Sponsored Story

Cos’è lo standard TISAX e in quali contesti si utilizza

Il framework di valutazione definito per il settore Automotive permette di valutare la maturità degli operatori rispetto alla sicurezza dei dati. Horizon Security spiega come ottenere la conformità e perché conviene.

Pubblicato il 20 Feb 2023

settore Automotive

L’industria automobilistica è un settore in effervescenza, caratterizzato dalle spinte continue della trasformazione digitale, da un utilizzo massivo e intenso delle informazioni, da catene di approvvigionamento complesse, che si espandono ed intrecciano per coprire applicazioni sempre più innovative. Basti pensare al fenomeno crescente delle connected cars oppure alle promesse dei veicoli a guida autonoma.

Si evince chiaramente che, all’interno dell’ecosistema Automotive, la capacità di sfruttare i dati è la chiave del progresso e una leva di competizione imprescindibile. Pertanto la protezione delle informazioni è un obiettivo prioritario per qualsiasi attore della filiera, che richiede l’impegno congiunto e coordinato dell’intero comparto.

In risposta alle esigenze del settore, nasce lo standard TISAX (Trusted Information Security Assessment eXchange), che permette di valutare il livello di maturità degli operatori Automotive rispetto alla sicurezza delle informazioni.

Ma cosa è esattamente il framework TISAX e come deve essere applicato? Ne abbiamo parlato con Marco Comite, Senior Manager di Horizon Security, società operante in ambito Cyber & Information Security, con un team di oltre 45 specialisti e più di 30 certificazioni professionali.

Come cambia l’Automotive e perché nasce il TISAX

«Il mondo Automotive – esordisce Comite – è impattato da una forte spinta innovatrice. Tra le tendenze più rilevanti, oltre alle automobili elettriche, bisogna citare i veicoli a guida autonoma, che possono “autopilotarsi” sfruttando sensori, intelligenza artificiale e diverse tecnologie integrate (ad esempio, i sistemi GPS oppure soluzioni per il cruise control adattivo). Un altro trend significativo riguarda le connected cars, che permettono lo scambio di informazioni con sistemi esterni, aprendo la strada a molteplici applicazioni e servizi aggiuntivi. L’impiego dei Digital Twins, ovvero di repliche virtuali che riproducono entità fisiche e interagiscono con sistemi e ambienti reali, sta rivoluzionando il modo di progettare nuovi veicoli e componenti, grazie all’utilizzo dei Big Data e alla simulazione di impianti e processi».

Come sottolinea Comite, l’evoluzione dell’industria automobilistica dipende evidentemente dalla proliferazione dei dati e soprattutto dalla capacità di gestire e proteggere le informazioni, attraverso supply chain che diventano sempre più lunghe e articolate.

«Le aziende del comparto – prosegue il manager – devono essere in grado di tutelare varie tipologie di dati: ad esempio, le informazioni riservate relative a progetti, prototipi o strategie di investimento; i dettagli personali degli utenti finali; le comunicazioni multicanale tra gli attori della filiera, attraverso email, soluzioni UCC (Unified Communication and Collaboration), sistemi gestionali integrati e così via; i Big Data generati all’interno degli impianti intelligenti oppure legati alle applicazioni delle connected cars e ai processi della guida autonoma. Per garantire un impegno comune alla sicurezza e sviluppare best practice condivise, in una logica di trasparenza, la VDA (Verband del Autobilindustrie), ovvero l’associazione dell’industria automobilistica tedesca, ha definito TISAX come modello di auditing specifico per il settore, che permette di valutare l’approccio alla data protection di ciascuna azienda secondo criteri standard».

Come funziona il modello TISAX e perché aderire

Come precisa Comite, TISAX riunisce all’interno di un unico framework di valutazione i precetti dell’Information Security Assessment (ISA) dettati dalla VDA, i principi base dello standard ISO/IEC 27001 relativi ai Controlli Tecnici e alcuni requisiti sulla privacy delle informazioni più rilevanti per il comparto Automotive.

«Il compito di implementare e controllare la corretta applicazione dello standard TISAX – prosegue Comite – è stato affidato al consorzio ENX, partecipato da produttori di automobili, fornitori di filiera e associazioni nazionali di settore, che agisce come un organismo di accreditamento neutrale. L’ente rappresenta quindi un’interfaccia per tutti gli audit provider e le aziende Automotive che intendono effettuare la valutazione TISAX, gestendo la condivisione delle informazioni tra gli attori. È importante notare che i soggetti sottoposti all’auditing, possono decidere quali dati rendere pubblici».

Il modello TISAX, rivolto tendenzialmente ai fornitori di primo e secondo livello, può essere indirizzato anche verso altri operatori, all’interno di catene di approvvigionamento più estese.

«I vantaggi nell’adesione allo standard sono molteplici” dichiara Comite. “Iscrivendosi all’ENX Association e partecipando alla valutazione TISAX, i supplier ottengono il riconoscimento dei produttori automobilistici e maggiore fiducia dal mercato; possono accedere a una serie condivisa di strumenti e buone pratiche; guadagnano visibilità su informazioni rilevanti all’interno dell’ecosistema; hanno l’opportunità di testare la postura di sicurezza, migliorando la capacità di prevenire le minacce e mitigare i rischi di violazione. Il raggiungimento della conformità TISAX infatti può essere visto come un incentivo e un’occasione per costruire una strategia di cybersecurity e data protection strutturata, ma soprattutto sostenibile e lungimirante».

TISAX, come procedere e ottenere l’attestato

Ma quali sono le procedure per aderire al TISAX e soprattutto come bisogna prepararsi in vista dell’audit?

«Le aziende che scelgono di sottoporsi alla valutazione TISAX – afferma Comite – dovrebbero innanzitutto documentarsi per conoscere approfonditamente i requisiti contenuti nel regolamento. Dopotutto, la consapevolezza e la chiarezza di obiettivi sono le chiavi per la buona riuscita di qualsiasi progetto».

I passi successivi sono l’iscrizione online presso l’ENX Association e la scelta di un audit provider accreditato. Seguono la fase di valutazione e quindi le azioni correttive per colmare eventuali gap di conformità, secondo le indicazioni fornite dall’ente verificatore. Completato il processo di auditing, il rapporto conclusivo viene caricato sulla piattaforma TISAX e le informazioni sono condivise con gli altri operatori, secondo le preferenze espresse dal soggetto verificato.

«Al termine di tutto il processo – riprende Comite – l’azienda riceve infine l’attestato ufficiale o ”Label” da parte del consorzio ENX. Ripercorrendo l’intera procedura di valutazione, è chiaro che l’auditing rappresenta soltanto la fase conclusiva, la punta dell’iceberg o il sigillo di un lavoro costruito a monte per la messa in sicurezza del patrimonio informativo aziendale».

Insomma, le imprese del settore Automotive che intendono aderire allo standard TISAX devono arrivare preparate per affrontare le procedure di verifica.

«Horizon Security – asserisce Comite – grazie a un team di professionisti qualificati, specialisti della sicurezza informatica e consulenti con competenze specifiche sul settore Automotive, può accompagnare le aziende nel raggiungere gli obiettivi di conformità TISAX. Partendo da un’accurata fase di assessment, supportiamo le organizzazioni nell’individuare eventuali criticità o elementi di mancata compliance. Quindi andiamo a definire insieme al cliente il programma strategico e tecnologico ottimale, con l’obiettivo di migliorare i processi di data protection e il livello di maturità in ambito Cybersecurity. Grazie al nostro punto di osservazione sul panorama delle minacce, alla conoscenza del comparto automobilistico, alla competenza sulle tecnologie emergenti e i rischi connessi, siamo in grado di guidare il cliente verso il disegno di una strategia di sicurezza future-proof, finalizzata agli obiettivi TISAX ma soprattutto capace di garantire una data protection efficace sul lungo periodo, in linea con le esigenze aziendali».

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 4