TISAX: Seguridad de la Información en el Sector Automovilístico

Abstract– TISAX es un estándar de seguridad de la información desarrollado por la Asociación de la Industria Automotriz Alemana (VDA) para la evaluación y el intercambio seguro de información entre las empresas del sector automoción. 

El objetivo de este artículo técnico es profundizar en el objetivo, alcance y beneficios que aporta TISAX a la industria, sintetizar los principales puntos a tener en cuenta del TISAX handbook (referencia y marco estructurado para la evaluación y la auditoría de seguridad de la información en este ámbito), así como establecer una comparativa entre el sistema de gestión de seguridad de la información propuesto por TISAX frente a ISO 27001.

Introducción

La VDA (Verband der Automobilindustrie) [1] es la Asociación de la Industria Automotriz Alemana. Es una organización que representa los intereses del sector en el país, y se dedica a promover el desarrollo y la competitividad de su industria automotriz, así como a fomentar la cooperación entre los fabricantes de automóviles, proveedores y otros actores relacionados. La asociación también facilita la colaboración y el intercambio de conocimientos entre sus miembros a través de grupos de trabajo, comités y eventos.

El estándar TISAX (Trusted Information Security Assessment Exchange) [2] fue lanzado por la VDA en mayo de 2017. Fue creado como un marco de referencia para evaluar y garantizar la seguridad de la información en la industria automotriz. 

Para la implementación de TISAX, la VDA se apoyó en ENX (European Network Exchange) [3]. Ésta fue fundada en 2000 como una organización sin fines de lucro por varios fabricantes de automóviles europeos, incluyendo BMW, DaimlerChrysler, Renault y Volkswagen. Su objetivo principal era establecer una plataforma de comunicación segura para el intercambio de información confidencial en la cadena de suministro de la industria automotriz. 

De esta manera, TISAX es un estándar de seguridad de la información desarrollado por VDA para la industria automotriz. VDA-ISA («VDA Information Security Assessment») es su marco de evaluación utilizado, y ENX es una organización que facilita el intercambio seguro de información asociada a las evaluaciones (entre otras cosas), en la cadena de suministro automotriz.

Beneficios

Las evaluaciones de TISAX (Trusted Information Security Assessment Exchange) ofrecen varias ventajas y beneficios tanto para las organizaciones que las realizan como para la industria automotriz en general. Algunas de estas ventajas son:

1. Cumplimiento de requisitos: Las evaluaciones de TISAX ayudan a las organizaciones a cumplir con los requisitos de seguridad de la información establecidos por la industria automotriz. Al obtener la certificación TISAX, las empresas demuestran su compromiso con la protección de la información confidencial y cumplen con los estándares de seguridad requeridos por los fabricantes de automóviles y otros socios comerciales.
2. Confianza y credibilidad: TISAX es reconocido y respaldado por la Asociación de la Industria Automotriz Alemana (VDA), lo que brinda una mayor confianza y credibilidad a las organizaciones certificadas. La certificación TISAX indica que una organización ha sido evaluada de manera independiente y ha cumplido con los estándares de seguridad de la información requeridos.
3. Mejora de la seguridad de la información: Las evaluaciones de TISAX ayudan a las organizaciones a identificar y abordar vulnerabilidades y riesgos de seguridad de la información. Esto les permite implementar medidas y controles de seguridad más sólidos, lo que a su vez mejora la protección de la información confidencial y reduce el riesgo de brechas de seguridad.
4. Colaboración y acceso a la cadena de suministro: La certificación TISAX permite a las organizaciones acceder y colaborar con fabricantes de automóviles y otros socios comerciales en la industria automotriz. Muchos fabricantes de automóviles, actualmente requieren que sus proveedores demuestren el cumplimiento de TISAX para asegurar el intercambio seguro de información confidencial y garantizar la protección de los datos.
5. Estándar reconocido a nivel internacional: TISAX se basa en la norma ISO/IEC 27001 [4], lo que lo hace ampliamente reconocido y aceptado en la comunidad global de seguridad de la información. Esto facilita la interoperabilidad y la cooperación entre organizaciones de diferentes países y fortalece la seguridad en toda la cadena de suministro automotriz.

TISAX aumenta la seguridad, estandarización y confianza entre partners. Además, reduce costes al evitar la duplicidad en las evaluaciones por parte de diferentes actores, pues el resultado de las auditorías de evaluación se puede hacer público en el portal ENX.

TISAX Handbook

El Handbook es la guía de referencia para gestionar las evaluaciones TISAX. El manual describe los pasos que debe seguir una entidad para superar la evaluación TISAX y para compartir el resultado de la evaluación con sus socios.

La versión actual del documento es la 2.3 de enero de 2021, y está disponible en inglés, francés, alemán y chino, además de español, en PDF y HTML descargable.

Si un socio nos solicita demostrar un nivel predefinido de la seguridad de la información de acuerdo con los requisitos de la “VDA Information Security Assessment” (ISA), habrá de seguirse el proceso TISAX de 3 etapas para responder a tal solicitud:

Registro

Implica darse de alta como participante en el portal ENX, como participante activo (evaluado) o pasivo (recibe el resultado de la evaluación). Una organización puede jugar ambos roles simultáneamente.

Posteriormente, se firma la documentación contractual del portal ENX y con el proveedor de auditoría autorizado.

Otro paso fundamental en esta etapa será determinar el alcance, concepto definido de manera similar a ISO 27001. En este caso, se establece un alcance estándar (recomendado), o personalizado (extendido, o reducido). Además, hay que indicar qué ubicaciones se someten a evaluación. Hay ventajas e inconvenientes de una evaluación multisede: por un lado se ahorran recursos y costes, y se obtiene una fecha de vencimiento única al agregar ubicaciones; pero en caso de obtener un resultado negativo parcial, afectará a la totalidad del ejercicio, y habrá que repetirlo enteramente.

Se define también en este punto el objetivo de la evaluación (assessment objective), que determina los requisitos aplicables que debe cumplir el sistema de gestión de la seguridad de la información (ISMS). Es la llamada “etiqueta TISAX”, una vez que se supera la auditoría. 

Puede seleccionarse una, o más de una:

 

Los objetivos de evaluación tienen dependencias entre sí. Además, si se manejan varios tipos de información, se podría requerir niveles de protección diferentes en cada caso (normal, alta o muy alta):

 

Por otro lado, a mayor nivel de protección requerido, más exigente nivel de evaluación:

 

El nivel AL1, corresponde a un self-assessment, en el que el auditor únicamente revisa una plantilla rellenada por el participante activo. No se usan en TISAX, puesto que no conceden etiqueta.

El nivel AL2, requiere comprobación exhaustiva de la plausibilidad de la autoevaluación: recolectando evidencias, mediante entrevistas, etc., pero sin necesidad de acudir presencialmente a las ubicaciones.

En AL3, se verifica lo mismo que en AL2 pero más a fondo, llevando a cabo una inspección in situ y entrevistas en persona.

 

Adicionalmente y para cerrar esta etapa, el TISAX handbook hace referencia al pago de las preceptivas tasas, y el proceso de registro y uso del portal ENX a lo largo del proceso.

Evaluación

Es la etapa troncal del proceso. El manual explica cómo utilizar la plantilla Excel de autoevaluación ISA para comprobar el grado de preparación para la auditoría formal (esto es, la auditoría interna), cómo elegir un proveedor de auditoría autorizado para la evaluación externa conducente a la/s etiqueta/s TISAX, y el resultado del proceso.

La “evaluación de la seguridad de la información” (ISA, por sus siglas en inglés) es un catálogo de criterios publicado por la Asociación alemana de la industria automotriz (Verband der Automobilindustrie e.V., VDA). Es el estándar del sector del automóvil para las evaluaciones de la seguridad de la información. Su versión actual es la 5.0.3.

Hay que entender primeramente, que existen tres catálogos de criterios:

 

Los objetivos de evaluación a su vez, se relacionan con los catálogos de  criterios:

 

Y de la misma manera, existe otra tabla que relaciona los requisitos aplicables de la Excel VDA-ISA con cada objetivo de evaluación:

 

En la Excel, cada catálogo de criterios agrupa las preguntas en capítulos, basados en los distintos aspectos de los sistemas de gestión de la seguridad de la información. Las preguntas para cada catálogo de criterios o controles, se encuentran en el propio documento, dejando campos en blanco para llevar a cabo la evaluación por el auditor.

Los requerimientos en la plantilla se dividen entre obligatorios, optativos, necesarios para alcanzar un nivel de protección alta, o para un nivel de protección muy alto. Deberán satisfacerse los necesarios conforme al objetivo de evaluación establecido (ver Ilustración 2).

Los aspectos del SGSI, se evalúan en cuanto a madurez en una escala de 6 niveles:

 

En la plantilla de autoevaluación, deben rellenarse todos los niveles asociados a los requerimientos que sean de aplicación. El nivel de madurez global es la media de todos los niveles de madurez objetivo (a nivel de pregunta), alterado por el hecho de que los requerimientos que no apliquen no computan, y que los niveles de madurez reales se reducen al objetivo en caso de sobrepasarse.

Si la puntuación final calculada mediante este algoritmo es inferior a 3.0, con gran seguridad habrá que mejorar el SGSI. Si se obtiene una que tenga una desviación inferior al 10% o el 30% respecto al máximo, la evaluación será no conforme con desviación mínima / importante, respectivamente.

Una vez aprobada la auditoría interna, habrá que seleccionar un proveedor autorizado para la evaluación formal. El proceso cíclico en 4 pasos, es el siguiente:

• Preparación del SGSI (interno)
• Evaluación externa (auditoría externa)
• Resolución de no conformidades (interno)
• Verificación de las subsanaciones (auditoría externa)

Así, desde el punto de vista del auditor externo, tenemos tres tipos de auditoría: evaluación inicial, evaluación del plan de acciones correctivas, y evaluación de seguimiento (las dos últimas, podrían no existir).

El período de evaluación de cara a la obtención de etiquetas TISAX, durará un máximo de 9 meses.

Una evaluación puede ser conforme o no. A efectos del resultado de la evaluación, todo aquello que esté por debajo de la conformidad plena o ideal se denominará “hallazgo”. TISAX distingue entre cuatro tipos de hallazgo:

• Observación
• Margen de mejora
• No conformidad menor: se aplica cuando la no conformidad no afecta a la efectividad global de su sistema de gestión de la seguridad de la información ni genera un riesgo importante para la seguridad de la información.
• No conformidad mayor: se aplica cuando la no conformidad genera dudas sobre la efectividad global de su sistema de gestión de la seguridad de la información o genera un riesgo importante para la seguridad de la información.

Sólo las dos no conformidades son hallazgos relevantes para el resultado de la evaluación.

Si el resultado global de la evaluación es “no conforme con una desviación mínima” y existe un informe de evaluación del plan de acciones correctivas, se recibirán etiquetas TISAX temporales, y deberá realizarse una evaluación de seguimiento posterior.

Por último en esta etapa, cabe destacar que cada evaluación TISAX consta de un ID único en ENX, y el informe asociado se actualiza y expide tras cada evaluación (ya sea inicial, del plan de acciones correctivas, o de seguimiento).

Asimismo, las etiquetas TISAX otorgadas son el producto del proceso de evaluación TISAX, resumen el resultado de la evaluación y son la confirmación de que su sistema de gestión de la seguridad de la información cumple un conjunto determinado de requisitos. En general, son válidas durante 3 años.

Intercambio

Esta sección del TISAX handbook describe cómo compartir el resultado de la evaluación con un socio y presentar la evidencia solicitada.

Esto se realiza a través del portal ENX, siempre y cuando se cumplan los prerrequisitos indicados (documentos transferidos, y tasas pagadas). 

Los permisos de publicación o divulgación son irrevocables, y son válidos durante el período de validez de la evaluación TISAX. Existen cinco niveles de divulgación (a nivel más alto, mayor detalle aportado al participante pasivo):

 

También se puede compartir con actores concretos con un nivel de información más exhaustivo (superior).

TISAX vs ISO 27001

Las principales diferencias entre ISO 27001 y TISAX (Trusted Information Security Assessment Exchange) se encuentran en su alcance y enfoque específico para la industria automotriz.

• Alcance: ISO 27001 es un estándar internacional de seguridad de la información que se aplica a organizaciones de cualquier sector o industria. Proporciona un marco general para establecer, implementar, mantener y mejorar un sistema de gestión de seguridad de la información (SGSI), y su alcance es dinámico. En contraste, TISAX es un estándar específico de la industria automotriz, desarrollado por la Asociación de la Industria Automotriz Alemana (VDA), que se utiliza para evaluar y garantizar la seguridad de la información en la cadena de suministro automotriz. Su alcance es fijo.
• Requisitos específicos: Mientras que ISO 27001 establece requisitos generales y amplios para un SGSI, TISAX se enfoca en los aspectos de seguridad de la información relevantes para la industria automotriz. TISAX incluye requisitos y recomendaciones específicas adicionales que son relevantes para las organizaciones que colaboran con fabricantes de automóviles y otras empresas del sector automotriz, como los relativos a la protección de prototipos.
• Reconocimiento de la evaluación: Aunque ISO 27001 es un estándar ampliamente reconocido y aceptado internacionalmente en diversos sectores, TISAX ha sido desarrollado y respaldado por la Asociación de la Industria Automotriz Alemana (VDA). TISAX es específicamente reconocido por la industria automotriz y es requerido por muchos fabricantes de automóviles como parte de sus requisitos de seguridad de la información para sus proveedores, llegando a ser bloqueante para hacer negocios con muchos de ellos.
• Proceso de evaluación: Ambos siguen un proceso de evaluación similar basado en auditorías. Sin embargo, TISAX utiliza el marco de evaluación VDA-ISA (VDA Information Security Assessment) como su enfoque específico, con objetivos y niveles de evaluación y un catálogo de requisitos relacionado. ISO 27001 resuelve de modo completamente diferente el problema: el cliente define el alcance, y de modo coherente debe seleccionar qué controles de seguridad será o no de aplicación en su entorno particular en una declaración de aplicabilidad (SOA).

En TISAX, el enfoque es de cumplimiento en base a niveles de madurez y el análisis del riesgo deriva del grupo de trabajo de VDA-ISA, mientras que en ISO se trata de ON/OFF y el análisis de riesgos se basa en las particularidades de la empresa.

Por último, en ISO es el propio organismo de certificación quien emite el certificado válido por 3 años, y que requiere auditorías periódicas anuales; TISAX por su parte es quien emite las etiquetas y los registros de intercambio, cuya validez es de 3 años, sin necesidades de acciones periódicas intermedias.

De todo lo anterior se deriva que las evaluaciones TISAX y las certificaciones en base a ISO 27001 presentan ciertas similitudes pero no son equivalentes. A una organización certificada/evaluada bajo uno de los estándares se le allanará el camino para alcanzar los requerimientos del otro, pero en modo alguno es un proceso automático o trivial, por lo que se recomienda acudir a proveedores de servicios de consultoría especializados como Inprosec/InprOTech.

Conclusiones

Se proporciona una introducción TISAX (Trusted Information Security Assessment Exchange), un estándar de seguridad de la información desarrollado por la Asociación de la Industria Automotriz Alemana (VDA). Se destacan los beneficios de las evaluaciones de TISAX, que incluyen el cumplimiento de requisitos, la confianza y credibilidad, la mejora de la seguridad de la información, la colaboración en la cadena de suministro y el acceso a oportunidades comerciales en la industria automotriz.

Se resumen las características principales del TISAX Handbook, que ofrece directrices y requisitos para las evaluaciones de seguridad de la información en la industria automotriz, basándose en el estándar ISO/IEC 27001 pero con un enfoque específico en los aspectos relevantes para el sector automotriz.

También se subrayan las diferencias clave entre TISAX y ISO 27001, como el alcance específico de la industria automotriz de TISAX, los requisitos adicionales relevantes para el sector automotriz, el respaldo de la industria automotriz a TISAX y el uso del marco de evaluación VDA-ISA en TISAX.

En general, el documento ayuda a comprender la importancia y el impacto de TISAX en la seguridad de la información en la industria automotriz.

 

REFERENCIAS

[1] VDA. https://www.vda.de/en

[2] TISAX handbook. https://www.enx.com/handbook/tisax-participant-handbook.html

[3] ENX portal. https://portal.enx.com/en-US/#

[4] ISO 27001:2022. https://www.iso.org/obp/ui/#iso:std:iso-iec:27001:ed-3:v1:en