Mitigar los riesgos de terceros en la cadena de suministro de la automoción

El 30% de las organizaciones de la industria automovilística no cuenta con un equipo de ciberseguridad establecido, y sólo el 63% pone a prueba la tecnología que produce en busca de vulnerabilidades de seguridad.

Personal de Mitratech
Personal de Mitratech Agosto 14, 2019 5 minutos de lectura
Decorative image

Con una media de 30.000 piezas diferentes necesarias para fabricar un solo vehículo, puede imaginarse los complejos procesos y la coordinación de la cadena de suministro necesarios para fabricar automóviles a escala mundial. Estas cadenas de suministro, con innumerables terceros fabricantes y proveedores de servicios, constituyen una importante fuente de riesgo para los fabricantes de automóviles. Y las vulnerabilidades del sector no harán sino aumentar con la creciente integración de la tecnología en los vehículos.

Por tanto, las empresas de automoción y los fabricantes de toda la cadena de suministro del sector deben estar atentos a los crecientes riesgos cibernéticos y empresariales. Utilizando el marco The Trusted Information Security Assessment Exchange (TISAX), junto con otras sugerencias de Prevalent, las empresas pueden estar mejor posicionadas para mitigar las vulnerabilidades presentes en la cadena de suministro de la automoción. En este blog revisaré los riesgos específicos de la cadena de suministro de la automoción, identificaré cómo TISAX puede ayudar a proporcionar un marco para hacer frente a esos riesgos y, a continuación, discutiré cómo Prevalent puede ayudar.

La cadena de suministro del automóvil

La cadena de suministro del automóvil, que incluye la producción y el transporte de diferentes piezas y componentes de automóviles, es necesaria tanto por razones financieras como normativas. Producir todos los componentes necesarios para un automóvil sería demasiado costoso para una sola empresa. Desde el punto de vista normativo, existen varias leyes (por ejemplo, el proyecto de ley 5606 de la Cámara de Representantes de Michigan (2014)) que impiden a los fabricantes de automóviles vender directamente a los consumidores.

Los recientes trastornos tecnológicos han llevado a los fabricantes de automóviles a replantearse y reestructurar la cadena de suministro. Por ejemplo, la optimización de los vehículos ha llevado a los fabricantes a utilizar los datos recogidos de los dispositivos de seguimiento para optimizar el rendimiento. Los cambios resultantes en los vehículos a menudo requieren cambios en la cadena de suministro, lo que aumenta la dependencia de sistemas no OEM (fabricante de equipos originales) y abre más espacio para posibles riesgos.

Vulnerabilidades cibernéticas

Como todas las industrias modernas, la del automóvil no es inmune a las amenazas a la ciberseguridad. Según un estudio reciente realizado por Synopsys y SAE International, el 30% de las organizaciones de la industria automotriz no tienen un equipo de seguridad cibernética establecido, y solo el 63% prueba la tecnología que producen para detectar vulnerabilidades de seguridad. En julio de 2018, una violación de datos afectó a varios fabricantes de automóviles, incluidos General Motors, Tesla, Toyota y Ford. Más de 47,000 archivos fueron robados en la brecha, incluidos planos, acuerdos de no divulgación y otros secretos comerciales confidenciales. La violación se produjo a través de un proveedor externo, Level One Robotics, una empresa especializada en el proceso de automatización para proveedores y fabricantes de automóviles.

TISAX

Una forma de mitigar potencialmente el riesgo en la cadena de suministro de la automoción es a través del Intercambio de Evaluación de Seguridad de la Información de Confianza (TISAX, por sus siglas en inglés). TISAX, desarrollado por primera vez por la Asociación Alemana de la Industria del Automóvil (Verband der Automobilindustrie), permite realizar auditorías de seguridad de la información a fabricantes y proveedores de la industria del automóvil. TISAX proporciona a los fabricantes la información necesaria para tomar decisiones con conocimiento de causa en el proceso de fabricación y distribución, gestionando los riesgos en consecuencia. TISAX sigue construyendo su "comunidad" dentro de la cadena de suministro de la automoción con la esperanza de permitir que todos los integrantes de la comunidad trabajen sin problemas y con total confianza. Tener la certificación TISAX como requisito ha demostrado ser eficaz en la gestión de riesgos desde que se implementó en Alemania en 2018.

¿Cómo puede ayudar Prevalent?

Debido a la complejidad y a los constantes cambios de la cadena de suministro de la automoción, la supervisión continua de los distintos fabricantes implicados es esencial para gestionar y mitigar los riesgos. Al fin y al cabo, un defecto en la cadena de suministro podría suponer un riesgo para la marca, financiero, normativo y/o cibernético. La mitigación de los riesgos de la cadena de suministro debe incluir los siguientes pasos:

  1. Normalización de una evaluación basada en un cuestionario con un marco común de pruebas aportadas por el proveedor y diligencia debida.
  2. Recopilación de respuestas y pruebas de los proveedores en una plataforma central que permita a los fabricantes identificar rápidamente los riesgos en todo su ecosistema de proveedores o a nivel de proveedor.
  3. Aprovechar una red compartida de cuestionarios de proveedores estandarizados y validados para acelerar el proceso de identificación y mitigación de riesgos.
  4. Supervisión continua de la salud cibernética de las redes de los proveedores desde el punto de vista de un pirata informático para proporcionar visibilidad y orientación sobre la corrección de las deficiencias que podrían dar lugar a accesos no deseados, y para añadir a los resultados de la evaluación basada en cuestionarios una imagen más completa de los riesgos de los proveedores.
  5. Integrar la inteligencia de riesgos empresariales -como los datos financieros de los proveedores (cuando estén disponibles), los principales acontecimientos noticiosos, las demandas judiciales o las retiradas de productos- que pueden ser un anticipo de los posibles riesgos cibernéticos futuros.
  6. Permitir la corrección con orientaciones específicas para mitigar los riesgos.
  7. Presentación de informes según el marco normativo o de cumplimiento (como ISO 27001, etc.) para compartirlos de forma transparente con los miembros de la cadena de suministro.

Prevalent ofrece una plataforma unificada creada desde cero para evaluar y supervisar a terceros y proporcionar orientación correctiva para reducir el riesgo. Al trabajar junto con auditorías como TISAX, Prevalent puede proporcionar una visión holística del riesgo de terceros en el sector de la automoción. Para obtener más información sobre cómo puede ayudarle Prevalent, póngase en contacto con nosotros para una demostración hoy mismo.

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.