TISAX Seguridad de la información en el sector de la automoción.

Es habitual en estos últimos tiempos contemplar como la seguridad se va adquiriendo peso en nuestras vidas. La preocupación por conservar nuestros activos, sea en la vida privada o profesional, alcanza una mayor dimensión año tras año.

En el mundo empresarial, la seguridad puede suponer un elemento de notoriedad como argumento de venta y en muchos casos un requisito que el cliente nos exige. La aparición de las normas más genéricas a principios de siglo como la ISO27001 o el Esquema Nacional de Seguridad se alimento de la guerra contra el terrorismo en respuesta al 11-S. También es cierto que la mayor digitalización ha generado nuevos escenarios con vulnerabilidades y amenazas que no podíamos imaginar. Antivirus, encriptación, doble autenticación, entre otros, son conceptos cada vez más comunes en el desarrollo cotidiano de nuestras tareas.

El sector de la Automoción no podía quedar al margen de esta tendencia y tenía que exponerse en este mundo con voz propia. En las postrimerías del 2016 los fabricantes de coches germanos (Voslkwagen, Daimler-Benz, BMW,…) acordaron a desarrollar una serie de requisitos de seguridad de la información.

A través de ENX Association se estableció la iniciativa TISAX (Trusted Information Security Assessment eXchange) para el desarrollo de un mecanismo de evaluación e intercambio de la seguridad de la información de las empresas, que permitiera el reconocimiento y los resultados de la evaluación entre los integrantes.

Este sistema de evaluación se concibió mediante la VDA (Verband der Automobilindustrie) asociación germana de la industria del automóvil que dispone de un amplio abanico de normas. Así cogió forma, la norma VDA-ISA (Information Security Assessment), actualmente en su versión 5.0.4, como listado de requisitos y su método de evaluación.

Característica del sistema de gestión VDA-ISA

La norma VDA-ISA no es un sistema de gestión al uso tipo ISO, en la que se definen una serie de puntos y la organización establece una documentación descriptiva y genera registros derivados de su aplicación. En este caso la norma establece una serie de controles que establece unos requisitos concretos a cumplir. Por así decir se asemeja más al Anexo A de la norma ISO27001.

Existen tres grandes grupos de controles, organizados en 3 módulos:

Módulo de Seguridad de la Información

  1. Políticas y seguridad
  2. Recursos Humanos
  3. Seguridad Física y continuidad del negocio
  4. Identidad y gestión de accesos
  5. Seguridad IT/ Ciberseguridad
  6. Relación con proveedores
  7. Cumplimiento

En este primer módulo se establecen los controles generales de seguridad que toda organización debe cumplir. Desde los aspectos más generales que establecen los pilares de gestión de la seguridad se tratan 6 grandes grupos. Cuatro de ellos tienen implicaciones generales a nivel de gestión de recursos (Instalaciones, Recursos humanos, proveedores y cumplimiento), si bien en todos ellos se siente el impacto de la seguridad digital es en los dos restantes donde los sistemas de información cogen enjundia.

Módulo Protección de prototipos

8.1 Seguridad Física y entorno
8.2 Requisitos de la organización
8.3 Manipulación de vehículos, componentes y partes
8.4 Requisitos de pruebas de vehículo
8.5 Requisitos de eventos y filmaciones

Este módulo soló es de aplicación para aquellas organizaciones que disponen de la actividad de diseño y desarrollo de prototipos. Los dos primeros grupos ahondan en las necesidades ya expuestas en el módulo de seguridad de la información, enfocado a seguridad de prototipos. En los siguientes 3 grupos están centrados en la manipulación de los prototipos en sus ámbitos de revisión, transporte, pruebas o actuaciones de marketing

Módulo de Protección de datos

9.1 Implementación
9.2 Conformidad con la legislación
9.3 Revisiones periódicas
9.4 Proceso documental

Finalmente disponemos del módulo de protección de datos, este aspecto ya está referenciado dentro del grupo 7 de cumplimiento del primer módulo y aquí se despliega en profundidad para dar cumplimiento la protección de datos de carácter personal

Estos tres módulos suponen un total de 67 controles (41 de seguridad de la información, 22 de prototipos y 4 de protección de datos), número inferior a los 114 controles del Anexo A de ISO27001, pero que entraña una sorpresa al contemplar el número de requerimientos de cada control suponiendo en el alcance más amplio una suma total de 406 requisitos.

Este número de requisitos variará en función de la necesidad o no del módulo de prototipos y del nivel de seguridad exigido. Este nivel de seguridad presenta tres niveles que van del normal, alto al muy alto, y supondrán en los dos últimos niveles requisitos adicionales hasta contemplar los mencionados 406 en el caso de muy alto y que se incluya prototipos.

Existen 6 niveles de madurez para cada control:

0-incompleto
1-en desarrollo
2-gestionado
3-establecido
4-predictible
5-optimizado

Esto permitirá el cálculo y la cuantificación de los requisitos dando una imagen general del estado de la organización.

Para la gestión y cumplimiento de la norma ENX nos facilita un documento, el Self-Assessment, en su versión actual 5.0.4. Este documento dispone de una estructura de pestañas con los niveles de madurez, definiciones, tres pestañas de controles, dos pestañas de resultados, ejemplos de indicadores KPI (Key Perfomance Indicator),…

Últimos cambios de la norma VDA-ISA

La verdad es que en la última versión 5.0.4 los cambios son irrelevantes desde la versión 5.0.0 solamente se han producido modificaciones respecto a glosario, la numeración del modulo de protección de datos y alguna referencia.

Hemos de contemplar el salto de la versión 4.1.0 a la 5.0.0 para encontrar una integración y cambio sustancial de controles, así como la remuneración de los mismos. En la actualidad es normal encontrar organizaciones que estructuran su sistema de seguridad de la información con la estructura antigua (4.1.0).

Luces y sombras del sistema de evaluación TISAX

 Desde el punto de vista del valor añadido que puede suponer es evidente que supone un nivel superior respecto a otras certificaciones que no disponen de tantos requisitos. Además, el hecho que sea un sistema de evaluación puntuado le confiere un plus de interpretación.

Toda la información, documentos y formatos se encuentran disponibles en su portal https://www.enx.com/en-US/enxassociation/  de forma totalmente gratuita.  Esto también supone un ejercicio de transparencia y funcionalidad respecto a otros sistemas de evaluación.

Las principales dificultades radican en ser capaces de acercar la norma VDA-ISA a la realidad de las empresas, ya que muchas veces se corre el riesgo de centrarse en el cumplimiento de requisitos y nos desviamos del objetivo que es el dispone de una herramienta de valor añadido que nos aporte mayor seguridad.