TISAX: DOS HALLAZGOS COMUNES EN LAS ÚLTIMAS AUDITORIAS DE CERTIFICACIÓN REALIZADAS

August 4, 2021

SEGURIDAD DE LA INFORMACIÓN Y SEGURIDAD INFORMÁTICA AL ESTILO DE LA INDUSTRIA AUTOMOTRIZ

La transformación digital y la seguridad de la información se han vuelto elementos clave en todas las industrias, especialmente en la Industria Automotriz.

La información es un activo muy importante, fuente de ventaja competitiva, por lo mismo requiere protección especial. El resguardo de la Confidencialidad, Integridad, Disponibilidad de la información se ha vuelto un reto, combinado con la eficiencia operacional y la continuidad del negocio.

El incremento del cibercrimen ha estado a la orden del día especialmente durante la pandemia hablando ahora de distintos Carteles de Cibercrimen.

La Asociación Alemana de la Industria Automotriz (VDA por sus siglas en Alemán), buscando generar confianza en el sector automotriz lanza el catálogo de controles necesarios para la seguridad de la información (Information Security Assessment-ISA-) lo cual da origen al VDA-ISA y con ello se da origen a TISAX, Trusted Information Security Assessment eXchange).

Una peculiaridad de TISAX es que contiene controles de seguridad de la información además de controles para la protección de prototipos de vehículos y partes que no han sido presentados al público. Para entender mejor lo expuesto en el presente documento sugiero familiarizarse con los conceptos de TISAX. Se cuenta con varias fuentes de información sobre su origen, requisitos, controles, proceso de certificación entre otros, se sugiere visitar el portal oficial TISAX.

Desde mucho antes de la existencia de TISAX he tenido el gusto de hacer muchas auditorías de tercera parte para organismos internacionales de certificación, en distintas normas entre ellas la ISO/IEC 27001, 27017, 27018, 22301 en distintos sectores también al sector Automotriz en países como EUA, México, Perú, Uruguay.  Migrar hacia TISAX teniendo la experiencia necesaria en ISO/IEC 27001 era parte de la evolución.

En el presente artículo busco compartir con ustedes algunos hallazgos típicos que he encontrado en las últimas auditorías de certificación de TISAX que he tenido el gusto de realizar en distintas plantas del Sector Automotriz, en algunos casos han representado No Conformidades, asimismo esclarecer algunas falsas creencias sobre TISAX. Estoy seguro de que los consejos les serán de mucha ayuda como parte de su implementación.

¿TISAX aplica solo para el área de TI? = Falsa creencia

No olvidemos que, la información puede ser representada en distintos medios, uno de ellos es el medio electrónico, la información puede estar en medios escritos, puede estar en videos corporativos dentro de la intranet, en papel, en la mente de los colaboradores. El Sector Automotriz, es una de las industrias manufactureras globales más automatizadas, esto implica equipos y maquinaria conectados a la red. Por lo tanto solo pensar en el área de TI se vuelve muy limitado al pensar en una implementación de TISAX, ya que la información fluye por los procesos de la organización.

Hallazgo común 1: Inventario de Activos de Información

Requisito deTIXAX – VDA ISA 5.0.4

Este control tiende a confundirse con el Inventario de Activos que normalmente se lleva en un área de TI, donde normalmente se encuentran los equipos de cómputo de la organización, servidores, monitores, ups, etc., todo con su número de serie, estado de la garantía, entre otras columnas importantes que típicamente se llevan.

A pesar de que la columna de requerimientos no negociables (Requirements must) es clara en varias ocasiones me han presentado el inventario de activos clásico de TI.

El inventario de activos de Riesgo de Seguridad de la Información es un elemento valioso previo de la Gestión de Riesgos de Seguridad de la Información, se debe trabajar con un enfoque distinto al Inventario clásico de TI, en este inventario la información digital es una línea, las aplicaciones instaladas son otra línea, el hardware es otra línea, el sistema operativo es otra línea, los colaboradores son otra línea, así como la información física.  

A manera de referencia sugiero consultar la norma ISO/IEC 27005:2018 de Gestión de Riesgos de Seguridad de la Información, Anexo B.

Hallazgo común 2: Relaciones con Proveedores

 Requisito deTIXAX – VDA ISA 5.0.4

La industria automotriz cuenta con madurez en la implementación y gestión de normas y estándares internacionales como IATF, ISO 9001, 14001, entre otras, por lo que normalmente la gestión de proveedores en general he encontrado que se lleva de manera correcta.

Al auditar TISAX, me han presentado normalmente el inventario de proveedores que aplican a TI, algunas veces con alguna clasificación como críticos y sus respectivos acuerdos de confidencialidad firmados.

Teniendo en cuenta que hoy en día se cuenta con equipo industrial conectado a internet contando con acuerdos de soporte remoto por parte del fabricante, auditando algunas conexiones de soporte técnico hacia los equipos industriales, ha resultado interesante ver que la conexión ha sido por algún colaborador que ya no labora en el proveedor.

La lección aprendida en este punto y basado en el enfoque de seguridad de la información y la sugerencia a las áreas de abastecimiento en conjunto con el área de TI es que no basta solamente en tener catalogado el proveedor como crítico y tener un acuerdo de confidencialidad firmado.

Se debe ir a más a fondo, entender si personal del proveedor se conectará hacia algún activo de la organización puede implicar en exigir algunas cosas más a nivel contractual hacia el proveedor como el cumplimiento de una política de gestión de usuarios y accesos, garantizar que si un empleado del proveedor es dado de baja.

Su usuario por oficio será eliminado especialmente el que utiliza para conectarse a los activos de la planta.   Ha sido común encontrar que este control no se lleva a fondo, pero también es de entender que por ello es uno de los controles de TISAX.

Elder A. Guerra V.

CEO ES Consulting

INLAC Registered Expert ISO/IEC JTC 1/SC27/WG1 Information security,cybersecurity and privacy protection