São Paulo/SP – 29 de julho de 2022. A indústria automotiva tem trabalhado em iniciativas para elevar o nível de maturidade de Segurança da Informação de seu ecossistema.
*Por Carlos Borella
É evidente que os últimos anos trouxeram uma explosão dos casos e incidentes de segurança da informação no Brasil e mundo afora. Este ano de 2022 está sendo marcado por alguns casos que geraram grandes impactos, não só as companhias alvos dos incidentes, mas também a cadeia produtiva (clientes e fornecedores) da indústria automotiva. Neste sentido, a indústria automotiva tem trabalhado em iniciativas para elevar o nível de maturidade de Segurança da Informação de seu ecossistema.
Um dado apresentado no Global Threat Report[1] – 2022 divulgado pela CrowdStrike, reforça tal preocupação do setor, uma vez que o número de vazamento de dados praticamente dobrou, comparando os anos de 2020 e 2021 e considerando o setor de Indústria e Engenharia, sendo o setor que apresentou maior aumento no período.
O tema de Segurança da Informação não é novidade para a indústria automotiva, para tanto basta mencionar o padrão global IATF 16949, que ainda que tenha sido concebido inicialmente com o foco em qualidade, com a evolução dos sistemas, interconexão dos ambientes e a constante preocupação com ameaças digitais, abordou o tema de segurança em dois domínios (ou capítulos), o primeiro Continuidade de Negócios e o segundo Gestão de Riscos, com foco no planejamento e arquitetura das instalações e sistemas de manufatura.
Mas o que vem a ser a TISAX[2]? TISAX (Trusted Information Security Assessment Exchange) é um padrão ISA (atualmente encontra-se na versão 2.4, publicada em Abril de 2022), que foi desenvolvido em parceria pelas Associações da Indústria Automotiva Alemã (VDA) e da European Network Exchange (ENX). A avaliação TISAX está baseada no catálogo de teste – VDA Information Security Assessment (VDA ISA), o qual foi baseado nos padrões da ISO/IEC 27001 e ISO/IEC 27002, com adaptações e especificidades do setor automotivo, incluindo, por exemplo: prototype protection, em seu catálogo de avaliação.
O processo para a obtenção do selo TISAX passa em linhas gerais por três fases: registro junto a associação ENX; self-assessment (avaliação e preparação); e auditor externo (seleção, contratação e processo de auditoria independente). E o catálogo de teste ISA está dividido em três grandes categorias de avaliação: segurança da informação (41 controles), proteção de protótipo (22 controles) e proteção[3] de dados (04 controles) (balizado pelo artigo 28 do GDPR).
O esforço para adequação e obtenção do selo TISAX está diretamente ligado ao escopo e o tipo de informação tratada pela companhia e, principalmente, os possíveis impactos causados ao ecossistema (indústria automotiva), caso um risco cibernético se materialize. Ao ser obtido o selo TISAX possui validade de 03 (três) anos, devendo ser renovado após este período, através de um novo processo de certificação/ auditoria do ambiente.
Vale ressaltar que a TISAX, assim como a IATF 16949, menciona a necessidade de controles e proteções, mas não direciona ou detalha suas implementações. De modo resumido apresenta “o que” aplicar, mas não “como” aplicar. Desta forma a utilização de referências e boas práticas de cibersegurança, tais como: NIST, SANS, ISA 62443 (ISA99), entre outros, devem continuar sendo utilizadas.
Carlos Borella, CEO da Safeway Consultoria, afirma que, “a TISAX por ter sido baseada na ISO 27001, possui em sua estrutura controles muitos requisitos já conhecidos, do que diz respeito a Segurança da Informação, uma vez que o padrão da ISO é largamente utilizado. Neste sentido, caso a companhia possua uma estratégia de segurança e governança já estabelecida, por exemplo, para atender a um Sistema de Gestão, é importante que esta revise e incorpore a TISAX dentro de seu sistema. Adicionalmente, esta ação proporcionará que as iniciativas de segurança da informação convirjam e evitando assim que haja sobreposição de controles para a cobertura e mitigação dos riscos já mapeados”.
[1] 2022 Global Threat Report (crowdstrike.com)
[2] TISAX Participant Handbook (enx.com)
[3] Em alguns casos tal categoria é classificada como não aplicável, uma vez que a atividade, recursos e processos auditados dentro do escopo de certificação da TISAX, não realiza a coleta de dados pessoais.
— Carlos Borella é CEO and Cyber Security Lead Partner at [SAFEWAY]
Como podemos Ajudar?
A SAFEWAY é uma empresa de consultoria em Segurança da Informação reconhecida pelos seus clientes por oferecer soluções de alto valor agregado por meio de projetos que atendam integralmente às necessidades do negócio. Em 14 anos de experiência, acumulamos diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte as 100 maiores empresas do Brasil.
Hoje por meio de 25 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas. Possuímos tanto a habilidade técnica quanto a experiência necessária para auxiliar sua empresa no processo de estruturação de controles e preparação do ambiente para implantação de SGSI, SGS ou SGCN e, consequentemente, certificação de operações, serviços ou empresas as normas ISO27001, ISO20000 ou ISO22301.
Com o intuito de apoiar as empresas nesse processo de avaliação e adequação aos requisitos da LGPD, a [SAFEWAY] possui em seu portfólio de serviços, o Cybersecurity Health Check cujo objetivo é executar um diagnóstico dos controles de CyberSecurity, Segurança da Informação e Privacidade de Dados implementados na sua empresa, contemplando os pilares de Processos, Pessoas e Tecnologia.
Por meio do Cybersecurity Health Check, são identificados os riscos associados a segurança da informação e privacidade dos processos e atividades internas, os controles existentes e avaliados novos controles de acordo com o porte de sua organização para aumentar o nível de maturidade e compliance, de acordo com as boas práticas de segurança da informação. Caso deseje mais informações, entre em contato com um de nossos especialistas!
