Las nuevas etiquetas TISAX®: qué tener en cuenta

• Condiciones cambiadas - nuevos requisitos
• ¿Por qué se han introducido las nuevas etiquetas TISAX® de Disponibilidad y Confidencialidad?
• Las nuevas etiquetas TISAX®de un vistazo
• Qué etiquetas TISAX®necesitan las empresas
• Objetivos de evaluación, etiquetas y niveles de evaluación: explicación rápida de las diferencias
• Para las certificaciones según el antiguo catálogo ISA, se requiere un análisis GAP
• Las nuevas etiquetas TISAX® - Conclusión
• DQS es su socio de confianza

¿Por qué se han introducido las nuevas etiquetas TISAX® Disponibilidad y confidencialidad?

Los proveedores y prestadores de servicios participan estrechamente en los procesos de desarrollo y producción de los fabricantes de automóviles, pero a veces desempeñan funciones muy diferentes: A algunas empresas se les confía información muy sensible, pero en última instancia no participan en la producción real. Otras suministran componentes de importancia fundamental para la producción de vehículos, pero no conocen los secretos comerciales de la empresa que los encarga.

Para reflejar mejor estas diferentes funciones, la antigua etiqueta "seguridad de la información" se ha dividido en dos nuevas:"disponibilidad" y"confidencial". Los proveedores y prestadores de servicios ya no tienen que cumplir necesariamente todos los requisitos del catálogo 6.0 de la ISA, ya que cada etiqueta sólo representa un subconjunto. Esta división pretende reducir la carga de las empresas y hacer más eficaz el proceso de auditoría.

Sin embargo, hay que señalar que el catálogo de Evaluación de la Seguridad de la Información (ISA) se ha ampliado para incluir varios requisitos adicionales, dado el cambio en el panorama de las amenazas. Además de la protección de los secretos, también debe garantizarse la capacidad de entrega -palabra clave: producción justo a tiempo-, que cada vez está más amenazada por los ataques de ransomware. Por lo tanto, los nuevos requisitos también incluyen medidas de protección más sólidas para los sistemas OT.

Las nuevas etiquetas TISAX® de un vistazo

Para las empresas a las que se confía información sensible, es decir, secretos comerciales o datos personales, existen ahora las etiquetas "Confidencial" y "Estrictamente confidencial". Las etiquetas "Alta disponibilidad" y "Muy alta disponibilidad" están destinadas a los proveedores que desempeñan un papel esencial en la capacidad de suministro de la empresa.

Las medidas que deben aplicarse para las nuevas etiquetas TISAX® -además de los requisitos básicos- están claramente marcadas en el catálogo de evaluación 6.0 de ISA: Para confidencial con una "C", para disponibilidad con una "A". Muchos requisitos están marcados con ambas letras y, por tanto, se aplican a las dos nuevas etiquetas.

"Confidencial"

La etiqueta "Confidencial" se centra en la protección de la información confidencial, cuya divulgación no autorizada puede tener consecuencias negativas considerables, como la pérdida de reputación, la persecución penal o daños financieros.

En los controles del catálogo de la ISA se definen 28 requisitos específicos en la columna "Requisitos adicionales para necesidades de alta protección", marcados con una "C", que deben cumplirse para obtener esta etiqueta.

Los siguientes controles merecen especial atención debido a su esfuerzo de aplicación (requisitos entre paréntesis):

• 3.1.3 (Proteger y eliminar de forma segura la información en dispositivos de soporte como impresoras, trituradoras, cámaras o papel).
• 3.1.4 (Cifrar datos en dispositivos móviles)
• 5.1.1 (Protección jurídica del control sobre los propios datos mediante contratos, especificaciones, garantías, especialmente para el tratamiento externo de datos)
• 5.1.2 (Cifrado de las vías de transporte digital de la información)

Los controles aquí mencionados sólo están marcados con una "C", no con una "A". Esto significa que sólo son relevantes para la confidencialidad. Por lo tanto, estos requisitos no tendrían que cumplirse en un proceso de auditoría que sólo pretenda etiquetar la disponibilidad.

"Estrictamente confidencial"

La etiqueta "Estrictamente confidencial" se centra en la protección de información estrictamente confidencial y secreta, cuya divulgación no autorizada puede tener consecuencias catastróficas o incluso mortales, como graves daños a la reputación, graves consecuencias penales o pérdidas financieras muy elevadas.

En los controles del cuestionario ISA, se definen nueve requisitos específicos en la columna "Requisitos adicionales para necesidades de protección muy elevadas" y marcados con una "C", que deben cumplirse para esta etiqueta -además de los de la etiqueta "Confidencial"-.

Los siguientes controles requieren una atención especial debido a su esfuerzo de aplicación:

• 1.6.1 (Realizar ejercicios periódicos de gestión de incidentes de seguridad de la información y aportar pruebas de ello)
• 4.1.2 (Autenticación de dos factores -o superior- para el acceso a información con requisitos de protección muy elevados)
• 4.2.1 (Cifrado de la información con requisitos de protección especialmente elevados; revisión trimestral de la idoneidad de los derechos de acceso asignados)
• 5.1.2 (Cifrado del contenido de la información para el transporte digital)
• 5.2.4 (Registro del acceso a la información con requisitos de protección especialmente estrictos)
• 5.2.8 (Concepto de copia de seguridad de los datos con ubicaciones alternativas para el almacenamiento y la copia de seguridad)
• 5.3.1 (Comprobación de la seguridad del software desarrollado internamente o para el cliente - durante la implementación, en caso de cambios y a intervalos regulares)

También es esencial señalar la clara distinción con respecto a las etiquetas para la disponibilidad: En concreto, los requisitos enumerados aquí para los controles 4.1.2, 4.2.1, 5.1.2 y 5.2.4 sólo están marcados con una "C". Esto significa que sólo son pertinentes para un proceso de auditoría de la etiqueta "Estrictamente confidencial".

"Alta Disponibilidad"

Las empresas necesitan la etiqueta "Alta disponibilidad" si la disponibilidad de sus propios productos o servicios repercute directamente en la capacidad de producción o entrega de las empresas dependientes, y los fallos provocan daños considerables. Ejemplos comunes son los proveedores "justo a tiempo" de materiales de producción o los proveedores altamente especializados de servicios o materias primas que no pueden sustituirse rápidamente.

En los controles del catálogo ISA 6.0, se definen 36 requisitos en la columna "Requisitos adicionales para necesidades de alta protección", que están marcados con una "A" y, por tanto, deben cumplirse para esta etiqueta.

Los siguientes controles requieren especial atención en el esfuerzo de implantación:

• 1.6.3 (Preparación para situaciones de crisis: Escenarios de crisis, contactos, estrategia de comunicación, simulación periódica de crisis).
• 5.2.8 (Medidas para prevenir interrupciones causadas por amenazas internas -como la protección de copias de seguridad- y cortes de servicios externos, por ejemplo, mediante SLA adecuados)
• 5.2.9 (Concepto de copia de seguridad y recuperación: comprobación periódica de las copias de seguridad y recuperación de prueba)
• 5.3.2 (Supervisión del tráfico de red, análisis de disponibilidad de los servicios centrales)

Los requisitos aquí mencionados sólo están marcados con una "A", es decir, sólo son relevantes para la disponibilidad. Por lo tanto, no es necesario cumplirlos en un proceso de auditoría que sólo pretenda etiquetar la confidencialidad.

"Muy Alta Disponibilidad"

Las empresas necesitan la etiqueta "Muy alta disponibilidad" si la disponibilidad a corto plazo de sus propios productos o servicios afecta gravemente a la capacidad de producción o entrega de las empresas dependientes y los fallos provocan daños considerables. Un ejemplo típico son los proveedores "justo a tiempo", cuyo fallo provocaría una parada rápida y extensa de la producción con un tiempo de reanudación muy largo.

En los controles del catálogo ISA se definen 13 requisitos en la columna "Requisitos adicionales para necesidades de protección muy altas". Estos requisitos están marcados con una "A" y, por tanto, deben cumplirse para esta etiqueta, además de los de la etiqueta "Alta disponibilidad".

Los siguientes controles requieren una atención especial debido a su esfuerzo de implementación:

• 1.6.1 (Realización y presentación de pruebas de ejercicios periódicos de gestión de incidentes de seguridad de la información.
• 1.6.2 (Realización incluso de tipos poco frecuentes de incidentes de seguridad de la información)
• 1.6.3 (Realizar y aportar pruebas de ejercicios regulares para gestionar situaciones de crisis)
• 5.2.6 (Análisis periódico totalmente automatizado de los sistemas informáticos, teniendo en cuenta los sistemas de control OT/industriales)
• 5.2.8 (Concepto de copia de seguridad de los datos con ubicaciones alternativas para el almacenamiento y las copias de seguridad; coordinación de los planes de contingencia propios con los planes de contingencia de los proveedores de servicios externos; estrategias de copia de seguridad con sistemas de sustitución y ubicaciones de sustitución para el almacenamiento y las copias de seguridad a fin de mantener los procesos empresariales)
• 5.2.9 (Comprobación periódica del concepto de copia de seguridad de los datos; ubicaciones de copia de seguridad distribuidas geográficamente; sistemas de copia de seguridad lo más aislados posible con copias de seguridad técnicamente inalterables)
• 5.3.1 (Comprobación de la seguridad de los programas informáticos desarrollados internamente o para el cliente, durante la implantación, en caso de cambios y a intervalos regulares).

Los requisitos de los controles 1.6.2, 1.6.3, 5.2.6 y 5.2.9 enumerados aquí sólo se comprueban durante un proceso de auditoría para la etiqueta de "Muy alta disponibilidad" y, por lo tanto, no son relevantes para la etiqueta TISAX de confidencialidad.

En general, las dos etiquetas de "Disponibilidad" se centran más en el mantenimiento de las capacidades de producción (OT). El conocimiento interno de la empresa sobre las recomendaciones del fabricante de OT, los riesgos de OT y las medidas de seguridad para las redes de OT, así como la gestión de OT, recibirán una mayor atención en la auditoría.

Qué etiquetas TISAX® necesitan las empresas

La cuestión de qué etiquetas se necesitan en la práctica depende, naturalmente, en primer lugar del papel de una empresa en la cadena de suministro. En cada etapa de la cadena de suministro, las empresas deben preguntarse de qué proveedores dependen y a qué proveedores se les confía información sensible.

En consecuencia, la gestión de proveedores que exige TISAX® en cada etapa conduce a unos requisitos de etiquetado específicos para cada función que descienden en cascada por la cadena de suministro. El mecanismo de intercambio, en el que un proveedor puede remitirse a las etiquetas existentes para demostrar el cumplimiento de los requisitos, resulta especialmente útil en este caso. Los resultados de las evaluaciones pueden ponerse a disposición de cualquier parte interesada.

Supongamos que una empresa exige profilácticamente las dos nuevas etiquetas, aunque no necesite la etiqueta de confidencialidad o disponibilidad. En ese caso, sin duda merece la pena mantener otro debate sobre la comprensión mutua de las funciones en vista de los costes de implantación potencialmente significativamente más elevados.
También debe tenerse en cuenta la conexión entre la etiqueta TISAX® y los niveles de evaluación: Las etiquetas "Muy alta disponibilidad" y "Estrictamente confidencial" sólo pueden concederse mediante una evaluación de nivel 3, es decir, mediante una evaluación in situ.

Objetivos, etiquetas y niveles de evaluación: explicación rápida de las diferencias

En la sección anterior hemos utilizado varios términos que aquí explicaremos brevemente y diferenciaremos entre sí:

• Objetivo de evaluación TISAX®: basándose en las especificaciones de sus socios fabricantes, los proveedores utilizan los objetivos de evaluación para determinar qué requisitos deben cumplir en la auditoría.
• Etiqueta TISAX®: Tras superar una auditoría, las empresas reciben la etiqueta TISAX® para el objetivo de evaluación seleccionado en la base de datos TISAX® como confirmación de que han cumplido los requisitos.
• Nivel TISAX®: El cumplimiento de los requisitos se evalúa de forma diferente según el nivel de evaluación. En el nivel 1 se trata de una mera autoevaluación. En el nivel 2, un auditor externo comprueba la verosimilitud de las autoevaluaciones, que se complementa con entrevistas a distancia. En el nivel 3, el auditor comprueba la eficacia in situ.

Para las certificaciones según el antiguo catálogo ISA, se requiere un análisis GAP

Importante para las empresas que aún están certificadas con la antigua etiqueta "Info":

• Para que la fase de transición sea lo menos complicada posible, a las empresas con la etiqueta "Info Alta" se les han asignado automáticamente las etiquetas "Confidencial" y "Alta Disponibilidad" hasta su fecha de caducidad.
• Del mismo modo, la etiqueta "Info Very High" se ha convertido en las etiquetas "Strictly Confidential" y "Very High Availability".

Esto también se aplica a los procesos de auditoría cuyas ofertas fueron aceptadas antes del 1 de abril, y a las ampliaciones de alcance posteriores, que pueden seguir realizándose de conformidad con el antiguo catálogo 5.1 de la NIA.

Sin embargo, debe tenerse en cuenta que las empresas pertinentes deben certificarse de acuerdo con el catálogo de auditoría ISA válido en ese momento una vez que hayan caducado sus etiquetas TISAX®, que son válidas durante tres años. La nueva certificación debe estar disponible en cuanto caduque la antigua etiqueta. Por tanto, se aconseja a los responsables que realicen un análisis de carencias en una fase temprana para aplicar los ajustes al sistema de gestión de la seguridad de la información (SGSI) a tiempo y estar preparados para la próxima auditoría TISAX®.

Para este análisis de deficiencias, la Asociación ENX ha proporcionado un catálogo específico de requisitos en el que se enumeran y marcan en rojo todos los cambios entre la NIA 5.1 y la NIA 6.0. Esto permite a las empresas ver qué nuevos requisitos se han introducido en la NIA 6.0 y cuáles no. De este modo, las empresas pueden ver de un vistazo qué nuevos requisitos se han añadido. Lo que hay que tener en cuenta: Se trata de un documento auxiliar. Para la auditoría, las empresas deben descargar siempre la última versión del catálogo de auditoría ISA del sitio web de ENX.

Destacan los siguientes cambios

• El nuevo Control 1.3.4 puede requerir la inversión en nuevo software, por ejemplo para la gestión de licencias.
• Los controles 1.6.1 y 1.6.2, ampliamente modificados, requieren ahora una respuesta a incidentes coordinada y probada periódicamente.
• El control 3.1.2 ha sido sustituido por los nuevos controles 1.6.3, 5.2.8 y 5.2.9, que imponen una serie de nuevos requisitos relativos a la gestión de crisis, la gestión de la continuidad del negocio y las copias de seguridad de los datos.

Las nuevas etiquetas TISAX® - Conclusión

Las nuevas etiquetas de confidencialidad y disponibilidad deberían garantizar una mayor eficacia en la certificación TISAX® en el futuro, ya que ahora las auditorías se realizan en función de cada función. Esto significa que los proveedores y prestadores de servicios ya no tienen que aplicar todos los requisitos del catálogo. Sin embargo, se observa que deben cumplirse más requisitos para la etiqueta de disponibilidad que para la de confidencialidad. Esto se debe al nuevo enfoque en garantizar la capacidad de entrega y asegurar los entornos OT, que se ha incluido en todos los controles del actual catálogo ISA.

El catálogo revisado y parcialmente ampliado también contiene varios requisitos nuevos, algunos de los cuales sólo pueden cumplirse con cierto esfuerzo y el correspondiente plazo de entrega. Por lo tanto, se recomienda un análisis temprano de las deficiencias para las empresas con certificaciones según el antiguo catálogo, ya que "sólo" han recibido las nuevas etiquetas mediante la conversión automática de la antigua etiqueta de seguridad de la información.

Los clientes que han recibido sus etiquetas en el pasado como parte de un procedimiento de muestreo rotativo (SGA rotativo) se enfrentan a retos particulares. Por razones de costes, estas empresas desean cambiar al procedimiento de muestreo real (SGA basado en muestras) en el último año de validez de la etiqueta. Por lo tanto, deben completar la Evaluación SGA rotativa en el tercer año, convertir su SGSI al nuevo catálogo ISA y completar la Evaluación SGA basada en muestras antes de que caduque la etiqueta para poder prorrogarla sin problemas.

DQS es su socio de confianza

TISAX® - al igual que ENX VCS para Ciberseguridad de Vehículos - fue desarrollado por la Asociación ENX. DQS está autorizada por ENX como proveedor de servicios de evaluación y, por tanto, puede llevar a cabo evaluaciones en todo el mundo, además de contar con la certificación TISAX®. Y como muchos de nuestros auditores TISAX® también están acreditados para la norma internacional de seguridad de la información ISO 27001, podemos evaluar ambas normas al mismo tiempo y con menos esfuerzo adicional. Esperamos poder hablar con usted.

Nota: El acceso a TISAX® se realiza a través del registro de participantes, que debe realizarse en línea en el portal ENX. Este es el requisito previo para poder contratar a un proveedor de servicios de evaluación homologado como DQS.

Confianza y experiencia

Nuestros textos y folletos están redactados exclusivamente por nuestros expertos en normas o auditores con una larga trayectoria. Si tiene alguna pregunta sobre el contenido de los textos o los servicios que ofrecemos a nuestro autor, póngase en contacto con nosotros.