En todos los sectores, la protección de la información y la ciberseguridad están adquiriendo una nueva importancia. Esto es relevante en la industria del automóvil, donde la seguridad y la confidencialidad de la cadena de suministro en torno a los nuevos modelos y componentes son valiosos. Por ello, los fabricantes de vehículos exigen que los proveedores demuestren el cumplimiento de los requisitos de seguridad de la información, especialmente en lo que respecta a la confidencialidad y a un nivel adecuado de resiliencia frente a interrupciones, tanto en el ámbito cibernético como en el de la seguridad física.
Para abordar este aspecto, VDA y ENX, que representan a fabricantes de automóviles, proveedores y organizaciones de toda Europa, han colaborado para desarrollar conjuntamente una norma con medidas de protección adecuadas. Los resultados de esta colaboración son: el estándar de la industria para las evaluaciones de seguridad de la información, el VDA Information Security Assessment (VDA-ISA) Catalogue, y la auditoría ENX y el mecanismo de intercambio Trusted Information Security Assessment Exchange (TISAX).
¿Qué importancia tiene la seguridad de la información en el sector de la automoción?
Es una parte crucial, aunque no lo es todo. La certificación TISAX se convierte en un requisito fundamental, motivado principalmente por las demandas de los clientes.
La ciberseguridad emerge como un factor crítico, ya que enfrentamos crecientes amenazas externas; es un hecho que empresas reportan hasta 2,000 ataques diarios. Estos ataques buscan, principalmente, acceder a datos sensibles para encriptarlos, exigiendo un rescate por la clave de encriptación. La ingeniería social y otras tácticas permiten a los atacantes infiltrarse en la red interna, avanzando desde roles de usuario hasta administrador para superar las defensas, como antivirus y firewalls. Cuanto más avanzan, más daño infligen, y el periodo desde el acceso inicial hasta la encriptación puede extenderse hasta seis meses, permitiendo una presencia latente en el sistema. El segundo frente se centra en la posibilidad de obtener información privilegiada de la empresa, lo que podría provocar desprestigio y pérdida de negocio. Para mitigar estos riesgos, se implementan compromisos de confidencialidad y programas de formación y concienciación.
Sin embargo, más allá de ser un requisito, TISAX representa un valor de confianza. La certificación asegura que la empresa cuenta con medidas sólidas de seguridad de la información, generando confianza entre los clientes respecto al tratamiento adecuado de sus datos. Esta confianza no solo evita pérdidas de negocio, sino que puede resultar en nuevas oportunidades comerciales. Algunos sugieren que el origen de TISAX se vincula a filtraciones de información crítica, como el tema del CO2 y el Diesel.
Llegada de la nueva norma VDA ISA 6.0
¿Qué cambios conlleva en la evolución TISAX y cuándo entró en vigor?
En cuanto a las etiquetas, antes de esta actualización, se utilizaban las etiquetas “Info High” e “Info Very High” para evaluar la disponibilidad de los productos. Sin embargo, a partir del 1 de abril de 2024, estas etiquetas han sido reemplazadas por “Confidential” y “Strictly Confidential”. Esta transición tiene como objetivo aclarar los requisitos de seguridad para las piezas de producción y los proveedores de infraestructuras, garantizando la protección adecuada de los secretos comerciales.
Es importante destacar que las evaluaciones TISAX solicitadas antes del 1 de abril de 2024 han seguido utilizando los antiguos objetivos.
El 1 de abril de 2024, entró en vigor una actualización importante relacionada con el sistema de intercambio ENX Trusted Information Security Assessment Exchange (TISAX®). Esta actualización, conocida como VDA ISA 6.0, tiene como objetivo simplificar y agilizar la auditoría y el proceso de evaluación. Beneficia tanto a las empresas como a los auditores al mejorar la eficiencia y precisión del proceso.
Las mejoras clave introducidas por VDA ISA 6.0 incluyen un enfoque más preciso en la tecnología de la información (TI) y la tecnología operativa (TO). Además, se han añadido nuevas etiquetas TISAX para proteger de manera más efectiva los secretos comerciales.
