Trusted Information Security Assessment eXchange (TISAX): seguridad de la información para la industria automotriz

El organismo responsable de TISAX es la Asociación Alemana de la Industria Automotriz (VDA, por sus siglas en alemán), la cual supervisa la calidad de la ejecución y se encarga de los resultados de la evaluación a asociaciones de fabricantes, proveedores y organizaciones europeas de vehículos, ralizada por la Red Europea de Intercambio de Información (ENX, por sus siglas en inglés).

A medida que los automóviles evolucionan para ser más eficientes desde el punto de vista climático y digital, se identifica que las empresas pertenecientes a los sectores de las energías limpias, internet móvil y vehículos autónomos, con los correspondientes servicios de investigación y desarrollo (I+D) e ingeniería, ahora también forman parte indispensable de la cadena de suministro automotriz, por lo que a su vez están sujetas al estándar de seguridad TISAX.

Los principales participantes en el proceso son los fabricantes de piezas o componentes de compañías nacionales y multinacionales. Así, las ubicaciones sujetas a una auditoría TISAX incluyen centros de I+D, sedes, oficinas, laboratorios, plantas de producción y áreas de pruebas. 

TISAX y la evaluación de seguridad de la información fueron introducidas en 2017, y son obligatorias para los proveedores de partes automotrices que suministren piezas, componentes, servicios, etcétera. Dichos proveedores deben implantar y mantener un sistema de gestión de la seguridad de la información (SGSI) y superar el nivel adecuado de la auditoría para poder seguir siendo contratados por un OEM o para tener acceso al mercado automotriz en Alemania.

En este sentido, KPMG Alemania cuenta con la certificación para evaluar a las compañías en su cumplimiento del estándar TISAX, y, localmente, KPMG México sigue estrictamente el estándar de servicio global, así como el proceso de TISAX para brindar servicios integrales a clientes en el país. Los profesionales de ambas firmas trabajan en conjunto para:

• Minimizar los costos de comunicación
• Acortar los ciclos de auditoría
• Aumentar la eficiencia de todo el proceso de auditoría, incluida la obtención del sello de aprobación TISAX
• Ofrecer servicios a la medida, según las necesidades del cliente, como en la implementación o asistencia en la implementación de TISAX y en análisis de brecha TISAX, por mencionar algunos

Más allá de ser un requisito para determinados fabricantes, las evaluaciones contribuyen a generar confianza en la cadena de suministro; los proveedores participantes pueden beneficiarse de:

• Ser reconocidos por fabricantes automotrices
• Prevención de brechas de seguridad y ataques cibernéticos
• Ganar la confianza del cliente
• Identificar y abordar riesgos
• Obtener reconocimiento por los debidos procesos de seguridad de la información
• Compartir los resultados de la evaluación a través del intercambio ENX (https://portal.enx.com/en-US/)

De acuerdo con los requisitos, primero, los participantes deben registrar el alcance (incluidas las ubicaciones y objetos de evaluación) definido por el OEM en la plataforma ENX. KPMG, como proveedor externo, realiza la evaluación basándose en el alcance predefinido y emite un informe TISAX con firma, el cual se carga también en la plataforma ENX.

Posteriormente, los participantes reciben la etiqueta TISAX (válida durante tres años), como condición necesaria para que los proveedores puedan solicitar pedidos de compra, cooperación en proyectos y renovación de la certificación de proveedor a los OEM.

Además de la seguridad de la información, basada en ISO/IEC 27001 y 27002, la revisión TISAX puede incluir otros tres objetivos de evaluación:

• Protección de prototipos
• Conexión con terceros
• Protección de datos