Ciberseguridad en la Industria Automotriz
Introducción a la VDA-ISA y ENX TISAX
En todos los sectores, la protección de la información y la ciberseguridad están adquiriendo una nueva importancia. Esto es relevante en la industria del automóvil, donde la seguridad y la confidencialidad de la cadena de suministro en torno a los nuevos modelos y componentes son valiosos. Por ello, los fabricantes de vehículos exigen que los proveedores demuestren el cumplimiento de los requisitos de seguridad de la información, especialmente en lo que respecta a la confidencialidad y a un nivel adecuado de resiliencia frente a interrupciones, tanto en el ámbito cibernético como en el de la seguridad física.
Para abordar este aspecto, VDA y ENX, que representan a fabricantes de automóviles, proveedores y organizaciones de toda Europa, han colaborado para desarrollar conjuntamente una norma con medidas de protección adecuadas. Los resultados de esta colaboración son: el estándar de la industria para las evaluaciones de seguridad de la información, el VDA Information Security Assessment (VDA-ISA) Catalogue, y la auditoría ENX y el mecanismo de intercambio Trusted Information Security Assessment Exchange (TISAX).
¿Qué importancia tiene la seguridad de la información en el sector de la automoción?
Es una parte crucial, aunque no lo es todo. La certificación TISAX se convierte en un requisito fundamental, motivado principalmente por las demandas de los clientes. Sin embargo, más allá de ser un requisito, TISAX representa un valor de confianza. La certificación asegura que la empresa cuenta con medidas sólidas de seguridad de la información, generando confianza entre los clientes respecto al tratamiento adecuado de sus datos. Esta confianza no solo evita pérdidas de negocio, sino que puede resultar en nuevas oportunidades comerciales. Algunos sugieren que el origen de TISAX se vincula a filtraciones de información crítica, como el tema del CO2 y el Diesel.
¿Cuáles son los criterios que utilizan las empresas que deciden realizar la evaluación TISAX y qué ventajas obtienen?
La ciberseguridad emerge como un factor crítico, ya que enfrentamos crecientes amenazas externas; es un hecho que empresas reportan hasta 2,000 ataques diarios. Estos ataques buscan, principalmente, acceder a datos sensibles para encriptarlos, exigiendo un rescate por la clave de encriptación. La ingeniería social y otras tácticas permiten a los atacantes infiltrarse en la red interna, avanzando desde roles de usuario hasta administrador para superar las defensas, como antivirus y firewalls. Cuanto más avanzan, más daño infligen, y el periodo desde el acceso inicial hasta la encriptación puede extenderse hasta seis meses, permitiendo una presencia latente en el sistema. El segundo frente se centra en la posibilidad de obtener información privilegiada de la empresa, lo que podría provocar desprestigio y pérdida de negocio. Para mitigar estos riesgos, se implementan compromisos de confidencialidad y programas de formación y concienciación.
Llegada de la nueva norma VDA ISA 6.0
¿Qué cambios conlleva en la evaluación TISAX y cuándo entrará en vigor?
En cuanto a las etiquetas, antes de esta actualización, se utilizaban las etiquetas “Info High” e “Info Very High” para evaluar la disponibilidad de los productos. Sin embargo, a partir del 1 de abril de 2024, estas etiquetas serán reemplazadas por “Confidential” y “Strictly Confidential”. Esta transición tiene como objetivo aclarar los requisitos de seguridad para las piezas de producción y los proveedores de infraestructuras, garantizando la protección adecuada de los secretos comerciales.
Es importante destacar que las evaluaciones TISAX solicitadas antes del 1 de abril de 2024 seguirán utilizando los antiguos objetivos.
A partir del 1 de abril de 2024, entrará en vigor una actualización importante relacionada con el sistema de intercambio ENX Trusted Information Security Assessment Exchange (TISAX®). Esta actualización, conocida como VDA ISA 6.0, tiene como objetivo simplificar y agilizar la auditoría y el proceso de evaluación. Beneficiará tanto a las empresas como a los auditores al mejorar la eficiencia y precisión del proceso.
Las mejoras clave introducidas por VDA ISA 6.0 incluyen un enfoque más preciso en la tecnología de la información (TI) y la tecnología operativa (TO). Además, se han añadido nuevas etiquetas TISAX para proteger de manera más efectiva los secretos comerciales.
Pasos para la evaluación TISAX:
Conclusión
La ciberseguridad en la industria automotriz, destacada por normas como TISAX, se ha vuelto esencial para proteger la información y garantizar la confianza del cliente. La certificación TISAX no solo cumple con requisitos, sino que construye confianza, evitando pérdidas y generando nuevas oportunidades comerciales.
La entrada en vigor de la norma VDA ISA 6.0 el 1 de abril de 2024 introduce cambios para mejorar la claridad y eficiencia en la evaluación TISAX, enfocándose más en tecnología de la información y tecnología operativa. En resumen, la ciberseguridad se mantiene como una inversión clave, adaptándose a través de normativas actualizadas para satisfacer las crecientes demandas del sector.
Te dejamos el artículo en FORMATO DESCARGABLE. Si necesitas una certificación o una consultoría, no dudes en ponerte en contacto con nuestro equipo de expertos.