Artículos monográficos

Sector de la automoción y seguridad

La industria automotriz ha experimentado un proceso de cambio significativo en las últimas décadas, tanto los hábitos de consumo como los avances tecnológicos han transformado por completo la forma en que los vehículos se diseñan, fabrican y operan. Sin embargo, este progreso también ha planteado desafíos en términos de seguridad de la información y protección de datos en la cadena de suministro.

La filtración de datos sensibles, los ciberataques y las nuevas amenazas pueden tener consecuencias graves, tanto para las empresas como para los consumidores. Es en este contexto que surge la necesidad de contar con un marco común de controles.

Como ya hemos comentado anteriormente la norma VDA-ISA no es un sistema de gestión al uso tipo ISO, en la que se definen una serie de puntos y la organización establece las directrices generales. Aquí estamos ante un grupo de controles que se despliegan en requisitos.

Organizada en controles, TISAX-VDA ISA, cuenta con un Self-Assessment, mediante el cual se evalúa y verifica su cumplimiento para garantizar la seguridad de la información, estos se estructuran a través de sus 3 módulos (seguridad de la información, prototipos y protección de datos de carácter personal).

En este artículo trataremos en profundidad la pestaña del Self-Assessment referente al módulo de Seguridad de la Información.

Módulo de seguridad de la información en el Self-Assessment

Esta sección consta de los controles de seguridad de la información estructurado en 7 grandes grupos:

1. Políticas de seguridad
2. Recursos humanos
3. Seguridad física y continuidad
4. Identidad y acceso
5. Ciberseguridad
6. Relación con proveedores
7. Cumplimiento

Para determinar el nivel de madurez y de cumplimiento, los requisitos están divididos en diferentes apartados que van desde él “debe” hasta aquellos que son de “muy alta protección”.

Políticas y Seguridad de SI (Seguridad de la Información)

Este bloque de requisitos se centra en diferentes aspectos de las políticas y prácticas de seguridad de la información en una organización:

• En él destaca la importancia de contar con políticas de seguridad adaptadas que reflejen la trascendencia de la información.
• Se enfatiza que la seguridad de la información debe formar parte de los objetivos estratégicos de la organización, se subraya la necesidad de tener responsabilidades claras y establecer un proceso adecuado para evitar pasos en alto en proyectos.
• Comprender y dividir las responsabilidades al trabajar con proveedores de servicios externos de TI.
• Identificar y clasificar los activos de información, así como en la evaluación y aprobación de servicios de TI externos utilizados para procesarlos.
• Gestionar riesgos para evitar o reducir la probabilidad de que se materialicen o mejorar la capacidad de respuesta frente a crisis.
• Revisar periódicamente la eficacia de los procedimientos y procesos de seguridad de la información, se deben realizar evaluaciones independientes y objetivas del SGSI.

Recursos Humanos

Este bloque se centra en el capital humano y su papel en la seguridad de la información, resalta la importancia de contar con empleados competentes y confiables:

• Verificar las calificaciones de los empleados potenciales, especialmente en áreas sensibles.
• Garantizar que todo el personal debe estar contractualmente obligado a cumplir con las políticas de seguridad de la información de la organización y ser conscientes de las consecuencias de cualquier mala praxis.
• Sensibilizar y capacitar al personal sobre los riesgos asociados con el manejo de la información, haciendo que la seguridad de la información sea parte integral de su trabajo.
• Tener en cuenta el teletrabajo como una modalidad que presenta riesgos particulares y se subraya la necesidad de abordar los riesgos asociados con esta forma de trabajo, implementando medidas de protección adecuadas.

Seguridad Física y Continuidad del negocio

Bloque de controles enfocados a la seguridad física de los activos y la continuidad del negocio ante eventos críticos:

• Gestionar las zonas de seguridad para proporcionar protección física a los activos de información, con medidas de control adicionales para los más sensibles.
• Se deberá tener presente las situaciones excepcionales, como desastres naturales o amenazas, ya que representan un desafío para la organización en términos de seguridad.
• La gestión de los activos de apoyo, que están expuestos a riesgos como pérdida, robo o visualización no autorizada se deben gestionar adecuadamente, así como los dispositivos móviles de TI y de almacenamiento de datos, debido al mayor riesgo de pérdida o robo al utilizarse en diferentes ubicaciones.

Gestión de identidad y acceso

En este bloque hablamos de la gestión de usuarios en el ámbito de la seguridad de la información:

• Gestionar los medios de identificación, como claves, identificadores visuales o tokens criptográficos, para verificar la autorización de acceso físico y electrónico.
• Asegurar que sólo los usuarios identificados y autenticados tengan acceso a los sistemas de TI de forma segura, la administración y aplicación de forma confiable de las cuentas de usuario y la información de inicio de sesión, resaltando la asignación y gestión adecuada de los derechos de acceso para garantizar que solo los usuarios autorizados tengan acceso a la información y las aplicaciones informáticas.

Seguridad TI /Ciberseguridad

En este punto nos encontraremos ante un bloque bastante amplio que aborda diversos aspectos sobre la información en el ámbito digital:

• Se deben considerar los aspectos de seguridad en los cambios organizativos y de sistemas de información, la separación de los entornos de desarrollo de los entornos operativos.
• Gestionar adecuadamente el uso de procedimientos criptográficos para proteger la  confidencialidad de la información.
• Proteger los sistemas de TI contra el malware, gestionar el registro y análisis los eventos de seguridad, realizar auditorías técnicas, gestionar vulnerabilidades, definir de requisitos para los servicios de red y la eliminación segura de activos de información en servicios.

Relaciones con proveedores

En relación con los controles sobre las relaciones con proveedores y socios comerciales, se destaca:

• La importancia de garantizar un nivel adecuado de seguridad al colaborar con socios, lo cual implica establecer medidas y controles para proteger la información compartida y asegurar su confidencialidad, integridad y disponibilidad.
• La no divulgación de información mediante acuerdos contractuales que incluyan acuerdos de confidencialidad .
• Establecer las obligaciones y responsabilidades de las partes involucradas en la protección de la información confidencial.

Cumplimiento

Finalmente, el último bloque de controles se centra en el cumplimiento de las disposiciones legales, reglamentarias y contractuales:

• Identificar y gestionar el cumplimiento de las disposiciones, y las consecuencias de su infracción.
• Enfatizar la protección de los datos de identificación personal durante la implementación de medidas. Esto implica considerar la privacidad y la protección de estos datos de acuerdo con las leyes y regulaciones nacionales relevantes.

Conclusión

En resumen, a través de la pestaña “Seguridad de Información” del Self-Assessment, procederemos a la evaluación global de la información a través de los grandes bloques que componen la seguridad física y digital.

Por tanto, este módulo proporciona una visión general del sistema de gestión de seguridad de la información.

Al obtener una puntuación en la evaluación, las organizaciones pueden identificar las brechas en sus controles de seguridad y tomar medidas correctivas para fortalecer sus sistemas.

La implementación efectiva de controles de seguridad de la información ayuda a prevenir incidentes de seguridad, salvaguardar los datos sensibles y mantener la confianza de los clientes y socios comerciales.