle un presupuesto fiable del coste de su certificación TISAX®.
Lo que puede esperar de nosotros
- Más de 35 años de experiencia en la certificación de sistemas y procesos de gestión
- Certificados con aceptación internacional
- Asistencia personal y fluida de nuestros especialistas, a nivel regional, nacional e internacional
- Ofertas individuales con condiciones contractuales flexibles sin costes ocultos