Evaluación TISAX® - Seguridad de la información en la industria del automóvil
Reconocimiento mutuo entre todos los participantes en TISAX®
Los proveedores y prestadores de servicios logran una mayor confianza en su empresa auditada
La evaluación para la certificación TISAX® tiene lugar sólo cada tres años
Ahorro de tiempo y costos al participar en la red TISAX®
Información básica sobre la evaluación TISAX
ISA también hace referencia a ISO/SAE 62443-2-1 para sistemas de control industrial para la automatización y monitoreo de instalaciones de producción industrial (IACS) y tecnologías operativas (OT).
Además, los órganos responsables de la Asociación Alemana de la Industria del Automóvil (VDA) han creado las condiciones para establecer el mecanismo de evaluación e intercambio conjunto bajo el nombre de TISAX® (Trusted Information Security Assessment eXchange). TISAX® es una marca registrada de la Asociación ENX. La Asociación de fabricantes automotrices europeos, proveedores automotrices y asociaciones automotrices supervisa la calidad de las evaluaciones TISAX® y controla la aprobación de los proveedores de servicios de auditoría TISAX®.
Más de 10.000 ubicaciones han sido evaluadas según TISAX®, lo que convierte a este estándar en el segundo
Conjunto de reglas para la seguridad de la información más implementado en todo el mundo después de ISO 27001. VDA y ENX ha formado grupos de trabajo internacionales para TISAX® y el catálogo ISA para desarrollar aún más el estándar. Al mismo tiempo, esto promueve una cooperación más estrecha con la industria automotriz mundial. Con TISAX 6.0, el formulario actualizado del procedimiento de evaluación e intercambio se publicó en el otoño de 2023.
TISAX® 2.2 - Obligatorio a partir del 1 de abril de 2024 - Notas de transición
El nuevo Catálogo ISA 6.0 es un hito importante para TISAX®. El catálogo de evaluación conlleva ajustes de los requisitos para los proveedores de auditoría, que fueron definidos en la normativa TISAX® ACAR 2.2. El cambio del idioma principal al inglés subraya la perspectiva global y los esfuerzos conjuntos para el desarrollo mundial. Están previstas más traducciones de TISAX VDA 6.0.
Los cambios más importantes del nuevo catálogo ISA 6.0 son
Cambios en las etiquetas de seguridad:
- La etiqueta de Seguridad de la Información se reemplaza por las etiquetas de Disponibilidad y Confidencialidad. Dependiendo de su rol en la cadena de suministro, la disponibilidad o la confidencialidad o ambas pueden ser relevantes para usted.
- Una etiqueta existente de "Seguridad de la información alta" será reemplazada por las etiquetas combinadas de "Disponibilidad alta" y "Confidencial". Lo mismo se aplica a una etiqueta de Seguridad de la Información Muy Alta existente. Será reemplazado por "Disponibilidad muy alta" y "Estrictamente confidencial".
- Ambas etiquetas deben cumplir el mismo conjunto de requisitos básicos. Además, cada etiqueta tiene requisitos específicos para necesidades de protección alta y muy alta. El proceso de evaluación está impulsado por las etiquetas, teniendo en cuenta su papel en la cadena de suministro. Por lo tanto, vale la pena consultar con sus clientes qué etiquetas son relevantes para su función.
Mayor enfoque en la seguridad de la información y los sistemas OT en la cadena de suministro.
- Las empresas relevantes en la cadena de suministro deben cumplir requisitos de "alta disponibilidad" o "muy alta disponibilidad".
- Énfasis en sistemas de Tecnología Operacional (OT) en producción y otras áreas en la evaluación TISAX®.
- Las referencias a IEC 62443-2-1 y los nuevos requisitos del catálogo ISA promueven el enfoque en OT.
- Inclusión de Sistemas de Control y Comunicación Industrial (IACS).
- Las empresas de esta categoría deben demostrar una protección adecuada de los datos confidenciales en el desarrollo y la producción.
- Muchos de los requisitos se superponen con "Alta Sensibilidad" o "Muy Alta Sensibilidad".
- Las empresas de la cadena de suministro que no son muy relevantes pero a las que se les confía información confidencial deben demostrar que esta información puede protegerse adecuadamente.
- Las etiquetas "Confidencial" o "Estrictamente confidencial" se utilizan para seleccionar los requisitos TISAX® que contribuyen a este objetivo de protección.
- El objetivo principal de la evaluación selectiva descrita anteriormente es garantizar que las empresas sólo tengan que cumplir con los requisitos del catálogo de ISA que sean relevantes para su función.
Nuevos desafíos para las empresas manufactureras
- Los sistemas OT deben estar sujetos a una gestión similar a la que generalmente se requiere para los sistemas IT TISAX®.
- Como resultado, la OT en la gestión de activos se identifica con sus riesgos específicos, se analiza en busca de posibles vulnerabilidades, se gestiona por empleados competentes, se somete a procesos compatibles con el SGSI para el mantenimiento remoto y otras mejores prácticas de gestión.
¿Cuáles son los requisitos de TISAX®?
El catálogo VDA ISA específico para la industria está disponible en su versión 5.1 desde el 2022. Esta versión es obligatoria para todas las auditorías de TISAX® desde enero de 202. Los requisitos de la norma internacional e intersectorial para la seguridad de la información ISO 27001, a su vez, contribuyen, entre otras cosas, a que las empresas miren más allá de la protección de los sistemas técnicos de IT, especialmente, a todos los activos corporativos que deben protegerse.
¿Cómo funciona TISAX®?
Una empresa también puede asumir ambos papeles de participante. Quien desee participar en TISAX® como contribuyente de información debe seguir los cuatro pasos principales siguientes
- 1. Registrarse en línea en www.enx.com/TISAX
- 2. Seleccionar un proveedor de servicios de auditoría aprobado por ENX, como DQS
- 3. Someterse a una evaluación TISAX
- 4. Intercambiar los resultados de la auditoría en la plataforma online de TISAX®.
Si una empresa está interesada en sus resultados de TISAX, puede registrarse en ENX como "Consumidor de información".
Puede decidir para cada Consumidor de información si desea compartir su estado actual de TISAX con ellos.
¿Cómo funciona una evaluación TISAX®?
Antes de comenzar con la evaluación TISAX®, su empresa debe definir un alcance claro. Esto incluye el nivel de evaluación, que define los requisitos de evaluación específicos. Estos requisitos pueden incluir garantizar la "disponibilidad" de las capacidades de producción, garantizar la "confidencialidad" de la información confiada o asegurar las "piezas prototipo" y los "datos personales". Estos criterios de referencia se aplican a todos los sitios dentro del alcance.
Un desafío clave es combinar sitios con requisitos similares en un solo alcance. DQS puede proporcionar una valiosa guía de diseño sobre si debe ser un alcance integral único o múltiples alcances. En principio, combinar sitios bajo un alcance tiene ventajas en forma de una posible reducción en el esfuerzo de auditoría si todos los sitios operan bajo un SGSI centralizado.
Como participante de TISAX®, primero debe registrarse en línea. Luego, ENX asignará el ID del alcance. Por favor tenga en cuenta que existen tarifas de servicio asociadas con este proceso de registro, que se cobrarán por cada ubicación dentro de su alcance.
En el primer paso, se selecciona un proveedor de servicios de auditoría aprobado. En el segundo paso, hay kick-off, la revisión de documentos (autoevaluación, no in situ) y una evaluación posterior (Nivel 2: no in situ, Nivel 3: in situ).
Tenga en cuenta: Existe un método alternativo para realizar una evaluación en el Nivel de evaluación 2. En lugar de una verificación de plausibilidad, su proveedor de servicios de auditoría realiza una evaluación remota completa. Este método a veces se denomina "Nivel de evaluación 2.5". La ventaja de un Nivel de evaluación 2.5 es que el enfoque es metodológicamente compatible con
Los resultados de la auditoría TISAX® se registran en un informe intermedio. En caso de no conformidades, medidas a implementar estarán acordadas. Si es necesario, se determina la implementación de las medidas dentro de un plazo acordado. Este procedimiento garantiza que todos los problemas identificados se aborden con eficacia y prontitud.
Una vez cerradas las no conformidades, se realiza una revisión de efectividad para validar el cierre de las no conformidades y evaluar la eficacia general de las acciones correctivas tomadas.
El resultado final se publicará online en el portal ENX®. Su empresa aparecerá entonces como participante en el proceso TISAX® con la etiqueta de prueba correspondiente. A diferencia de otras certificaciones, no existe certificado TISAX®.
¿Cuánto cuesta la certificación ISO 22163?
Los objetivos de protección, por ejemplo, son si desea incluir temas como la protección de prototipos o la protección de datos en la evaluación. Si desea participar en el procedimiento TISAX®, hable con DQS, su proveedor de servicios de auditoría autorizado, lo antes posible. Esta es la única manera en que podemos determinar el cálculo correcto para el alcance de la evaluación y brindarle una cotización confiable del costo de su certificación TISAX®.
Que puede esperar de nosotros
- Más de 35 años de experiencia en la certificación de sistemas y procesos de gestión
- Certificados con reconocimiento internacional
- Asistencia personalizada y fluida de nuestros especialistas, a nivel regional, nacional e internacional
- Ofertas individuales con condiciones contractuales flexibles sin costos ocultos