TISAX® Assessment Level 2: Why the Cheapest Option Is Not Always the Most Cost-Effective

Η Συνήθης Υποψία Σχετικά με την Αξιολόγηση Επιπέδου 2

Όταν οι προμηθευτές αυτοκινήτων εξερευνούν για πρώτη φορά τις επιλογές αξιολόγησης TISAX®, το Επίπεδο Αξιολόγησης 2 (AL2) τείνει να φαίνεται ως το λογικό σημείο εκκίνησης. Τα έξοδα εξωτερικής αξιολόγησης είναι χαμηλότερα από αυτά των υψηλότερων επιπέδων. Γίνεται εξ αποστάσεως, οπότε δεν υπάρχει ανάγκη για ταξίδι, και στα χαρτιά, η διαδρομή προς την ετικέτα TISAX® φαίνεται πιο σύντομη και λιγότερο ακριβή.  

Ωστόσο, οι οργανισμοί που σχεδιάζουν το ταξίδι τους στο TISAX® μόνο με βάση τα έξοδα αξιολόγησης συχνά αντιμετωπίζουν μια πιο σύνθετη πραγματικότητα. Η συνολική προσπάθεια που απαιτείται για την απόκτηση και τη διατήρηση μιας ετικέτας TISAX® εξαρτάται από παράγοντες πολύ πέρα από ό,τι φαίνεται στο τιμολόγιο του ελεγκτή.  

Είναι σημαντικό για τους προμηθευτές αυτοκινήτων να κατανοούν πλήρως την εικόνα πριν δεσμευτούν σε ένα επίπεδο αξιολόγησης.

Τι Απαιτεί Πραγματικά η Αξιολόγηση Επιπέδου 2

Η Αξιολόγηση TISAX® Επίπεδο 2 είναι μια αξιολόγηση πιθανοτήτων. Η δουλειά του αξιολογητή είναι να εξετάσει αν η αυτοαξιολόγηση του οργανισμού περιγράφει με λογικό τρόπο ένα λειτουργικό Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών (ISMS) που συμμορφώνεται με τις απαιτήσεις του καταλόγου ISA.

Σε αντίθεση με το Επίπεδο Αξιολόγησης 3, το AL2 δεν περιλαμβάνει επιτόπιο έλεγχο των εφαρμοσμένων ελέγχων. Η αξιολόγηση πραγματοποιείται κυρίως με βάση την γραπτή αυτοαξιολόγηση του οργανισμού και τα υποστηρικτικά έγγραφα.

Αυτό έχει μια κρίσιμη συνέπεια: η ποιότητα της αυτο-αξιολόγησης καθορίζει την επιτυχία της διαδικασίας.

Για το AL2, ο αξιολογητής πρέπει να μπορεί να καταλάβει πώς εκπληρώνεται κάθε στόχος ελέγχου βασιζόμενος μόνο στην περιγραφή που υπάρχει στον κατάλογο ISA. Τα έγγραφα αποδεικτικών στοιχείων χρησιμεύουν για να στηρίξουν αυτές τις εξηγήσεις — δεν τις αντικαθιστούν. Αν το κείμενο της αυτοαξιολόγησης είναι ασαφές, ασυνεπές ή ανεπαρκώς λεπτομερές, κανένα πρόσθετο έγγραφο δεν μπορεί να το καλύψει. Σε τέτοιες περιπτώσεις, γίνονται αναγκαίες αναθεωρήσεις και επιπλέον κύκλοι αξιολόγησης, που παρατείνουν τόσο το χρονοδιάγραμμα όσο και την εσωτερική προσπάθεια.

Γιατί η εσωτερική προσπάθεια συχνά υποεκτιμάται

Τα τέλη αξιολόγησης είναι ορατά. Η εσωτερική προσπάθεια όχι — και εδώ είναι που πολλές οργανώσεις αιφνιδιάζονται.

Η προετοιμασία μιας αξιόπιστης αυτοαξιολόγησης απαιτεί μια λεπτομερή, τεκμηριωμένη κατανόηση του πώς λειτουργούν οι έλεγχοι ασφάλειας πληροφοριών σε ολόκληρη την οργάνωση. Αυτό συνήθως περιλαμβάνει συμβολή από:

·         Τμήματα Ασφάλειας Πληροφοριών και IT

·         Ανθρώπινοι Πόροι και Διαχείριση Εγκαταστάσεων

·         Συμμόρφωση και Νομικές Υποθέσεις

·         Διοίκηση

Ο χρόνος που απαιτείται εξαρτάται πολύ από την εμπειρία και την επιμέλεια του ατόμου που είναι υπεύθυνο για την τεκμηρίωση των ελέγχων στο κατάλογο ISA. Οι οργανισμοί με ένα καλά εδραιωμένο ISMS και προσωπικό που γνωρίζει τις απαιτήσεις TISAX® μπορούν συχνά να ολοκληρώσουν τη διαδικασία αποτελεσματικά. Αντίθετα, οι οργανισμοί με λιγότερο ώριμο ISMS συνήθως αντιμετωπίζουν πολύ μεγαλύτερη προσπάθεια στη συλλογή των απαραίτητων πληροφοριών και στην περιγραφή των υποκείμενων διαδικασιών και ελέγχων με σαφή και κατανοητό τρόπο. Βάσει εμπειρίας αξιολόγησης, οι καλά προετοιμασμένοι οργανισμοί συνήθως επενδύουν περίπου 24 ώρες στην προετοιμασία μιας ρεαλιστικής αυτοαξιολόγησης. Οι λιγότερο προετοιμασμένοι οργανισμοί μπορεί να χρειαστούν 48 ώρες ή περισσότερες — και οι επιπλέον επαναλήψεις αναθεώρησης που ζητούνται κατά τον έλεγχο ρεαλιστικότητας μπορούν να αυξήσουν περαιτέρω αυτόν τον χρόνο.

AL2 εναντίον AL2.5: Μια πιο ισορροπημένη ματιά στη συνολική προσπάθεια

Η υπόθεση ότι ένα χαμηλότερο επίπεδο αξιολόγησης σημαίνει αυτόματα και χαμηλότερη συνολική επένδυση δεν ισχύει πάντα.

Όταν συγκρίνουμε το AL2 και το AL2.5 όσον αφορά τη συνολική προσπάθεια — περιλαμβάνοντας τόσο την εσωτερική προετοιμασία της οργάνωσης όσο και την αξιολόγηση από τον εξεταστή — η εικόνα φαίνεται διαφορετική από ό,τι υποδηλώνουν μόνο τα τέλη αξιολόγησης:

Το AL2.5 περιλαμβάνει πιο σε βάθος αξιολόγηση και πιο ενεργό ρόλο του ελεγκτή, κάτι που οδηγεί σε υψηλότερο εξωτερικό κόστος. Ωστόσο, το μειωμένο εσωτερικό φορτίο προετοιμασίας μπορεί να κάνει το AL2.5 πραγματικά πιο αποδοτική επιλογή για οργανισμούς που δεν έχουν την πειθαρχία στη τεκμηρίωση ή τους πόρους προσωπικού για να ολοκληρώσουν αποτελεσματικά μια αξιολόγηση AL2 υψηλής ποιότητας.

Καμία από τις δύο επιλογές δεν είναι εκ προοιμίου προτιμότερη. Η κατάλληλη επιλογή εξαρτάται από τις συγκεκριμένες συνθήκες του οργανισμού, και όχι από το ποια επιλογή φαίνεται φθηνότερη στην πρόταση αξιολόγησης.

Ο Κίνδυνος των Αλλαγών στις Απαιτήσεις

Πολλοί οργανισμοί ξεκινούν το ταξίδι τους με το TISAX® έχοντας μια σαφή, συγκεκριμένη απαίτηση από έναν μόνο πελάτη: να αποκτήσουν μια ετικέτα στο Επίπεδο Αξιολόγησης 2. Εκείνη τη στιγμή, το AL2 φαίνεται η μόνη λογική επιλογή.

Ωστόσο, το οικοσύστημα της αυτοκινητοβιομηχανίας είναι δυναμικό. Νέες σχέσεις με πελάτες, διευρυμένο εύρος έργου ή αλλαγές στην ταξινόμηση των πληροφοριών μπορούν να δημιουργήσουν την ανάγκη για υψηλότερα επίπεδα αξιολόγησης — μερικές φορές ακόμα και μέσα στην ίδια χρονική περίοδο ισχύος. Σενάρια που εμφανίζονται συχνά περιλαμβάνουν:

·         Χειρισμός Απολύτως Απόρρητων πληροφοριών

·         Απαιτήσεις που αφορούν Πολύ Υψηλή Διαθεσιμότητα

·         Επεκτάσεις πεδίου που καλύπτουν προστασία πρωτοτύπων

·         Επιπλέον απαιτήσεις ειδικές για OEM

Καμία οργάνωση δεν μπορεί να προβλέψει με σιγουριά όλες τις μελλοντικές απαιτήσεις. Αλλά το να λαμβάνει υπόψη τις πιθανές εξελίξεις της επιχείρησης από το στάδιο του σχεδιασμού — αντί να αντιδρά σ' αυτές αργότερα — μπορεί να βοηθήσει να αποφευχθεί η περιττή διπλή δουλειά.

Κατανοώντας το Πραγματικό Κόστος του Αναβαθμισμού από AL2

Για οργανισμούς που ξεκινούν στο AL2 και αργότερα χρειάζονται AL3, η διαδρομή αναβάθμισης δεν είναι τόσο απλή όσο φαίνεται.

Δεδομένου ότι το AL2 εστιάζει στην αξιοπιστία παρά στην επαλήθευση ελέγχου στον χώρο, η μεθοδολογική επικάλυψη μεταξύ AL2 και AL3 είναι περιορισμένη. Η αναβάθμιση από AL2 σε AL3 συνήθως απαιτεί προσπάθεια συγκρίσιμη με την εκτέλεση μιας αρχικής αξιολόγησης AL3 από την αρχή. Για μια μόνο τοποθεσία, αυτό μπορεί να σημαίνει περίπου 24 ώρες αξιολόγησης — ουσιαστικά ένα πλήρες νέο ξεκίνημα.

Αντίθετα, οι οργανισμοί που ξεκινούν στο AL2.5 μπορεί να είναι επιλέξιμοι για διαφορετική αξιολόγηση όταν προχωρήσουν στο AL3. Ανάλογα με το πεδίο και τις ετικέτες, αυτό μπορεί να μειώσει σημαντικά την προσπάθεια αξιολόγησης για την αναβάθμιση.

Αυτό δεν σημαίνει ότι το AL2 είναι το λάθος σημείο εκκίνησης. Αλλά για οργανισμούς που υπάρχει ρεαλιστική πιθανότητα να χρειαστούν AL3 στο μέλλον, η οικονομική πλευρά του να ξεκινήσεις από υψηλότερο επίπεδο αξίζει προσεκτική σκέψη.

Όταν το AL2 είναι η σωστή επιλογή

Παρά τους παραπάνω παράγοντες, το Επίπεδο Αξιολόγησης 2 είναι μια κατάλληλη και αποτελεσματική επιλογή για πολλές οργανώσεις. Μπορεί να ταιριάζει ιδιαίτερα καλά όταν:

·         Ο οργανισμός ήδη διατηρεί ένα καλά τεκμηριωμένο ISMS.

·         Το σχετικό προσωπικό έχει ισχυρή εμπειρία με τις απαιτήσεις και τη ορολογία του TISAX®.

·         Μπορεί να προετοιμαστεί μια αυτοαξιολόγηση υψηλής ποιότητας με ελάχιστη επανάληψη.

·         Δεν υπάρχει προβλεπόμενη ανάγκη αναβάθμισης στο AL3 κατά τη διάρκεια του τρέχοντος κύκλου αξιολόγησης.

Υπό αυτές τις συνθήκες, το AL2 μπορεί να προσφέρει μια αξιόπιστη διαδρομή προς μια ετικέτα TISAX® διατηρώντας τα έξοδα εξωτερικής αξιολόγησης περιορισμένα.

Βασικές Ερωτήσεις για να Καθοδηγήσουν την Απόφασή Σου για το Επίπεδο Αξιολόγησης

Αντί να ξεκινούν από τα τέλη αξιολόγησης, οι οργανισμοί ωφελούνται από το να δουλεύουν με βάση τις ακόλουθες παραμέτρους:

1.      Πόσο ώριμη είναι η υπάρχουσα τεκμηρίωση ISMS μας; Μπορούν να εξαχθούν εύκολα και κατανοητά οι περιγραφές των ελέγχων από τις τεκμηριωμένες διαδικασίες; 

2.      Έχουμε τους εσωτερικούς πόρους για να οδηγήσουμε μια πλήρη διαδικασία αυτοαξιολόγησης χωρίς να δημιουργούνται στενά σημεία; 

3.      Τι ετικέτες απαιτούν οι τρέχοντες πελάτες μας; Κάποιοι από αυτούς είναι ήδη στο AL3 σήμερα ή ενδέχεται να είναι στο κοντινό μέλλον; 

4.      Επεκτεινόμαστε σε νέες συνεργασίες με πελάτες που μπορεί να έχουν διαφορετικές ή υψηλότερες απαιτήσεις TISAX®; 

5.      Ποιο είναι το ρεαλιστικό μας μονοπάτι αναβάθμισης; Αν γίνει απαραίτητο το AL3, πόσο θα μας κοστίσει αυτή η μετάβαση από κάθε αρχικό σημείο;

Η απάντηση σε αυτές τις ερωτήσεις σχετικά με τα επίπεδα αξιολόγησης TISAX® με τη συμμετοχή των ομάδων Πληροφορικής Ασφάλειας, IT και επιχειρήσεων παρέχει μια πολύ πιο αξιόπιστη βάση για τη λήψη αποφάσεων από το να συγκρίνουμε απλώς τα τέλη αξιολόγησης.

Κοιτάζοντας πέρα από τα τέλη αξιολόγησης

Το Επίπεδο Αξιολόγησης 2 θεωρείται συχνά η πιο οικονομική οδός για την ετικέτα TISAX®. Για οργανισμούς με ισχυρές πρακτικές τεκμηρίωσης και χωρίς προοπτική ανάγκης για υψηλότερα επίπεδα αξιολόγησης, αυτή η υπόθεση μπορεί να είναι σωστή.

Για άλλους, όμως, το πραγματικό κόστος του AL2 — μετρημένο σε εσωτερική προσπάθεια προετοιμασίας, επαναλήψεις αναθεώρησης και πιθανά έξοδα αναβάθμισης — μπορεί να ξεπερνά τα φαινομενικά οικονομικά οφέλη από τα τέλη αξιολόγησης.

Το πιο οικονομικό επίπεδο αξιολόγησης δεν είναι απαραίτητα αυτό με την χαμηλότερη τιμή εισόδου. Είναι αυτό που προσφέρει τη σωστή ισορροπία μεταξύ προσπάθειας, διασφάλισης και ευελιξίας για την συγκεκριμένη κατάσταση του οργανισμού σας.