Con una media de 30 000 piezas diferentes necesarias para fabricar un solo vehículo, es fácil imaginar la complejidad de los procesos y la coordinación de la cadena de suministro que se requieren para fabricar automóviles a escala mundial. Estas cadenas de suministro, con innumerables fabricantes y proveedores de servicios externos, constituyen una fuente importante de riesgo para los fabricantes de automóviles. Y las vulnerabilidades del sector no harán más que aumentar con la creciente integración de la tecnología en los vehículos.
Por lo tanto, las empresas y los fabricantes del sector automovilístico a lo largo de toda la cadena de suministro deben estar alerta ante los crecientes riesgos cibernéticos y empresariales. Mediante el uso del marco Trusted Information Security Assessment Exchange (TISAX), junto con otras sugerencias de Prevalent, las empresas pueden estar mejor posicionadas para mitigar las vulnerabilidades presentes en la cadena de suministro automovilística. En este blog, revisaré los riesgos específicos de la cadena de suministro automovilística, identificaré cómo TISAX puede ayudar a proporcionar un marco para abordar esos riesgos y, a continuación, analizaré cómo Prevalent puede ayudar.
La cadena de suministro automotriz
La cadena de suministro automotriz, que incluye la producción y el transporte de diferentes piezas y componentes de automóviles, es necesaria tanto por razones financieras como normativas. La producción de todos los componentes necesarios para un automóvil sería demasiado costosa para una sola empresa. En el ámbito normativo, existen varias leyes (por ejemplo, el proyecto de ley 5606 de la Cámara de Representantes de Michigan (2014)) que impiden a los fabricantes de automóviles vender directamente a los consumidores.
Las recientes disrupciones tecnológicas han llevado a los fabricantes de automóviles a replantearse y reestructurar la cadena de suministro. Por ejemplo, la optimización de los vehículos ha llevado a los fabricantes a utilizar los datos recopilados por los dispositivos de seguimiento para optimizar el rendimiento. Los cambios resultantes en los vehículos a menudo requieren cambios en la cadena de suministro, lo que aumenta la dependencia de los sistemas que no son de fabricantes de equipos originales (OEM) y abre más espacio para posibles riesgos.
Vulnerabilidades cibernéticas
Al igual que todas las industrias modernas, la industria automotriz no es inmune a las amenazas de ciberseguridad. Según un estudio reciente realizado por Synopsys y SAE International, el 30 % de las organizaciones de la industria automotriz no cuentan con un equipo de ciberseguridad establecido, y solo el 63 % prueba la tecnología que producen en busca de vulnerabilidades de seguridad. En julio de 2018, una violación de datos afectó a varios fabricantes de automóviles, entre ellos General Motors, Tesla, Toyota y Ford. En la filtración se robaron más de 47 000 archivos, entre los que se encontraban planos, acuerdos de confidencialidad y otros secretos comerciales sensibles. La filtración se produjo a través de un proveedor externo, Level One Robotics, una empresa especializada en el proceso de automatización para proveedores y fabricantes de automóviles.
TISAX
Una forma de mitigar potencialmente el riesgo en la cadena de suministro automotriz es a través del Trusted Information Security Assessment Exchange (TISAX). El TISAX, desarrollado inicialmente por la Asociación Alemana de la Industria Automotriz (Verband der Automobilindustrie), permite realizar auditorías de seguridad de la información a fabricantes y proveedores de la industria automotriz. El TISAX proporciona a los fabricantes la información necesaria para tomar decisiones informadas en el proceso de fabricación y distribución, al tiempo que gestiona el riesgo de forma adecuada. TISAX sigue construyendo su «comunidad» dentro de la cadena de suministro automovilística con la esperanza de permitir que todos los miembros de la comunidad trabajen a la perfección con total confianza. La certificación TISAX como requisito ha demostrado su eficacia en la gestión de riesgos desde su implementación en Alemania en 2018.
¿Cómo puede ayudar Prevalent?
Debido a la complejidad y los constantes cambios en la cadena de suministro automotriz, es esencial supervisar continuamente a los distintos fabricantes involucrados para gestionar y mitigar los riesgos. Después de todo, un defecto en la cadena de suministro podría dar lugar a un riesgo de marca, financiero, normativo y/o cibernético. La mitigación de los riesgos de la cadena de suministro debe incluir los siguientes pasos:
- Estandarización de una evaluación basada en cuestionarios con un marco común de pruebas proporcionadas por los proveedores y diligencia debida.
- Recopilar respuestas y pruebas de los proveedores en una plataforma centralizada que permite a los fabricantes identificar rápidamente los riesgos en todo su ecosistema de proveedores o a nivel de proveedor.
- Aprovechar una red compartida de cuestionarios estandarizados y validados para proveedores con el fin de acelerar el proceso de identificación y mitigación de riesgos.
- Supervisar continuamente la salud cibernética de las redes de proveedores desde el punto de vista de un hacker para proporcionar visibilidad y orientación sobre cómo subsanar las deficiencias que podrían dar lugar a accesos no deseados, y complementar los resultados de la evaluación basada en cuestionarios para obtener una visión más completa de los riesgos de los proveedores.
- Integrar información sobre riesgos empresariales, como datos financieros de proveedores (cuando estén disponibles), noticias importantes, demandas judiciales o retiradas de productos, que pueden servir como indicio de posibles riesgos cibernéticos futuros.
- Habilitar la remediación con orientación específica para mitigar los riesgos.
- Informes basados en marcos normativos o de cumplimiento (como ISO 27001, etc.) para compartir información de forma transparente con los miembros de la cadena de suministro.
Prevalent ofrece una plataforma unificada creada desde cero para evaluar y supervisar a terceros y proporcionar orientación correctiva para reducir el riesgo. En colaboración con auditorías como TISAX, Prevalent puede proporcionar una visión holística del riesgo de terceros dentro de la industria automotriz. Para obtener más información sobre cómo Prevalent puede ayudarle, póngase en contacto con nosotros para solicitar una demostración hoy mismo.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
