Catálogo ISA 6.0: Tudo o que você precisa saber sobre a atualização da TISAX®

Neste guia, vamos nos aprofundar nas principais mudanças destas atualizações e como elas impactarão sua organização. Também informaremos o planejamento da DQS para abordar essas mudanças e como estamos ajustando o treinamento dos nossos auditores para continuar a realizar auditorias valiosas para a sua organização.

Tópicos em destaque:

• Introdução de atribuições de auditor líder
• Inglês é o idioma oficial para o Catálogo VDA ISA 6.0
• Labels de Confidencialidade e Disponibilidade
• Cronograma de Transição

Atribuições do Auditor Líder

Um dos maiores avanços no novo Catálogo ISA é a introdução das Designações de Auditor Líder, um elemento essencial que aumenta a precisão e a eficácia das auditorias. Consequentemente, a ENX reconheceu oficialmente os termos ‘Auditor Líder TISAX® (AL2)’ e ‘Auditor Líder TISAX® AL3’, denotando expressamente os auditores que possuem as qualificações para níveis de avaliação específicos.

Catálogo VDA ISA 6.0 - Inglês é o idioma principal

Outra mudança significativa na última versão desta transição é a mudança para o inglês como idioma principal do Catálogo ISA 6.0. Esta mudança não é só uma perspectiva global, mas também facilita a colaboração internacional entre os fabricantes automotivos. Como parte desta transição, foram formados grupos de trabalho tanto para o Catálogo ISA como para a TISAX® nos Estados Unidos, destacando ainda mais a evolução global.

Ênfase contínua em segurança da informação e segurança cibernética

Em um mundo digital em rápida evolução, a segurança da informação e a cibersegurança tornam-se considerações cada vez mais cruciais. Com o novo lançamento do TISAX® 6.0, a indústria automotiva continua a colocar uma forte ênfase nestes aspectos, reconhecendo as crescentes preocupações dos clientes e partes interessadas em proteger informações sensíveis. A avaliação TISAX® baseia-se nos princípios de ISO 27001, uma estrutura mundialmente reconhecida para sistemas de gestão de segurança da informação. Ao integrar os fundamentos da norma ISO 27001, a indústria não só se adapta à era digital, mas também aborda pro ativamente as ameaças cibernéticas em evolução.

Adeus ao label "Information Security"

As principais alterações dizem respeito ao label “Information Security”. No futuro, o label “Information Security high” será substituído pelos dois labels “Confidentiality high” e “Availability high”. O mesmo se aplica ao label “Information Security very high”, que será substituído no futuro pelos labels “Confidentiality strict” e “Availability very high”. Isso acontece automaticamente para todos os clientes que já possuem labels de “Information Security” na plataforma TISAX®.

Para os labels “Confidentiality” e “Availability”, o mesmo conjunto de requisitos básicos deve ser atendido. Além disso, existem requisitos específicos por label para necessidades de proteção high e very high. As abreviações (C, I e A) são usadas para Confidentiality, Integrity e Availability. Estas abreviações, juntamente com os requisitos complementares para necessidades de proteção high e very high, facilitarão a identificação clara dos requisitos específicos correspondentes a cada label. Isto aumenta a clareza da auditoria, garantindo uma avaliação precisa das medidas de controle, aumentando assim a eficácia das avaliações de segurança e conformidade.

Bem-vindo ao label “Availability”

Se uma empresa for considerada importante na cadeia automotiva, terá que cumprir os requisitos dos labels de “Confidentiality high” ou “Availability very high” no futuro. Como resultado, os sistemas de Tecnologia Operacional (OT) utilizados na produção e em outras áreas também se tornarão um foco crescente da avaliação. Isto é conseguido através de referências à norma IEC 62443 e aos novos requisitos resultantes no Catálogo ISA. Como resultado, as redes de comunicação industrial e os sistemas de automação e controle industrial (IACS) serão incluídos nas futuras avaliações TISAX®. Ao mesmo tempo, às empresas desta categoria são confiadas informações sensíveis relacionadas com o desenvolvimento e a produção e devem demonstrar que são capazes de proteger adequadamente essas informações. Portanto, muitos requisitos se sobrepõem aos dos labels “Confidentiality high” ou “Confidentiality strict”. Alguns aspectos da inclusão de sistemas de OT são:

• Segurança e Continuidade Operacional Os sistemas de Tecnologia Operacional desempenham um papel crucial nas instalações de produção, onde os sistemas automatizados como o IACS são centrais. Garantir a disponibilidade destes sistemas não se trata apenas de produtividade, mas também de segurança. Os funcionários muitas vezes trabalham próximos a esses sistemas automatizados e qualquer tipo de mau funcionamento pode representar sérios riscos à segurança. Por exemplo, sensores ou controles OT calibrados incorretamente podem colocar pessoas e equipamentos valiosos em perigo.
• Gestão de Riscos:  Com a inclusão da OT no escopo da avaliação, as empresas devem considerar riscos específicos associados a estes sistemas. Os sistemas de OT devem ser geridos, classificados e monitorados para abordar eficazmente os riscos emergentes. Devem ser designadas pessoas responsáveis por estas tarefas.
• Controle de acesso:  O acesso às redes OT por parte dos provedores de serviços para manutenção é uma preocupação crítica. Controles de acesso adequados e registros detalhados são essenciais para manter a segurança e a integridade dos sistemas de OT.
• Competência pessoal:  Os funcionários responsáveis pela operação de sistemas de OT devem ser devidamente treinados, competentes e informados sobre os riscos potenciais da operação. As considerações de RH, incluindo a verificação de antecedentes para cargos sensíveis, tornam-se cruciais devido à criticidade destes sistemas.
• Gestão do ciclo de vida A gestão eficaz de sistemas OT durante todo o seu ciclo de vida, incluindo reparo, descarte e transporte, é crucial para mitigar os riscos associados aos dados e acesso de dispositivos locais.
• Medidas de segurança: A OT deve ser protegida contra possíveis ataques por meio de uma solução de segurança robusta, como software antivírus, firewalls e redução de interfaces e serviços expostos.
• Auditoria e avaliação de vulnerabilidades: Auditorias regulares de sistemas internos são necessárias para verificar o fortalecimento dos sistemas de OT e identificar vulnerabilidades conhecidas.
• Segmentação de rede:  As redes devem ser segmentadas adequadamente por finalidade para proteger os ambientes de TI e OT uns dos outros.
• Backup e recuperação: Planos abrangentes de backup e recuperação são essenciais para garantir a continuidade operacional e a proteção de dados em sistemas OT.
• Níveis de serviço e monitoramento: Níveis de serviço e definições de disponibilidade adequados devem estar implementados e monitorados continuamente para serviços de rede de OT.
• Fornecedores externos: : Se os provedores de serviços externos utilizarem dispositivos OT, a segurança da informação com relação às contas de acesso e outras informações armazenadas no dispositivo deverá ser regulamentada para o provedor externo.

Sejam também bem-vindos à "Confidentiality of Label"

Se uma empresa não for altamente relevante para a cadeia de abastecimento, mas lhe forem confiadas informações sensíveis, ainda assim deverá demonstrar que pode proteger adequadamente essas informações. Os labels de "Confidentiality high" ou "Confidentiality strict" são usados para selecionar os requisitos do Catálogo ISA que se concentram nesses objetivos de proteção.

Principais benefícios do novo sistema de labels:

• Objetivos de Proteção:  O objetivo principal da avaliação seletiva descrita acima é garantir que as empresas cumpram apenas os requisitos do Catálogo ISA que sejam relevantes para elas.
• Precisão de auditoria: Com uma compreensão clara do novo sistema de classificação, os auditores podem avaliar e verificar com mais precisão a eficácia dos controles relacionados a cada objetivo de proteção. Elimina a ambiguidade, facilitando a atribuição de controles a objetivos específicos, contribuindo para auditorias mais eficientes e simplificadas.
• Benefícios para o cliente: Os clientes também se beneficiarão com esses novos labels, pois trazem clareza e compreensão adicionais de como os controles se alinham aos objetivos de proteção da sua organização.

Os requisitos dos novos labels, embora não sejam inteiramente novos, representam desafios para as empresas fabricantes. Já que os sistemas OT devem agora ser submetidos a práticas de gestão de uma forma semelhante à que é geralmente exigida para sistemas de TI na TISAX®. A importância dos ambientes de produção e os numerosos pontos de acesso às infra-estruturas de rede de Tecnologia Operacional tornam crucial resolver estes problemas. A preparação é fundamental à medida que a indústria se adapta a este foco expandido.

Ajustes no Processo de Auditoria DQS

A DQS está pronta para apoiar sua organização com um processo de atualização contínuo ou fazer parceria com você se você estiver sendo auditado pela primeira vez.

Como resultado dessas mudanças, estamos comprometidos em fornecer auditorias completas e que agreguem valor aos nossos clientes e estamos em processo de fornecer treinamento adicional aos nossos auditores para garantir que estejam totalmente preparados para auditar de acordo com os novos requisitos.

Cronograma de Transição & Datas Importantes

A antiga avaliação TISAX® utilizando a antiga versão 5.1 do ISA poderá ser realizada até 31 de março de 2024. A partir de 1º de abril de 2024, todas as avaliações TISAX® serão realizadas de acordo com a nova versão 6.0 do ISA. Quaisquer atividades de auditoria que dependam de auditorias existentes, como avaliações de planos de ação corretivas, acompanhamentos ou avaliações de extensão de escopo, serão conduzidas usando a versão para a qual a auditoria original foi conduzida.  

O lançamento do Catálogo ISA 6.0 final é um evento significativo no mundo em evolução das normas e conformidade automotiva. Esta atualização significa um compromisso contínuo com a excelência, a precisão e a crescente importância da segurança da informação. Com a introdução de atribuições de Auditor Líder, rotulagem refinada para confidencialidade e disponibilidade, e um âmbito mais amplo que abrange sistemas de Tecnologia Operacional (OT), o setor automotivo continua evoluindo para padrões mais elevados de qualidade e segurança.