TISAX napędza automotive

GKN Automotive to jeden z największych na świecie dostawców układów jezdnych dla branży automotive, zatrudniający 25 tysięcy osób w 46 placówkach zlokalizowanych w 21 krajach. W Polsce posiada dwa zakłady produkcyjne zlokalizowane w podwrocławskiej Oleśnicy. Firma tej wielkości musi każdego dnia mierzyć się z niezliczonymi wyzwaniami i zagrożeniami dla bezpieczeństwa informacji, dlatego też stawia duży nacisk na zintegrowane zarządzanie w tym obszarze.

W 2023 r. GKN Automotive przeprowadziło projekt wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji zgodnego z VDA ISA TISAX®, który obejmował audyt zerowy pod kątem zgodności z normą, przeprowadzenie dostosowań organizacyjnych i procesowych, uruchomienie SZBI oraz pozytywne przejście audytu certyfikującego. Parterem w projekcie była firma All for One Poland.

Zarządzanie bezpieczeństwem informacji na poziomie ogólnofirmowym ma wiele zalet i pozwala na standaryzację procesów oraz ich właściwe skalowanie. W GKN działa globalne biuro bezpieczeństwa. Przy takiej organizacji procesów jedna funkcja wdrożona centralnie może wspierać wiele placówek w kilku krajach.

Nadal jednak konieczne jest zaangażowanie lokalnego zespołu, który na miejscu właściwie zidentyfikuje specyficzne zagrożenia oraz wdroży globalne procesy. W przypadku standardów takich jak VDA ISA TISAX® dodatkowo konieczne jest zadbanie o bezpieczeństwo fizyczne obiektów (jak systemy kontroli dostępu, zabezpieczenie obszaru dostaw czy szkolenia pracowników), co jest praktycznie niemożliwe bez zaangażowania pracowników z danej lokalizacji.

W GKN Automotive Poland taki korporacyjny zespół został powołany w zakładzie w Oleśnicy. W jego skład wchodzą kluczowi pracownicy z lokalnego zespołu IT oraz maintenance, którzy dzięki odpowiedniej wiedzy i doświadczeniu mogli sprawnie wdrożyć poszczególne wymagania opisane w dokumentacji globalnej. Wyzwaniem okazały się jednak odpowiednia interpretacja tych wymagań oraz ich wdrożenie w praktycznych zastosowaniach.

Rozwiązaniem, na które postawiło GKN Automotive, jest zaangażowanie Lokalnego Oficera Bezpieczeństwa Informacji. W tej roli występuje konsultant All for One Poland, firmy, która była partnerem we wdrożeniu wymagań TISAX® w organizacji. Jako członek lokalnego zespołu wnosi on doświadczenie związane z wymaganiami TISAX®, a także systemowym zarządzaniem bezpieczeństwem informacji i przygotowaniem do audytu certyfikującego.

Systemowe zarządzanie bezpieczeństwem informacji wymaga specyficznych kompetencji. Nawet osoby na co dzień realizujące zadania z takich obszarów, posiadające wiedzę i doświadczenie, mogą mieć problem z interpretacją wymagań czy zastosowaniem procedur. W przypadku TISAX® jest to szczególnie problematyczne, ponieważ standard podaje przykłady konkretnych zabezpieczeń, jak np. instalacja drzwi w standardzie RC2. W skali całego zakładu koszty takiej operacji byłyby ogromne, a wpływ na poziom bezpieczeństwa – znikomy. Jednak nie wszystkie obszary wymagają zastosowania drzwi w takim standardzie.

Zaangażowanie doświadczonego konsultanta pozwoliło GKN ograniczyć niepotrzebne wydatki i skupić się na najważniejszych działaniach, co zaowocowało sprawnym przejściem audytu certyfikującego zewnętrznej jednostki i uzyskaniem certyfikatu TISAX®.

Konsultant All for One stał się stałym członkiem lokalnego zespołu bezpieczeństwa informacji GKN Automotive Poland. W 2024 r. kontynuowane są prace nad uzyskaniem certyfikatu w drugiej lokalizacji w Polsce.

Współpraca z firmą All for One Poland rozpoczęła się w połowie roku 2023 od audytu zerowego, podczas którego konsultant firmy miał okazję poznać oraz ocenić nasze procesy na poziomie lokalnym i globalnym. Na podstawie uzyskanych wyników rozpoczęliśmy proces dalszego wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji zgodnie z wymaganiami VDA ISA. Wdrożenie obejmowało powołanie lokalnego Zespołu ds. Zarządzania Bezpieczeństwem Informacji, współpracę z zespołem globalnym, wymianę doświadczeń z innymi zakładami GKN Automotive na świecie oraz dostosowanie wymagań systemu wewnątrz naszej organizacji, tak by spełniały naturalnie istniejące wymagania korporacyjne. Uruchomiony w efekcie SZBI przeszedł pełną pozytywną ocenę podczas audytu w lutym bieżącego roku. Osiągnięty sukces był w głównej mierze zasługą współpracy z konsultantem All for One, którego pełne zaangażowanie, kompetencje i doradztwo we wszystkich obszarach przyczyniły się do pozyskania etykiety TISAX®.

Obecnie kontynuujemy współpracę z konsultantem wiodącym w celu przygotowania do certyfikacji kolejnej lokalizacji GKN Automotive Poland.

Katarzyna Turska, Lider ds. Technicznych, GKN Driveline Polska

Wdrożenia i późniejsze doskonalenie Systemu Zarządzania Bezpieczeństwem Informacji w organizacjach międzynarodowych stanowią obecnie znaczną część naszych projektów. Centralizacja i ujednolicenie aspektów związanych z regulacjami bezpieczeństwa (polityki, procedury), jak również ze standaryzacją rozwiązań technicznych w zakresie cyberbezpieczeństwa ułatwiają przedsiębiorstwom monitorowanie i zarządzanie w skali całej grupy kapitałowej. Różnice dla poszczególnych spółek w ramach grupy często są niewielkie i w dużej mierze ograniczone do uwarunkowań lokalowych (bezpieczeństwo fizyczne) oraz prawnych (specyficzne krajowe prawodawstwo). Wspierając klientów we wdrożeniach, musimy doradzić zarówno w odpowiednim zaimplementowaniu regulacji „ramowych” narzuconych w ramach grupy kapitałowej, jak i w opracowaniu regulacji specyficznych dla danej spółki, przy zachowaniu zgodności z wymaganiami danej normy.

Istotną część wdrożenia systemu stanowią także prace w obszarze IT. Począwszy od diagnostyki (audyt, skanowanie podatności, testy penetracyjne), przez wdrożenie rozwiązań w zakresie analityki i wizualizacji zdarzeń w środowisku IT, po budowę dużych rozwiązań wspierających bezpieczeństwo – ochrona sieci, rozwiązania wysokiej dostępności, zapasowe data center.

Zwieńczeniem wielomiesięcznego projektu jest SZBI – zbudowany całkowicie indywidualnie według specyfiki danej organizacji. Po pewnym czasie pracy w środowisku SZBI zwykle firmy decydują się na poddanie go certyfikacji przez akredytowaną jednostkę.

Wdrożenie SZBI nie zawsze musi wynikać z decyzji czysto biznesowej. Niemalże identycznym wdrożeniom, dodatkowo rozbudowanym o aspekty związane z ciągłością działania, podlega coraz szersze grono firm zobligowanych do tego poprzez narzucone wymagania prawne – kilka lat temu NIS/KSC, a obecnie w rozszerzonym zakresie – NIS2. Podmiotami zobowiązanymi są wybrane firmy działające w branżach: energetyki, transportu, finansów, ochrony zdrowia, wody pitnej, ścieków, infrastruktury cyfrowej, zarządzania usługami teleinformatycznymi, przestrzeni kosmicznej, a także podmioty administracji publicznej.

Rafał Grześkowiak, Manager ds. Projektów IT, All for One Poland

VDA ISA TISAX® to standard bezpieczeństwa informacji w branży automotive. Obejmuje trzy główne obszary, jakie mogą znaleźć się w zakresie certyfikacji: bezpieczeństwo informacji (Information security), ochronę prototypów (prototype protection) oraz ochronę danych osobowych (data protection). W ramach przygotowania do wdrożenia standardu TISAX® All for One wspiera firmy w następujących obszarach: przygotowanie polityki i organizacja bezpieczeństwa informacji, bezpieczeństwo zasobów ludzkich, bezpieczeństwo fizyczne i ciągłość działania, zarządzanie tożsamością i dostępami, bezpieczeństwo IT i cyberbezpieczeństwo, bezpieczeństwo w relacjach z dostawcami oraz zgodność z przepisami, normami i wymaganiami (compliance).