Tisax Dicas de Implementação: Mapa Mental Quality Way

TISAX: Dicas de Implementação do Protocolo

Dando sequência à nossa série de artigos sobre a certificação TISAX, vamos voltar um pouco o foco para a fase de implementação e suas implicações.

Como você já viu no primeiro artigo, a TISAX é uma certificação desenvolvida especificamente para o setor automotivo e que estabelece parâmetros de segurança da informação, protótipo e proteção de dados. Devido à crescente digitalização, automação e conectividade cada vez maior nos últimos anos, as vulnerabilidades cibernéticas e a possibilidade de falhas e ataques também aumentaram, por isso a norma está sendo cada vez mais exigida de fornecedores e prestadores de serviços das mais diversas áreas parceiras da indústria automotiva.

Na opinião de Vladimir Rodrigues, Consultor Especialista da Quality Way, muitos empresários ainda não se deram conta que a segurança da informação pode afetar, e muito, a continuidade do negócio ou até mesmo fechar empresas. “Com o mundo cada vez mais digital, os negócios estão mais dependentes de dados e informações, que hoje valem muito mais que os próprios produtos produzidos. Os ‘inimigos’ sabem disso, e estão explorando cada vez mais as brechas e vulnerabilidades dos ambientes. Se a cultura empresarial não mudar, muitas empresas irão desaparecer.”

Identificando os níveis de maturidade

O processo de certificação começa com o preenchimento de um questionário que gera uma pontuação da empresa. Dependendo das características do negócio, pode haver níveis de exigência diferentes por parte do cliente (high protection ou very high protection), principalmente se a empresa trabalha com protótipos, caso em que a exigência seria very high. Pelo TISAX, as empresas precisam perseguir uma nota 3 nesse checklist, para demostrar que têm, no mínimo, um sistema de segurança estabelecido.

Confira os vários níveis de maturidade que a empresa pode obter na avaliação:

Níveis de Maturidade

0: INCOMPLETO

Processo não disponível, não implantado ou não adequado para atingir os objetivos

1: PERFORMADO

Processo informal ou parcialmente documentado, com indicadores que atendem objetivos

2: GERENCIADO

Processo documentado e implementado, com indicadores que atendem objetivos

3: ESTABELECIDO

Processo padronizado e integrado ao sistema. Interfaces/ dependências a outros sistemas documentadas e disponíveis. É possível evidenciar a implantação por um período prolongado.

4: PREVISÍVEL

Processo estabelecido, seguido e eficazmente monitorado em postos-chave. Indicadores de performance definidos com valores limitados em pontos onde o processo é considerado insuficientemente eficaz e necessita de ajustes.

5: OTIMIZADO

Um processo previsível objetivando a melhoria contínua está estabelecido. O conceito de melhoria é muito desenvolvido, com aplicação de recursos dedicados.

As etapas de certificação TISAX

Primeiramente, a empresa passará por uma fase de avaliação, seguida pela fase de adequação/implantação, ambas conduzidas pela Quality Way. Depois disso, estará preparada para o próximo passo, que é a certificação propriamente dita, realizada por empresas credenciadas no Portal TISAX (https://portal.enx.com). O processo é feito on-line e começa com o registro no portal e a seleção de uma empresa de auditoria. A pesquisa pode ser feita na plataforma online, e a certificação poderá ser realizada somente por prestadores credenciados.

O consultor Vladimir Rodrigues explica que o processo todo de certificação leva, em média, de 6 a 9 meses, dependendo do nível de maturidade da empresa em segurança da informação, do nível de exigência dos clientes e dos recursos disponíveis para o estabelecimento de um Sistema de Gestão de Segurança da Informação (SGSI).

As fases da Certificação

1. Avaliação de maturidade, baseada nos controles da VDA ISA 

2. Identificação de gaps e elaboração de um plano de ação

3. Implementação das ações 

4. Treinamento dos colaboradores 

5. Auditoria interna para identificar possíveis não conformidades e plano de ação para endereçá-las 

6. Auditoria externa de certificação.

SGSI: Sistema de Gestão de Segurança da Informação

Durante o processo, são avaliados controles de Segurança da Informação, de Protótipo e de Proteção de Dados (GDPR, se aplicável, ou LGPD). A planilha é padrão e todos os controles são aplicados para todas as empresas da mesma maneira, independentemente do setor ou porte da empresa. “Se a empresa não trabalhar ou não possuir protótipo no escopo, ele deve ser retirado da avaliação. Há também um nível de diferenciação na certificação, relacionado ao nível de classificação da informação (confidencialidade: alto ou muito alto), que depende da informação que cada empresa irá tratar”, explica Vladimir.

A certificação é válida por três anos, e não é necessária nenhuma revisão anual. Porém, a TISAX exige que seja realizada regularmente uma auditoria por uma “entidade independente”, para avaliar o SGSI (uma espécie de auditoria interna com uma visão externa). Um cuidado a ser tomado em relação a essa auditoria, na visão de Vladimir, é que, como não há uma cobrança anual formal para manter a certificação, algumas empresas podem não fazer essa auditoria e, depois dos três anos, uma recertificação pode ser necessária, por não ter mantido o sistema adequadamente. “O tema tem que fazer parte da estratégia da empresa, ser acompanhado pela direção e contar com recursos para mantê-lo”, orienta o consultor.

Ele alerta ainda para alguns riscos e entraves que podem criar dificuldades durante o processo, como a falta de envolvimento da direção, considerar o tema Segurança da Informação como operacional e não estratégico, que é um assunto somente da área de TI ou não disponibilizar recursos suficientes. “É um erro achar que a implementação é somente escrever algumas políticas e procedimentos. É preciso entender que cultura e maturidade levam tempo para serem criados em um ambiente empresarial.”

Dicas para uma Certificação TISAX de sucesso!

Vladimir dá as principais recomendações para evitar entraves e cumprir todas as etapas da certificação com êxito:

  • Obter apoio da direção
  • Estabelecer um comitê multidisciplinar para o SGSI
  • Tratar a implementação como um projeto, definindo responsáveis, orçamento, cronograma, etc.
  • Envolver todas as áreas (RH, TI, Engenharia, Projetos, Qualidade, Protótipo, Jurídico, etc.)
  • Treinar e retreinar os colaboradores e stakeholders envolvidos
  • Tentar integrar o novo sistema a outros já existentes (Qualidade, Ambiental, etc.).
Quality Way

No próximo artigo, quarto e último desta série,  vamos falar mais sobre a jornada de certificação, trazendo um resumo do nosso encontro online “TISAX a Jornada de Certificação e Recertificação” que promovemos em 02 de março último.

Nossos artigos sobre o tema:

Acompanhe a Quality Way nas redes sociais e fique por dentro!
https://www.linkedin.com/company/qualityway/

Assuntos Relacionados

SAQ 5.0 na EDAG - Avaliação de Sustentabilidade
SAQ 5.0 na EDAG
Desburocratização do RH
Desburocratização do RH
ESG e SAQ 5.0 + ABNT PR 2030
ESG e SAQ 5.0
Jornada de Certificação Tisax Mapa Mental Completo Quality Way
Jornada de Certificação TISAX