TISAX, Trusted Information Security Assessment Exchange, es la certificación y estándar de seguridad de la información de la industria automotriz compuesto por tres niveles. En el siguiente artículo descubrirás qué es tisax, porqué deberías obtener la certificación, a quién se aplica, el proceso, niveles y un enfoque de seguridad centrado en los datos a través de identificar y minimizar los riesgos de ciberseguridad sobre la información.
La industria automovilística es un sector altamente competitivo y colaborativo donde la información confidencial se intercambia continuamente entre clientes y proveedores pertenecientes a la cadena de suministro. La Asociación Alemana del Automóvil (VDA) intentó estandarizar los requisitos de seguridad de la información dentro del entorno de automoción entre diferentes socios a través de un cuestionario de seguridad (ISA) que finalmente condujo a TISAX®.
En las siguientes secciones, describimos cómo un enfoque de seguridad centrado en los datos puede ayudar a incrementar la seguridad en el intercambio de información confidencial en este sector y obtener niveles más altos de evaluación TISAX®.
TABLA DE CONTENIDOS
- 1. ¿Qué es TISAX®?
- 2. ¿Por qué TISAX®?
- 3. ¿A quién se aplica?
- 4. Relación con ISO 27001 y EU-GDPR
- 5. El proceso TISAX®
- 6. Alcance de la evaluación y los niveles de TISAX®
- 7. Un enfoque de seguridad centrado en los datos para el cumplimiento de TISAX®
- 8. Protección CAD.
- 9. Cómo SealPath ayuda con el cumplimiento de® TISAX
- 10. Conclusiones.
¿QUÉ ES TISAX®?
El sector del automóvil es particularmente activo en Europa en relación con la creación de asociaciones con el objetivo, entre otros, de refinar y definir normas adaptadas a sus necesidades específicas. Uno de ellos es la Asociación Alemana de la Industria del Automóvil (VDA).
TISAX® (Trusted Information Security Assessment Exchange) es un estándar de seguridad de la información desarrollado específicamente para el sector de la automoción y los requisitos de esta industria. TISAX® proporciona eficiencia en la reducción de los esfuerzos para establecer y controlar los requisitos de seguridad de la información en el campo del intercambio de información confidencial entre las empresas clientes y proveedoras de la industria automotriz.
TISAX® es una marca registrada de la Asociación ENX, formada por fabricantes y proveedores del sector automovilístico europeo. ENX actúa como una organización de gobierno en el ámbito de TISAX®: Aprueba a los proveedores de auditoría y supervisa la calidad de la implementación, así como los resultados de la evaluación. TISAX® se basa en el cuestionario de Evaluación de Seguridad de la Información (ISA) de VDA.
¿POR QUÉ TISAX®?
Imagine dos empresas del sector de la automoción que cooperan entre sí como cliente y proveedor. Estas empresas intercambian información confidencial y desean asegurarse de que su información esté adecuadamente protegida. ¿Cómo pueden saber que, además de firmar ciertos acuerdos de confidencialidad (NDAs: Non-Disclosure Agreements), su documentación se gestiona de forma segura?
En este caso, surgen las preguntas: ¿Qué es seguro? ¿Cómo demostrar que la información se gestiona de forma segura? Algunas empresas, para evaluar la madurez en la gestión de la seguridad de la información, requerían cuestionarios de evaluación a sus proveedores, u otras auditorías in situ. Las empresas de VDA aplicaban diferentes estándares de seguridad y tenían diferentes opiniones sobre su interpretación.
En lugar de crear procesos individuales y soluciones a este problema, se propuso la creación de un estándar que, si bien implica un esfuerzo adicional, proporciona eficiencia frente a la reutilización posterior por parte de empresas con el mismo problema. De esta manera, el informe de un auditor podría ser reutilizado para diferentes socios comerciales.
La respuesta a qué es seguro y cómo se demuestra que la información se gestiona de forma segura en el sector de la automoción viene dada por TISAX®.
¿A QUIÉN SE APLICA TISAX®?
TISAX® se aplica a las empresas que desean operar con éxito en la industria de automoción como socio o proveedor de fabricantes de automóviles. Estar certificado en TISAX® no es algo obligatorio en el ámbito legal, pero lo cierto es que sin demostrar el cumplimiento en TISAX®, es prácticamente imposible trabajar con alguno de los principales fabricantes.
Por ejemplo, un cliente puede determinar que un proveedor es «relevante para TISAX®» cuando trabaja con sus datos confidenciales, o tiene acceso a sus sistemas de información, o recibe dibujos con propiedad intelectual, etc. Un proveedor diferente puede ser relevante para TISAX® por parte del cliente si trabaja con prototipos o con datos personales del cliente en cuestión.
TISAX® puede tener un doble aspecto para una empresa. Como fabricante, debe solicitar la evaluación de TISAX® a sus proveedores. O como proveedor, para compartir su nivel de cumplimiento con un cliente para el que trabaja.
RELACIÓN CON ISO 27001 Y EU-GDPR
ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. Se puede implementar en cualquier tipo de organización, privada o pública, grande o pequeña.
TISAX® se creó en base a la norma ISO 27001 y, en lo que respecta a los requisitos de seguridad de la información, son prácticamente idénticos. Adicionalmente, TISAX® cubre otras áreas como la protección de prototipos y la protección de datos, esta última relacionada con el Reglamento Europeo de Protección de Datos (EU-GDPR), donde existen requisitos en el campo de la protección de datos personales derivados de EU-GDPR.
TISAX® es una adaptación de la iso 27001 para el sector de la automoción, y sus requisitos coinciden en gran medida con los de la norma ISO 27001. Sin embargo, dependiendo del nivel TISAX® al que aspire, puede ser necesario cumplir con requisitos adicionales, por ejemplo, en el campo de la protección de prototipos o la protección de datos.
A diferencia de una auditoría ISO 27001, TISAX® es una autoevaluación, aunque dependiendo del nivel requerido a alcanzar será necesario involucrar a un auditor externo acreditado de forma independiente por ENX.
PROCESO TISAX®
Por lo general, el proceso comienza cuando un cliente potencial solicita que pruebe un cierto nivel definido de administración de seguridad de la información, de acuerdo con el VDA-ISA. Para completar el proceso, debe seguir los siguientes pasos:
- 1. Registro en TISAX®: Dar la información sobre la empresa y los datos para la evaluación.
- 2. Evaluación: Realizar la evaluación o evaluaciones, de forma autónoma o realizadas por uno de los proveedores de auditoría TISAX® validados por ENX.
- 3. Intercambio: Compartir el resultado de la evaluación con sus socios comerciales.
ALCANCE DE LA EVALUACIÓN Y NIVELES DEL TISAX®
Para realizar la evaluación de seguridad de la información, ya sea una autoevaluación o por un auditor, debe comenzar en algún lugar y terminar en algún lugar. Es decir, el alcance.
Existen diferentes tipos de alcance: estándar y a medida (ampliado a medida, reducido a medida). La definición del alcance estándar está predefinida, y no es necesario pensar en una definición propia.
El alcance estándar cubre todos los procesos y recursos involucrados en la sede (por ejemplo, oficinas, plantas de producción, centros de desarrollo, centros de datos) sujetos a requisitos de seguridad. Los procesos y recursos involucrados (por ejemplo, equipos de trabajo, empleados, sistemas de TI, servicios en la nube, plataformas, sede física, contratistas relevantes, etc.) incluyen la recopilación de información, el almacenamiento de información y el procesamiento de información.
Hay ocho objetivos de evaluación de TISAX® dentro del alcance y al menos uno debe ser seleccionado.
Objetivos de TISAX® |
1. Información que necesita una alta protección |
2. Información que necesita una protección muy alta |
3. Protección de piezas y componentes prototipo |
4. Prototipo de protección del vehículo |
5. Manipulación de vehículos de prueba |
6. Protección de prototipos durante eventos y filmaciones o sesiones fotográficas |
7. Protección de datos |
8. Protección de datos con categorías especiales de datos personales |
Los objetivos de evaluación y las «etiquetas TISAX®» son más o menos lo mismos. Si se supera la evaluación para algunos objetivos, se obtienen las correspondientes «Etiquetas TISAX®».
Cuantos mayores sean las necesidades de protección, más interés tendrá el socio en asegurarse de que sea seguro permitirle manejar su información. TISAX® diferencia tres «niveles de evaluación» (AL). Un mayor nivel de evaluación se traduce en una mayor intensidad de evaluación y en el uso de los métodos de auditoría necesarios.
Las evaluaciones reflejan uno de los tres niveles diferentes de protección: Nivel 1 (normal), Nivel 2 (alto) y Nivel 3 (muy alto):
- Nivel 1 (AL 1): Las valoraciones en este nivel son principalmente para fines internos. No se requiere evidencia. Tienen un bajo nivel de confianza y no se utilizan en TISAX®, pero su pareja puede requerir esta evaluación fuera de TISAX®.
- Nivel 2 (AL 2): El auditor pide pruebas de la autoevaluación, realizando entrevistas por videoconferencia.
- Nivel 3 (AL 3): Requiere controles más extensos con inspección in situ y entrevistas en persona.
Objetivos de TISAX® | Nivel de evaluación |
Información que necesita una alta protección | AL 2 |
Información que necesita una protección muy alta | AL 3 |
Protección de piezas y componentes prototipo | AL 3 |
Prototipo de protección del vehículo | AL 3 |
Manipulación de vehículos de prueba | AL 3 |
Protección de prototipos durante eventos y filmaciones o sesiones fotográficas | AL 3 |
Protección de datos | AL 2 |
Protección de datos con categorías especiales de datos personales | AL 3 |
Objetivos de TISAX® y nivel de evaluación requerido
Método | Nivel 1 (AL 1) | Nivel 2 (AL 2) | Nivel 3 (AL 3) |
Autoevaluación | Sí | Sí | Sí |
Evidencia | No | Comprobación de verosimilitud | Verificación exhaustiva |
Entrevistas | No | Por teleconferencia | En persona, in situ |
Inspección in situ | No | Si se solicita | Sí |
Métodos de evaluación para cada nivel de evaluación de TISAX®
TISAX® no requiere que todos los requisitos se apliquen a todos sus proveedores. Por ejemplo, si de acuerdo con su política de seguridad, el correo electrónico convencional no se puede utilizar para datos que necesitan una protección muy alta, su proveedor de correo electrónico no necesita la etiqueta TISAX® con una necesidad muy alta de protección.
LA AUTOEVALUACIÓN BASADA EN VDA-ISA
La autoevaluación de la ISA (descargar el documento de autoevaluación de la ISA; v5.1) tiene tres catálogos de criterios, con preguntas de control agrupadas en 7 capítulos.
- Seguridad de la Información: 7 capítulos. 42 preguntas.
- Protección del prototipo: 1 capítulo. 12 preguntas.
- Protección de datos: 1 capítulo. 4 preguntas.
Para cada cuestión de control, se marca el objetivo a alcanzar, detallando aquellos objetivos obligatorios, opcionales, añadidos para necesidades de protección elevadas y adicionales para necesidades de protección muy elevadas.
El formulario se contesta indicando el nivel de madurez en el SGSI vigente de la empresa en relación con el objetivo marcado. ISA distingue 6 niveles de madurez.
Nivel | Título | Descripción |
0 | Incompleto | No hay proceso, o el proceso no logra los objetivos porque no se sigue o no es adecuado. |
1 | Realizado | Se sigue un proceso indocumentado o incompletamente documentado y hay indicadores de que se han alcanzado los objetivos. |
2 | Gestionado | Se sigue un proceso que logra los objetivos. La documentación del proceso y la evidencia de la implementación del proceso están disponibles. |
3 | Establecido | Se sigue un proceso estándar integrado en el sistema global. Se documentan las dependencias de otros procesos y se han creado las interfaces necesarias. Hay pruebas de que el proceso se ha utilizado de manera sostenible y activa durante un período prolongado. |
4 | Predecible | Se sigue un proceso establecido. La efectividad del proceso se monitorea continuamente, recopilando cifras clave. Se han definido valores límite a partir de los cuales el proceso no es lo suficientemente eficaz y requiere ajustes. (Indicadores clave de rendimiento) |
5 | Optimizado | Se sigue un proceso predecible con la mejora continua como objetivo principal. La mejora es impulsada activamente por recursos específicos. |
La siguiente tabla muestra los tres catálogos de criterios con los diferentes capítulos y sub-capítulos. La cantidad de preguntas de control se detalla entre paréntesis.
UN ENFOQUE DE SEGURIDAD CENTRADO EN LOS DATOS PARA TISAX®
Como se ha comentado anteriormente, entre los objetivos de TISAX® se encuentran la gestión de la seguridad en el intercambio de información con alta y muy alta necesidad de protección, y la protección de datos personales.
Los controles de seguridad sobre los datos se basan en un enfoque de seguridad que enfatiza la seguridad de los datos en sí sobre la seguridad de los dispositivos, aplicaciones, servidores o redes.
Hay varios elementos clave para un sistema de seguridad eficaz centrado en los datos:
- Identificación, descubrimiento y clasificación de información confidencial: El objetivo es determinar qué tipos de datos priorizar sobre otros cuando se trata de protegerlos. No todo debe ser protegido, sino aquellos cuya pérdida puede suponer un problema para la organización.
- Protección centrada en datos: estos controles se centran en asegurar el contenido valioso de la organización para que pueda protegerse independientemente de dónde se encuentre: en la red de la empresa, en los equipos de un socio o proveedor, etc.
- Auditoría y seguimiento del acceso a los datos: Nos permite ver quién accede a la información, con qué permisos, desde dónde, si alguien intenta acceder sin permisos, etc.
- Administración y gestión de políticas de datos: Quién debe o no debe tener permisos de acceso a datos no es algo que se establezca de forma estática y duradera. Debe ser posible aplicar políticas dinámicas sobre los datos para que si dejas de colaborar con alguien o si se detecta que una determinada persona puede estar en riesgo podamos revocar el acceso a los mismos.
SealPath es una solución de seguridad centrada en datos que permite proteger, monitorizar y controlar la documentación crítica y confidencial de la organización:
- La documentación viaja con una protección persistente que le acompaña a donde quiera que vaya, tanto dentro de la red como en la infraestructura de un socio.
- Permite protección en tránsito, en reposo y en uso. El remitente de la documentación no tiene que descifrarla o desprotegerla para trabajar con ella.
- Es posible limitar los permisos en la documentación: solo ver, editar, copiar y pegar, imprimir, agregar usuarios o control total. Puedo ver y editar un documento, pero no extraer su contenido ni imprimirlo.
- Supervisar el acceso a la documentación protegida, si alguien intenta acceder al documento sin permiso, la desprotección de archivos, etc.
- Te permite revocar el acceso a los datos, de forma que, si finalizas un determinado proyecto con un partner, puedes evitar que accedan a la documentación protegida aunque la tengan en sus manos.
- Con SealPath, el proceso de protección comienza con la identificación y priorización de la documentación a proteger, estableciendo controles basados en el ciclo de vida de la documentación.
- La protección se puede automatizar en función del nivel de clasificación de un documento, pudiendo aplicar una protección de forma automática y sin intervención del usuario si el fichero está etiquetado como Confidencial, etc.
- También puede automatizar la protección de la documentación almacenada en carpetas de red, en una biblioteca de documentos en SharePoint/OneDrive, Box u otras aplicaciones en la nube.
Estas características permiten tanto el cifrado como el control de información con necesidades de protección altas o muy altas cuando se intercambia con un socio y facilitan el cumplimiento de TISAX® cuando un cliente nos proporciona su información o datos confidenciales o personales.
EL RETO DE PROTEGER CAD
La industria de la automoción es un sector complejo, las empresas colaboran con una amplia variedad de proveedores y clientes y la propiedad intelectual tiene que viajar fuera de la empresa. Podemos tener visibilidad de lo que está sucediendo con los datos dentro de la organización, pero esto es mucho más complicado cuando se trata de rastrear el acceso a nuestra información o protegerla a lo largo de toda la cadena de suministro.
En este contexto, y como hemos visto en el origen de VDA ISA o la necesidad detrás de TISAX®, es fundamental poder proteger la propiedad intelectual contenida en formato digital tanto dentro como fuera de la organización. La información sensible está en diferentes formatos. Desde documentación en formato Word, Excel o PDF, imágenes y, por supuesto, CAD. Una buena parte de la propiedad intelectual se encuentra en los diseños CAD 2D y 3D que necesitan ser compartidos tanto internamente como con colaboradores externos. Es fundamental mantener esta información protegida para evitar riesgos de fugas de amenazas internas o externas.
La documentación con contenido confidencial que puede ser protegida dentro del ámbito de TISAX® es:
- Documentación de soporte con detalles de piezas, componentes, que se intercambiarán con clientes, proveedores o socios de fabricación.
- Resultados de investigación que pueden ser patentados, que almacenamos en todo tipo de formatos digitales (Word, Excel, PDFs, etc.).
- CAD se gestiona en herramientas como AutoCAD, Siemens Solid Edge, Inventor, CATIA, SolidWorks, etc., que contienen detalles de componentes que deben compartirse interna y externamente.
- Datos de precios que deben intercambiarse con socios de distribución en diferentes mercados.
- Propuestas que se realizan a clientes donde compiten con otras empresas y que contienen información sensible y ventajas competitivas de la empresa.
- Guías internas de calidad relacionadas con los procesos productivos de la empresa y donde se recoge el know-how a nivel de proceso.
- Información para auditores, manteniendo los datos compartidos protegidos y con control de acceso.
La diferencia de los archivos con CAD en comparación con un documento Word o PDF es que son archivos que pueden integrar múltiples partes, con referencias a archivos de terceros (por ejemplo, el diseño de un motor está formado por el diseño de las múltiples partes de éste). Estos archivos suelen gestionarse en PDM/PLM (Product Data Management/Product Lifecycle Management) en aplicaciones no especialmente preparadas para trabajar con datos cifrados o derechos digitales.
SealPath, además de poder aplicar los controles descritos en el apartado anterior sobre documentación, permite proteger CAD independientemente de su ubicación, pudiendo controlar quién accede, cuándo, con qué permisos (ver el diseño o modificarlo, pero no imprimirlo ni guardarlo desprotegido). Con SealPath es posible incluir limitaciones de acceso a los diseños en función de la dirección o establecer fechas de caducidad para que tras un acuerdo o un plazo, el socio ya no tenga acceso a los diseños protegidos.
Todo esto hace que la solución sea especialmente útil en el campo de TISAX® ya que en la industria automotriz gran parte de la propiedad intelectual se almacena en dibujos CAD.
CÓMO SEALPATH AYUDA AL CUMPLIMIENTO DE® TISAX
Esta sección muestra cómo el enfoque de seguridad centrado en datos de SealPath ayuda a cumplir con ciertos requisitos de TISAX®. La siguiente tabla muestra aquellos capítulos donde SealPath puede dar una respuesta satisfactoria a las preguntas de control de plata en el cuestionario VDA-ISA.
Un enfoque de seguridad centrado en los datos como SealPath permite que la documentación confidencial viaje con una capa persistente de seguridad que la acompaña dondequiera que vaya, pudiendo mantener la protección de los datos en reposo, tránsito y uso más allá del perímetro de seguridad de la organización. SealPath ayuda en el cumplimiento de TISAX® para aumentar el nivel de madurez requerido por sus socios en el sector automotriz.
Para detalles completos de cómo SealPath puede ayudar en el cumplimiento de cada una de las preguntas de control de VDA-ISA, obtén el eBook “Cumplimiento de TISAX® con SealPath” aquí.
En la siguiente tabla incluimos una relación entre las preguntas de control VDA-ISA y las funcionalidades de SealPath. Para obtener más detalles, descargue el libro electrónico o póngase en contacto con SealPath.
TABLA RESUMEN DE LOS REQUISITOS DE VDA-ISA Y LAS CARACTERÍSTICAS DE SEALPATH
NOTAS:
- Permisos granulares: Políticas dinámicas con permisos granulares (ver, editar, imprimir, copiar y pegar, etc.) para usuarios y grupos.
- Controles avanzados: Controles avanzados sobre el acceso a datos con marcas de agua, control IP, fechas, etc.
- Privilegios mínimos: Acceso por privilegio mínimo dando solo los permisos mínimos necesarios a quienes los necesitan y no a otros.
- Revocación: revocación de permisos en documentos, usuarios, grupos o directivas.
- Cifrado: Protección de la información mediante la posibilidad de gestión de claves a través de HSM (Hardware Security Module).
- Gestión avanzada de políticas: Posibilidad de delegar políticas a gestores de datos, multi-organización (múltiples inquilinos con diferentes administradores, políticas, etc. para la misma empresa), capacidad de recuperación de políticas eliminadas.
- Monitoreo y auditoría: Seguimiento del acceso a la documentación, intentos de acceso bloqueados, alertas sobre falta de protecciones, etc.
- Datos clasificados: Protección automática de datos clasificados basada en reglas de administrador.
- Servidores de ficheros, SharePoint y Cloud: Protección automática de la información en carpetas de red, SharePoint o repositorios en la nube.
- DLP: Protección automática de la información descubierta o detectada por un DLP o sistema de identificación de documentación.
- SIEM: Posibilidad de enviar logs a un SIEM (Security Information Management System) para disponer de eventos de seguridad para el acceso a información confidencial.
- MDM: Integración con MDM (Mobile Device Management) para la distribución de la aplicación SealPath para móviles y control y protección de datos en dispositivos móviles.
- AD (SSO, MFA): Integración con sistemas como AD (Active Directory), LDAP, multifactor authentication y Single-Sign-On.
Descubra aquí 5 casos de Integración y Automatización de tecnologías de seguridad de datos.
CONCLUSIONES
Como se mencionó anteriormente, TISAX® proporciona eficiencia cuando se trata de reducir los esfuerzos en el control de la seguridad de la información entre los socios del sector de automoción en relación con la transferencia y el intercambio de información confidencial. En esta área, es necesario aplicar medidas para garantizar que la información recibida de un cliente sea tratada manteniendo la privacidad y la seguridad. Desde otro punto de vista, estas medidas permiten controlar la seguridad de la información cuando los datos corporativos se encuentran en la red de otro socio.
Un enfoque de seguridad centrado en los datos como SealPath permite que la documentación confidencial viaje con una capa persistente de seguridad que la acompaña dondequiera que vaya, pudiendo mantener la protección de los datos en reposo, tránsito y uso más allá del perímetro de seguridad de la organización.
SealPath ayuda en el cumplimiento de TISAX® para aumentar el nivel de madurez requerido por sus socios en el sector automotriz. Póngase en contacto con nosotros para obtener más información sobre cómo SealPath puede ayudarle a alcanzar un alto nivel de madurez en el campo® TISAX.
«SealPath es la herramienta perfecta para garantizar la protección efectiva de los datos sensibles independientemente de su ubicación y le permite cumplir con la normativa de protección de datos en nuestro sector. »
Director de Seguridad de la Información. Empresa multinacional.