TISAX® - Respuestas a preguntas importantes

CONTENIDO

• ¿Qué significa TISAX®?
• ¿Cuáles son las ventajas de TISAX®?
• ¿Quién controla TISAX®?
• ¿Qué es un nivel de evaluación?
• ¿Es TISAX®también para las empresas que no son fabricantes?
• ¿Certificación TISAX® sin requisito del cliente?
• ¿Es el contenido de TISAX® análogo al de la ISO 27001?
• ¿Se puede realizar una combinación de TISAX® e ISO 27001?
• ¿Cómo se define el alcance de la evaluación TISAX®?
• ¿Cuánto tiempo duran las evaluaciones individuales?
• ¿Qué son las no conformidades mayores y menores?
• ¿Sustituirá TISAX® a la protección de prototipos VDA?
• ¿Qué puede hacer DQS por mí?

¿Qué significa TISAX®?

TISAX® - Trusted Information Security Assessment eXchange

TISAX® es un procedimiento de evaluación e intercambio común para el sector del automóvil. Se basa en un cuestionario de seguridad de la información (ISA - Information Security Assessment) desarrollado por el grupo de trabajo "Seguridad de la Información" de la VDA, que fue utilizado por primera vez por las empresas miembros de la Asociación Alemana de la Industria del Automóvil (VDA) para las auditorías de proveedores y prestadores de servicios en cuyas empresas se procesa información sensible. La versión 5.1 del cuestionario VDA ISA está disponible desde el 2022. Desde enero 2022, esta versión es obligatoria para todas las nuevas TISAX^®-evaluaciones. Trabajar con el nuevo catálogo de TISAX^®  debería ser más fácil y eficiente, tanto para usuarios como para auditores

Además, TISAX® se basa en los requisitos esenciales de la norma internacionalmente reconocida para la seguridad de la información ISO 27001. Es aplicable a todos los sectores y define los requisitos, reglas y métodos para garantizar la seguridad de la información dentro de una empresa. En sus requisitos, la norma va más allá de la protección de los sistemas técnicos de TI e incluye todos los activos corporativos dignos de protección, por ejemplo, los locales, los controles de seguridad y los archivos. En otras palabras: La ISO 27001 garantiza la protección de toda la información de valor para una organización.

¿Cuáles son las ventajas de TISAX®?

• TISAX® crea un nivel uniforme de seguridad de la información en la industria del automóvil
• Los resultados de la evaluación se reconocen entre todos los participantes de TISAX®, lo que conduce a una mayor confianza en las empresas auditadas
• Se evita la duplicación innecesaria y las auditorías múltiples mediante el reconocimiento mutuo en la red TISAX®.
• La evaluación para la certificación T ISAX® tiene lugar sólo cada tres años, lo que ahorra tiempo y dinero

¿Quién controla TISAX®?

TISAX® es una marca registrada de la Asociación ENX, con sede en Fráncfort del Meno y París. Como organismo neutral, se encarga de la aplicación de TISAX®. ENX es la asociación de fabricantes y proveedores de automóviles europeos y cuatro asociaciones nacionales de automoción, incluida la VDA, que fundaron ENX en 2000. La asociación ENX supervisa la calidad de la implantación y concede la aprobación a los proveedores de servicios de evaluación según un estricto procedimiento. DQS figura en la lista de ENX como proveedor de servicios de auditoría aprobado y puede realizar evaluaciones en todo el mundo. Nuestros expertos están siempre disponibles para responder a sus preguntas.

Para lograr el reconocimiento mutuo de las evaluaciones por parte de los participantes, ENX celebra los correspondientes contratos con todos los proveedores de servicios de auditoría aprobados, así como con los participantes en la red TISAX®. Mediante la estandarización y el control de calidad, ENX logra el reconocimiento común de los resultados de las evaluaciones entre todos los participantes. Se evita la duplicación innecesaria y las evaluaciones múltiples.

Preguntas y respuestas sobre TISAX®: ¿Qué es un nivel de evaluación?

TISAX® distingue tres niveles de evaluación (requisitos de protección), en función de la protección requerida: normal (nivel 1), alto (nivel 2) y muy alto (nivel 3). De ello depende el método y el esfuerzo de auditoría.

Nivel 1: Autoevaluación sin comprobación de plausibilidad, normalmente sólo con fines internos. Los resultados de esta evaluación sólo tienen una importancia limitada y no se utilizan en TISAX®.

Nivel 2: Comprobación de plausibilidad de su autoevaluación por parte de un proveedor de servicios de auditoría como DQS. Estas auditorías de seguridad de la información suelen realizarse en forma de conferencia telefónica, no como auditorías in situ, a menos que se aplique uno de los objetivos de la auditoría de protección del prototipo o que usted lo solicite explícitamente.

La novedad es un método alternativo para realizar una evaluación en el Nivel de Evaluación 2. En lugar de la comprobación de plausibilidad, el proveedor de servicios de auditoría realiza una prueba remota completa. Este método se denomina a veces "Nivel de evaluación 2.5". La ventaja es que el enfoque es metodológicamente compatible con el Nivel de Evaluación 3. Por tanto, es posible pasar más adelante a un examen completo del nivel de evaluación 3 con un esfuerzo razonable.

Nivel 3: Comprobación de la plausibilidad de su autoevaluación por parte de un proveedor de servicios de auditoría mediante una auditoría in situ exhaustiva y en profundidad.

¿Es la introducción de TISAX® también una necesidad para las empresas que no son fabricantes?

La respuesta a esta pregunta depende del contexto de su empresa: La necesidad de implantar TISAX® depende de su OEM (fabricante de equipos originales), o de si éste le exige esta prueba de seguridad de la información. A menos que el fabricante de automóviles se dirija específicamente a usted, o que vea un cambio en las condiciones generales, se recomienda esperar y ver. En el pasado, el fabricante de automóviles se ponía en contacto con las empresas para informarles de los requisitos para una mayor cooperación cuando era necesario. Sin embargo, por supuesto, es usted quien debe informarse de forma proactiva con sus socios de la industria del automóvil.

¿Tiene sentido esforzarse por obtener la certificación TISAX® incluso sin que el cliente lo exija?

Adoptar un enfoque proactivo en el tema de la seguridad de la información tiene mucho sentido hoy en día, y no sólo para los proveedores de la industria del automóvil. Si su OEM no especifica (todavía) qué etiqueta TISAX® se espera de usted, es una buena idea demostrar el nivel 3 (nivel de evaluación 3: seguridad de la información muy alta). De este modo, estará preparado para todos los requisitos futuros sin tener que duplicar el trabajo. 

Otra alternativa es la norma ISO/IEC 27001, reconocida en todo el mundo, que ofrece una buena introducción a la seguridad de la información en todos los sectores. La norma se encuentra actualmente en proceso de revisión, y la versión revisada se espera para finales de 2022.

¿El contenido de TISAX® es análogo al de la norma ISO 27001?

El catálogo de evaluación TISAX® se deriva de la norma internacional ISO 27001 y se basa en los "controles" (medidas) definidos en ella. Describen cómo se pueden aplicar los respectivos requisitos (debe, debería), cómo se deben garantizar los procesos y qué herramientas se pueden utilizar. Una diferencia clave entre las dos normas es que TISAX® exige que se alcance un determinado nivel de madurez.

¿Se recomienda una auditoría combinada de TISAX® e ISO 27001?

Una auditoría combinada es definitivamente posible y puede ser realizada por DQS en cualquier momento. Muchos de los auditores de TISAX® en DQS son también auditores autorizados para ISO 27001, lo que significa que ambas evaluaciones de seguridad de la información pueden llevarse a cabo al mismo tiempo con poco esfuerzo adicional.

¿Tengo que estar certificado según la norma ISO 27001 antes de utilizar TISAX®?

La respuesta a esta pregunta es: No. Porque no es necesario que ya exista un sistema de gestión de la seguridad de la información certificado conforme a la norma ISO 27001. Para la evaluación TISAX®, sólo hay que demostrar que se trabaja según un sistema de gestión de la seguridad de la información y que los procesos y procedimientos correspondientes están implantados de forma estable en la empresa. Esta evaluación la realiza el auditor, que también utiliza los documentos para asignar un nivel de madurez.

¿Cuáles son las ventajas de tener ya una certificación ISO 27001?

Si ya puede acreditar un certificado ISO 27001, por supuesto que siempre es una ventaja. Aunque sólo sea porque para TISAX®hay que demostrar que se tiene una gestión de la seguridad de la información implantada y ambos conjuntos de normas tienen una cobertura similar.

Pero tenga en cuenta: La definición del alcance de la auditoría TISAX® puede diferir de la definición requerida para la certificación ISO 27001. Los conceptos subyacentes no son idénticos. Para las organizaciones más grandes, también se puede considerar el registro de múltiples alcances de auditoría.

¿Es la "definición de proceso" de ISO 9001 análoga a TISAX®?

La respuesta a esta pregunta es "sí". En principio, la definición y la estructura de los procesos en los conjuntos de normas correspondientes es siempre la misma. El catálogo de evaluación de TISAX® también establece de forma bastante específica a partir de qué controles se deben determinar los KPI y a partir de cuáles no. La creación de KPI está respaldada con ejemplos para garantizar la seguridad de la información en la industria del automóvil. Por lo tanto, un vistazo al cuestionario VDA ISA ayuda a obtener una primera visión general.

¿Se recomienda un responsable de seguridad informática para la implantación de TISAX®?

No es obligatorio que el responsable de la implantación de TISAX® provenga del departamento de TI. Sin embargo, dado que se trata de procesos apoyados por TI, es sin duda ventajoso tener algunos conocimientos de TI.

¿Cómo puedo definir el alcance de la evaluación de TISAX®?

ENX ofrece un alcance estándar que es adoptado por el 90% de los participantes en TISAX®. El alcance por defecto está predefinido y no se puede cambiar. Si durante la preparación de su evaluación encuentra que el ámbito estándar no se ajusta, puede ajustar el ámbito de su examen bajo ciertas circunstancias. En casos particulares, los OEM pueden exigir el ámbito ampliado. Sin embargo, estos casos especiales son raros y serán discutidos en detalle con usted por el respectivo OEM. Normalmente, el alcance estándar es suficiente. Es la base de una evaluación TISAX® y es aceptada por todos los participantes.

¿Es suficiente un ámbito de evaluación para todos los centros?

Un único ámbito de aplicación que incluya todos los centros ofrece ventajas, pero también desventajas.

Ventajas

• Sólo un resultado de inspección, un informe de inspección, una fecha de caducidad
• Reducción de costes, ya que los procesos, procedimientos y recursos centrales sólo deben evaluarse una vez

Desventajas

• El resultado de la auditoría sólo está disponible después de que todos los centros hayan sido evaluados
• El resultado de la auditoría depende de que todos los centros la superen, es decir, si sólo un centro no supera la auditoría, no recibirá un resultado de auditoría positivo

Para las empresas con muchas sedes, el procedimiento habitual de evaluación de TISAX® puede ser bastante extenso. Bajo ciertas condiciones, ofrecemos una alternativa: la "evaluación simplificada de grupo" (SGA). La evaluación de grupo simplificada es un caso especial del procedimiento de evaluación TISAX®. Si se cumplen los requisitos, puede reducir el esfuerzo en comparación con la evaluación TISAX® normal. Este procedimiento especial de evaluación TISAX® es para empresas con al menos tres sedes y un sistema de gestión de la seguridad de la información (SGSI) centralizado y muy desarrollado. Este apéndice describe en qué circunstancias puede beneficiarse de la evaluación de grupo simplificada y cómo puede llevar a cabo el proceso de evaluación especial.

¿Puede aislarse el alcance de la evaluación, por ejemplo, a los "empleados críticos para la seguridad"?

ENX responde a esta pregunta sobre TISAX® de forma inequívoca: Todos los empleados que estén en contacto con información sensible de la industria del automóvil deben estar incluidos en el alcance. También puede tratarse, por ejemplo, de un operario de maquinaria que trabaje con el plan de construcción de un cliente. Su empresa debe definir por sí misma qué empleados participan en procesos que son relevantes para la seguridad de la información.

¿Es cierto que con ENX hay que presentar primero la solicitud de auditoría TISAX® y sólo entonces se puede seleccionar el proveedor de la auditoría?

Sí, esto es correcto. Tras su registro en línea en www.enx.com/tisax/ y la aprobación del alcance de la evaluación por parte de ENX, recibirá una lista de todos los proveedores de servicios de evaluación aprobados. Sin embargo, también puede ver la lista por adelantado en ENX. DQS figura como proveedor de servicios en ENX y puede realizar evaluaciones en todo el mundo. Si tiene preguntas y respuestas sobre la seguridad de la información en la industria del automóvil, no dude en ponerse en contacto con nuestros expertos.

¿Tiene algún sentido una investigación si el nivel de madurez es demasiado bajo?

Si en una autoevaluación determina que su empresa aún tiene que ponerse al día en materia de seguridad de la información, una solicitud de evaluación no tiene sentido por el momento. Se recomienda que primero cierre las brechas identificadas y luego considere una auditoría.

¿Cuánto duran las evaluaciones individuales?

La respuesta a la pregunta sobre la duración de las evaluaciones individuales depende del tamaño de su empresa y de los desplazamientos que conlleva la auditoría de sus centros. Para una empresa de tamaño medio, bastan 2-3 días in situ para el proceso de evaluación.

¿Cuánto tiempo tarda una empresa en ser considerada certificada?

El proceso completo de auditoría de TISAX® puede durar un máximo de nueve meses. Comienza con la auditoría inicial y termina con la última auditoría de seguimiento. Si el proceso de evaluación no puede completarse en el periodo especificado, no recibirá la etiqueta TISAX®.

Si su empresa cumple todos los criterios o sólo muestra pequeñas no conformidades, el informe de evaluación se envía a ENX. Una vez aceptado, recibirá su etiqueta TISAX® (temporal). Si hay no conformidades importantes que deben ser rectificadas primero, la etiqueta será válida a partir del día en que se considere que la no conformidad ha sido rectificada.

Preguntas y respuestas sobre TISAX®: ¿Qué son las etiquetas TISAX®?

Las etiquetas son el resultado del proceso de evaluación y resumen su resultado. Están vinculadas jerárquicamente entre sí. Es decir, si recibes una determinada etiqueta, recibes automáticamente las "etiquetas inferiores" a ella. Las etiquetas sólo pueden verse en el portal ENX. Su periodo de validez suele ser de tres años.

¿Qué son las no conformidades mayores y menores?

Una no conformidad mayor es cuando la no conformidad plantea dudas sobre la eficacia general de su sistema de gestión de la seguridad de la información o cuando provoca riesgos significativos para la seguridad de la información. Este es el caso, por ejemplo, si se requiere la identificación de dos factores y aún no se ha implementado.

Existe una no conformidad menor, por ejemplo, si la no conformidad no pone en duda la eficacia general de su sistema de gestión de la seguridad de la información ni supone un riesgo significativo para la seguridad de la información en el sector del automóvil. Por ejemplo, errores aislados o esporádicos y deficiencias de implementación.

¿También tengo que presentar pruebas de la eficacia de las medidas individuales?

La respuesta es "sí". Una vez que haya creado su catálogo de medidas y las haya implantado, se verificará su eficacia. Por este motivo, el proceso de certificación también prevé un periodo de nueve meses.

¿Cómo puedo determinar el número de empleados "por adelantado"?

Concretamente: ¿Cómo puedo determinar el número exacto de empleados por adelantado si no se pueden contratar empleados adicionales hasta después de la firma del contrato con nuestro cliente?

El rango en el que se clasifican los empleados para TISAX® es significativamente mayor que para la norma internacional ISO 27001. TISAX® clasifica el número de empleados, por ejemplo, en 0-50, 51-150, etc. Por lo tanto, si se sabe aproximadamente cuántos empleados nuevos se van a contratar, se puede situar en un rango adecuado.

¿Cuántos documentos deben estar disponibles para cumplir con TISAX®?

No es posible hacer una afirmación general en este caso. Siempre depende del tamaño y la actividad de su empresa. En teoría, se puede abarcar todo en un solo documento, siempre que se tenga una visión general clara. Sin embargo, es aconsejable crear varios documentos que cubran temas relacionados.

¿Sustituirá TISAX® a la protección de prototipos VDA?

Dado que TISAX® incluye un módulo separado para la protección de prototipos, que entra en mucho más detalle sobre los criterios individuales que antes, se puede suponer que a largo plazo TISAX® sustituirá a los anteriores conjuntos de normas para la seguridad de la información en la industria del automóvil. En la actualidad, sin embargo, sigue siendo válida la versión 3.0 de protección de prototipos de la VDA de 2018.

Preguntas y respuestas sobre TISAX® - ¿Qué puede hacer DQS por mí?

DQS figura en la lista de ENX como proveedor de servicios de auditoría aprobado y puede realizar evaluaciones en todo el mundo. Muchos de nuestros auditores de TISAX^®son también auditores aprobados para la norma internacional ISO 27001, lo que significa que ambas normas pueden ser evaluadas por DQS al mismo tiempo y con poco esfuerzo adicional. Nuestros expertos estarán encantados de responder a sus preguntas sobre la seguridad de la información en la industria del automóvil. Estaremos encantados de hablar con usted.

Experiencia y confianza

Nuestros artículos técnicos están redactados exclusivamente por nuestros expertos en normas y auditores de larga duración. Si tiene alguna pregunta sobre el contenido o nuestros autores, no dude en ponerse en contacto con nosotros.