Recentemente, falamos sobre a importância da conscientização em segurança cibernética para empresas que desejam seguir a ISO 27001, norma mais respeitada em sistemas de gestão de segurança da informação (SGSI). Contudo, embora poucos saibam, existem diversas outras normas — algumas específicas para um determinado setor econômico — que também exigem tal treinamento. Uma delas é a IATF 16949.
Trata-se de uma normativa própria para empresas que atuem, de alguma forma, na cadeia de suprimentos do setor automotivo, incluindo fornecimento de componentes e até mesmo materiais utilizados em processos produtivos, como peças técnicas em poliuretano, polietileno, PVC, neoprene, borrachas etc. Basta pensar quantos tipos de materiais e pequenos detalhes formam um automóvel, desde o motor até o sistema de freios!
Originalmente criada em 1999 como ISO/TS 16949:1999, a norma foi rebatizada com o nome da International Automotive Task Force (Força Tarefa Automotiva Internacional) e atualizada em 2016, sendo então conhecida como IATF 16949:2016. Vale observar que a IATF é um consórcio global de fabricantes de automóveis formado por gigantes como o Grupo BMW, a Mercedes-Benz, a Ford Motor Company, a Stellantis e a Volkswagen AG.
Um selo que abre portas
Baseada e mantida em conjunto com a ISO 9001 de gestão de qualidade, o objetivo da IATF 16949 é garantir que as empresas obedeçam aos critérios mais rigorosos de qualidade, padronização, segurança e redução de desperdício nos processos produtivos. Ela pode ser aplicada em conjunto com outros frameworks específicos de determinados países nos quais a corporação está sediada e/ou deseja atuar como fornecedora.
Como qualquer outra normativa do gênero, a conformidade com a IATF 16949 não é uma lei; ou seja, não é obrigatório seguir seus conselhos para operar sua empresa. Contudo, ela é tão respeitada no mercado automotivo internacional que torna-se praticamente inviável para uma marca competir no mercado como fornecedora sem esse compliance, especialmente se o objetivo for conectar-se com as grandes montadoras.
O processo de conformidade, como de praxe, é formado tanto por auditorias internas quanto externas. Uma vez que os auditores independentes (representando institutos autorizados pela IATF para tal fim) tenham a garantia de que todos os pré-requisitos estão sendo cumpridos, a companhia é certificada e pode ostentar seu “selo de qualidade”, abrindo portas para mais oportunidades comerciais nesse setor.
E a segurança cibernética?
É claro que a IATF 16949 é uma norma extensa e que cobre uma série de boas práticas na gestão de qualidade durante todas as etapas do processo produtivo. Contudo, o interessante é que, em sua mais recente atualização, o framework ganhou alguns comentários específicos sobre o uso adequado de recursos de tecnologia da informação e proteção de sistemas cibernéticos.
Na cláusula 6.1.2.1 - Análise de Risco, é orientado às empresas incluir em seu processo de análise de riscos, como mínimo, "ameaças de ciberataques a sistemas de tecnologia da informação". Já na cláusula 7.1.3.1 (Instalações e planejamento de equipamentos), é comentado sobre a necessidade de "implementar proteções cibernéticas de equipamentos e sistemas em operação".
Por fim, também temos a preocupação com o fator humano. Ela aparece na cláusula 7.2.1 (Competência - suplementar). É dito que "para reduzir ou eliminar riscos à organização, o treinamento e a conscientização também deve incluir informação sobre prevenção relevante para os ambientes de trabalho da empresa e responsabilidades dos colaboradores, como reconhecer os sintomas de equipamentos falhos e/ou tentativas de ciberataques".
Competência: reduzindo o risco humano
Como todos nós já sabemos, vários incidentes de segurança da informação são causados pelo fator humano — colaboradores despreparados e alheios às ameaças cibernéticas podem tornar controles tecnológicos inúteis caso apresentem um comportamento inadequado.
A IATF 16949 é rigorosa em garantir que todo o corpo de funcionários tenha a competência de realizar suas atividades profissionais cientes dos riscos que podem colocar os processos produtivos e até mesmo os clientes finais em xeque. Quem busca a certificação precisa comprovar a existência desses treinamentos contínuos.
Eis a importância de contar com um parceiro como a Eskive, que possui 14 anos de experiência em redução do risco humano através de uma metodologia educacional própria que prioriza o engajamento sem onerar a equipe de SI. Já ajudamos diversas empresas a garantir compliance com normas de seus respectivos setores, com recursos que inclusive facilitam o atestado de um programa de capacitação contínuo e evolutivo.
Converse conosco e entenda os diferenciais de nossa plataforma!