Gestión de riesgos de la cadena de suministro en materia de ciberseguridad en la industria automotriz
TISAX (Trusted Information Security Assessment Exchange)es una norma de seguridad de la información desarrollada por laAsociación Alemana de la Industria Automotriz (VDA)y gestionada por laAsociación ENX. Desde su introducción en 2017, los fabricantes de automóviles, los fabricantes de piezas y los proveedores de toda Europa, y cada vez más a nivel mundial, han adoptado ampliamente TISAX para garantizar un nivel uniforme de seguridad de la información dentro de la industria.
Actualmente en la versión 6.0.2, la Evaluación de Seguridad de la Información (ISA) de TISAX evalúa cerca de 80 controles de seguridad de la información, protección de prototipos y protección de datos en nueve (9) familias de controles.
Dado que TISAX exige un examen exhaustivo de los controles de seguridad de la información, los fabricantes de automóviles y los proveedores de piezas deben desarrollar una estrategia de evaluación de riesgos y supervisión continua que se ajuste a sus requisitos para permitir una mayor resiliencia cibernética en las cadenas de suministro globales.
Requisitos pertinentes
-
Definir el alcance de la evaluación TISAX, identificando qué partes de la organización y qué procesos deben evaluarse.
-
Implementar los controles necesarios para subsanar las deficiencias y cumplir con los estándares requeridos.
-
Llevar a cabo medidas correctivas si la auditoría identifica alguna área de incumplimiento.
-
Realice una autoevaluación utilizando el cuestionario TISAX ISA, evaluando las prácticas y políticas actuales en relación con los estándares TISAX.
-
Contrate a un auditor acreditado por ENX para que realice la auditoría oficial y una visita in situ.
-
Revisar y actualizar periódicamente las prácticas de seguridad y someterse a una reevaluación cada tres años.
Cómo simplificar el cumplimiento de TISAX
Evaluar a los proveedores según los requisitos de TISAX
La plataforma incluye unaevaluación de riesgosque se ajusta a los requisitos de TISAX e ISO 27001 y aprovecha las automatizaciones del flujo de trabajo, la gestión de tareas y las capacidades de revisión automatizada de pruebas para evaluar las puntuaciones de madurez de los proveedores. Además, la solución Prevalent presenta los resultados de la evaluación en un registro de riesgos centralizado que le permite visualizar, clasificar y localizar rápidamente los riesgos más importantes.
Definir los procesos de gestión de riesgos organizativos.
Asóciese con los expertos de Prevalent para crear unprogramaintegral de gestión de riesgos de terceros (TPRM) ode gestión de riesgos de la cadena de suministro de ciberseguridad (C-SCRM)en consonancia con sus programas más amplios de seguridad y gobernanza de la información, gestión de riesgos empresariales y cumplimiento normativo.
Puntuación Riesgos inherentes
Prevalent cuantificalos riesgos inherentesa todos los proveedores para clasificar eficazmente a los proveedores, establecer los niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones continuas.
Crear un inventario centralizado de proveedores
Prevalent ayuda a los equipos a crear uninventario centralizado de proveedoresmediante la importación de proveedores a través de una plantilla de hoja de cálculo o mediante una conexión API a una solución de adquisición o cadena de suministro existente.
A medida que se revisan todos los proveedores, la plataforma creaperfiles completos de los mismosque contienen toda la documentación relacionada con la evaluación TISAX, además de información sobre los datos demográficos del proveedor, sus puntuaciones ESG, información reciente sobre su negocio y su reputación, su historial de violaciones de datos y sus resultados financieros recientes.
Identificar proveedores de cuarta y enésima parte
Con Prevalent, puede identificara los proveedores de cuarto y enésimo nivelen su ecosistema de proveedores mediante una evaluación basada en cuestionarios o mediante un análisis pasivo de la infraestructura pública del proveedor. El mapa de relaciones resultante muestra las dependencias ampliadas que podrían exponer a su organización a riesgos.
Corregir los hallazgos
La plataforma Prevalent incluye recomendaciones de corrección integradas basadas en los resultados de la evaluación de riesgos para garantizar que sus proveedores aborden los riesgos de manera oportuna y satisfactoria y puedan proporcionar las pruebas adecuadas a los auditores.
Supervisar continuamente a los proveedores en busca de amenazas
Prevalent realiza un seguimiento y análisis continuos delas amenazas externas a los proveedores. Las soluciones supervisan Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades. Las fuentes de supervisión incluyen:
– Foros criminales; páginas onion; foros de acceso especial a la dark web; fuentes de amenazas; y sitios de pegado para credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades.
– Bases de datos que contienen varios años de historial de violaciones de datos de miles de empresas de todo el mundo.
Todos los datos de supervisión se correlacionan con los resultados de la evaluación y se centralizan en un registro de riesgos unificado para cada proveedor, lo que agiliza la revisión de riesgos, la presentación de informes, la corrección y las iniciativas de respuesta.
Puntuación y priorización de riesgos
Una vez que todos los datos de evaluación y supervisión se correlacionan en un registro central de riesgos, Prevalent aplica una puntuación y priorización de riesgos según un modelo de probabilidad e impacto. Este modelo enmarca los riesgos en una matriz, de modo que se pueden ver fácilmente los riesgos de mayor impacto y se pueden priorizar las medidas correctivas para ellos. Asigne responsables y realice un seguimiento de los riesgos y las medidas correctivas hasta alcanzar un nivel aceptable para la empresa.
