Certificazione TISAX automotive

Abbiamo avuto il piacere di intervistare DIEGO CORSO, CIO (Chief Information Officer) di PromaGroup, azienda leader del settore Automotive.

Buongiorno Diego, ci racconta brevemente la realtà di PromoGroup?

Buongiorno, Proma nasce nel 1980 per volontà del suo Presidente, Nicola Giorgio Pino. Oggi è una multinazionale con circa 5.000 dipendenti e 26 plant sparsi in 8 nazioni: Italia, Spagna, Marocco, Polonia, Serbia, Brasile, Messico e Argentina. Collaboriamo con realtà internazionali come Stellantis, Volkswagen, e Porsche.

In questo contesto come si inserisce la sua figura?

Sono entrato nel gruppo ad ottobre 2020 e la mia mission è stata quella di ridisegnare la struttura IT dell’Azienda. Gestisco un team di 7 persone tra Italia e estero e il nostro obiettivo è quello di puntare ad un livello di cybersicurezza sempre maggiore.

Proma è certificata ISO 27001 e nel 2022 decide di attestarsi TISAX? Come mai questa scelta?

In maniera assolutamente trasparente vi dico che la certificazione ISO 27001 è stata una scelta interna volta a garantire un livello di Sicurezza dei Dati di alto livello, mentre il TISAX in un certo senso ci è stato imposto. I gruppi tedeschi di Volkswagen e Porsche, infatti, nel 2021 hanno dato comunicazione che per poter essere valutati (quindi non inseriti, ma anche solo valutati) come loro fornitori sarebbe diventato indispensabile possedere questo certificato. Di conseguenza ci siamo mossi subito per poter rispondere al requisito.

È stato complesso il processo per arrivare ad avere il Tisax?

Sì, è stato abbastanza complesso. Non tanto per quanto concerne gli aspetti IT che erano già stati ampiamente analizzati in ambito ISO 27001, ma più che altro per aree come quella dell’engineering and construction (E&C), che è stata la più impattante. Le attività più complesse sono state quelle che non sono dipese solamente dalle nostre volontà, ma che hanno coinvolto realtà esterne, che a loro volta si sono viste costrette e dover aderire a determinati standard.

Un altro fattore di difficoltà è stata la resistenza al cambiamento, che tutti noi conosciamo molto bene. Il concetto del “ma abbiamo sempre fatto così…” è stato complesso da superare. Abbiamo dovuto impostare nuove procedure e fare molta formazione e l’approccio iniziale è stato spesso di diffidenza e preoccupazione per una novità che non si conosceva e non si sapeva bene dove avrebbe portato.

In ogni caso mi sento di dire che abbiamo fatto un buon lavoro perché in 10 mesi abbiamo certificato la sede di Caserta. A luglio 2022 abbiamo infatti ottenuto l’attestato Tisax da Bureau Veritas. Una tempistica più che buona.

Cosa vi è stato di supporto nel processo di qualifica?

Senza dubbio tutte le attività precedenti fatte in ambito IT sono state fondamentali. Mi riferisco alla già nominata ISO 27001 ma anche al rating di cybersecurity che abbiamo portato avanti negli anni e che nel 2022 ci ha portato ad avere una valutazione della nostra cybersecurity di 86 su 100. Un traguardo importante per me e per tutto il mio team.

In aggiunta direi che sono stati provvidenziali l’esperienza e la capacità di coordinamento delle risorse da parte della GL Consulting: abbiamo definito con precisione tutti i checkpoint che ci hanno guidato fino al traguardo di luglio 2022.

Adesso che il primo traguardo è raggiunto, quali sono i vantaggi che sente di aver ottenuto?

In primis la tranquillità di poter continuare a lavorare con le aziende tedesche. In seconda battuta sono state introdotte delle procedure sia a livello di privacy che di cybersecurity che fino a poco tempo fa non facevano parte dell’immaginario di Proma e che hanno apportato notevoli benefici all’Azienda.

Grazie mille a Diego Corso per la disponibilità!

(ndr: Il Tisax – Trusted Information Security Assessment Exchange – viene spesso definita una certificazione, mentre è più corretto considerarlo un insieme di requisiti)