DQS México-La Autoevaluación: El primer paso del proceso TISAX

La Autoevaluación – ¿En qué consiste?

Es importante que antes de la evaluación TISAX, la organización demuestre que se encuentra lista, para esto tendrá que llevar a cabo una autoevaluación. Esta evaluación identificará si su sistema de gestión de seguridad de la información se encuentra en óptimas condiciones.

Recuerde que una autoevaluación tiene que ser realizada por los responsables de la organización, las personas encargadas deberán comparar el estado en el que se encuentra actualmente el sistema y el estado que se desea alcanzar, esto marca un punto de referencia para conocer el nivel de madurez que se tiene.

Es importante que, durante esta fase, las personas involucradas en la evaluación tengan una visión objetiva, esto evitará tener conclusiones sesgadas; una autoevaluación debe proporcionarnos información veraz, que se pueda emplear para detectar las posibles fallas y en un futuro se puedan tomar decisiones informadas.

Cuando llevamos a cabo este tipo de evaluaciones, debemos establecer criterios que guíen a la organización durante esta fase, en este caso, se deben seguir los parámetros que VDA ISA proporciona.

¿Qué es VDA ISA?

Es la base sobre la cual TISAX se apoya para definir el nivel de madurez del sistema de gestión. VDA ISA es un catálogo que recopila aspectos y criterios relacionados con el tema de la seguridad de la información y que tienen su aplicación en la industria automotriz. Lo que sustenta a VDA ISA es que retoma los principios de la norma internacional ISO 27001, lo que permite a las organizaciones asegurar que cumple con los más altos estándares en este tema.

Debido a que TISAX se basa en esta evaluación, es necesario que su organización esté al tanto de la versión más reciente del catálogo de VDA ISA al momento de realizar su autoevaluación, esto podrá hacerlo visitando https://www.vda.de/en/topics/safety-and-standards/information-security/information-security-requirements para estar al tanto de cualquier cambio. Al momento en que se redacta esta entrada, la versión actual del catálogo es la 4.1.1, publicada en mayo de 2019.

Aspectos importantes del manual de “Evaluación de seguridad de la información VDA ISA” para TISAX

Los niveles de madurez

Como ya mencionábamos, determinar el nivel de madurez del sistema es fundamental para conocer el estatus en el que la organización se encuentra, para esto VDA ISA ofrece seis criterios para determinar este aspecto. Los cuales son:

• 0 – Incompleto: Es cuando se detecta que el sistema no ha sido implementado o el proceso como tal no funciona.
• 1 – Implementado: No hay evidencia que respalde los resultados de que el proceso funciona.
• 2 – Gestionado: El proceso está documentado y funciona, pero para alcanzar un mismo objetivo hay diferentes procesos.
• 3 – Establecido: En este nivel, el proceso está funcionando y se cuenta con la evidencia necesaria.
• 4 – Previsible: Cuenta con los mismo que el nivel 3, pero su proceso es medible.
• 5 – Optimizado: tienen las mismas características del nivel 4, pero el personal dedicado es responsable de las mejoras continuas.

Conducir la autoevaluación

En el catálogo de VDA ISA podrá encontrar diversos criterios que son aplicables. Para definir cómo estos criterios aplican a su organización, es necesario que conozca con claridad los objetivos de la evaluación, así como el nivel de madurez que coincide con el estado actual del sistema gestión de seguridad de la información. Esta información es importante porque podrá conocer con claridad los resultados que tiene con respecto a cada criterio.

El resultado de la autoevaluación

Cuando se terminan de evaluar todos los criterios, la organización obtiene un resultado general del estado en el que se encuentra la seguridad de la información. La puntuación máxima que se puede alcanzar del nivel de madurez del sistema es 3. Este resultado funciona de la siguiente manera, cada pregunta que se realiza se pondera a partir de nivel de madurez del objetivo, estos varían entre el 2 y el 4, pero la mayoría de ellos son 3.

Por ejemplo, si usted ha definido que para cierta pregunta su nivel de madurez es de 2, entonces el resultado que obtenga de su autoevaluación debe ser 2 o mayor, en caso de que el resultado fuera menor es posible que no reciba etiquetas TISAX.

VDA ISA ofrece un formato en Excel que la organización puede descargar para desarrollar su autoevaluación, en este documento podrá encontrar los distintos puntos aquí mencionados. Puede descargarlo aquí: https://www.vda.de/en/services/Publications/information-security-assessment.html

La importancia de la autoevaluación para comenzar con TISAX

La autoevaluación no es sólo una herramienta que le permite conocer las condiciones en las que se encuentra actualmente su sistema de gestión de seguridad de la información, también es su llave de entrada para que una tercera parte comience su evaluación en TISAX.

Cuando la empresa ha seleccionado a su proveedor de auditoría TISAX (DQS le ofrece este servicio) ésta deberá basarse en la autoevaluación previamente realizada, para preparar su evaluación TISAX, es por eso que es importante que la organización tenga disponible con anticipación su información, para que el auditor cuente con la datos necesarios para planear su procedimiento de evaluación.

¡Tome en cuenta! Sólo empresas que están avaladas por TISAX-ENX podrán brindar el servicio de auditorías TISAX. DQS de México se enorgullece de ser parte de los pocos proveedores de auditoría TISAX que brindan este servicio.