The CISO Outlook

TISAX: El papel clave de la gestión de identidades

por

Antecedentes y relevancia del cumplimiento TISAX

Adentrémonos en el marco de seguridad TISAX (Trusted Information Security Assessment Exchange), diseñado exclusivamente para la industria automotriz. La importancia económica, el tamaño, el número de personas y organizaciones que forman parte de la cadena de valor de este sector exige que los proveedores se adhieran a estrictos controles de seguridad para proteger la información. Imaginemos el impacto en la producción si un proveedor experimenta un incidente de ciberseguridad o se filtra información clasificada sobre prototipos de clientes.

Desafíos comunes en el Cumplimiento de TISAX

La industria automotriz opera con cadenas de suministro extensas y complejas, requiriendo una sincronización precisa para evitar interrupciones en la producción y operar de manera eficiente. Establecer políticas de acceso para empleados, colaboradores y terceros en la cadena de valor presenta desafíos. Afrontarlos demanda la asesoría de profesionales y una comprensión profunda del contexto automotriz.

Otro reto importante es, por supuesto, obtener la certificación, pero no debemos perder de vista que más que un proyecto finito de certificación en TISAX, el verdadero reto será mantenerlo, por lo que los controles que se implementen deben ser considerados como parte de las organizaciones interesadas.

Un error común en las organizaciones es pensar que el mismo equipo de TI puede hacerse cargo de la puesta en marcha y mantenimiento de los controles y prácticas que son necesarios para el cumplimiento de un marco como TISAX. Estas actividades demandan tiempo y conocimientos especializados, por lo que pensar en un responsable de seguridad de la información apoyado de un equipo de especialistas es una buena opción.

TISAX toma buena parte para su definición de las normas ISO 27001 e ISO27002, por lo que para las organizaciones que ya cuenten con un sistema de gestión de seguridad de la información implementado y operando supondrá un camino ya avanzado rumbo al cumplimiento de TISAX y un mayor reto para aquellas que no cuenten con uno.

El Rol Específico de IAM en TISAX

TISAX divide los controles en Seguridad de la Información; Protección de Prototipos y Protección de Datos. Es principalmente en los controles relacionados a la Seguridad de la información, donde la gestión de identidades y control de accesos se constituye como un pilar que facilita el cumplimiento de los controles que son requeridos por la evaluación. Podemos ver componentes de IAM en TISAX como el guardián del acceso autorizado, encargado de implementar los controles que garanticen una identificación y autenticación segura y que, en conjunto con la autorización, ofrezca bases sólidas para el cumplimiento de la norma. 

A continuación, destaco algunas actividades importantes que aborda la evaluación:

  • Control de acceso y autorización. Es vital garantizar que solo las personas autorizadas tengan acceso a la información para la cual están facultados y al mismo tiempo que estos accesos estén debidamente controlados y documentados.
  • Cumplimiento de políticas de seguridad. IAM ayuda a que las políticas de seguridad definidas en el marco se cumplan, esto gracias a la implementación y aplicación de políticas de acceso. Recordemos que contar con una herramienta especializada en gestión de identidades y control de acceso, si bien es un parte importante de la ecuación, por sí sola no es suficiente si no se implementa, administra, configura, mantiene y opera por manos expertas.
  • Auditoría y trazabilidad. TISAX pone énfasis en la necesidad de ejecutar auditorías y contar con trazabilidad de todas las actividades relacionadas con IAM, como accesos a sistemas, autorización de privilegios, mecanismos de autenticación y autorización.
  • Protección de datos sensibles. La gestión de identidades juega un papel clave en la protección de datos sensibles, una implementación adecuada garantiza que sólo las entidades correctas tengan acceso a la información correcta.

Conclusión

Aún cuando este marco de evaluación está basado en normas reconocidas de seguridad de la información resulta fundamental entender el contexto de la industria automotriz para alinear las estrategias que lleven al cumplimiento de este marco de referencia. La gestión de identidades y control de accesos no solo juega un rol clave dentro del cumplimiento de TISAX, sino que es un habilitador fundamental para cumplir con los controles que exige este marco de evaluación.

Con más de 12 años de experiencia en el campo de la ciberseguridad, Christian se ha especializado en identidad digital y administración de accesos. Su experiencia radica en ayudar a definir e implementar estrategias de gestión de identidades y accesos, fortaleciendo así la primera línea de defensa digital de las organizaciones..

Los comentarios están cerrados.