La digitalización y la conectividad son ejes centrales de la industria automotriz, fundamental en Euskadi, por lo que tratar de fortalecer la seguridad de la información es un factor de vital importancia para todos los actores que componen este sector.
En este contexto, se cumple un año de la actualización por parte de la Asociación ENX, en colaboración con la Asociación Alemana de la Industria Automotriz (VDA), de los requisitos de seguridad de la información relativos a la certificación TISAX (Trusted Information Security Assessment Exchange), alineándose con la versión de 2022 de la norma ISO/IEC 27001.
En este periodo, TISAX se ha convertido en el marco de evaluación de la seguridad de referencia para el sector automotriz. Esta certificación ha estandarizado los requisitos y permitido a las compañías simplificar el proceso para demostrar su alineamiento con dichos requerimientos. En una industria con un alto grado de interdependencia, todo ello ha permitido la optimización de los recursos y la reducción de los costes asociados.
A día de hoy, aunque no sea un requisito legal obligatorio, obtener la certificación TISAX es prácticamente indispensable para operar en el sector automovilístico europeo. Aunque al principio su uso estuvo circunscrito casi en exclusiva al mercado alemán, se ha ido ampliando debido a las solicitudes de los fabricantes de equipo original (OEM, por sus siglas en inglés 'Original Equipment Manufacturer') quienes, inicialmente, requerían esta certificación a sus proveedores directos para, en los últimos años, extenderla a lo largo de todos los niveles de la cadena de suministro.
Adaptarse a TISAX representa un reto importante en términos de ciberseguridad. Su complejidad puede intensificarse en función de tres factores: el nivel de seguridad, la aplicación de requisitos adicionales y el número de ubicaciones en el alcance.
En relación con la seguridad, existen tres niveles, aunque el primero de ellos no tiene validez, ya que se trata de una autoevaluación sin ninguna comprobación de plausibilidad, fundamentalmente con fines exclusivamente internos.
Los dos niveles restantes sí que requieren de una comprobación de plausibilidad en forma de inspección: de forma remota para el segundo nivel y de manera presencial -in situ- para el tercero. Esta inspección es más exhaustiva en este último, por tanto, ya que está destinado principalmente para compañías que manejan datos externos altamente sensibles.
Independientemente del nivel de seguridad, todas las compañías deben cumplir los mismos requisitos, tales como integrar la seguridad desde el diseño, implantar medidas robustas, desarrollar procedimientos de respuesta ante incidentes y planes de continuidad de negocio. Además, es importante capacitar a los empleados en prácticas de seguridad y protección de datos.
Asimismo, en función de la información tratada, TISAX establece requisitos adicionales para aquellas compañías que procesen datos personales externos y/o trabajen con prototipos que contengan información de tecnología innovadora y confidencial.
En relación con las compañías que desempeñan su actividad en diferentes ubicaciones, cabe destacar que la evaluación de requisitos y la posterior comprobación de plausibilidad se debe realizar de manera independiente por cada una de ellas, lo que multiplica el esfuerzo necesario.
Cumpliendo estas recomendaciones se avanzará en el alineamiento con el estándar TISAX de cara a posibles solicitudes de certificación por parte del mercado y para reducir los tiempos y complejidad del proceso de adaptación.
Ahora, es momento de que toda la cadena de suministro del sector automotriz evalúe proactivamente su nivel de madurez en ciberseguridad. De esta manera, los diferentes actores podrán mitigar los riesgos relativos a la confidencialidad, integridad y disponibilidad de la información.
Óscar Martín Moraleda y David Villanueva Viteri
Socio y Manager, respectivamente, especialistas en riesgos tecnológicos y ciberseguridad de Deloitte