— Pregunta: ¿Por qué buscar esta certificación para Industrias Alegre?

— Patricia Domínguez (PD):  El certificado Tisax, que está basado en la norma alemana ISA-VDA, se creó inicialmente para auditar a los proveedores en la cadena de suministro de los principales OEMs alemanes. Así que, en principio, parecía una buena idea someternos a esa auditoría para permitirnos optar a ser proveedores Tier1 de los principales OEMs de aquel país. A ello hay que añadir que en Industrias Alegre se trabaja siempre desde el enfoque de la mejora continua con el objetivo de implantar sistemas fiables y seguros. Así que con la certificación teníamos la evidencia de contar con un sistema adecuado y eficaz. Con el tiempo estamos comprobando que la norma que va camino de convertirse en un estándar.

— P: A grandes rasgos, ¿qué parámetros evalúa esta certificación?

— Carlos Moreno (CM): Tisax es una certificación centrada en la seguridad de la información, por lo que la auditoría que se debe pasar evalúa prácticamente todos los ámbitos dentro de la organización. De hecho, la norma tiene más de 300 controles de seguridad que hay que satisfacer. Así que, para poder enfrentarnos al sistema, lo que hicimos fue agrupar los controles en cinco áreas de gestión principales: Gobernanza de la seguridad de la información, Operaciones, Gestión de servicios externos y proveedores, Cumplimiento legal y Protección de prototipos.

— P: ¿Alguna de estas áreas tiene una relevancia especial?, ¿quizá la protección de prototipos?

— CM: Unas resultan más amplias que otras, pero todas son igualmente relevantes. Tisax pone el foco en la confidencialidad de la información, para garantizar que tanto nuestros datos como los de nuestros clientes están asegurados frente a intrusiones externas y fugas de información, su integridad, para asegurar la validez de los datos que se utilizan en todo momento, y su disponibilidad, para garantizar la continuidad de los procesos, especialmente los procesos logísticos.

— P: Y ¿ha sido complejo implantar el sistema?

— PD: Ha sido un proceso largo. De hecho, cuando yo me incorporé a la compañía, mi compañero Carlos Moreno llevaba ya un año completo trabajando en el proyecto.

— CM: Sí, el proceso es largo porque hablamos de una certificación de un nivel de exigencia muy alto. Con TISAX implementamos medidas tanto técnicas como organizativas realmente exhaustivas que nos convierten en un proveedor seguro. Aunque lo realmente complicado es que estas medidas vienen a añadir, en muchos casos, una capa adicional de complejidad a los procesos operativos de la compañía. Por esa razón, el mayor desafío fue el de poder implementar unas medidas que, por un lado, pudieran garantizar la seguridad que la certificación requiere, pero que resultaran lo menos disruptivas posible en el día a día.

— P: ¿Los requerimientos, ahora que Tisax está en marcha, se ven muy complejos desde dentro?

— PD: Poner en marcha la certificación implica implementar una serie de buenas prácticas. Hay medidas físicas, hay protocolos… pero lo importante de verdad es la tarea que realiza la plantilla en su día a día. Después de todo, Tisax consiste en aplicar una serie de normas que dependen de cada persona que está trabajando en Industrias Alegre.

— CM: Por fortuna, en nuestra empresa ya había una cultura general y a la plantilla no le ha supuesto una novedad especial. El cambio más importante es que ahora se exige una atención continua porque, por fortuna, cuando el equipo está concienciado de la importancia de la seguridad informática, el peligro de ataques y de fugas se minimiza.

— P: Y en todo el proceso, ¿habéis encontrado mucha resistencia por parte del personal?

— PD y CM: ¡Al contrario! De hecho, y como comentario personal, nos gustaría agradecer a todo el equipo de la empresa su colaboración en este camino porque, como todo sistema, sin el soporte de los trabajadores no se podría haber conseguido la certificación.

— P: Después de varios meses trabajando en el marco de Tisax, ¿cómo se siente el equipo?

—CM: Sentimos, sobre todo, que el hecho de tener procedimientos que regulan el tratamiento de la información nos aporta un mayor nivel de seguridad.