TISAX atualização 2023 mostra que, de acordo com o Relatório de Segurança Cibernética Automotiva da Upstream Security, o número de incidentes cibernéticos anuais no setor automotivo aumentou 605% entre 2016 e 2020. O mais recente relatório, de 2023, mostra que os acidentes relacionados às APIs aumentaram impressionantes 380% em 2022, em relação a 2021 (veja o relatório completo aqui).
API, ou “interface de programação de aplicação”, na sigla em inglês, é um conjunto de normas que possibilita a comunicação entre plataformas. Estas podem acabar gerando brechas e possibilidades de ataques cibernéticos. De acordo com um estudo recente da Bitkom, a economia alemã sofreu danos de 223 bilhões de Euros por ataques cibernéticos entre 2020 e 2021.
Recentemente, carros conectados, veículos elétricos e automação industrial têm trazido inovações e vantagens competitivas importantes para a indústria automotiva. Porém, a digitalização e a conectividade abriram as portas para ameaças cibernéticas. Algumas vulnerabilidades podem ser encontradas em sistemas de entrada sem senhas, servidores de back-end e aplicativos móveis.
TISAX exigência de atualização em diversos negócios
É por tudo isso que a certificação TISAX está sendo cada vez mais exigida de fornecedores e prestadores de serviços das mais diversas áreas parceiras da indústria automotiva, como a de processamento de dados ou até mesmo agências de publicidade.
Assim como em vários outros segmentos, esses fornecedores e prestadores de serviços lidam com informações estratégicas e confidenciais de seus clientes, que por isso exigem, cada vez mais, conformidade com rigorosos requisitos de segurança.
“As montadoras de origem alemã solicitam o TISAX há algum tempo. Algumas empresas brasileiras estão orientando seus fornecedores para que façam o cadastro no site da ENX ainda neste primeiro semestre, e a certificação no protocolo TISAX até 2024”, explica Fábio Bertolino, Diretor de Sistemas de Gestão da Quality Way.
Ele afirma ainda que a exigência engloba todas as empresas que fornecem serviço para montadoras. “Já atendemos empresas de laboratório de teste de freio e teste de campo com carros, tubos metálicos, difusores de ar, isoladores acústicos, farol, empresas que prestam serviço de manutenção em sistemas, fabricantes de protótipos e até empresas de marketing.”
Apesar de existirem muitas referências no mercado relacionadas à segurança da informação (NIST, ITIL e ISO 27001, entre outras), a TISAX foi desenvolvida especificamente para o setor automotivo, estabelecendo parâmetros de segurança da informação, protótipo e proteção de dados (GDPR – que tem uma analogia com a LGPD aqui no Brasil).
O que é TISAX
No início de 2017 a VDA (Associação Alemã da Indústria Automotiva) criou o “Trusted Information Security Assessment Exchange” (TISAX), um mecanismo de avaliação e intercâmbio de informações. Aplicável a fornecedores de diferentes níveis e a cadeias de suprimentos mais complexas, a avaliação é um requisito exigido para muitos fabricantes de equipamentos originais, que fornecem para as grandes empresas do setor, e é reconhecida por todos os membros da VDA.
A TISAX é, portanto, uma certificação composta pelos requisitos da VDA ISA (abreviatura de “Avaliação de Segurança da Informação”) derivada da norma internacional ISO/IEC 27001:2013 e adaptada ao setor automotivo. Ela combina requisitos da VDA ISA com a ISO/IEC 27001 – Apêndice A (Technical Controls), e alguns requisitos de privacidade.
Por meio da plataforma TISAX, as empresas da indústria automotiva podem compartilhar seus resultados online e verificar se um fornecedor já concluiu a avaliação. Pela plataforma é possível ainda contratar provedores de auditoria para realizar uma avaliação.
O sistema é operado pela Associação ENX (European Network Exchange), que reúne fabricantes, fornecedores e organizações europeias de veículos, contratada pela VDA para conduzir as auditorias e que credencia os auditores e monitora a qualidade da implementação e resultados das avaliações.
TISAX vs ISO 27001
Quem já possui a certificação ISO 27001 pode precisar fazer a atualização no protocolo TISAX também, pois são certificações distintas. Entretanto, se a empresa já possui essa ISO, conseguirá mais facilmente a certificação TISAX. Os dois padrões são compatíveis e podem funcionar juntos para ajudar a organização a melhorar os processos e os controles de segurança da informação.
Apesar de se basear em elementos chave da norma ISO/IEC 27001, a TISAX se concentra nos elementos mais relevantes para a indústria automotiva. “Pode-se começar pela TISAX para depois ir para a ISO 27001”, explica Fábio, acrescentando que a grande diferença entre as duas é que a 27001 define uma série de controles de forma mais detalhada. A TISAX, por ser direcionada para o setor automotivo, define critérios mais específicos para esse ramo. “A TISAX tem uma aba no checklist que trata exclusivamente dos cuidados no desenvolvimento de um protótipo, para que as informações não vazem.”
Confira nesse artigo sobre a TISAX as principais diferenças em relação à ISO 27001, os benefícios da certificação e principais aspectos avaliados durante o processo.
Saiba mais sobre a ISO 27001 e a segurança da informação.
SÓ A 27001 NÃO ATENDE A VDA ISA
TISAX avaliação e atualização online
O processo de avaliação, da empresa que busca a certificação TISAX, é feito on-line, por meio do portal TISAX.
Começa com o registro no portal e a seleção de uma empresa de auditoria. A pesquisa pode ser feita na plataforma online, e a certificação poderá ser realizada somente por prestadores credenciados. A Quality Way prepara a empresa para obter a certificação – que leva cerca de seis meses, dá todas as orientações e acompanha todas as etapas do processo.
No próximo artigo, vamos falar mais sobre a Jornada de Certificação, os aspectos e requisitos avaliados e dar dicas de implementação do protocolo TISAX, com os principais pontos de atenção, entraves e riscos envolvidos no processo.
Acompanhe a Quality Way nas redes sociais e fique por dentro!
https://www.linkedin.com/company/qualityway/
