Home / Event / BLOG-TISAX: Respuestas a preguntas importantes

BLOG-TISAX: Respuestas a preguntas importantes

BLOG-TISAX: Respuestas a preguntas importantes
Apr
19

TISAX: Respuestas a preguntas importantes

Redacción original: André Säckel
Traducción: Yutzil Arango

En este artículo encontrará las preguntas más frecuentes que las organizaciones interesadas en TISAX “Evaluación de Seguridad de la Información” se hacen sobre esta evaluación. Para responder todas estas dudas, nuestro experto en DQS, sobre seguridad de la información de la industria automotriz, André Säckel responderá para usted.

¿Qué significa TISAX®?

TISAX® (Trusted Information Security Assessment eXchange) es un procedimiento de prueba e intercambio común para el sector automotriz. Se basa en un cuestionario sobre seguridad de la información (ISA – Information Security Assessment) desarrollado por el grupo de trabajo de VDA “Seguridad de la Información”, que fue utilizado por primera vez por las empresas miembros de la VDA (Asociación de la Industria Automotriz) para pruebas en proveedores y servicios, en cuyas empresas se procesa información sensible. El cuestionario VDA ISA cuenta con una nueva versión disponible: La versión 5.0. Esto significa que a partir del 1 de octubre de 2020 todas las nuevas evaluaciones TISAX® se realizan bajo esta nueva versión.

Además, TISAX® se basa en los requisitos esenciales del estándar reconocido internacionalmente para la seguridad de la información: ISO 27001.  TISAX® es aplicable en todas las industrias y define requisitos, reglas y métodos para garantizar la seguridad de la información en la organización. Los requisitos de la norma van más allá de la protección de los sistemas de TI e incluyen todos los valores de la empresa que vale la pena proteger, por ejemplo: instalaciones, controles de seguridad, archivos, etc. En otras palabras: ISO 27001 asegura la protección de toda la información que es de valor para una empresa.

¿Quién monitorea TISAX®?

TISAX ® es una marca registrada de la Asociación ENX (Asociación Europea de Intercambio de Redes) con sede en Frankfurt y París. Se encomendó a la aplicación de TISAX® como un organismo neutral. ENX es la fusión de fabricantes de automóviles europeos, proveedores y cuatro asociaciones nacionales de automóviles, incluida la VDA, que fundó ENX en 2000. La Asociación ENX supervisa la calidad de la implementación y aprueba a los proveedores de servicios de prueba de acuerdo con un procedimiento estricto. DQS está catalogado por ENX como un proveedor de servicios de prueba aprobado y puede realizar evaluaciones en todo el mundo.

Video TISAX

¿Qué es un nivel de evaluación?

TISAX® diferencia entre tres niveles de evaluación (necesidades de protección), dependiendo de qué protección se requiera: normal (nivel 1), alta (nivel 2) y muy alta (nivel 3). El método de prueba y el esfuerzo de prueba dependen de esto.

Nivel 1: La Autoevaluación sin verificación de plausibilidad, generalmente solo para fines internos. Los resultados de estas pruebas son de poca importancia y no se utilizan en TISAX®.

Contenido relacionado: La autoevaluación – El primer paso para su proceso de evaluación TISAX

Nivel 2: Verificación de plausibilidad de su autoevaluación por parte de un proveedor de servicios de prueba como DQS. Estas pruebas de seguridad de la información se llevan a cabo generalmente como una conferencia telefónica, no a través de pruebas en sitio, a menos que se aplique uno de los objetivos de la prueba de protección del prototipo o usted lo solicite expresamente.

Nivel 3: Verificación de plausibilidad de su autoevaluación por parte de un proveedor de servicios de auditoría, siempre a través de una verificación en sitio detallada y completa.

¿La introducción de TISAX® también es imprescindible para las empresas no manufactureras?

Depende del contexto de su empresa: si su OEM le solicita introducir TISAX ® o de si le piden que proporcione esta evidencia. A menos que el fabricante automotriz se acerque específicamente a usted o vea un cambio en los términos y condiciones, es recomendable esperar. En el pasado, el OEM contactaba a las empresas sobre los requisitos para una mayor cooperación cuando fuera necesario. Por supuesto, depende de usted preguntar de forma proactiva a sus socios.

¿Tiene sentido luchar por la certificación TISAX® incluso sin una solicitud del cliente?

Abordar de manera proactiva el tema de la seguridad de la información es generalmente muy útil en estos días, no solo para los proveedores de la industria automotriz. Si no tiene (todavía) ninguna especificación de su OEM en cuanto a qué etiqueta TISAX® se espera de usted, se recomienda evidencia del nivel 3 (nivel de evaluación 3: seguridad de la información muy alta). De esta manera, estará preparado para todos los requisitos futuros sin tener que hacer un doble trabajo.

¿Es el contenido de TISAX® análogo a ISO 27001?

El catálogo de pruebas TISAX® se derivó de la norma internacional ISO 27001 y utiliza los “controles” (medidas) especificados en el mismo. Describen cómo se pueden implementar los requisitos respectivos, cómo se deben garantizar los procesos y qué herramientas se pueden utilizar. Una diferencia importante entre los dos estándares es que TISAX® debe alcanzar un cierto nivel de madurez.

¿Se recomienda un oficial de seguridad de TI para la introducción de TISAX®?

No es absolutamente necesario que el empleado responsable de la introducción de TISAX® provenga del departamento de TI. Sin embargo, dado que estos son procesos respaldados por TI, ciertas habilidades de TI son definitivamente una ventaja.

¿Cómo determino el alcance de la evaluación TISAX®?

El ENX ofrece un alcance estándar que es aceptado por el 90% de todos los participantes de TISAX ®. El alcance estándar está predefinido y no se puede cambiar. Si descubre durante la preparación de su examen que el alcance estándar no se ajusta, puede ajustar el alcance de su examen en determinadas circunstancias. En casos individuales, el OEM también requiere el alcance ampliado. Sin embargo, estos casos especiales son poco frecuentes y el OEM correspondiente los analizará en detalle con usted. Normalmente, el alcance estándar es suficiente. Es la base para una prueba TISAX® y es aceptado por todos los participantes.

¿Qué son las etiquetas TISAX®?

Las etiquetas son el resultado del proceso de prueba y resume el resultado de su prueba. Están vinculados jerárquicamente entre sí. En otras palabras, si recibe una determinada etiqueta, automáticamente también recibirá la “subyacente”. Las etiquetas solo se pueden ver en el portal ENX. Suelen tener una validez de tres años.

¿Qué puede hacer DQS de México por usted?

DQS está catalogado por ENX como un proveedor de servicios de prueba aprobado y puede realizar evaluaciones en todo el mundo. Contamos con auditores TISAX® que también son auditores aprobados para la norma internacional: ISO 27001. Esto significa que DQS puede evaluar ambas normas al mismo tiempo y con menos esfuerzo adicional. Nuestros expertos están para preparados para responder a sus preguntas.

Auditoría TISAX

Top
Solicite su cotizaciónSolicite una llamadaContáctenosCalendario de cursos