La razón #1 por la que las plantas mexicanas no pueden cumplir TISAX nivel 3

Redes planas IT/OT que llevan años funcionando

Las plantas mexicanas que hoy buscan TISAX nivel 3 no cumplen por una razón que a veces es difícil de resolver.  No es falta de presupuesto ni procesos débiles. Es la red.

Para quienes no están en el sector automotriz, TISAX es el estándar de seguridad de la información que la industria automotriz (originalmente alemana, hoy global) usa para evaluar a sus proveedores. Tiene tres niveles de evaluación. El nivel 3 es el más estricto, exige auditoría presencial, y aplica a proveedores que manejan información confidencial o su operación impacta directamente la continuidad de producción del OEM.

Hablo de redes donde el ERP corporativo, las laptops de Recursos Humanos, los interfaces de la línea, los PLCs o SCADA y la VPN del proveedor que se conecta a calibrar una celda viven todos en el mismo segmento. O en VLANs que técnicamente existen, pero que un auditor desarma en veinte minutos.

Estas configuraciones no significan una falla de procesos o negligencia. La mayoría de estas plantas fueron diseñadas mucho antes de que los riesgos de ciberseguridad tuvieran tanto impacto en la producción como hoy en día. En ese momento, conectar todo a la misma red era la decisión correcta, ya que simplificaba el mantenimiento, abarataba la integración entre sistemas críticos para la operación, y permitía que un ingeniero diagnosticara un PLC desde su laptop sin levantar ticket. Nadie estaba pensando en TISAX y la seguridad de información no era prioridad. En la actualidad, esa misma decisión es el hallazgo crítico.

TISAX nivel 3 es la única evaluación del marco que incluye auditoría física en sitio. El auditor camina el piso revisa casos reales, conecta una laptop al puerto equivocado a propósito. Y el cuestionario, en sus módulos de seguridad operativa, pide requisitos muy específicos como demostrar la separación entre TI y OT, zonas de confianza con conductos controlados, acceso remoto de proveedores que no atraviese la red de planta sin pasar por una red controlada industrial, y segmentación entre celdas de producción. Una red plana no se aprueba con documentación. Se aprueba con validación directa en la infraestructura, con las configuraciones gestionadas y auditadas periódicamente.

Cuando hablamos de cumplir con TISAX, no solo hablamos de alinearse en configuraciones o proveer evidencia fácil de recabar; hablamos de reestructurar la forma en la que protegemos la información sensible de nuestros clientes y proveedores, esto significa reestructurar nuestra capa de protección tecnológica, rediseñar una estrategia y evaluar nuestra postura actual de ciberseguridad.

Para muchas organizaciones esto significa formar talento, contratar personal e incluso crear un área especializada de ciberseguridad que en términos de impacto al negocio podría tomar un largo tiempo para implementar, inversión en recursos humanos y herramientas costosas que pueden significar no cumplir a tiempo.

Mientras tanto, los plazos no esperan. PACCAR ya exige TISAX nivel 3 a proveedores cuya operación impacta continuidad de producción. Stellantis fijó septiembre de 2026 como fecha límite de recertificación*. Volkswagen, Audi, BMW y Mercedes lo piden desde hace años. Para los proveedores que le venden directo a las armadoras en Querétaro, San Luis Potosí o Puebla, quedarse sin TISAX muchas veces representa perder al cliente. Y para muchas de estas plantas, un solo cliente puede ser entre el 40 y el 70 por ciento de lo que facturan al año. Prepararse para TISAX es un proyecto de reingeniería disfrazado de cumplimiento. Y entre más se espera, más caro y más riesgo se asume.

En Tamul Security podemos traducir los requerimientos de TISAX a controles ayudando a desplegar las herramientas correctas para reforzar esos controles, sin necesidad de desperdiciar recursos en compra de herramientas innecesarias que duplican controles. Tenemos experiencia y eficiencia para crear configuraciones de acuerdo al tipo de negocio. Nuestro equipo especializado se hace cargo de mantenimiento sin necesidad de que contrates personal.

Somos Tamul y protegemos personas.