Riesgos de la Seguridad de la Información en automoción VDA ISA

Los fabricantes de automoción de origen alemán exigen a sus proveedores el cumplimiento del módulo de VDA de seguridad de la Información. De esta manera Grupo Volkswagen, Mercedes-Benz y BMW que ya venían marcando requisitos en la gestión de producción y calidad, exigen a sus proveedores que desarrollen políticas que permitan garantizar la seguridad de la información de sus operaciones y productos.

A través de la organización ENX se gestiona la iniciativa TISAX (Trusted Information Security Exchange) que engloba a los principales partners del sector. Esta organización es la encargada de garantizar el cumplimiento de la VDA-ISA (VDA Information security assessment) y establecer el nivel de madurez en sus de cada organización.

QUE SUPONE LA VDA-ISA

  • Selft-assessment: Desde TISAX se facilita una herramienta de auto evaluación que permite establecer el nivel de madurez
  • Cumplimiento: de los bloques de controles
  • Seguridad de la información; 64 controles
  • Relación con terceras partes; 4 controles
  • Protección de prototipos; 22 controles

BENEFICIOS

  • Requerimientos contractuales cubiertos
  • Enfoque proactivo ante amenazas y riesgos
  • Imagen Reforzada ante clientes y accionistas
  • Ventaja competitiva ante otras organizaciones
  • Prevención de pérdidas económicas en situaciones de emergencia

Valor añadido de TOTALRISK

Planteamos enfocar el cumplimiento siguiendo una hoja de ruta que permita un enfoque global del riesgo, por ello las fases del proyecto tienen un enfoque holístico.

Alcance del sistema: En primer lugar, debe acotarse el alcance del sistema en base a los módulos que le aplican a la organización. Entendiendo siempre que el módulo de gestión de seguridad de la información es obligatorio para cualquier actividad, además es necesario identificar el grado de protección (high protection y very high protection).

GAP análisis: Actuación que permite valorar la desviación de la organización respecto al grado de cumplimiento requerido.

Establecimiento de un plan de acción: Una vez definido el alcance e identificado el estado actual de la organización, se procederá a definir las actuaciones los plazos, los recursos y responsables en base al plazo establecido.

Integración del sistema y los riesgos: Fruto de nuestro conocimiento y experiencia integramos el sistema de seguridad en su sistema de gestión ISO, IATF, VDA,…

Inscripción en ENX: Para poder contratar los servicios de una entidad de certificación es necesaria la previa inscripción de la organización en ENX.

Self Assessment: Se debe hacer un auto-análisis de los puntos a cumplir y debe ser enviado a TISAX, previo a la realización de la auditoría.