Australian Privacy Principles: alcance, finalidad y cómo cumplirlos
Conoce el alcance y la finalidad de los Australian Privacy Principles y cómo cumplirlos para proteger los datos personales y satisfacer la normativa...
TISAX es un estándar europeo de seguridad de la información y ciberseguridad desarrollado para proteger los datos en la industria del automóvil. Se utiliza para evaluar a todas las organizaciones implicadas en la fabricación de vehículos y permite el posterior intercambio de resultados en una plataforma específica y no pública.
¿Qué es TISAX?
Este marco de seguridad específico del sector está gestionado por la ENX Association en nombre de la Asociación Alemana de la Industria del Automóvil (la VDA). TISAX son las siglas de Trusted Information Security Assessment Exchange.
TISAX se basa en un conjunto de requisitos de seguridad establecidos en el VDA Information Security Assessment (ISA), un documento elaborado por la VDA, junto con muchos de los controles técnicos de ISO 27001, además de reglas adicionales sobre prototipos y protección de datos.
En función del tipo de datos sensibles a los que tenga acceso una organización, esta queda clasificada en uno de los tres niveles de seguridad y se evalúa en consecuencia (más información sobre los niveles más abajo).
La certificación TISAX confirma que el sistema de seguridad de la información de una organización cumple con los requisitos de seguridad establecidos por TISAX.
Una vez obtenida la certificación, los resultados se almacenan y consultan en una plataforma supervisada por la ENX Association.
¿Cuál es el propósito de TISAX?
La cadena de suministro del automóvil es larga: los OEM (fabricantes de equipos originales) trabajan con una red de muchos proveedores y socios que contribuyen a llevar los nuevos coches desde la mesa de diseño hasta la carretera. Entre ellos se comparte información sensible para sacar adelante el trabajo, pero una protección de datos insuficiente a lo largo de la cadena podría causar pérdidas e incluso robos de información.
Para proteger los secretos comerciales, la información de prototipos, los datos de los clientes y otros datos confidenciales en la industria del automóvil, la mayoría de los grandes OEM alemanes exigen la certificación TISAX a sus socios de la cadena de producción y distribución.
Esto garantiza que los datos permanezcan seguros durante las fases de diseño, fabricación y distribución de la producción de automóviles.
Además, una organización que pueda demostrar su cumplimiento de TISAX dispone de una ventaja competitiva frente a las que no, lo que la hace digna de confianza ante los posibles clientes.
¿Cuál es el alcance de TISAX?
La certificación TISAX es necesaria para todas las organizaciones que trabajen con la mayoría de los grandes actores de la industria del automóvil alemana. Es un estándar reconocido a nivel mundial.
Todos los proveedores y prestadores de servicios del sector del automóvil que procesen información sensible deberían obtener su certificación TISAX. Si sus clientes actuales aún no la exigen, es probable que lo hagan en el futuro y, por ahora, demostrará a los consumidores que la seguridad de los datos es algo que se toma en serio.
Niveles de evaluación de TISAX
Existen tres niveles de evaluación en TISAX, ya que los niveles de cooperación entre los OEM y sus proveedores tienen distintas escalas y complejidades. El método de auditoría requerido para obtener una certificación TISAX es específico para cada nivel.
En teoría, cada organización puede decidir por sí misma con qué nivel de evaluación desea cumplir. En la práctica, los OEM especifican el nivel que requieren de las organizaciones con las que trabajan.
- Nivel 1: nivel de seguridad «normal». La organización solo tiene que completar un cuestionario de autoevaluación. Este nivel es prácticamente irrelevante para hacer negocios y suele utilizarse solo internamente.
- Nivel 2: nivel de seguridad «alto». Un proveedor de auditoría aprobado realiza, además de la autoevaluación, comprobaciones de plausibilidad por teléfono. Esto significa una entrevista remota basada en documentos y la revisión de las evidencias aportadas.
- Nivel 3: nivel de seguridad «muy alto». Un proveedor de auditoría aprobado realiza una inspección, entrevistas y la evaluación del SGSI (sistema de gestión de la seguridad de la información), visitando físicamente la organización. Si la organización tiene más de una ubicación, el auditor puede visitar cada una de ellas.
Cómo implementar TISAX
Para obtener una certificación TISAX, una organización debe seguir estos pasos en la evaluación:
Paso 1: Preparación
Cualquier interesado en la certificación TISAX debe registrarse como participante de TISAX en el portal TISAX. Es la única forma de que una organización pueda ser evaluada y acceder a la plataforma TISAX para compartir y recibir resultados de TISAX.
También es el momento de familiarizarse con los requisitos de TISAX.
Paso 2: Autoevaluación
Independientemente del nivel de evaluación con el que la organización decida cumplir, el primer paso para obtener la certificación TISAX es el cuestionario de autoevaluación.
Paso 3: Auditoría
Para los niveles 2 y 3, la organización necesita un auditor aprobado que realice una comprobación de plausibilidad remota o una visita de evaluación in situ.
Paso 4: Optimización
Tras la auditoría, el auditor señalará los hallazgos que deben abordarse y la organización deberá elaborar un plan de acción. Tras nuevas acciones por parte de la organización y verificaciones del auditor, se completará la evaluación.
Paso 5: Resultados
El auditor subirá el informe TISAX de la organización a la plataforma designada. La organización podrá decidir entonces quién puede acceder a los resultados y en qué medida. Los resultados no son de acceso público.
Una certificación TISAX es válida durante 3 años, tras los cuales el proceso debe repetirse. No hay verificaciones intermedias durante ese tiempo.
Cómo Safetica ayuda a cumplir con TISAX
Como se ha mencionado, el estándar TISAX exige que los datos permanezcan seguros durante las fases de diseño, fabricación y distribución de la producción de automóviles. La solución Safetica es la herramienta adecuada para procesar datos de forma electrónica y segura.
Con Safetica resulta sencillo cumplir con los requisitos de protección de datos de TISAX. Tendrá una mejor visión general de cómo se manejan los datos relacionados con la producción de automóviles, podrá ver cómo tratan los empleados estos datos sensibles y minimizar el riesgo de uso indebido de datos sensibles y personales. Cuando exista una amenaza de seguridad, recibirá una notificación en tiempo real.
1. Cumplimiento de la política de seguridad de la empresa
Safetica permite supervisar las operaciones de los usuarios en toda la organización. Es capaz de reconocer información sensible y generar informes sobre cómo se procesan los datos.
A partir de su clasificación de datos, Safetica puede aplicar políticas DLP y reforzar las políticas de seguridad seleccionadas y los comportamientos de usuario deseados cada vez que los usuarios interactúen con información personal o sensible. Esto ayuda a los empleados a seguir las mejores prácticas y a evitar métodos no seguros o prohibidos para almacenar y trabajar con datos sensibles.
2. Visibilidad de los datos sensibles
Saber dónde se almacenan sus datos sensibles y cómo los procesan sus empleados es muy importante. Necesita asegurarse de que el procesamiento de datos sea seguro y reducir el riesgo de fuga de datos.
La supervisión y auditoría detallada de archivos y operaciones de usuario de Safetica proporcionan una visión general de los flujos de información, del almacenamiento de datos sensibles críticos e información detallada sobre:
- Con qué partes externas y qué almacenamientos se ha contactado.
- Cuáles de ellos han recibido datos sensibles de la organización.
3. Notificación de fugas de datos
Si experimenta un evento de seguridad relacionado con la fuga de datos sensibles, necesita ser informado del incidente de forma inmediata para reaccionar y minimizar el impacto o, mejor aún, evitar que la información se filtre.
Si se produce un incidente de seguridad de datos real o se intenta uno, el sistema de alertas por correo en tiempo real de Safetica notifica al personal adecuado. Reporta rápidamente el incidente y proporciona el suficiente detalle para que la dirección pueda evaluar el impacto de la situación y tomar acciones de seguimiento.
Safetica también proporciona registros de auditoría exhaustivos sobre las operaciones realizadas con datos sensibles. Esto ayuda a identificar la profundidad de la brecha, los documentos sensibles afectados y las personas involucradas.
Mediante la integración por API, todos los registros pueden enviarse a herramientas SIEM o de análisis de datos, p. ej., Power BI o Tableau.