TISAX® - Sicurezza delle informazioni nell’industria automobilistica
Salvaguardare le informazioni riservate come i prototipi, proteggere la reputazione del marchio e ottenere la fedeltà dei clienti.
In un ambiente estremamente innovativo il cui successo dipende da più fattori, la sicurezza nello scambio di informazioni è fondamentale. L'industria automobilistica richiede un approccio "ecosistemico" alla sicurezza delle informazioni all'interno delle sue lunghe e complesse catene di approvvigionamento.
Nell'era digitale le esigenze di sicurezza delle informazioni vanno oltre i fornitori automobilistici, includendo società di marketing e le altre parti coinvolte. La necessità principale è quella di proteggere:
- progetti o informazioni relative alla progettazione, prototipi o piani di investimento segreti;
- big data e process data, legati ai nuovi concetti di digitalizzazione, sviluppo di auto autonome;
- interconnessioni all'interno della rete di filiera;
- i dati personali dei clienti e degli utenti finali.
Cos'è TISAX
TISAX® (Trusted Information Security Assessment eXchange) è un approccio di valutazione sulla sicurezza delle informazioni basato su un modello di maturity e orientato esplicitamente alle esigenze del settore automobilistico. Lo standard è accreditato dal Consorzio ENX (fondato nel 2000, è un’organizzazione che raggruppa produttori di automobili, i fornitori di filiera e quattro associazioni nazionali dell’industria automobilistica) e promosso dai suoi membri dal 2018. E’ applicabile principalmente ai fornitori di primo e secondo livello, ma estendibile a supply chain più complesse, dove la valutazione dell’approccio alla sicurezza (e quindi TISAX®) è un requisito di alcuni OEM.
L'obiettivo dello standard è:
- Definire un livello comune di sicurezza per il settore automobilistico (il modello si basa sulla VDA-ISA);
- garantire il riconoscimento delle valutazioni per ridurre costi, sforzi e complessità per produttori e fornitori (i risultati degli assessment possono essere condivisi con i potenziali clienti senza necessità di effettuarli ripetute volte);
- garantire la comparabilità e la qualità delle valutazioni;
- condividere best practice e lezioni apprese;
- permettere ai partecipanti di decidere a chi possono essere rivelati i risultati e il grado di dettaglio degli stessi.
TISAX® combina le precedenti Regole sulla sicurezza delle informazioni (ISA) del Verband der Automobilindustrie (VDA) tedesco con l'Appendice A (Controlli tecnici) della ISO / IEC 27001 così come alcuni requisiti sulla privacy.
TISAX® vs ISO / IEC 27001
Sebbene entrambi riguardino la sicurezza delle informazioni, TISAX si basa sugli elementi chiave dello standard ISO/IEC 27001; si concentra però più sugli elementi specificamente rilevanti per il contesto dell'industria automobilistica.
Le principali differenze sono:
ISO/IEC 27001 | TISAX |
Standard del sistema di gestione | Copre i processi di sicurezza delle informazioni e le parti rilevanti per i partner dell'industria automobilistica |
Approccio On/off | Approccio maturity level |
Scopo definito prima della certificazione | Scopo prestabilito |
L'ente di certificazione rilascia il certificato | ENX emette attestato (label) e scambio di registrazione |
Audit periodico e ricertificazione dopo 3 anni | Validità triennale, no audit periodici |
I vantaggi
Oltre ad essere un requisito del ticket-to-trade per alcuni produttori, le valutazioni TISAX® contribuiscono a creare un approccio comune e riconosciuto all'interno di tutta la supply chain.
I fornitori partecipanti possono beneficiare di:
- riconoscimento da parte dei produttori automobilistici;
- prevenzione dalle violazioni alla sicurezza delle informazioni e dagli attacchi informatici;
- ottenere maggiore fiducia dai clienti;
- identificare e affrontare il rischio;
- ottenere il riconoscimento per i dovuti processi di sicurezza delle informazioni;
- condivisione dei risultati della valutazione attraverso lo scambio ENX.
Da dove iniziare?
Le aziende che accedono al programma devono registrarsi con ENX come partecipanti.
Il processo si articola in fasi:
- Attenzione: conoscere innanzitutto i requisiti TISAX;
- Preparazione: registrarsi sul portale TISAX, selezionando l’ente di verifica e preparandosi per l'audit. Questo include un'autovalutazione per misurare la conformità ai requisiti di sicurezza;
- Valutazione: Il modo in cui viene eseguito l'audit dipende dal livello di valutazione richiesto: Livello 2, tipicamente in remoto, Livello 3 tipicamente on site. L'audit stesso consiste in interviste (in presenza o remote), revisione dei documenti, chiarimenti sui possibili risultati e passaggi successivi;
- Piano d'azione correttivo e follow-up: Preparare un piano d'azione correttivo (PAC) per colmare eventuali rilievi (non conformità) che vengono presentati dal fornitore di audit. Il PAC viene valutato attraverso un follow-up (o più follow-up) fino a completare il rapporto TISAX;
- Scambio di risultati: L’ ente di verifica carica il report TISAX sulla piattaforma. L'azienda decide poi con chi condividere i risultati. ENX rilascia gli attestati (LABEL) TISAX all'azienda verificata.
Come può aiutarti DNV?
DNV, fornitore TISAX approvato da ENX, forte della sua provata esperienza nel settore Automotive, è in grado di effettuare gli audit previsti dal sistema TISAX a livello globale. Gli auditor di DNV sono in grado di combinare esperienza nell’Automotive con le competenze sulla sicurezza delle informazioni e la ISO/IEC 27001. Come ente di certificazione presente in più di 100 paesi, combina l’esperienza globale con un’erogazione del servizio sul territorio.