Os novos TISAX® labels: o que considerar

• Condições alteradas - novos requisitos
• Por que os novos TISAX ^® Labels de disponibilidade e confidencialidade foram introduzidos?
• Os novos TISAX ^® labels em resumo
• Qual TISAX ^® label as empresas precisam
• Objetivos de avaliação, labels e níveis de avaliação - uma explicação rápida das diferenças
• Para certificações de acordo com o antigo catálogo ISA, é necessária uma análise GAP
• Os novos TISAX ^® labels - Conclusão
• A DQS é seu parceiro confiável

Por que os novos TISAX ^® labels Disponibilidade e Confidencialidade foram introduzidos?

Fornecedores e prestadores de serviços estão intimamente envolvidos nos processos de desenvolvimento e produção dos fabricantes automotivos - mas às vezes desempenham papéis muito diferentes: algumas empresas são encarregadas de informações altamente confidenciais, mas, em última análise, não têm mais envolvimento na produção real. Outras fornecem componentes fundamentalmente importantes para a produção de veículos, mas não têm nenhuma percepção dos segredos comerciais da empresa comissionada.

Para melhor refletir essas diferentes funções, o antigo label "segurança da informação" foi dividida em dois novos labels - " disponibilidade " e " confidencialidade." Fornecedores e prestadores de serviços não precisam mais necessariamente atender a todos os requisitos do catálogo ISA 6.0, pois cada label representa apenas um subconjunto. Essa divisão visa reduzir a carga sobre as empresas e tornar o processo de auditoria mais eficiente.

No entanto, deve-se notar que o catálogo Information Security Assessment (ISA) foi expandido para incluir vários requisitos adicionais, dado o cenário de ameaças alterado. Além de proteger segredos, a capacidade de entregar - palavra-chave: produção just-in-time - também deve ser garantida, pois isso está cada vez mais em risco de ataques de ransomware. Os novos requisitos, portanto, também incluem medidas de proteção mais robustas para sistemas OT.

Os novos TISAX ^® labels em resumo

Para empresas às quais são confiadas informações sensíveis, ou seja, segredos comerciais ou dados pessoais, agora existem os labels "Confidencial" e "Estritamente Confidencial". Os labels "Alta Disponibilidade" e "Muito Alta Disponibilidade" são destinados a fornecedores que desempenham um papel essencial na capacidade de entrega da empresa.

As medidas que devem ser implementadas para os novos TISAX® labels - além dos requisitos básicos - estão claramente marcadas no catálogo de avaliação ISA 6.0: Para confidencial com um "C", para disponibilidade com um "A". Muitos requisitos são marcados com ambas as letras e, portanto, aplicam-se a ambos os novos labels.

"Confidencialidade"

O label "Confidencialidade" se concentra na proteção de informações confidenciais, cuja divulgação não autorizada pode ter consequências negativas consideráveis, como perda de reputação, processo criminal ou danos financeiros.

Nos controles do catálogo ISA, 28 requisitos específicos são definidos na coluna "Requisitos adicionais para altas necessidades de proteção" e marcados com um "C", que devem ser atendidos para este label.

Os seguintes controles merecem atenção especial devido ao seu esforço de implementação (requisitos entre parênteses):

• 3.1.3 (Proteja e descarte com segurança as informações em dispositivos de suporte, como impressoras, trituradores, câmeras ou papel)
• 3.1.4 (Criptografando dados em dispositivos móveis)
• 5.1.1 (Proteção legal do controle sobre os próprios dados por meio de contratos, especificações, garantias, especialmente para processamento externo de dados)
• 5.1.2 (Criptografando as rotas de transporte digital de informações)

Os controles mencionados aqui são marcados apenas com um "C", não um "A". Isso significa que eles são relevantes apenas para confidencialidade. Esses requisitos, portanto, não teriam que ser cumpridos em um processo de auditoria que visa apenas avaliar a disponibilidade.

"Estritamente Confidencial"

O label "Estritamente Confidencial" se concentra na proteção de informações estritamente confidenciais e secretas, cuja divulgação não autorizada pode ter consequências catastróficas ou até mesmo fatais, como sérios danos à reputação, consequências criminais graves ou perdas financeiras muito altas.

Nos controles do questionário ISA, nove requisitos específicos são definidos na coluna "Requisitos adicionais para necessidades de proteção muito altas" e marcados com um "C", que devem ser atendidos para este label - além daqueles para o label "Confidencial".

Os seguintes controles requerem atenção especial devido ao seu esforço de implementação:

• 1.6.1 (Conduzir e fornecer evidências de exercícios regulares para gerenciar incidentes de segurança da informação)
• 4.1.2 (Autenticação de dois fatores - ou superior - para acesso a informações com requisitos de proteção muito altos)
• 4.2.1 (Criptografar informações com requisitos de proteção particularmente altos; revisão trimestral dos direitos de acesso atribuídos para verificar sua adequação)
• 5.1.2 (Criptografando o conteúdo das informações para transporte digital)
• 5.2.4 (Registo de acesso a informações com requisitos de proteção particularmente elevados)
• 5.2.8 (Conceito de backup de dados com locais alternativos para armazenamento e armazenamento de backup)
• 5.3.1 (Verificação da segurança do software desenvolvido internamente ou para o cliente - durante a implementação, em caso de alterações e em intervalos regulares)

Também é essencial observar a distinção clara dos labels para disponibilidade: Especificamente, os requisitos listados aqui para os controles 4.1.2, 4.2.1, 5.1.2 e 5.2.4 são marcados apenas com um "C". Isso significa que eles são relevantes apenas para um processo de auditoria para o label "Estritamente Confidencial".

"Alta Disponibilidade"

As empresas exigem o label "Alta Disponibilidade" se a disponibilidade de seus próprios produtos ou serviços impactar diretamente a capacidade de produção ou entrega de empresas dependentes, e falhas levarem a danos consideráveis. Exemplos comuns são fornecedores just-in-time de materiais de produção ou fornecedores altamente especializados de serviços ou matérias-primas que não podem ser substituídos prontamente.

Nos controles do catálogo ISA 6.0, são definidos 36 requisitos na coluna "Requisitos adicionais para altas necessidades de proteção", que são marcados com um "A" e, portanto, devem ser atendidos para este label.

Os seguintes controles requerem atenção especial no esforço de implementação:

• 1.6.3 (Preparação para situações de crise: Cenários de crise, contatos, estratégia de comunicação, simulação regular de crises)
• 5.2.8 (Medidas para evitar interrupções causadas por ameaças internas - como a proteção de backups - e interrupções de serviços externos, por exemplo, por meio de SLAs apropriados)
• 5.2.9 (Conceito de backup e recuperação: verificação regular de backups e recuperação de teste)
• 5.3.2 (Monitoramento do tráfego de rede, análises de disponibilidade dos serviços centrais)

Os requisitos mencionados aqui são marcados apenas com um "A", ou seja, são relevantes apenas para disponibilidade. Portanto, não precisam ser atendidos em um processo de auditoria que visa apenas avaliar a confidencialidade.

"Disponibilidade muito alta"

As empresas exigem o label "Very High Availability" se a disponibilidade de curto prazo de seus próprios produtos ou serviços afetar gravemente a capacidade de produção ou entrega de empresas dependentes e falhas levarem a danos consideráveis. Um exemplo típico são os fornecedores just-in-time, cuja falha resultaria em uma paralisação rápida e extensa da produção com um tempo de reinicialização muito longo.

Nos controles do catálogo ISA, 13 requisitos são definidos na coluna "Requisitos adicionais para necessidades de proteção muito altas". Esses requisitos são marcados com um "A" e, portanto, devem ser atendidos para este label - além daqueles para o label "Alta Disponibilidade".

Os seguintes controles requerem atenção especial devido ao seu esforço de implementação:

• 1.6.1 (Realização e fornecimento de evidências de exercícios regulares para gerenciar incidentes de segurança da informação
• 1.6.2 (Realização de incidentes de segurança da informação mesmo em casos raros)
• 1.6.3 (Realizar e fornecer evidências de exercícios regulares para gerenciar situações de crise)
• 5.2.6 (Análise regular e totalmente automatizada de sistemas de TI, levando em consideração sistemas de controle industrial/OT)
• 5.2.8 (Conceito de backup de dados com locais alternativos para armazenamento e armazenamento de backup; coordenação de planos de contingência próprios com os planos de contingência de provedores de serviços externos; estratégias de backup com sistemas de substituição e locais de substituição para armazenamento e backups para manter processos de negócios)
• 5.2.9 (Testes regulares do conceito de backup de dados; locais de backup distribuídos geograficamente; sistemas de backup tão isolados quanto possível com backups tecnicamente inalteráveis)
• 5.3.1 (Verificação da segurança do software desenvolvido internamente ou para o cliente - durante a implementação, em caso de alterações e em intervalos regulares)

Os requisitos dos controles 1.6.2, 1.6.3, 5.2.6 e 5.2.9 listados aqui são verificados apenas durante um processo de auditoria para o label "Disponibilidade Muito Alta" e, portanto, não são relevantes para o TISAX® label de confidencialidade.

Geralmente, os dois labels para "Disponibilidade" aumentam o foco na manutenção de capacidades de produção (OT). O conhecimento interno da empresa sobre recomendações do fabricante de OT, riscos de OT e medidas de segurança para redes de OT e gestão de OT receberão maior atenção na auditoria.

Qual TISAX ^® label as empresas precisam

A questão de quais labels são necessários na prática depende naturalmente, antes de tudo, do papel de uma empresa na cadeia de suprimentos. Em cada estágio da cadeia de suprimentos, as empresas devem se perguntar de quais fornecedores elas dependem e de quais fornecedores são confiadas informações sensíveis.

Assim, a gestão de fornecedores exigido pela TISAX® em cada estágio leva a requisitos de labels específicos de função em cascata pela cadeia de suprimentos. O mecanismo de troca, no qual um fornecedor pode consultar labels existentes para comprovar a conformidade com os requisitos, é particularmente útil aqui. Os resultados das avaliações podem ser disponibilizados a qualquer parte interessada.

Suponha que uma empresa exija profilaticamente ambos os novos labels, mesmo que não haja necessidade do labels de confidencialidade ou disponibilidade. Nesse caso, definitivamente vale a pena ter outra discussão sobre o entendimento mútuo de papéis em vista dos custos de implementação potencialmente significativamente mais altos.
A conexão entre o TISAX label e os níveis de avaliação também deve ser levada em consideração: os lebels "Disponibilidade muito alta" e "Estritamente confidencial" só podem ser concedidos por meio de uma avaliação de nível 3, ou seja, por meio de uma avaliação no local.

Objetivos de avaliação, labels e níveis de avaliação - uma explicação rápida das diferenças

Na seção anterior, usamos vários termos que explicaremos brevemente e diferenciaremos uns dos outros aqui:

• Objetivo da avaliação TISAX ^®: com base nas especificações de seus parceiros de fabricação, os fornecedores usam os objetivos da avaliação para determinar quais requisitos devem cumprir na auditoria.
• TISAX ^® label: Após passar por uma avaliação, as empresas recebem o TISAX® label para o objetivo de avaliação selecionado no banco de dados da TISAX ^® como confirmação de que cumpriram os requisitos.
• Nível TISAX ^®: O cumprimento dos requisitos é avaliado de forma diferente dependendo do nível de avaliação. O Nível 1 é puramente uma autoavaliação. No Nível 2, as autoavaliações são verificadas quanto à plausibilidade por um auditor externo, complementadas por entrevistas remotas. No Nível 3, o auditor verifica a eficácia no local.

Para avaliações de acordo com o antigo catálogo ISA, é necessária uma análise GAP

Importante para empresas que ainda são certificadas sob o antigo label "Info":

• Para tornar a fase de transição o mais descomplicada possível, as empresas com o label "Info High" receberam automaticamente os labels "Confidencial" e "Alta disponibilidade" até a data de expiração.
• Da mesma forma, o label "Informações muito altas" foi convertido nos labels "Estritamente confidencial" e "Disponibilidade muito alta".

Isso também se aplica aos processos de auditoria cujas ofertas foram aceitas antes de 1º de abril e às extensões de escopo subsequentes, ambas as quais ainda podem ser realizadas de acordo com o antigo catálogo ISA 5.1.

No entanto, deve-se notar que as empresas relevantes devem ser certificadas de acordo com as normas então válidas. Catálogo de auditoria ISA assim que seus TISAX® labels, que são válidos por três anos, expirarem. A nova avaliação deve estar disponível assim que o label antigo expirar. Os responsáveis são, portanto, bem aconselhados a realizar uma análise de lacunas em um estágio inicial, a fim de implementar os ajustes no sistema de gestão de segurança da informação (SGSI) em tempo hábil e estarem preparados para a próxima avaliação TISAX ^®

Para esta análise de lacunas, a Associação ENX forneceu um catálogo dedicado de requisitos em que todas as alterações entre ISA 5.1 e ISA 6.0 são listadas e marcadas em vermelho. Isso permite que as empresas vejam rapidamente quais novos requisitos foram adicionados. O que precisa ser levado em consideração: Este é um documento auxiliar. Para a auditoria, as empresas devem sempre baixar a versão mais recente do catálogo de auditoria ISA do site da ENX.

As seguintes mudanças são particularmente perceptíveis:

• O novo Controle 1.3.4 pode exigir investimento em novo software, por exemplo, para gestão de licenças.
• Os controles amplamente modificados 1.6.1 e 1.6.2 agora exigem uma resposta a incidentes coordenada e testada regularmente.
• O controle 3.1.2 foi substituído pelos novos controles 1.6.3, 5.2.8 e 5.2.9, que impõem uma série de novos requisitos relacionados ao tratamento de crises, gestão de continuidade de negócios e backup de dados.

Os novos TISAX ^® labels - Conclusão

Os novos labels de confidencialidade e disponibilidade devem garantir maior eficiência na avaliação TISAX ^® no futuro, pois as auditorias agora são realizadas em uma base específica de função. Isso significa que fornecedores e provedores de serviços não precisam mais implementar todos os requisitos do catálogo. No entanto, é perceptível que mais requisitos devem ser atendidos para o label de disponibilidade do que para confidencialidade. Isso se deve ao novo foco em garantir a capacidade de entrega e proteger ambientes de OT, que foi incluído em todos os controles do catálogo ISA atual.

O catálogo revisado e parcialmente expandido também contém vários novos requisitos, alguns dos quais só podem ser atendidos com algum esforço e o prazo de entrega correspondente. Portanto, uma análise de lacunas é recomendado para empresas com avaliação conforme o catálogo antigo, pois elas "somente" receberam os novos labels por meio da conversão automática do label antigo para segurança da informação.

Desafios particulares surgem para clientes que receberam seus labels no passado como parte de um procedimento de amostragem rotativa (SGA rotativa). Por razões de custo, essas empresas gostariam de mudar para o procedimento de amostragem real (SGA baseado em amostra) no último ano de validade do label. Portanto, elas devem concluir a Avaliação SGA rotativa no terceiro ano, converter seu ISMS para o novo catálogo ISA e concluir a Avaliação SGA baseada em amostra antes que o label expire para poder estendê-lo perfeitamente.

A DQS é seu parceiro confiável

TISAX ^® - assim como a ENX VCS para Cybersegurança de Veículos - foi desenvolvido pela Associação ENX. A DQS é aprovada pela ENX como uma prestadora de serviços de avaliação e, portanto, pode realizar avaliações em todo o mundo - e também é TISAX ^® - certificou-se. E porque muitos dos nossos auditores TISAX ^® também são credenciados para a norma internacional de segurança da informação ISO 27001, podemos avaliar ambos as normas ao mesmo tempo e com menos esforço adicional. Estamos ansiosos para falar com você.

Nota: Acesso a TISAX ^® é através do registo de participantes, que deverá ser efetuado online no site Portal ENX. Este é o pré-requisito para poder contratar um prestador de serviços de avaliação aprovado, como a DQS .

Confiança e competência

Nossos textos e artigos são escritos exclusivamente por nossos especialistas em normas ou auditores de longa data. Se você tiver alguma dúvida sobre o conteúdo do texto ou nossos serviços para nosso autor, entre em contato conosco.