TISAX y gestión de riesgos de ciberseguridad en la cadena de suministro

Siga estas cinco prácticas recomendadas para simplificar el cumplimiento de TISAX.

Personal de Mitratech
Personal de Mitratech 25 de abril de 2024 9 minutos de lectura
Decorative image

TISAX (Trusted Information Security Assessment Exchange) es una norma de seguridad de la información desarrollada por la Asociación Alemana de la Industria Automovilística (VDA)
y gestionada por la Asociación ENX. Desde su introducción en 2017, los fabricantes de automóviles, los fabricantes de piezas y los proveedores de toda Europa, y cada vez más a nivel mundial, han adoptado ampliamente TISAX para garantizar un nivel uniforme de seguridad de la información dentro del sector.

Dado que TISAX exige un examen exhaustivo de los controles de seguridad de la información, los fabricantes de automóviles y los proveedores de piezas deben desarrollar una estrategia de evaluación de riesgos y supervisión continua que se ajuste a sus requisitos para permitir una mayor resiliencia cibernética en las cadenas de suministro automovilísticas mundiales.

Esta publicación examina los retos de seguridad de la información en la industria automotriz, los controles de seguridad de la información y los requisitos de cumplimiento de TISAX, y las mejores prácticas para simplificar el cumplimiento de TISAX.

Desafíos de seguridad de la información en la industria automotriz

TISAX se desarrolló para abordar los retos y necesidades específicos en materia de seguridad de la información en la industria automotriz.

Requisitos de seguridad variados

Por lo general, cada fabricante de automóviles desarrolla sus propias normas de seguridad de la información y aplica estos requisitos a sus proveedores. Este enfoque exigía a los proveedores cumplir con múltiples criterios de seguridad, a veces contradictorios.

Fatiga de auditoría

Sin una norma común, los proveedores se veían sometidos a múltiples auditorías por parte de diferentes fabricantes, cada uno de los cuales evaluaba la seguridad de la información basándose en sus propios criterios. Esto no solo era repetitivo, sino que también suponía un gran gasto de recursos para los proveedores.

Cadenas de suministro globales

La industria automotriz se caracteriza por cadenas de suministro complejas y globales en las que participan numerosos socios y proveedores de diferentes regiones. Gestionar la seguridad de la información de manera uniforme en una red tan extensa sin una norma común resultaba cada vez más difícil y arriesgado.

Aumento de las amenazas cibernéticas

A medida que la industria adoptó más tecnologías digitales y sistemas conectados, aumentó el riesgo de amenazas cibernéticas. Era evidente la necesidad de un enfoque estandarizado para proteger eficazmente los sistemas, la información confidencial y la propiedad intelectual. Recientemente, fabricantes de automóviles como Toyota se han visto afectados por importantes ciberataques contra sus proveedores.

Cumplimiento de la normativa

Con normativas como el Reglamento General de Protección de Datos (RGPD) de la UE, surgió una necesidad creciente de prácticas estandarizadas que ayudaran a las empresas a cumplir los requisitos legales en materia de protección de datos y privacidad.

El objetivo de TISAX es armonizar las evaluaciones de seguridad de la información, reducir la carga de auditoría para los proveedores y garantizar que todos los participantes en la cadena de suministro automovilística cumplan con un alto nivel de seguridad.

Controles y informes de seguridad de la información TISAX

Actualmente en la versión 6.0.2, la Evaluación de Seguridad de la Información (ISA) de TISAX evalúa cerca de 80 controles de seguridad de la información, protección de prototipos y protección de datos en las siguientes nueve (9) familias de controles:

  • Políticas y organización de seguridad de la información
  • Gestión de identidades y accesos
  • Conformidad
  • Recursos Humanos
  • Seguridad informática/Ciberseguridad
  • Protección de prototipos
  • Seguridad física
  • Relaciones con los proveedores
  • Protección de datos

Una ISA completada presenta los resultados de la evaluación en un diagrama radial, puntuando el nivel de madurez de cada subfamilia de controles de 0 (bajo) a 5 (alto). Cada control también se asigna a controles equivalentes en normas industriales como ISO 27001, NIST 800-53, BSI y otras.

Ejemplo de diagrama radial con resultados de evaluación. Cortesía: TISAX.

Requisitos de cumplimiento de TISAX

Dado que es voluntario, TISAX no impone sanciones por incumplimiento en el sentido tradicional de multas reglamentarias. Sin embargo, el incumplimiento de TISAX puede tener varias repercusiones importantes para las empresas del sector automovilístico, especialmente en lo que respecta a sus relaciones comerciales y su reputación.

Para muchos en la industria automotriz, el cumplimiento de TISAX equivale a los resultados finales. Las empresas que logran el cumplimiento de TISAX demuestran su compromiso con la protección de la información confidencial, lo que aumenta la confianza entre los socios comerciales, mitiga los riesgos asociados con las amenazas cibernéticas y el incumplimiento de las regulaciones, y aumenta los ingresos, la adquisición de nuevos clientes y la retención de los clientes existentes. La industria automotriz incentiva fuertemente el cumplimiento de TISAX, lo que lo convierte en algo casi esencial para las empresas que desean mantenerse competitivas y seguras en el sector.

Para cumplir con la normativa TISAX, las organizaciones del sector automovilístico deben satisfacer varios requisitos, basados en el catálogo VDA ISA (Evaluación de la Seguridad de la Información). Este catálogo adapta la norma ISO/IEC 27001 a las necesidades específicas del sector automovilístico.

Los requisitos clave y los pasos necesarios para lograr el cumplimiento de TISAX incluyen lo siguiente.

  • Defina el alcance de la evaluación, identificando qué partes de la organización y qué procesos deben evaluarse según las normas TISAX.
  • Realice una autoevaluación utilizando el cuestionario VDA ISA. Este paso consiste en evaluar las prácticas y políticas actuales en relación con las normas TISAX para identificar las deficiencias.
  • Implementar los controles necesarios para subsanar las deficiencias y cumplir con los estándares requeridos. Esto puede incluir mejorar las medidas de seguridad informática, actualizar las políticas y garantizar prácticas adecuadas de manejo de datos.
  • Contrate a un auditor acreditado por ENX para que realice la auditoría oficial y una visita in situ con el fin de verificar que se cumplen todos los requisitos de TISAX. Esto incluye revisar la documentación, entrevistar al personal e inspeccionar las medidas de seguridad físicas y de TI.
  • Lleve a cabo medidas correctivas si la auditoría identifica alguna área de incumplimiento. Tras las medidas correctivas, es posible que sea necesaria una auditoría de seguimiento para confirmar el cumplimiento.
  • Reciba una etiqueta TISAX tras superar la evaluación. La etiqueta tiene una validez de tres años, se registra en el portal ENX TISAX y se puede compartir con clientes y socios para demostrar el cumplimiento normativo.
  • Revisar y actualizar periódicamente las prácticas de seguridad y someterse a una reevaluación cada tres años, o antes si se producen cambios significativos en su negocio o entorno informático.

Estos pasos garantizan que una empresa cumpla con los estándares TISAX durante la auditoría y se comprometa continuamente a mantener dichos estándares.

Cinco prácticas recomendadas para simplificar el cumplimiento de TISAX

Identificar los requisitos de cumplimiento, recopilar y analizar los datos necesarios y actuar en consecuencia para evitar un resultado negativo en materia de cumplimiento puede ser un proceso complejo y que requiere mucho tiempo. Siga estas cinco prácticas recomendadas para simplificar el proceso.

1. Definir los procesos de gestión de riesgos de la organización.

Desarrolle un programa integral de gestión de riesgos de terceros (TPRM) o de gestión de riesgos de ciberseguridad en la cadena de suministro (C-SCRM)
en consonancia con sus programas más amplios de seguridad y gobernanza de la información, gestión de riesgos empresariales y cumplimiento normativo. Busque expertos que puedan colaborar con su organización en:

  • Definición de procesos y soluciones TPRM y C-SCRM
  • Selección de cuestionarios y marcos de evaluación de riesgos para comparar los resultados (por ejemplo, una evaluación específica de TISAX o una evaluación más general de ISO 27001).
  • Optimizar su programa para abordar todo el ciclo de vida del riesgo de terceros, desde la contratación y la diligencia debida hasta la rescisión y la salida, de acuerdo con la tolerancia al riesgo de su organización.
  • Establecer funciones y responsabilidades claras (por ejemplo, RACI) en toda la organización.
  • Implementación de puntuaciones y umbrales de riesgo basados en la tolerancia al riesgo de su organización.

2. Perfil y clasificación de todos los proveedores

Cree un inventario centralizado de proveedores importando proveedores a través de una plantilla de hoja de cálculo o mediante una conexión API a una solución de adquisición o cadena de suministro existente. Los equipos de toda la empresa deben poder rellenar los datos clave de los proveedores con un formulario de admisión centralizado y las tareas de flujo de trabajo asociadas. Esto debe estar disponible para todos mediante una invitación por correo electrónico, sin necesidad de formación ni conocimientos especializados sobre la solución.

A medida que se revisan todos los proveedores, los equipos deben crear perfiles completos de los proveedores que contengan toda la documentación relacionada con la evaluación TISAX, además de información sobre los datos demográficos del proveedor, sus puntuaciones ESG, información reciente sobre su negocio y su reputación, su historial de violaciones de datos y sus resultados financieros recientes. Esto añadirá el contexto necesario para los procesos de auditoría.

Parte del proceso de elaboración de perfiles consiste en identificar a los proveedores de cuarto y enésimo nivel en su ecosistema de proveedores, ya que las dependencias críticas pueden influir en las decisiones de clasificación. Realice una evaluación basada en cuestionarios de sus proveedores o examine de forma pasiva la infraestructura pública del proveedor. El mapa de relaciones resultante debe mostrar las dependencias ampliadas que podrían exponer a su organización a riesgos.

Por último, cuantifique los riesgos inherentes a todos los proveedores para clasificarlos de manera eficaz, establecer los niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones continuas. Los criterios utilizados para calcular el riesgo inherente para la clasificación de proveedores pueden incluir:

  • Importancia crítica para el rendimiento y las operaciones empresariales
  • Ubicación(es) y consideraciones legales o normativas relacionadas (por ejemplo, el RGPD).
  • Interacción con datos protegidos

3. Evaluar a los proveedores según los requisitos de TISAX.

Aproveche la evaluación de riesgos TISAX de un proveedor,
ISO 27001, NIST 800-53 u otra evaluación estándar del sector que pueda adaptarse fácilmente a los requisitos de TISAX. Incorpore la evaluación en una plataforma central de gestión de riesgos de proveedores y utilice automatizaciones de flujos de trabajo, gestión de tareas y capacidades de revisión automatizada de pruebas para evaluar las puntuaciones de madurez de los proveedores. Además, los resultados de la evaluación deben presentarse en un registro de riesgos centralizado que le permita visualizar, clasificar y localizar rápidamente los riesgos más importantes.

4. Corregir los hallazgos

Es importante sugerir medidas correctivas para los controles de proveedores con baja madurez que superen la tolerancia al riesgo de la organización. Las soluciones de TPRM deben incluir recomendaciones de medidas correctivas integradas basadas en los resultados de la evaluación de riesgos para garantizar que sus proveedores aborden los riesgos de manera oportuna y satisfactoria y puedan proporcionar las pruebas adecuadas a los auditores.

5. Supervisar continuamente a los proveedores en busca de amenazas.

Realizar un seguimiento y análisis continuos de las amenazas externas a los proveedores. Como parte de ello, supervisar Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades. Las fuentes de supervisión suelen incluir:

  • Foros criminales; páginas onion; foros de acceso especial a la web oscura; fuentes de amenazas; y sitios de pegado para credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades.
  • Bases de datos que contienen varios años de historial de violaciones de datos de miles de empresas de todo el mundo.

Todos los datos de supervisión deben correlacionarse con los resultados de la evaluación y centralizarse en un registro de riesgos unificado para cada proveedor, lo que agiliza la revisión de riesgos, la presentación de informes, la corrección y las iniciativas de respuesta.

Una vez que todos los datos de evaluación y supervisión se hayan correlacionado en un registro central de riesgos, aplique una puntuación y priorización de riesgos según un modelo de probabilidad e impacto. Este modelo debe enmarcar los riesgos en una matriz, de modo que pueda ver fácilmente los riesgos de mayor impacto y priorizar las medidas correctivas para ellos. Asigne responsables y realice un seguimiento de los riesgos y las medidas correctivas hasta alcanzar un nivel aceptable para la empresa.

Próximos pasos para el cumplimiento de TISAX

La plataforma de gestión de riesgos de terceros de Prevalent ofrece una solución centralizada y automatizada para ampliar la gestión de riesgos de terceros y la gestión de riesgos de ciberseguridad en la cadena de suministro, en consonancia con su programa más amplio de ciberseguridad y gestión de riesgos empresariales. Con Prevalent, su equipo puede:

  • Cree un inventario centralizado de proveedores con perfiles de riesgo completos a los que puedan acceder varios equipos de toda la empresa.
  • Evaluar el riesgo inherente para informar sobre la elaboración de perfiles, la clasificación y la categorización de los proveedores, y determinar el alcance y la frecuencia adecuados de las actividades de diligencia debida en curso.
  • Automatice las evaluaciones de riesgos y las medidas correctivas en todas las etapas del ciclo de vida de los terceros.
  • Realizar un seguimiento y análisis continuos de las amenazas externas a terceros mediante la supervisión de Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades.

Póngase en contacto con Prevalent hoy mismo para obtener una evaluación gratuita de madurez
y determinar cómo se ajustan sus políticas de TPRM a los requisitos de TISAX antes de una evaluación previa de proveedores, o programe una demostración.

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.