TISAX® es un marco de evaluación de seguridad de la información desarrollado por la Asociación Alemana de la Industria Automotriz (VDA) y es utilizado en la industria automotriz para evaluar y auditar la seguridad de la información de los proveedores de servicios y proveedores de la cadena de suministro.
TISAX® se basa en la norma ISO/IEC 27001 y está diseñado para ser un estándar de seguridad de la información uniforme y reconocido en toda la industria. Las empresas que deseen hacer negocios con los fabricantes de automóviles deben pasar por una evaluación TISAX® para demostrar que cumplen con los requisitos de seguridad de la información establecidos por la industria.
¿Qué niveles de implementación tiene TISAX®?
TISAX® establece tres niveles de implementación. Estos niveles se basan en la evaluación de los riesgos de seguridad de la información asociados con los procesos de negocio y sistemas de la organización:
- Nivel básico (nivel 1): Este nivel es el más básico y se enfoca en los procesos y sistemas que manejan información de bajo riesgo. En este nivel, se evalúa la implementación de medidas de seguridad básicas, tales como controles de acceso, copias de seguridad, gestión de vulnerabilidades, entre otros.
- Nivel medio (nivel 2): Este nivel es para los procesos y sistemas que manejan información confidencial y crítica. En este nivel, se evalúa la implementación de medidas de seguridad más avanzadas, tales como la gestión de incidentes de seguridad, evaluaciones de riesgos, y controles de seguridad de la información.
- Nivel alto (nivel 3): Este nivel es el más alto y se enfoca en los procesos y sistemas que manejan información altamente confidencial y crítica. En este nivel, se evalúa la implementación de medidas de seguridad avanzadas y específicas, tales como la criptografía, la gestión de la identidad y el acceso, y la protección de datos personales.
Cada nivel de implementación TISAX® incluye una serie de requisitos específicos que deben ser cumplidos para lograr la certificación en ese nivel. Es importante destacar que los niveles son graduales, es decir, para obtener la certificación en un nivel superior, es necesario cumplir con los requisitos de los niveles inferiores.
Y, ¿qué debo hacer para implementar TISAX® en mi organización?
- Cumplir con los requisitos del sistema ISO 27001
- Identificar las áreas de seguridad de la información que deben ser evaluadas: esto implica identificar todos los procesos de negocio y sistemas que manejan información confidencial y crítica en su organización, y establecer un plan de seguridad de la información para cada uno de ellos.
- Seleccionar un proveedor de evaluación TISAX® acreditado por la Asociación Alemana de la Industria Automotriz (VDA).
- Preparar la documentación necesaria: la documentación necesaria incluye políticas y procedimientos de seguridad de la información, planes de contingencia, evaluaciones de riesgos, registros de auditoría, entre otros.
- Realizar una evaluación de seguridad de la información interna: antes de someterse a la evaluación TISAX®, es recomendable realizar una evaluación interna de seguridad de la información para identificar posibles debilidades y corregirlas.
- Someterse a la evaluación TISAX®: que puede incluir pruebas técnicas, entrevistas con el personal, revisión de documentos y registros de auditoría.
- Implementar las medidas correctivas que se identifiquen a partir de las debilidades detectadas en la evaluación.
- Mantener la certificación: una vez obtenida la certificación TISAX®, se debe mantener implementando y actualizando continuamente el plan de seguridad de la información de la organización.
¿Y cómo puede ayudar PRYSMA a mi organización en este proceso?
Es importante tener en cuenta que la implementación de TISAX® es un proceso complejo y debe ser realizado por personal capacitado y experimentado en seguridad de la información.
PRYSMA ofrece a sus clientes una amplia experiencia en esquemas de seguridad, así como la integración de los mismos con otros sistemas que puedan estar implementados en una compañía, proponiendo el uso de esquemas y documentos sencillos para alcanzar la eficiencia en el proceso de implantación, aprovechando las herramientas ya existentes en las organizaciones.
En definitiva, el proyecto que PRYSMA ofrece a sus clientes va más allá de la mera obtención de la certificación, ya que además es un proyecto de mejora global de la gestión de los servicios TIC y la alineación de la seguridad de la información con los procesos de la compañía.
Si quieres ampliar información no dudes en ponerte en con nosotros: bserranoa@prysma.es
