É evidente que os últimos anos trouxeram uma explosão dos casos e incidentes de segurança da informação no Brasil e mundo afora. Este ano de 2022 está sendo marcado por alguns casos que geraram grandes impactos, não só as companhias alvos dos incidentes, mas também a cadeia produtiva (clientes e fornecedores) da indústria automotiva. Neste sentido, a indústria automotiva tem trabalhado em iniciativas para elevar o nível de maturidade de Segurança da Informação de seu ecossistema
Um dado apresentado no Global Threat Report[1] – 2022 divulgado pela CrowdStrike, reforça tal preocupação do setor, uma vez que o número de vazamento de dados praticamente dobrou, comparando os anos de 2020 e 2021 e considerando o setor de Indústria e Engenharia, sendo o setor que apresentou maior aumento no período.
O tema de Segurança da Informação não é novidade para a indústria automotiva, para tanto basta mencionar o padrão global IATF 16949, que ainda que tenha sido concebido inicialmente com o foco em qualidade, com a evolução dos sistemas, interconexão dos ambientes e a constante preocupação com ameaças digitais, abordou o tema de segurança em dois domínios (ou capítulos), o primeiro Continuidade de Negócios e o segundo Gestão de Riscos, com foco no planejamento e arquitetura das instalações e sistemas de manufatura.
Mas o que vem a ser a TISAX[2]? TISAX (Trusted Information Security Assessment Exchange) é um padrão ISA (atualmente encontra-se na versão 2.4, publicada em Abril de 2022), que foi desenvolvido em parceria pelas Associações da Indústria Automotiva Alemã (VDA) e da European Network Exchange (ENX). A avaliação TISAX está baseada no catálogo de teste – VDA Information Security Assessment (VDA ISA), o qual foi baseado nos padrões da ISO/IEC 27001 e ISO/IEC 27002, com adaptações e especificidades do setor automotivo, incluindo, por exemplo: prototype protection, em seu catálogo de avaliação.
O processo para a obtenção do selo TISAX passa em linhas gerais por três fases: registro junto a associação ENX; self-assessment (avaliação e preparação); e auditor externo (seleção, contratação e processo de auditoria independente). E o catálogo de teste ISA está dividido em três grandes categorias de avaliação: segurança da informação (41 controles), proteção de protótipo (22 controles) e proteção[3] de dados (04 controles) (balizado pelo artigo 28 do GDPR).
O esforço para adequação e obtenção do selo TISAX está diretamente ligado ao escopo e o tipo de informação tratada pela companhia e, principalmente, os possíveis impactos causados ao ecossistema (indústria automotiva), caso um risco cibernético se materialize. Ao ser obtido o selo TISAX possui validade de 03 (três) anos, devendo ser renovado após este período, através de um novo processo de certificação/ auditoria do ambiente.
Vale ressaltar que a TISAX, assim como a IATF 16949, menciona a necessidade de controles e proteções, mas não direciona ou detalha suas implementações. De modo resumido apresenta “o que” aplicar, mas não “como” aplicar. Desta forma a utilização de referências e boas práticas de cibersegurança, tais como: NIST, SANS, ISA 62443 (ISA99), entre outros, devem continuar sendo utilizadas.
Carlos Borella, CEO da Safeway Consultoria, afirma que, “a TISAX por ter sido baseada na ISO 27001, possui em sua estrutura controles muitos requisitos já conhecidos, do que diz respeito a Segurança da Informação, uma vez que o padrão da ISO é largamente utilizado. Neste sentido, caso a companhia possua uma estratégia de segurança e governança já estabelecida, por exemplo, para atender a um Sistema de Gestão, é importante que esta revise e incorpore a TISAX dentro de seu sistema. Adicionalmente, esta ação proporcionará que as iniciativas de segurança da informação convirjam e evitando assim que haja sobreposição de controles para a cobertura e mitigação dos riscos já mapeados”.
[1] 2022 Global Threat Report (crowdstrike.com)
[2] TISAX Participant Handbook (enx.com)
[3] Em alguns casos tal categoria é classificada como não aplicável, uma vez que a atividade, recursos e processos auditados dentro do escopo de certificação da TISAX, não realiza a coleta de dados pessoais.
