Close

TISAX, la sicurezza delle informazioni nell’automotive

Come si valuta la security del settore e che ruolo ha l'autenticazione a più fattori
Ingegneri ed esperti di sicurezza delle informazioni eseguono auditing TISAX in un'azienda automotive.
Tempo di lettura: 3 minuti

Indice dei contenuti

Cos’è TISAX

TISAX (Trusted Information Security Assessment eXchange) è un meccanismo di auditing e valutazione che, adottando criteri uniformi, consente di valutare il livello di sicurezza delle informazioni presente nelle aziende del settore automotive (case automobilistiche, ma anche tutto l’indotto). Il meccanismo consente poi a ciascuna azienda di condividere l’esito della valutazione con altre aziende.

Chi rilascia la certificazione TISAX

La valutazione TISAX nasce su iniziativa della VDA (Verband der Automobilindustrie), un’associazione che rappresenta l’industria automobilistica tedesca e raggruppa case automobilistiche come BMW, Mercedes-Benz, Volkswagen e Opel e aziende di componentistica. VDA fa poi parte di ENX, un’associazione europea che raggruppa case automobilistiche, fornitori e associazioni di categoria. ENX funge da Authority per le aziende che vogliono essere valutate e da organismo di accreditamento per i soggetti autorizzati a svolgere l’audit e rilasciare le valutazioni.

Catena di montaggio del settore automotive interessata alla sicurezza delle informazioni TISAX.

A cosa serve la certificazione Tisax

Ogni azienda gestisce quotidianamente una mole considerevole di dati, sia interni che relativi ai soggetti con cui entra in contatto, preoccupandosi di tenerli al sicuro e protetti da soggetti non autorizzati. La sicurezza delle informazioni è un tema già affrontato dallo standard internazionale ISO/IEC 27001, che tuttavia è generico per tutti i settori produttivi. La certificazione TISAX, che non è uno standard vero e proprio e in parte si ispira alla ISO/IEC 27001, è invece un modello di auditing e valutazione del grado di sicurezza delle informazioni ritagliato sulle esigenze specifiche delle aziende automotive. TISAX si basa su una check list messa a punto dal gruppo di lavoro VDA (VDA-ISA Information Security Assessment) che copre i requisiti di sicurezza delle informazioni condivisi dalle industrie automobilistiche.

Come si valuta la sicurezza delle informazioni nel settore automotive

Il processo di valutazione TISAX prevede che, in maniera volontaria, un’azienda si iscriva all’associazione ENX, scegliendo l’organismo accreditato da cui ottenere l’audit. Al termine dell’audit, l’organismo accreditato, seguendo la check list, per ciascuno degli indicatori previsti stabilisce qual è il grado di sicurezza delle informazioni riscontrato all’interno dell’azienda. La valutazione di ciascun indicatore viene fatta secondo una scala di valore da 0 a 5, dove 0 indica che non esiste un processo aziendale per raggiungere l’obiettivo espresso dall’indicatore oppure quel processo esiste, ma non produce i risultati richiesti.

L’audit che viene svolto in un’azienda può essere di tre livelli:

  • Livello 1: in questo caso è l’azienda stessa che si autovaluta, compilando la check list con le informazioni richieste.
  • Livello 2: l’organismo che effettua l’audit esegue una verifica di plausibilità dell’autovalutazione svolta dall’azienda. La verifica avviene acquisendo documenti o svolgendo interviste, generalmente da remoto, ma che all’occorrenza possono svolgersi anche in azienda.
  • Livello 3: in questo caso l’organismo che effettua l’audit esegue una verifica approfondita, che prevede sempre una visita fisica nella sede dell’azienda.
Cruscotto di un'auto con display digitale per la sicurezza delle informazioni TISAX nel settore automotive.

Autenticazione multi-fattore e TISAX

Nella check list di valutazione del livello di sicurezza delle informazioni, diversi indicatori individuano nell’autenticazione multifattore (o MFA, multi-factor authentication) un elemento richiesto per ottenere un giudizio positivo in fase di audit.

In particolare, questi indicatori riguardano:

  • come è suddivisa la responsabilità tra i fornitori di servizi IT esterni e la propria organizzazione;
  • come è regolato il telelavoro;
  • in che modo avviene l’accesso degli utenti ai propri servizi, sistemi e applicazioni;
  • il livello di sicurezza nella gestione degli account degli utenti e delle informazioni di login.

In tutti questi casi, avere all’interno della propria azienda un sistema di autenticazione multi-fattore degli utenti significa poter ottenere un giudizio positivo su questi specifici indicatori.

SafeAccess di Namirial per un accesso sicuro ai dati aziendali

Per superare l’audit TISAX ottenendo il riconoscimento di un elevato livello di sicurezza nella gestione degli accessi ai propri sistemi aziendali, uno strumento efficace e di facile implementazione è SafeAccess, la piattaforma Namirial per l’autenticazione passwordless, progettata per garantire l’accesso sicuro alle postazioni e agli applicativi basandosi su standard FIDO2 e sulla PKI (Public Key Infrastructure).

Con SafeAccess ogni dipendente può accedere in sicurezza alla postazione di lavoro scegliendo in base alle proprie preferenze il secondo fattore di autenticazione (smartphone, badge, dispositivo FIDO, smart card di firma o token USB).

SafeAccess raccoglie gli eventi di accesso e uso dei sistemi informatici aziendali nel rispetto del GDPR. La suite è composta da cinque componenti, che si possono installare anche singolarmente. In caso di dispositivi di accesso dimenticati o smarriti, la suite dispone di diverse alternative per consentire l’accesso dell’utente ai sistemi aziendali.

TAG