Skip to content
Human Risk

IATF 16949 e a necessidade de investir em programas de conscientização

Considerada a norma de qualidade mais importante para a cadeia de suprimentos do setor automotivo, a certificação exige uma série de requisitos críticos — incluindo o treinamento de toda a equipe de trabalho para responder e identificar ciberataques.

IATF 16949 e a necessidade de investir em programas de conscientização
Ramon de Souza

Ramon de Souza

(ISC)² Certified in Cybersecurity | Journalist | Author | Speaker

4 min de leitura 

Recentemente, falamos sobre a importância da conscientização em segurança cibernética para empresas que desejam seguir a ISO 27001, norma mais respeitada em sistemas de gestão de segurança da informação (SGSI). Contudo, embora poucos saibam, existem diversas outras normas — algumas específicas para um determinado setor econômico — que também exigem tal treinamento. Uma delas é a IATF 16949.

Trata-se de uma normativa própria para empresas que atuem, de alguma forma, na cadeia de suprimentos do setor automotivo, incluindo fornecimento de componentes e até mesmo materiais utilizados em processos produtivos, como peças técnicas em poliuretano, polietileno, PVC, neoprene, borrachas etc. Basta pensar quantos tipos de materiais e pequenos detalhes formam um automóvel, desde o motor até o sistema de freios!

Originalmente criada em 1999 como ISO/TS 16949:1999, a norma foi rebatizada com o nome da International Automotive Task Force (Força Tarefa Automotiva Internacional) e atualizada em 2016, sendo então conhecida como IATF 16949:2016. Vale observar que a IATF é um consórcio global de fabricantes de automóveis formado por gigantes como o Grupo BMW, a Mercedes-Benz, a Ford Motor Company, a Stellantis e a Volkswagen AG.


Um selo que abre portas

Baseada e mantida em conjunto com a ISO 9001 de gestão de qualidade, o objetivo da IATF 16949 é garantir que as empresas obedeçam aos critérios mais rigorosos de qualidade, padronização, segurança e redução de desperdício nos processos produtivos. Ela pode ser aplicada em conjunto com outros frameworks específicos de determinados países nos quais a corporação está sediada e/ou deseja atuar como fornecedora.

Como qualquer outra normativa do gênero, a conformidade com a IATF 16949 não é uma lei; ou seja, não é obrigatório seguir seus conselhos para operar sua empresa. Contudo, ela é tão respeitada no mercado automotivo internacional que torna-se praticamente inviável para uma marca competir no mercado como fornecedora sem esse compliance, especialmente se o objetivo for conectar-se com as grandes montadoras.

O processo de conformidade, como de praxe, é formado tanto por auditorias internas quanto externas. Uma vez que os auditores independentes (representando institutos autorizados pela IATF para tal fim) tenham a garantia de que todos os pré-requisitos estão sendo cumpridos, a companhia é certificada e pode ostentar seu “selo de qualidade”, abrindo portas para mais oportunidades comerciais nesse setor.


E a segurança cibernética?

É claro que a IATF 16949 é uma norma extensa e que cobre uma série de boas práticas na gestão de qualidade durante todas as etapas do processo produtivo. Contudo, o interessante é que, em sua mais recente atualização, o framework ganhou alguns comentários específicos sobre o uso adequado de recursos de tecnologia da informação e proteção de sistemas cibernéticos.

Na cláusula 6.1.2.1 - Análise de Risco, é orientado às empresas incluir em seu processo de análise de riscos, como mínimo, "ameaças de ciberataques a sistemas de tecnologia da informação". Já na cláusula 7.1.3.1 (Instalações e planejamento de equipamentos), é comentado sobre a necessidade de "implementar proteções cibernéticas de equipamentos e sistemas em operação".

Por fim, também temos a preocupação com o fator humano. Ela aparece na cláusula 7.2.1 (Competência - suplementar). É dito que "para reduzir ou eliminar riscos à organização, o treinamento e a conscientização também deve incluir informação sobre prevenção relevante para os ambientes de trabalho da empresa e responsabilidades dos colaboradores, como reconhecer os sintomas de equipamentos falhos e/ou tentativas de ciberataques".


Competência: reduzindo o risco humano

Como todos nós já sabemos, vários incidentes de segurança da informação são causados pelo fator humano — colaboradores despreparados e alheios às ameaças cibernéticas podem tornar controles tecnológicos inúteis caso apresentem um comportamento inadequado.

A IATF 16949 é rigorosa em garantir que todo o corpo de funcionários tenha a competência de realizar suas atividades profissionais cientes dos riscos que podem colocar os processos produtivos e até mesmo os clientes finais em xeque. Quem busca a certificação precisa comprovar a existência desses treinamentos contínuos.

Eis a importância de contar com um parceiro como a
Eskive, que possui 14 anos de experiência em redução do risco humano através de uma metodologia educacional própria que prioriza o engajamento sem onerar a equipe de SI. Já ajudamos diversas empresas a garantir compliance com normas de seus respectivos setores, com recursos que inclusive facilitam o atestado de um programa de capacitação contínuo e evolutivo.

Converse conosco e entenda os diferenciais de nossa plataforma!


 

Últimos artigos

Disrupções e prejuízos: os desafios cibernéticos das instalações industriais

Disrupções e prejuízos: os desafios cibernéticos das instalações industriais

Infraestruturas críticas, fábricas e especialmente linhas de montagem de grandes empresas do ramo automotivo estão se tornando alvos freque...

Dia dos Namorados: o amor está no ar e o cibercrime também!

Dia dos Namorados: o amor está no ar e o cibercrime também!

Assim como em outras datas comemorativas com alto apelo comercial, é preciso tomar cuidado com o aumento sazonal de crimes cibernéticos — e...

HIPAA e a proteção de dados médicos no Brasil: como ter a certificação?

HIPAA e a proteção de dados médicos no Brasil: como ter a certificação?

Considerada a maior regulamentação do mundo sobre informações de saúde, ela requer treinamentos específicos a respeito do setor para toda a...