Evaluación TISAX® de nivel 2: por qué la opción más barata no siempre es la más rentable

La idea generalizada sobre el Nivel de evaluación 2

Cuando los proveedores del sector de la automoción exploran por primera vez las opciones de evaluación TISAX®, el Nivel de evaluación 2 (AL2) suele parecer el punto de partida lógico. Los honorarios de la evaluación externa son más bajos que los de los niveles superiores. Se realiza de forma remota, por lo que no es necesario desplazarse, y, sobre el papel, el camino hacia la obtención de la certificación TISAX® parece más corto y menos costoso.

Sin embargo, las organizaciones que planifican su proceso de TISAX® basándose únicamente en las tarifas de evaluación a menudo se enfrentan a una realidad más compleja. El esfuerzo total que supone obtener y mantener una certificación TISAX® depende de factores que van mucho más allá de lo que figura en la factura del auditor.

Es fundamental que los proveedores del sector de la automoción comprendan el panorama completo antes de comprometerse con un nivel de evaluación.

Lo que realmente exige el nivel de evaluación 2

El nivel de evaluación 2 de TISAX® es una evaluación de plausibilidad. La tarea del evaluador consiste en valorar si la autoevaluación de la organización describe de forma plausible un Sistema de Gestión de la Seguridad de la Información (SGSI) operativo que cumple con los requisitos del catálogo ISA.

A diferencia del nivel de evaluación 3, el AL2 no incluye una verificación in situ de los controles implementados. La evaluación se lleva a cabo principalmente sobre la base de la autoevaluación escrita de la organización y la documentación de apoyo.

Esto tiene una implicación fundamental: la calidad de la autoevaluación determina el éxito del proceso.

Para el AL2, el evaluador debe ser capaz de comprender cómo se cumple cada objetivo de control basándose únicamente en la descripción escrita del catálogo de la ISA. Los documentos probatorios sirven para respaldar esas explicaciones, pero no las sustituyen. Si el texto de la autoevaluación es poco claro, incoherente o insuficientemente detallado, ninguna cantidad de documentación adicional podrá compensarlo. En tales casos, se hacen necesarias revisiones y nuevos ciclos de revisión, lo que alarga tanto los plazos como el esfuerzo interno.

Por qué se suele subestimar el esfuerzo interno

Los honorarios de la evaluación son visibles. El esfuerzo interno no lo es, y ahí es donde muchas organizaciones se ven sorprendidas.

La preparación de una autoevaluación plausible requiere una comprensión detallada y documentada de cómo funcionan los controles de seguridad de la información en toda la organización. Esto suele implicar la participación de:

• los departamentos de seguridad de la información y de TI
• Recursos Humanos y Gestión de Instalaciones
• Las funciones de cumplimiento normativo y el departamento jurídico
• La dirección ejecutiva

El tiempo necesario depende en gran medida de la experiencia y la diligencia de la persona encargada de documentar los controles en el catálogo de la autoevaluación de seguridad de la información (ISA). Las organizaciones que cuentan con un Sistema de Gestión de la Seguridad de la Información (SGSI) bien establecido y con personal familiarizado con los requisitos de TISAX® suelen completar el proceso de manera eficiente. Por el contrario, las organizaciones con un SGSI menos maduro suelen tener que realizar un esfuerzo significativamente mayor a la hora de recopilar la información necesaria y describir los procesos y controles subyacentes de forma clara y comprensible. Según la experiencia en evaluaciones, las organizaciones bien preparadas suelen dedicar aproximadamente 24 horas a elaborar una autoevaluación plausible. Las organizaciones menos preparadas pueden necesitar 48 horas o más, y las iteraciones de revisión adicionales solicitadas durante la comprobación de plausibilidad pueden aumentar aún más este tiempo.

AL2 frente a AL2.5: una visión más equilibrada del esfuerzo total

La suposición de que un nivel de evaluación más bajo implica automáticamente una inversión total menor no siempre se cumple.

Al comparar el AL2 y el AL2.5 en cuanto al esfuerzo total —incluida tanto la preparación interna de la organización como el trabajo de revisión del evaluador—, el panorama es diferente de lo que sugieren únicamente las tarifas de evaluación:

El nivel AL2.5 implica una mayor profundidad en la evaluación y un papel más activo del auditor, lo que se traduce en mayores costes externos. Sin embargo, la menor carga de preparación interna puede hacer que el nivel AL2.5 sea una opción realmente más eficiente para aquellas organizaciones que carecen de la disciplina en materia de documentación o de los recursos de personal necesarios para llevar a cabo de manera eficiente una autoevaluación de nivel AL2 de alta calidad.

Ninguna de las dos opciones es preferible por naturaleza. La elección adecuada depende de las circunstancias específicas de la organización, más que de cuál de las opciones parezca menos costosa en la propuesta de evaluación.

El riesgo de que cambien los requisitos

Muchas organizaciones inician su andadura en TISAX® con un requisito claro y específico de un único cliente: obtener una certificación en el Nivel de Evaluación 2. En ese momento, el AL2 parece ser la única opción sensata.

Sin embargo, el ecosistema del sector de la automoción es dinámico. Las nuevas relaciones con los clientes, la ampliación del alcance de los proyectos o los cambios en las clasificaciones de la información pueden generar la necesidad de niveles de evaluación más altos, a veces incluso dentro del mismo periodo de validez. Entre los escenarios que surgen con frecuencia se incluyen:

• Gestión de información estrictamente confidencial
• Requisitos que implican una disponibilidad muy alta
• Ampliaciones del alcance que abarcan la protección de prototipos
• Requisitos adicionales específicos de los fabricantes de equipos originales (OEM)

Ninguna organización puede predecir con certeza todos los requisitos futuros. Sin embargo, tener en cuenta los posibles desarrollos empresariales en la fase de planificación —en lugar de reaccionar ante ellos más adelante— puede ayudar a evitar una duplicación innecesaria de esfuerzos.

Comprender el verdadero coste de la actualización desde AL2

Para las organizaciones que comienzan en el nivel AL2 y posteriormente necesitan el AL3, la ruta de actualización no es tan sencilla como podría parecer.

Dado que el AL2 se centra en la plausibilidad más que en la verificación del control in situ, el solapamiento metodológico entre el AL2 y el AL3 es limitado. Una actualización del AL2 al AL3 suele suponer un esfuerzo comparable al de realizar una evaluación inicial del AL3 partiendo de cero. Para una única ubicación, esto puede suponer aproximadamente 24 horas de trabajo de evaluación —básicamente, un reinicio completo—.

Por el contrario, las organizaciones que comienzan en el nivel AL2.5 pueden optar a una evaluación diferencial al pasar al nivel AL3. Dependiendo del alcance y las etiquetas, esto puede reducir sustancialmente el esfuerzo de evaluación necesario para la actualización.

Esto no significa que el nivel AL2 sea un punto de partida erróneo. Sin embargo, para las organizaciones con una probabilidad realista de necesitar el nivel AL3 en el futuro, merece la pena considerar detenidamente los aspectos económicos de comenzar en un nivel superior.

Cuándo el AL2 es la opción adecuada

A pesar de los factores descritos anteriormente, el Nivel de Evaluación 2 es una opción adecuada y eficaz para muchas organizaciones. Puede resultar especialmente adecuado cuando:

• La organización ya cuenta con un SGSI bien documentado
• El personal pertinente cuenta con una sólida experiencia en los requisitos y la terminología de TISAX®
• Se puede preparar una autoevaluación de alta calidad con un número mínimo de iteraciones
• No existe ningún requisito previsible de pasar al AL3 durante el ciclo de evaluación actual

En estas condiciones, el Nivel 2 de Evaluación (AL2) puede constituir una vía sólida para obtener la certificación TISAX®, al tiempo que se mantienen bajo control los costes de la evaluación externa.

Preguntas clave para orientar su decisión sobre el nivel de evaluación

En lugar de partir de las tarifas de evaluación, las organizaciones se benefician de tener en cuenta las siguientes consideraciones:

1. ¿Qué grado de madurez tiene nuestra documentación actual del SGSI? ¿Se pueden extraer fácilmente descripciones claras y comprensibles de los controles a partir de los procesos documentados?
2. ¿Disponemos de los recursos internos necesarios para llevar a cabo un proceso de autoevaluación exhaustivo sin crear cuellos de botella?
3. ¿Qué certificaciones exigen nuestros clientes actuales? ¿Alguna de ellas se encuentra actualmente en el nivel AL3 o podría estarlo en un futuro próximo?
4. ¿Estamos ampliando nuestra cartera de clientes con nuevos socios que puedan tener expectativas TISAX® diferentes o más exigentes?
5. ¿Cuál es nuestra ruta de actualización realista? Si el nivel AL3 se vuelve necesario, ¿cuánto nos costaría esa transición partiendo de cada punto de partida?

Responder a estas preguntas sobre los niveles de evaluación de TISAX® con la colaboración de los equipos de seguridad de la información, TI y de negocio proporciona una base mucho más fiable para la toma de decisiones que la simple comparación de las tarifas de evaluación.

Más allá de las tarifas de evaluación

A menudo se da por sentado que el nivel de evaluación 2 es la vía más económica para obtener la certificación TISAX®. Para las organizaciones con sólidas prácticas de documentación y sin necesidad previsible de niveles de evaluación más altos, esta suposición puede ser acertada.

Para otras, sin embargo, los costes reales del nivel de evaluación 2 —medidos en términos de esfuerzo de preparación interna, iteraciones de revisión y posibles gastos de actualización— pueden superar el ahorro aparente en las tarifas de evaluación.

El nivel de evaluación más rentable no es necesariamente aquel con el precio de entrada más bajo. Es aquel que ofrece el equilibrio adecuado entre esfuerzo, garantía y flexibilidad para la situación específica de su organización.