Lleve a cabo el proceso de evaluación TISAX y comparta el resultado de la evaluación con sus socios

Publicado por

ENX Association
asociación según la ley francesa de 1901,
con núm. de registro w923004198 en la Sous-préfecture de Boulogne-Billancourt, Francia

Direcciones
20 rue Barthélémy Danjou, 92100 Boulogne-Billancourt, Francia
Bockenheimer Landstraße 97-99, 60325 Fráncfort del Meno, Alemania

Autor

Florian Gleich

Contacto

tisax@enx.com
+49 69 9866927-77

Versión

Fecha:

06/01/2021

Versión:

2.3 beta

Clasificación:

Público

ID doc. ENX:

602-ES

Todos los derechos reservados por la ENX Association.
ENX, TISAX y los logotipos correspondientes son marcas registradas de la ENX Association.
Las marcas comerciales de terceros que se mencionan pertenecen a sus respectivos propietarios.

1. Sinopsis

1.1. Finalidad

Le damos la bienvenida a TISAX (Trusted Information Security Asessment Exchange o intercambio confiable de evaluación de seguridad de la información).

Uno de sus socios le ha solicitado que demuestre que su gestión de la seguridad de la información cumple un nivel definido de acuerdo con los requisitos de la “Evaluación de la seguridad de la información (ISA, por sus siglas en inglés) de la VDA[1]”. De forma que quiere comprobar si cumple estos requisitos.

El objetivo de este manual es permitirle satisfacer la solicitud de su socio o bien anticiparse antes de que se lo soliciten.

El manual describe los pasos que debe seguir para superar la evaluación TISAX y para compartir el resultado de la evaluación con sus socios.

Establecer y mantener un sistema de gestión de la seguridad de la información (ISMS, por sus siglas en inglés) ya es una tarea compleja. Demostrar a sus socios que ese sistema de gestión de la seguridad de la información está a la altura añade aún más complejidad. Este manual no le ayudará a gestionar la seguridad de la información. Sin embargo, pretende hacer que la tarea de demostrar a sus socios su empeño sea lo más fácil posible.

1.2. Alcance

Este manual hace referencia a todos los procesos TISAX en los que pueda participar.

Contiene todo lo que necesita saber para llevar a cabo el proceso TISAX.

El manual ofrece asesoramiento sobre cómo tratar los requisitos en materia de seguridad de la información en el marco de la evaluación. Sin embargo, no pretende informarle en general sobre lo que tiene que hacer para superar la evaluación de seguridad de la información.

1.3. Destinatarios

Los principales destinatarios de este manual son empresas que necesitan o quieren demostrar un nivel definido de gestión de la seguridad de la información de acuerdo con la “Evaluación de la seguridad de la información (ISA) de la VDA”.

Tan pronto como se involucre activamente en los procesos TISAX, se beneficiará de la información que contiene este manual.

También se beneficiarán las empresas que solicitan a sus proveedores que demuestren niveles definidos de gestión de la seguridad de la información. Este manual les permite entender qué deben hacer sus proveedores para satisfacer esa demanda.

1.4. Estructura

Empezaremos con una breve introducción a TISAX y, a continuación, pasaremos a dar instrucciones sobre CÓMO hacer las cosas. Encontrará todo lo que necesita saber para llevar a cabo el proceso, en el orden en que necesita saberlo.

El tiempo de lectura estimado de este documento es de 75-90 minutos.

1.5. Cómo usar este documento

Tarde o temprano, querrá entender la mayor parte de las cosas descritas en este documento. Para prepararse adecuadamente, le recomendamos la lectura del manual completo.

Hemos estructurado el manual según los tres pasos principales del proceso TISAX, de forma que puede ir la sección que necesita y leer el resto más tarde.

El manual utiliza ilustraciones para facilitar la comprensión. Los colores de las ilustraciones a menudo tienen un significado adicional. Por tanto, le recomendamos que lea el documento en una pantalla o como impresión a color.

Agradecemos sus comentarios. Si cree que falta algo en este manual o que no se entiende fácilmente, no dude en hacérnoslo saber. Nosotros y los futuros lectores agradecerán los comentarios.

Si ya ha usado una versión anterior del manual del participante de TISAX, encontrará algunas notas importantes al final del documento en la Sección 8, “Historial del documento”.

1.6. Contacto

Estamos a su disposición para guiarle a lo largo del proceso TISAX y para responder cualquier duda que se le plantee.

Envíenos un mensaje de correo electrónico a:

tisax@enx.com

O llámenos al:

+49 69 9866927-77

Nos podrá localizar durante el horario de oficina habitual de Alemania (UTC+01:00).

Todos hablamos Icono de la bandera del Reino Unido inglés y Icono de la bandera de Alemania alemán. Dos de nuestros compañeros son hablantes nativos de Icono de la bandera de Italia italiano.

1.7. El manual del participante de TISAX en otros idiomas y formatos

El manual del participante de TISAX está disponible en los siguientes idiomas y formatos:

Idioma Versión Formato Enlace Tamaño

Icono de la bandera del Reino Unido Inglés

2.4

Online

https://www.enx.com/handbook/tisax-participant-handbook.html

n/a

Offline

https://www.enx.com/handbook/tisax-participant-handbook-offline.html

6.4 MB

PDF

https://www.enx.com/handbook/TISAX%20Participant%20Handbook.pdf

6.4 MB

Icono de la bandera de Alemania Alemán

2.4

Online

https://www.enx.com/handbook/tisax-teilnehmerhandbuch.html

n/a

Offline

https://www.enx.com/handbook/tisax-teilnehmerhandbuch-offline.html

6,4 MB

PDF

https://www.enx.com/handbook/TISAX-Teilnehmerhandbuch.pdf

5,0 MB

Icono de la bandera de Francia Francés

2.3 beta

Online

https://www.enx.com/handbook/tph-fr.html

n/a

Offline

https://www.enx.com/handbook/tph-fr-offline.html

7,0 MB

PDF

https://www.enx.com/handbook/tph-fr.pdf

7,0 MB

Icono de la bandera de China Chino

2.3 beta

Online

https://www.enx.com/handbook/tph-cn.html

n/a

Offline

https://www.enx.com/handbook/tph-cn-offline.html

7,0 MB

PDF

https://www.enx.com/handbook/tph-cn.pdf

7,0 MB
Importante

Nota importante:

La versión en inglés es la versión principal.
El resto de versiones son traducciones del texto inglés.
En caso de duda, la versión en inglés prevalece.

1.7.1. Acerca de la traducción al español

Este Manual del participante de TISAX es una traducción del texto inglés.

Todos los documentos que se utilizan en TISAX se han creado en inglés (p. ej., todos los contratos y requisitos para los proveedores de servicios de auditoría TISAX). Como resultado, su socio o proveedor de auditoría puede usar algunos términos específicos de TISAX en inglés.

Para que pueda asignarlos correctamente, o bien hemos dejado el término original TISAX en inglés en la traducción al español del Manual del participante de TISAX, o bien hemos incluido el término en inglés entre paréntesis detrás de la traducción al español.

1.7.2. Acerca del formato online

Cada sección tiene un ID único (formato: ID1234).
El ID hace referencia a una sección específica, independientemente del idioma.
Si quiere desplazarse a una sección específica, puede:

  • hacer clic con el botón derecho sobre el título de la sección y copiar el enlace, o bien

  • hacer clic sobre el título de la sección y copiar el enlace de la barra de dirección de su navegador.

La mayoría de figuras están disponibles en un tamaño mayor al mostrado de forma predeterminada. Haga clic sobre la figura para abrir la versión mayor.

1.7.3. Acerca del formato offline

El formato offline mantiene la mayoría de funciones del formato online. En particular, las figuras están incrustadas en el archivo HTML. Solo necesita un archivo para usar el formato offline.

En comparación con el formato online, el formato offline no cuenta con lo siguiente:

  • las imágenes de mayor tamaño

  • las fuentes originales del formato online
    Los ajustes predeterminados de su navegador definirán las fuentes.

1.7.4. Acerca del formato PDF

El formato PDF se basa en el formato online. Básicamente, hemos usado un navegador para guardar el formato online como PDF.

Si usa el formato PDF en su PC, podrá hacer clic en todas las referencias. Pero, si imprime la versión en PDF, no tendrá remisiones a través de los números de página y deberá buscar las referencias por su cuenta.

2. Introducción

Las siguientes secciones presentan el concepto TISAX.

Si tiene prisa, puede saltárselas y empezar directamente en la Sección 4.3, “Preparación del registro”.

2.1. ¿Por qué TISAX?

O, más bien, ¿por qué está usted aquí?

Para contestar a estas preguntas, empezaremos con algunas reflexiones sobre los negocios en general y la protección de la información en particular.

Imagínese a su socio. Tiene información confidencial. Quiere compartir esa información con su proveedor, usted. La cooperación entre usted y su socio crea valor. La información que su socio comparte con usted es una parte importante de esa creación de valor. Por tanto, quiere protegerla de forma adecuada. Y quiere asegurarse de que usted trata su información con el mismo cuidado.

Pero ¿cómo puede saber que su información está en buenas manos? No puede simplemente “creerle”. Su socio debe tener alguna prueba.

Llegados a este punto, hay dos cuestiones. ¿Quién define qué es un manejo “seguro” de la información? Y, ¿cómo se demuestra?

2.2. ¿Quién define qué significa "seguro"?

Usted y su socio no son los únicos que se enfrentan a estas cuestiones por primera vez. Prácticamente todo el mundo tiene que encontrarles respuesta, y la mayoría de respuestas se parecerán.

En lugar de crear una solución independiente cada vez a un problema común, un método estándar le evita tener que partir de cero. Si bien definir un estándar supone un gran esfuerzo, solo se hace una vez y los que vienen detrás se benefician de ello cada vez.

Seguro que hay distintas opiniones sobre lo que hay que hacer para proteger la información. Pero, por las ventajas indicadas antes, la mayoría de las empresas apuestan por los estándares. Un estándar contiene de forma condensada todas las mejores prácticas, probadas en el tiempo y acreditadas, para hacer frente a un reto concreto.

En nuestro caso, los estándares como ISO/IEC 27001 (sobre los sistemas de gestión de la seguridad de la información, o ISMS) y su implementación establecen una forma reconocida de manejar de forma segura la información confidencial. Un estándar como este le evita tener que reinventar la rueda cada vez. Y, aún más importante, los estándares constituyen una base común cuando dos empresas necesitan intercambiar datos confidenciales.

2.3. El camino de la automoción

Por naturaleza, los estándares independientes de la industria se diseñan como soluciones de talla única, y no a medida de las necesidades concretas de las empresas de automoción.

Hace cierto tiempo, el sector del automóvil formó asociaciones con el objetivo --entre otros-- de perfeccionar y definir estándares ajustados a sus necesidades específicas. La Asociación Alemana de la Industria Automotriz (VDA) es una de ellas. En el grupo de trabajo encargado de la seguridad de la información, diversos miembros del sector llegaron a la conclusión de que tienen necesidades similares suficientes como para ajustar a medida los estándares de gestión de la seguridad de la información.

Su esfuerzo conjunto se tradujo en un cuestionario que cubre los requisitos de seguridad de la información ampliamente aceptados por la industria del automóvil. Se llama “VDA Information Security Assessment” (ISA).

Con la ISA, tenemos una respuesta a la pregunta “¿Quién define qué significa ‘seguro’?” A través de la VDA, la industria automotriz ofrece esta respuesta a sus miembros.

2.4. ¿Cómo demostrar la seguridad de forma eficiente?

Mientras que algunas empresas usan la ISA únicamente con fines internos, otras la usan para evaluar la madurez de la gestión de la seguridad de la información de sus proveedores. En algunos casos, una autoevaluación es suficiente para la relación comercial. Sin embargo, en ciertos casos, las empresas llevan a cabo una evaluación completa de la gestión de la seguridad de la información de su proveedor (incluidas auditorías in situ).

Junto con la creciente conciencia de la necesidad de una gestión de la seguridad de la información y el aumento en la adopción de la ISA como herramienta para las evaluaciones de la seguridad de la información, cada vez más proveedores se enfrentaban a solicitudes similares de distintos socios.

Esos socios seguían aplicando estándares diferentes y tenían opiniones variadas sobre cómo interpretarlos. Sin embargo, los proveedores tenían que demostrar las mismas cosas, solo que de formas diferentes.

Y cuantos más proveedores debían probar a sus socios su nivel de gestión de la seguridad de la información, más fuertes se volvieron las quejas por tener que repetir el mismo esfuerzo una y otra vez. Mostrar a un auditor tras otro las mismas medidas de gestión de la seguridad de la información simplemente no es eficiente.

¿Qué se puede hacer para que esto sea más eficiente? ¿No ayudaría si el informe de un auditor pudiera reutilizarse para distintos socios?

Los OEM y los proveedores que integran el grupo de trabajo de la VDA responsable de mantener la ISA escucharon las quejas de los proveedores. Ahora ofrecen una respuesta a sus proveedores, así como al resto de empresas del sector del automóvil, para la pregunta “¿Cómo demostrar la seguridad?”

La respuesta es TISAX, la abreviatura de “Trusted Information Security Assessment Exchange” (Icono de la bandera de España intercambio confiable de evaluación de seguridad de la información).

3. El proceso TISAX

3.1. Sinopsis

El proceso TISAX habitualmente[2] empieza con que uno de sus socios le solicita que pruebe un nivel definido de gestión de la seguridad de la información de acuerdo con los requisitos de la “VDA Information Security Assessment” (ISA). Para responder a esta solicitud, debe completar el proceso TISAX de 3 pasos. Esta sección le proporciona un resumen de los pasos que deberá dar.

El proceso TISAX de 3 pasos consiste en:

Sinopsis del proceso TISAX
Figura 1. Sinopsis del proceso TISAX
img callout black 01

Paso 1
Registro
img callout black 02

Paso 2
Evaluación
img callout black 03

Paso 3
Intercambio

  1. Registro
    Recopilamos la información sobre su empresa y lo que debe formar parte de la evaluación.

  2. Evaluación
    Usted lleva a cabo la evaluación o las evaluaciones, a cargo de uno de nuestros proveedores de auditoría TISAX.

  3. Intercambio
    Comparte el resultado de la evaluación con sus socios.

Cada paso contiene subpasos. Estos se presentan en las tres secciones siguientes y se describen detalladamente en sus secciones correspondientes.

Nota

Recuerde:

Aunque nos gustaría poder decirle cuánto tiempo necesitará para obtener su resultado de evaluación TISAX, entienda que es algo que no podemos predecir de forma fiable. La duración total del proceso TISAX depende de demasiados factores. La gran variedad de tamaños de empresa y objetivos de evaluación, así como el respectivo grado de preparación del sistema de gestión de la seguridad de la información, hacen que sea imposible.

No obstante, TISAX define una duración máxima de nueve meses para todo el proceso de evaluación TISAX.

3.2. Registro

El primer paso es el registro TISAX.

El principal objetivo del registro TISAX es recopilar información sobre su empresa. Usamos un proceso de registro online para ayudarle a proporcionar esa información.

Es el requisito previo a todos los pasos siguientes. Está sujeto a una tasa.

Durante el proceso de registro online:

  • Le solicitamos información de contacto y de facturación.

  • Debe aceptar nuestras condiciones.

  • Puede definir el alcance de su evaluación de la seguridad de la información.

Para empezar directamente con este paso, consulte la Sección 4, “Registro (paso 1)”.

El proceso de registro online se describe en detalle en la Sección 4.5, “Proceso de registro online”. No obstante, si quiere empezar ahora mismo, vaya a Icono de la bandera del Reino Unido enx.com/en-US/TISAX/.

3.3. Evaluación

El segundo paso es llevar a cabo la evaluación de la seguridad de la información.

Existen cuatro subpasos:

  1. Preparación de la evaluación
    Ha de preparar la evaluación. El grado de preparación dependerá del nivel de madurez actual de su sistema de gestión de la seguridad de la información. La preparación se debe basar en el catálogo ISA.

  2. Selección del proveedor de auditoría
    Cuando esté listo para la evaluación, debe elegir a uno de nuestros proveedores de auditoría TISAX.

  3. Evaluación de la seguridad de la información
    Su proveedor de auditoría llevará a cabo la evaluación de acuerdo con el alcance necesario para cumplir los requisitos de su socio. Este proceso de evaluación constará de una auditoría inicial como mínimo.
    Si su empresa no supera la evaluación a la primera, el proceso de evaluación puede requerir pasos adicionales.

  4. Resultado de la evaluación
    Una vez que su empresa haya superado la evaluación, el proveedor de auditoría le facilitará el informe TISAX oficial. El resultado de su evaluación también recibirá “etiquetas TISAX”[3].

Para más información sobre este paso, consulte la Sección 5, “Evaluación (paso 2)”.

3.4. Intercambio

El tercer y último paso es compartir el resultado de la evaluación con su socio. El contenido del informe TISAX está estructurado en niveles. Puede decidir hasta qué nivel tendrá acceso su socio.

El resultado de la evaluación es válido durante tres años. Suponiendo que siga siendo proveedor del socio para entonces, tendrá que llevar a cabo el proceso de tres pasos de nuevo[4].

Para más información sobre este paso, consulte la Sección 6, “Intercambio (paso 3)”.


Ahora que ya tiene una idea básica del proceso TISAX, en las siguientes secciones encontrará información sobre cómo realizar cada paso.

4. Registro (paso 1)

El tiempo de lectura estimado de la sección de registro es de 30-40 minutos.

4.1. Sinopsis

El registro TISAX es el primer paso. Es el requisito previo a todos los pasos siguientes.

Las siguientes secciones le guiarán a través del registro:

  1. Empezaremos explicando un nuevo término fundamental.

  2. Después, le recomendaremos qué debería hacer para preparar el proceso de registro online.

  3. A continuación, le guiaremos a través del proceso de registro online.

4.2. Usted es un participante de TISAX

En primer lugar, permítanos presentarle un nuevo término que es imprescindible entender. Hasta ahora, usted era el “proveedor”. Ahora está aquí para cumplir el requisito de su “cliente”. Sin embargo, TISAX no distingue entre estos dos roles. Para TISAX, cualquiera que se registre es un “participante”. Usted --al igual que su socio-- “participa” en el intercambio de los resultados de la evaluación de la seguridad de la información.

Registro para convertirse en participante de TISAX
Figura 2. Registro para convertirse en participante de TISAX
img callout black 01

Su empresa
img callout black 02

Registro TISAX
img callout black 03

Participante de TISAX

Para diferenciar los dos roles desde el principio, nos referimos a usted, el proveedor, como “participante activo”. Nos referimos a su socio como “participante pasivo”. Como “participante activo”, usted se somete a una evaluación TISAX y comparte el resultado de la evaluación con otros participantes. El “participante pasivo” es quien ha solicitado que se someta a la evaluación TISAX. El “participante pasivo” recibe el resultado de la evaluación.

Participante pasivo y participante activo
Figura 3. Participante pasivo y participante activo
img callout black 01

1 Solicita una evaluación del
img callout black 02

Participante pasivo
img callout black 03

Participante activo
img callout black 04

2 Se somete a una evaluación TISAX
img callout black 05

3 Comparte los resultados con el

Cualquier empresa puede tener los dos roles. Puede compartir el resultado de su evaluación con su socio, a la vez que solicita a sus propios proveedores que se sometan a la evaluación TISAX.

Los participantes de TISAX pueden ser activos y pasivos al mismo tiempo
Figura 4. Los participantes de TISAX pueden ser activos y pasivos al mismo tiempo
img callout black 01

Su cliente
= pasivo
img callout black 02

Usted comparte con el cliente
img callout black 03

Participante activo
img callout black 04

Usted
img callout black 05

Participante pasivo
img callout black 06

Comparte con usted
img callout black 07

Su propio proveedor
= activo

Solicitar a sus propios proveedores que se sometan a una evaluación TISAX puede ser especialmente recomendable si estos también manejan la información confidencial de su socio.

4.3. Preparación del registro

En esta sección le damos consejos sobre cómo prepararse para el registro. Describimos el proceso de registro en detalle en la Sección 4.5, “Proceso de registro online”.

Antes de iniciar el proceso de registro online, le recomendamos encarecidamente:

  • que recopile la información por adelantado

  • y que tome algunas decisiones.

4.3.1. La base legal

Normalmente, tendrá que firmar dos contratos. El primer contrato que suscribe es entre usted y ENX Association: las “Condiciones generales de participación en TISAX” (TISAX Participant GTCs). El segundo contrato es entre usted y uno de nuestros proveedores de auditoría TISAX. Para el registro, solo nos centraremos en el primer contrato.

Las Condiciones generales de participación en TISAX rigen nuestra relación mutua y su relación con otros participantes de TISAX. Definen los derechos y las obligaciones de todos nosotros. Además de las cláusulas habituales que encontrará en la mayoría de contratos, definen con detalle el manejo de la información intercambiada y obtenida durante el proceso TISAX. Un objetivo clave de estas reglas es mantener confidenciales los resultados de la evaluación TISAX. Como todos los participantes de TISAX están sujetos a las mismas normas, puede esperar una protección adecuada del resultado de su evaluación TISAX por parte de su socio (en su rol de participante pasivo).

Relativamente pronto en el proceso de registro online, le pediremos que acepte las Condiciones generales de participación en TISAX. Como se trata de un contrato real, le recomendamos que lea las Condiciones generales de participación en TISAX al iniciar el proceso de registro online. Uno de los motivos es que, en función del cargo que ocupe en su empresa, necesitará obtener una autorización de un abogado interno o externo.

Puede descargar las “Condiciones generales de participación en TISAX”[5] en nuestro sitio web en:
Icono de la bandera del Reino Unido enx.com/en-US/TISAX/downloads/

Descarga directa en PDF:
Icono de la bandera del Reino Unido enx.com/tisaxgtcen.pdf

Durante el proceso de registro online, le pediremos que marque dos casillas de verificación obligatorias:

  • ❏ We accept the TISAX Participation General Terms and Conditions
    Icono de la bandera de España Aceptamos las Condiciones generales de participación en TISAX

  • ❏ We confirm knowledge of Applicant’s release of Audit Providers’ professional duties of secrecy acc. to Sec. IX.5. and X.3 of the TISAX Participation General Terms and Conditions;
    Icono de la bandera de España Como solicitante, confirmamos conocer la exención del proveedor de auditoría de su obligación de confidencialidad según la sección IX.5. y X.3 de las Condiciones generales de participación en TISAX;

Tenemos la segunda casilla de verificación porque algunos de nuestros proveedores de auditoría TISAX son auditores de cuentas. Los auditores de cuentas tienen requisitos especiales acerca del secreto profesional. Preste especial atención a dichas cláusulas antes de marcar la casilla de verificación.

Si suele exigir un acuerdo de confidencialidad (NDA, por sus siglas en inglés) entre usted y cualquiera que trate información confidencial, lea las secciones correspondientes de nuestras Condiciones generales. Deberían dar respuesta a todas sus inquietudes.

Para finalizar la sección legal, entienda que el sistema depende de que todos acepten las mismas normas. Por tanto, no podemos aceptar condiciones generales adicionales[6].

4.3.2. El alcance de la evaluación TISAX

En el segundo paso del proceso TISAX, uno de nuestros proveedores de auditoría TISAX llevará a cabo la evaluación de la seguridad de la información. Para ello necesita saber dónde empezar y dónde acabar. Por tanto, debe definir un “alcance de la evaluación”.

El “alcance de la evaluación” describe el alcance que tendrá la evaluación de la seguridad de la información. Dicho de otra forma, cada parte de su empresa que maneje la información confidencial de su socio es parte del alcance de la evaluación. Puede considerarlo un elemento principal de la descripción de la tarea del proveedor de auditoría. Determina qué debe evaluar el proveedor de auditoría.

El alcance de la evaluación es importante por dos motivos:

  1. El resultado de la evaluación solo satisfará los requisitos de su socio si su alcance cubre todas las partes de su empresa que manejan información del socio.

  2. Un alcance de la evaluación definido con precisión es un requisito previo fundamental para el cálculo del coste por los proveedores de auditoría TISAX.

Importante

Nota importante:

Si su empresa está certificada según ISO/IEC 27001: la definición del “alcance de la evaluación TISAX” y la definición de alcance exigida por la certificación ISO/IEC 27001 son similares. La diferencia es que en TISAX el alcance se define con antelación.
4.3.2.1. Descripción del alcance

La descripción del alcance define el alcance de la evaluación. Para la descripción del alcance, ha de elegir uno de los dos tipos de alcance:

  1. Standard scope (Icono de la bandera de España Alcance estándar)

  2. Custom scope (Icono de la bandera de España Alcance personalizado)

    1. Extended scope (Icono de la bandera de España Alcance ampliado)

    2. Narrowed scope (Icono de la bandera de España Alcance reducido)

4.3.2.2. Alcance estándar

La descripción de alcance estándar es la base para la evaluación TISAX. Otros participantes de TISAX solo aceptarán resultados de la evaluación basados en la descripción del alcance estándar.

La descripción del alcance estándar está predefinida y no puede cambiarla. Si quiere usar una descripción de alcance personalizado, puede elegir entre ampliar o reducir el alcance de su evaluación.

Una gran ventaja de contar con un alcance estándar es que usted no necesita pensar en su propia definición.

Esta es la descripción del alcance estándar[7]:

Icono de la bandera del Reino Unido

Icono de la bandera de España

 
The standard scope comprises all processes and involved resources at the sites defined below that are subject to security requirements from partners in the automotive industry. Involved processes and resources include collection of information, storage of information and processing of information.

Examples for involved resources: Work equipment, employees, IT systems including cloud services such as infrastructure/ platform/software as a service, physical sites, relevant contractors

Examples for sites: Office sites, development sites, production sites, data centres
 
El alcance estándar abarca todos los procesos y recursos implicados en las sedes definidas más abajo sujetas a requisitos de seguridad por socios del sector del automóvil. Los procesos y recursos implicados incluyen la recopilación de información, el almacenamiento de información y el procesamiento de información.

Ejemplos de recursos implicados: equipos de trabajo, empleados, sistemas de TI, incluidos servicios en la nube como infraestructuras/plataformas/software como servicio, sedes físicas, contratistas relevantes

Ejemplos de sedes: oficinas, centros de desarrollo, plantas de producción, centros de datos

Le recomendamos encarecidamente que elija el alcance estándar. Todos los participantes de TISAX aceptan los resultados de la evaluación de la seguridad de la información basados en el alcance estándar.

4.3.2.3. Determinación del alcance

Su próxima tarea después de definir el alcance es decidir qué ubicaciones forman parte del alcance de la evaluación.

Si su empresa es pequeña (una ubicación), es una tarea fácil. Simplemente ha de añadir su ubicación al alcance de la evaluación.

Si su empresa es grande, considere la opción de registrar más de un alcance de la evaluación.

Tener un único alcance que contenga todas las ubicaciones tiene ventajas:

  • Tendrá un informe de evaluación, un resultado de la evaluación, una fecha de vencimiento.

  • Podrá beneficiarse de costes reducidos para la evaluación porque el proveedor de auditoría TISAX solo ha de evaluar sus procesos, procedimientos y recursos centrales una sola vez.

Sin embargo, un único alcance también puede conllevar desventajas como:

  • El resultado de su evaluación solo estará disponible cuando el proveedor de auditoría TISAX haya evaluado todas las ubicaciones. Este hecho puede ser importante si necesita el resultado de la evaluación con urgencia.

  • El resultado de la evaluación dependerá de que todas las ubicaciones superen la evaluación. Si una sola ubicación no la supera, no obtendrá un resultado positivo de la evaluación.[8]

4.3.2.4. Personalización del alcance

Solo usted puede dar respuesta a la pregunta de si le conviene tener un solo alcance o varios. Pero las preguntas del siguiente diagrama podrían ayudarle a decidir.

Diagrama de flujo de personalización del alcance
Figura 5. Diagrama de flujo de personalización del alcance
img callout black 01

INICIO
Todas las ubicaciones que necesitarán una evaluación en el futuro
img callout black 02

Paso 1: ¿Necesita una evaluación para más de una ubicación?
img callout black 03

Paso 2: ¿Tiene tiempo suficiente para preparar la evaluación de todas las ubicaciones?
img callout black 04

Paso 3: ¿Todas las ubicaciones comparten un ISMS central (p. ej., responsabilidades, infraestructura, políticas y procesos)?
img callout black 05

Paso 4: ¿Todas las sedes comparten el mismo objetivo de evaluación (p. ej., protección de vehículos prototipo o información con necesidad de protección muy alta)?
img callout black 06

Fin: Registre el alcance de la evaluación
El alcance de la evaluación registrado deberá incluir las ubicaciones restantes.
img callout black 07

Separe las ubicaciones.
Vuelva a empezar para cada conjunto de ubicaciones.
img callout black 08

No
img callout black 09

Nota

Recuerde:

No se deje intimidar por esta decisión. Puede cambiar cualquier alcance mientras el proveedor de auditoría no haya finalizado la evaluación.

Por ejemplo, durante la preparación de la evaluación podría darse cuenta de que el alcance no se ajusta y cambiarlo en consecuencia. O su proveedor de auditoría podría recomendarle que cambie el alcance durante las primeras fases de la evaluación.

Recuerde: Ampliar el alcance incrementa la tasa pero, si elimina alguna ubicación del alcance, no recibirá un reembolso.
4.3.2.5. Ubicaciones dentro del alcance

Una vez que haya decidido qué ubicaciones son parte del alcance de la evaluación, puede seguir recopilando información específica de cada ubicación.

Para cada ubicación solicitamos información como el nombre de la empresa y la dirección. También solicitamos información adicional que permita a nuestros proveedores de auditoría TISAX hacerse una mejor idea de la estructura de su empresa. Las respuestas serán la base para sus cálculos.

Prepárese para dar los siguientes datos de cada una de sus ubicaciones (el asterisco rojo * indica información obligatoria en el proceso online):

Tabla 1. Información específica de la ubicación
Campo Opciones

Nombre de la ubicación *

n/a

Número D-U-N-S de D&B

n/a

Tipo de ubicación *

Edificio(s) en propiedad y de uso exclusivo de la empresa
Edificio(s) alquilado(s) por la empresa
Planta/oficina alquilada por la empresa en un edificio compartido
Oficina compartida con otras empresas
Centro de datos propio
Centro de datos compartido

Protección pasiva de la ubicación *


No

Industria
(Se permite la selección múltiple)

Tecnología de la información

  • ❏ Servicios informáticos

  • ❏ Servicios de telecomunicación

  • ❏ Desarrollo de software

Gestión

  • ❏ Consultoría

Medios de comunicación

  • ❏ Marketing

  • ❏ Agencia

  • ❏ Servicios de impresión

  • ❏ Fotografía

  • ❏ Servicios de traducción

Investigación y desarrollo

  • ❏ Inspección de vehículos

  • ❏ Simulación de vehículos

  • ❏ Construcción de prototipos

  • ❏ Modelos de coches en miniatura

  • ❏ Servicios de desarrollo

  • ❏ Servicios de desarrollo CAx

Producción

  • ❏ Servicios de producción

  • ❏ Fabricación por encargo

  • ❏ Taller

  • ❏ Logística

Ventas y servicios posventa

  • ❏ Importación, NSC

  • ❏ Concesionario

  • ❏ Servicios financieros

  • ❏ Seguros

  • ❏ Liquidación de siniestros

Otra industria
(indique cuál)

Empleados en la ubicación: en total *

0
1-10
11-100
101-1000
1001-5000
Más de 5000

Empleados en la ubicación: TI *

0
1-10
11-25
26-50
Más de 50

Empleados en la ubicación: seguridad informática *

0
A tiempo parcial
1-5
6-25
Más de 25

Empleados en la ubicación: seguridad de la ubicación *

0
A tiempo parcial
1-3
4-10
Más de 10

Certificaciones de esta ubicación

ISO 27001
Otra (indique cuál)
ISAE 3402
SOC2
Nota

Recuerde:

En el apartado “Industria”: seleccione una a su mejor saber y entender. No hay respuestas correctas y equivocadas al seleccionar las opciones. Si no encuentra una opción que se ajuste a su tipo de negocio, introduzca la opción adecuada en “Otra”.

Para cada ubicación deberá especificar un “location name” (Icono de la bandera de España nombre de la ubicación). El objetivo del nombre de la ubicación es que resulte más fácil referirse a la ubicación a la hora de asignarle un alcance de la evaluación.

Recomendamos que asigne nombres de ubicación siguiendo este esquema:

Esquema:

[Referencia geográfica]

Ejemplo:

para la empresa ficticia “ACME”

  • Fráncfort
    (para una ubicación en la ciudad alemana de Fráncfort)
4.3.2.6. Nombre del alcance

Para cada alcance ha de especificar un “scope name” (Icono de la bandera de España nombre del alcance). El objetivo del nombre del alcance es que resulte más fácil referirse al alcance en las comunicaciones relativas a TISAX (p. ej., con su proveedor de auditoría TISAX).

Puede especificar el nombre que quiera. Pero no dé el mismo nombre de alcance a más de un alcance.

Cuando más adelante quiera renovar su evaluación TISAX, necesitará crear un nuevo alcance (posiblemente, idéntico al actual). Por eso le recomendamos que añada el año de la evaluación al nombre del alcance.

Recomendamos asignar nombres de alcance siguiendo este esquema:

Esquema:

[Referencia geográfica o funcional] [Año de la evaluación]

Ejemplos:

para la empresa ficticia “ACME”

  • 2020
    (sin referencia geográfica si su empresa solo tiene una ubicación)

  • Fráncfort 2020
    (para un alcance con varias ubicaciones en la localidad alemana de Fráncfort)

  • Baja Sajonia 2020
    (para un alcance con varias ubicaciones en el estado alemán de Baja Sajonia)

  • Alemania 2020
    (para un alcance con varias ubicaciones en el país Alemania)

  • EMEA 2020
    (para un alcance con todas las ubicaciones en la región EMEA (“Europa, Oriente Medio, Asia”))

  • Desarrollo de prototipos 2020
    (referencia funcional para un alcance con todas las ubicaciones implicadas en el desarrollo de prototipos)
4.3.2.7. Contactos

Para poder comunicarnos con usted, recopilamos información de los contactos de su empresa.

Le pedimos como mínimo un contacto de su empresa como participante de TISAX en general y uno para cada alcance de evaluación. También puede proporcionar contactos adicionales.

Durante los preparativos para el registro, deberá decidir qué persona o personas de su empresa serán los contactos.

Pedimos los siguientes datos de contacto:

Tabla 2. Datos de contacto
Dato de contacto ¿Obligatorio? Ejemplo

1.

Tratamiento

Sra., Sr.

2.

Grado académico

Dr., Ph.D., otros

3.

Nombre

John

4.

Apellido(s)

Doe

5.

Cargo

Responsable de TI

6.

Departamento

Tecnología de la información

7.

Número de teléfono principal

+49 69 986692777

8.

Número de teléfono secundario

9.

Dirección de correo electrónico

john.doe@acme.com

10.

Idioma de preferencia

Inglés (predeterminado)

11.

Otros idiomas

Alemán, español

12.

Identificador personal

HPC 1234

13.

Dirección postal

Bockenheimer Landstraße 97-99

14.

Código postal

60325

15.

Localidad

Fráncfort

16.

Estado/provincia

17.

País

Alemania
Importante

Nota importante:
 
Recomendamos asignar al menos un sustituto para cada contacto. Si un contacto no está disponible temporalmente o abandona la empresa, otra persona podrá gestionar los datos de participante de su empresa.
Si necesita asignar un nuevo contacto (sin tener ningún otro contacto válido), deberá seguir un proceso complejo. Nuestro proceso asegura que solo las personas con autoridad legal para representar a la empresa puedan aprobar la asignación de un nuevo contacto principal.
4.3.2.8. Publicación y divulgación

El principal objetivo de TISAX es publicar el resultado de la evaluación para otros participantes de TISAX y compartir el resultado con su(s) socio(s).

Puede decidir la forma de publicar y compartir el resultado de la evaluación durante el proceso de registro o en cualquier momento posterior.

Si lleva a cabo el proceso TISAX como medida preventiva, puede decidir ya si publicar el resultado de la evaluación para la comunidad de participantes de TISAX. Si no es así, no hay nada que preparar en esta fase.

Si su socio le ha solicitado que lleve a cabo el proceso TISAX, tarde o temprano deberá compartir el resultado de la evaluación. Puede compartir ya la información de estado con su socio durante el registro. En cuanto el resultado de la evaluación esté disponible, su socio tendrá permiso automáticamente para acceder al mismo[9].

Para compartir la información de estado, necesita dos cosas:

  1. El ID de participante de TISAX de su socio

    El ID de participante de TISAX identifica a su socio como participante de TISAX.

    Normalmente, su socio debería proporcionarle su ID de participante de TISAX.

    Para mayor comodidad, nuestro formulario de registro incluye una lista desplegable con los ID de participante de algunas empresas que suelen recibir resultados de evaluación.[10]

    Sin embargo, si su socio es un OEM grande, a veces hay departamentos que solicitan la evaluación TISAX pero desconocen el ID de participante de su propia empresa. En ese caso, puede ponerse en contacto con nosotros. Podemos facilitarle el ID de participante de su socio.

  2. El nivel de divulgación requerido

    El nivel de divulgación define hasta qué punto su socio puede acceder al resultado de la evaluación.

    Puede que su socio exija un nivel de divulgación específico o que usted decida hasta qué nivel quiere proporcionar acceso al resultado de su evaluación.

    Para más información sobre los niveles de divulgación, consulte la Sección 6.5, “Niveles de divulgación”.

Asegúrese de tener esta información.

Nota

Recuerde:

  • Siempre puede optar por publicar el resultado de la evaluación más tarde.

  • Siempre puede crear un permiso para su socio más tarde.
Importante

Nota importante:

Si no publica el resultado de la evaluación ni lo comparte, nadie podrá ver el resultado de la evaluación.
Importante

Nota importante:

No puede revocar la publicación o divulgación.

Para más información, consulte la Sección 6.4, “Permanencia de los resultados intercambiados”.

Para más información sobre cómo publicar y compartir el resultado de su evaluación, consulte la Sección 6, “Intercambio (paso 3)”.

4.3.3. Objetivos de evaluación

Tiene que definir el o los objetivos de la evaluación durante el proceso de registro. El objetivo de la evaluación (Icono de la bandera del Reino Unido assessment objective) determina los requisitos aplicables que debe cumplir su sistema de gestión de la seguridad de la información (ISMS). El objetivo de la evaluación se basa enteramente en el tipo de datos que trata por cuenta de su socio.

En las siguientes secciones, describimos los objetivos de evaluación y le aconsejamos para que pueda elegir el o los objetivos de evaluación correctos.

El uso de objetivos de evaluación facilita la comunicación con su socio y sus proveedores de auditoría TISAX porque hacen referencia a una entrada definida del proceso de evaluación TISAX.

Nota

Recuerde:

Algunos socios le pedirán la evaluación TISAX con un “nivel de evaluación” (AL, por sus siglas en inglés) determinado, en lugar de especificar el objetivo de evaluación. Para más información sobre los niveles de evaluación, consulte la Sección 4.3.3.6, “Necesidad de protección y niveles de evaluación” (subsección “Información adicional”).
4.3.3.1. Lista de objetivos de evaluación

Actualmente existen ocho objetivos de evaluación TISAX. Debe seleccionar al menos un objetivo de evaluación. También puede seleccionar más de uno.

Considere el objetivo de evaluación como el punto de referencia para su sistema de gestión de la seguridad de la información. El objetivo de evaluación es una entrada clave del proceso TISAX. Todos los proveedores de auditoría TISAX basan su estrategia de evaluación en el objetivo de evaluación.

Los objetivos de evaluación TISAX actuales son:

Tabla 3. Objetivos de evaluación TISAX actuales
Núm. Objetivo de evaluación (Icono de la bandera del Reino Unido Assessment objective) Abreviatura

1.

Icono de la bandera de España Información con necesidad de protección alta
Icono de la bandera del Reino Unido Handling of information with high protection needs

Info high

2.

Icono de la bandera de España Información con necesidad de protección muy alta
Icono de la bandera del Reino Unido Handling of information with very high protection needs

Info very high

3.

Icono de la bandera de España Protección de piezas y componentes prototipo
Icono de la bandera del Reino Unido Protection of prototype parts and components

Piezas prototipo

4.

Icono de la bandera de España Protección de vehículos prototipo
Icono de la bandera del Reino Unido Protection of prototype vehicles

Vehículos prototipo

5.

Icono de la bandera de España Manejo de vehículos de prueba
Icono de la bandera del Reino Unido Handling of test vehicles

Vehículos de prueba

6.

Icono de la bandera de España Protección de prototipos durante eventos y rodajes o sesiones fotográficas
Icono de la bandera del Reino Unido Protection of prototypes during events and film or photo shoots

Eventos + Rodajes

7.

Icono de la bandera de España Protección de datos
En virtud del artículo 28 (“Encargado del tratamiento”) del Reglamento General de Protección de Datos europeo (RGPD)
Icono de la bandera del Reino Unido Data protection
According to Article 28 (“Processor”) of the European General Data Protection Regulation (GDPR)

Datos

8.

Icono de la bandera de España Protección de datos con categorías especiales de datos personales
En virtud del artículo 28 (“Encargado del tratamiento”) con categorías especiales de datos personales como se define en el artículo 9 del Reglamento General de Protección de Datos europeo (RGPD)
Icono de la bandera del Reino Unido Data protection with special categories of personal data
According to Article 28 (“Processor”) with special categories of personal data as specified in Article 9 of the European General Data Protection Regulation (GDPR)

Datos especiales

Ejemplo: Si realiza recorridos de prueba con vehículos en la vía pública, el objetivo de evaluación núm. 7 «Manejo de vehículos de prueba» será uno de sus objetivos de evaluación.

Para algunas de las ilustraciones siguientes, utilizaremos una representación en forma de tabla de los ocho objetivos de evaluación TISAX. Además, acortaremos los nombres para facilitar la representación visual.