Certificação TISAX

Grandes multinacionais (sobretudo as de serviços) têm diversificado muito seu portfólio de produtos, soluções e também de aquisições, gerando novos cenários e novas oportunidades tanto para seus clientes quanto para seus funcionários, que cada vez mais se deparam com desafios antes totalmente fora de seu escopo mas que, com este movimento, atinge cada vez mais pessoas (e isso pode ser ótimo para a carreira de quem tem a oportunidade de ser envolvido nestas demandas) e um exemplo disso é a certificação TISAX (Trusted Information Security Assessment Exchange), específica para o setor automotivo e desenvolvida pela VDA, que é a Associação Alemã da Indústria Automotiva.

Esta credencial, válida por 3 anos, é corporativa (e não pessoal) e foi estabelecida em 2017 e foca na avaliação de Segurança da Informação neste segmento, com ênfase em controles que são evidenciados e submetidos a uma plataforma online e, utilizando-se de provedores de auditoria, podem conferir o grau de maturidade que se encontram e adotar medidas quando necessário, além de servir como um atestado de maturidade perante o mercado.

A avaliação é dividida em 6 fases, sendo:

1. Classificação: Nesta fase a corporação deve responder a um questionário com determinados controles relacionados ao tratamento de dados classificados (e, portanto, críticos)
2. Cadastro: A organização deve cadastra-se no ENX (operadora do TISAX homologada pelo seu mantenedor), definindo seu número de escopo
3. Avaliação: De acordo com o nível de escopo solicitado, é realizada a avaliação pela entidade auditora homologada
4. Relatório: Recebimento, pela companhia, do relatório com as vulnerabilidades identificadas
5. Eliminação de vulnerabilidades: Tomada de medidas pela empresa postulante ao TISAX para eliminação das vulnerabilidades identificadas previamente
6. Envio de relatório: Catalogação das ações e grau de maturidade da corporação após todos os passos serem finalizados, como efeito de documentação

Os níveis de avaliação possuem 3 níveis, conforme abaixo:

• Nível 1: Fornecedores padrão preencherm o questionário de Avaliação de Segurança da Informação e realizam uma auto-avaliação no próprio TISAX
• Nível 2: Fornecedores complexos, além da auto-avaliação, deve ser seguida de verificações remotas ou presenciais, realizadas pelo agente auditor homologado
• Nívels 3: Foencedores críticos (que lidam com informações restritas) devem passar pelo processo de forma presencial, sendo a inspeção o modo de auditoria utilizado após o processo de auto-avaliação

Isso se soma às outras leis, regulações, normas e boas práticas que o mercado já segue e, dependendo de seu nicho de mercado, podem ou devem seguir esta credencial para comprovar sua qualidade na proteção de dados.