TISAX® - Segurança da informação no setor automotivo
Proteja informações confidenciais, como protótipos, proteja a reputação da marca e construa a fidelidade do cliente.
Em um ambiente extremamente inovador que depende de vários participantes para ter sucesso, a troca segura de informações é essencial. A indústria automotiva exige uma abordagem “ecossistêmica” de segurança da informação em suas longas e complexas cadeias de suprimentos.
Em nossa era digital, as necessidades de segurança da informação vão além dos fornecedores automotivos, passando por empresas de marketing e outras partes envolvidas. A necessidade primária é proteger:
- Projetos ou informações de design, protótipos ou planos secretos de investimento;
- Big data e process data, ligados aos novos conceitos de digitalização, o desenvolvimento de carros autônomos;
- Interconexões dentro da rede da cadeia de abastecimento;
- e os dados pessoais dos clientes.
Por que TISAX?
TISAX (Trusted Information Security Assessment eXchange) é uma norma global de segurança da informação para a indústria automotiva. Uma abordagem de avaliação de segurança da informação baseada na maturidade é direcionada às necessidades da indústria automotiva. Aplicável principalmente a fornecedores de 1ª e 2ª camadas, mas extensível a cadeias de suprimentos mais complexas, a avaliação é um requisito de certos OEMs.
O objetivo da norma é:
- estabelecer um nível comum de segurança para a indústria automotiva;
- garantir o reconhecimento comum de avaliações para reduzir custos, esforços e complexidade para fabricantes e fornecedores;
- garantir a comparabilidade e qualidade das avaliações;
- troca de melhores práticas e lições aprendidas;
- deixar cada participante decidir a quem os resultados serão revelados e o grau de detalhe.
O TISAX combina as antigas Regras de Segurança da Informação (Information Security Rules - ISA) do German Verband der Automobilindustrie (VDA) com a ISO/IEC 27001 Apêndice A (Technical Controls), bem como alguns requisitos de Privacidade.
TISAX® versus ISO/IEC 27001
Embora ambos cubram a segurança da informação, o TISAX se baseia em elementos-chave da norma de sistema de gestão de segurança da informação ISO/IEC 27001. No entanto, ele se concentra nos elementos especificamente relevantes para o contexto da indústria automotiva.
As principais diferenças são:
| ISO/IEC 27001 | TISAX |
| Norma de Sistema de Gestão | Abrange processos de segurança da informação e peças relevantes para parceiros da indústria automotiva |
| Abordagem On/off | Abordagem de nível de maturidade |
| Escopo definido antes da certificação | Escopo é fixo |
| Análise de risco baseada na empresa | Análise de risco baseada em grupo de trabalho VDA-ISA |
| O organismo de certificação emite certificado | TISAX emite etiqueta e registro de troca |
| Auditoria periódica e recertificação após 3 anos | Validade de 3 anos, sem auditorias periódicas |
Benefícios
Além de ser um requisito de ingresso para o comércio de certos fabricantes, as avaliações TISAX contribuem para construir a confiança da cadeia de suprimentos. Os fornecedores participantes podem se beneficiar de:
Ser reconhecido por Fabricantes Automotivos;
Prevenir violações de segurança da informação e ataques cibernéticos;
Ganhar a confiança do cliente;
Identificar e abordar riscos;
Obter reconhecimento pelos devidos processos de segurança da informação;
Compartilhar resultados da avaliação por meio do intercâmbio ENX.
Como ser avaliado?
As empresas que entram no programa devem se registrar na ENX como participante.
O processo é configurado em etapas:
- Atenção
Conheça os requisitos do TISAX. - Preparação
Cadastre-se no portal TISAX, selecione seu órgão de auditoria e prepare-se para a auditoria. Isso inclui uma autoavaliação para medir sua conformidade e prontidão. - Avaliação
A forma como a auditoria é executada depende se você se qualifica para uma auditoria remota (Nível 2) ou física (Nível 3). A auditoria em si consiste em entrevistas, revisão de documentos, esclarecimento de possíveis descobertas e próximas etapas. - Plano de ação corretiva e acompanhamento
Prepare um plano de ação corretiva (CAP) para fechar quaisquer não conformidades (lacunas) que sejam enviadas ao provedor de auditoria. O CAP é avaliado por meio de um follow up (ou mais, se necessário) e preenche o relatório TISAX. - Troca de resultados
O provedor de auditoria carrega o relatório TISAX na plataforma. A empresa auditada decide com quem os resultados devem ser compartilhados. A ENX emite as etiquetas TISAX para a empresa auditada.
A DNV é um provedor de garantia aprovado pela Associação ENX. Por meio de nossa rede de escritórios e auditores locais, podemos fornecer avaliações à TISAX globalmente.
A ENX mantém os critérios do provedor de auditoria e requisitos de avaliação (TISAX ACAR). Ela aprova fornecedores de auditoria e monitora a qualidade da implementação, bem como os resultados da avaliação. A ENX é apoiada pelo Comitê TISAX, formado por representantes de fabricantes, fornecedores e associações.
