La VDA (Asociación de la industria automotriz de Alemania) integrada por las principales empresas armadoras de ese país, estableció requerimientos específicos mínimos de seguridad obligatorios para intercambiar información con sus proveedores de partes y/o servicios. Se trata de un registro en la plataforma Tisax (Trusted Information Security Assessment Exchange) que sirve para evaluar e intercambiar de manera segura información sensible entre armadoras y proveedores; con esto también se busca reforzar la seguridad en la cadena de suministro de bienes y servicios.

Parte del proceso de este registro, consiste en realizar una “autoevaluación” de alineamiento a dichos requerimientos de Tisax que se realiza a través del Catálogo de Autoevaluación VDA ISA (Evaluación de la seguridad de información), el cual es un recurso abierto disponible a través de internet. Si bien esta evaluación se puede realizar por personal interno, se recomienda la realice un tercero independiente especializado para obtener un resultado objetivo.

El catálogo está estructurado en 3 apartados y para el armado del relacionado con la seguridad de información, la VDA estudió y seleccionó ciertos controles específicos de la norma certificable ISO27001 y de su referencia complementaria ISO27002 en su versión 2022, la cual trae el detalle de los atributos para cada control que facilita la evaluación y la implementación de los controles.

En marzo de 2022 se actualizó este catálogo y se emitió la versión 5.1 con la finalidad de alinearse a la versión de ISO27002:2022. De ahí que comentara al inicio de este artículo que Tisax está acelerando y viene tomando bastante velocidad en su exigibilidad, y las empresas que quieran ser proveedoras de armadoras alemanas, también deberán acelerar su proceso de implementación de controles de seguridad de información al interior.

Si bien es cierto que Tisax se está convirtiendo en una obligatoriedad de las armadoras alemanas hacia sus proveedores, los requerimientos de Tisax también deben ser considerados por todas las empresas fabricantes de partes y/o servicios, como una buena práctica que puede ser un diferenciador respecto de sus competidores. Esto les permitirá ver por su espejo retrovisor a la competencia.

Una vez realizada la autoevaluación, definida la brecha y atendidos los incumplimientos, el proveedor podrá solicitar una auditoría externa que debe ser realizada por un auditor acreditado por Tisax. Cuando se cubran todos los requerimientos de Tisax el aspirante a proveedor podrá obtener la certificación y ser visto en la plataforma como una empresa confiable para el intercambio de información y estarán en condiciones de conseguir algún contrato.

Se recomienda a los responsables de comercial, producción, finanzas, TI y/o seguridad de información de aquellas empresas que sean o que quieran ser proveedoras de armadoras automotrices alemanas o de otros países, establezcan estrategias y planes de acción para iniciar ya, la implementación de los controles de seguridad definidos por Tisax; tarde o temprano recibirán los beneficios.

Por Nicandro López Pompa – Desarrollo Comercial