TISAX
Contenido ocultar
1 Introducción
2 Cómo funciona
3 Beneficios
4 Cómo se desarrollaría el proyecto
5 Compatibilidad con otros sistemas de gestión ISO
Consúltenos
Los datos que nos facilita se utilizarán exclusivamente para atender su solicitud. Si desea ampliar información, visite https://www.encolaboracion.net/aviso-legal/
En las redes

TISAX. TRUSTED INFORMATION SECURITY ASSESSMENT EXCHANGE

Introducción

Los procesos de una organización dependen principalmente de la información y los sistemas de información, y su procesamiento seguro. La seguridad de la información es más que asegurar la infraestructura técnica, significa la seguridad de todo el flujo de información. Esta es una tarea central de la gestión de cualquier organización.

La interconexión y la globalización del futuro digital en la industria automotriz tiene numerosas ventajas, pero los riesgos internos y externos para las organizaciones también están aumentando. Para contrarrestarlos, deben establecerse medidas de protección adecuadas. Por consiguiente, la digitalización de los procesos organizacionales más allá de las fronteras de las organizaciones requiere un nivel comparable de seguridad de la información para todos los implicados, que se garantice a lo largo de toda la cadena de valor.

Los expertos de la industria automotriz colaboran en el Grupo de Trabajo de Seguridad de la Información de la Asociación Alemana de la Industria Automotriz (VDA) para desarrollar normas comunes y medidas de protección adecuadas. Uno de los principales resultados de esta cooperación es una norma industrial para las evaluaciones de seguridad de la información, el catálogo de evaluación de la seguridad de la información de la VDA (ISA).

La VDA recomienda que las empresas que participan en la cadena de valor de la industria automotriz establezcan la seguridad de la información basada en la ISA de la VDA.

Desde 2017 TISAX (Trusted Information Security Assessment Exchange) es un estándar de seguridad de la información para la industria automotriz de Alemania.

Un gran número de fabricantes de automóviles y proveedores de la industria automotriz alemana exigen a sus proveedores que se certifiquen en TISAX.

Las organizaciones miembros de la VDA han compilado un catálogo derivado de la norma internacional ISO 27001 y lo han adaptado a los requisitos del mundo del automóvil.

Cómo funciona

Los participantes en TISAX pueden desempeñar dos funciones: proporcionar y/o acceder a la información de evaluación. Los participantes activos son evaluados y proporcionan el resultado de la evaluación respectiva a otros participantes a través de TISAX Exchange. Los participantes pasivos pueden solicitar los resultados de la evaluación de otros participantes a través de TISAX Exchange y acceder a esos resultados a través del Portal ENX cuando la solicitud haya sido confirmada. Cada participante puede asumir ambas funciones al mismo tiempo, según sea necesario. TISAX no distingue entre estos roles.

Beneficios

  • Se facilita la renovación de las relaciones con los proveedores existentes.
  • Se posibilita la creación de nuevas conexiones comerciales a través del reconocimiento de toda la industria.
  • Transparencia en los precios de las evaluaciones.
  • Creación competencia entre los proveedores de auditoría.
  • Establecimiento de un nivel común de seguridad de la información en la industria.
  • Permite el reconocimiento común de los resultados de las evaluaciones.
  • Ahorra costes y esfuerzos con los fabricantes y proveedores.

Cómo se desarrollaría el proyecto

En un proyecto de implantación de TISAX se desarrollarían las siguientes actividades:

  • Definición del alcance. Se definen los procesos y actividades protegidas en términos de seguridad de la información. Adicionalmente, se elabora la política en la materia.
  • Análisis de los riesgos. Se identifican los activos que soportan los procesos y actividades incluidos en el alcance (servicios, información, hardware, software, comunicaciones, personas, emplazamientos, …), sus vulnerabilidades y las amenazas a las que están expuestos.
  • Gestión de los riesgos. A partir del resultado del análisis (aprobado por la Dirección) se gestionan los riesgos:
    • Reduciéndolos mediante medidas de seguridad. La relación de medidas aplicables (conocida como Declaración de aplicabilidad) debe ser aprobada por la Dirección.
    • Eliminándolos (p.e. Eliminando el activo).
    • Aceptándolos de forma consciente y objetiva por parte de la Dirección.
    • Transfiriéndolos a un tercero.
      Se planifican las acciones, los recursos, los plazos, las responsabilidades, las prioridades y los indicadores adecuados para gestionar los riesgos de la seguridad de la información.
      La concienciación y capacitación de las personas es un aspecto clave.
  • Ejercicio, mantenimiento y revisión. El sistema de gestión de la seguridad de la información debe revisarse a intervalos planificados para garantizar su permanente adecuación a la organización:
    • Se deben realizar auditorías internas independientes.
    • La Dirección debe realizar una revisión del sistema de gestión de la seguridad de la información.

Compatibilidad con otros sistemas de gestión ISO

TISAX se basa en un sistema de gestión de la seguridad de la información ISO 27001 y se puede integrar con el resto de los sistemas de gestión ISO y especialmente con sistemas de gestión de la calidad (ISO 9001), gestión del servicio (ISO 20000-1) y continuidad de negocio (ISO 22301).

Haga click, si desea conocer nuestros servicios en materia de gestión de la ciberseguridad o seguridad de la información.