O custo total de uma avaliação TISAX® vai muito além do auditor. Para os fornecedores e prestadores de serviços do setor automotivo que estão avaliando o Nível de Avaliação 2, o esforço interno, a qualidade da documentação e os percursos de atualização futuros podem afetar significativamente o investimento global.
A suposição comum sobre o Nível de Avaliação 2
Quando os fornecedores do setor automotivo exploram pela primeira vez as opções de avaliação TISAX®, o Nível de Avaliação 2 (AL2) tende a parecer o ponto de partida lógico. As taxas de avaliação externa são mais baixas do que as dos níveis superiores. É realizada remotamente, pelo que não há necessidade de deslocações e, no papel, o caminho para obter o selo TISAX® parece mais curto e menos dispendioso.
No entanto, as organizações que planeiam o seu percurso TISAX® com base apenas nas taxas de avaliação deparam-se frequentemente com uma realidade mais complexa. O esforço total envolvido na obtenção e manutenção de um selo TISAX® depende de fatores que vão muito além do que consta na fatura do auditor.
É crucial que os fornecedores do setor automotivo compreendam o panorama completo antes de se comprometerem com um nível de avaliação.
O que o Nível de Avaliação 2 realmente exige
O Nível de Avaliação 2 do TISAX® é uma avaliação de plausibilidade. A tarefa do avaliador consiste em avaliar se a autoavaliação da organização descreve, de forma plausível, um Sistema de Gestão da Segurança da Informação (SGSI) em funcionamento que esteja em conformidade com os requisitos do catálogo ISA.
Ao contrário do Nível de Avaliação 3, o NA2 não inclui uma verificação no local dos controles implementados. A avaliação é realizada principalmente com base na autoavaliação escrita da organização e na documentação de apoio.
Isto tem uma implicação crítica: a qualidade da autoavaliação determina o sucesso do processo.
Para o AL2, o avaliador deve ser capaz de compreender como cada objetivo de controle é cumprido com base apenas na descrição escrita no catálogo da ISA. Os documentos comprovativos servem para apoiar essas explicações, não as substituem. Se o texto da autoavaliação for pouco claro, inconsistente ou insuficientemente detalhado, nenhuma quantidade de documentação adicional poderá compensar essa lacuna. Nesses casos, tornam-se necessárias revisões e ciclos de análise adicionais, prolongando tanto os prazos como o esforço interno.
Por que razão o esforço interno é frequentemente subestimado
As taxas de avaliação são visíveis. O esforço interno não o é, e é aqui que muitas organizações são pegas de surpresa.
A preparação de uma autoavaliação plausível requer uma compreensão detalhada e documentada de como os controles de segurança da informação funcionam em toda a organização. Isto envolve normalmente a contribuição de:
- Departamentos de segurança da informação e de TI
- Recursos Humanos e Gestão de Instalações
- Funções de Conformidade e Jurídicas
- Direção Executiva
O tempo necessário depende em grande medida da experiência e da diligência da pessoa responsável por documentar os controles no catálogo da ISA. As organizações com um SGSI bem estabelecido e pessoal familiarizado com os requisitos da TISAX® conseguem, muitas vezes, concluir o processo de forma eficiente. Em contrapartida, as organizações com um SGSI menos maduro enfrentam, normalmente, um esforço significativamente maior na recolha da informação necessária e na descrição dos processos e controles subjacentes de forma clara e compreensível. Com base na experiência de avaliação, as organizações bem preparadas investem, normalmente, cerca de 24 horas na preparação de uma autoavaliação plausível. As organizações menos preparadas podem necessitar de 48 horas ou mais, e as iterações de revisão adicionais solicitadas durante a verificação de plausibilidade podem aumentar ainda mais esse tempo.
AL2 vs AL2.5: uma perspectiva mais equilibrada sobre o esforço total
A suposição de que um nível de avaliação mais baixo implica automaticamente um investimento total menor nem sempre se verifica.
Ao comparar o AL2 e o AL2.5 em termos de esforço total, incluindo tanto a preparação interna da organização como o trabalho de revisão do avaliador, o panorama é diferente do que as taxas de avaliação, por si só, sugerem:
| Nível de Avaliação | Esforço Interno Estimado | Esforço de Avaliação Externa |
|---|---|---|
| AL2 | ~28 horas | Inferior |
| AL2,5 | ~10 horas | Mais elevado |
O AL2.5 implica uma avaliação mais aprofundada e um papel mais ativo do auditor, o que resulta em custos externos mais elevados. No entanto, a redução da carga de trabalho interna de preparação pode tornar o AL2.5 uma opção genuinamente mais eficiente para organizações que não dispõem da disciplina de documentação ou dos recursos humanos necessários para realizar de forma eficiente uma autoavaliação AL2 de alta qualidade.
Nenhuma das opções é, por si só, preferível. A escolha adequada depende das circunstâncias específicas da organização, e não da opção que pareça menos dispendiosa na proposta de avaliação.
O risco de alteração dos requisitos
Muitas organizações iniciam o seu percurso TISAX® com um requisito claro e específico de um único cliente: obter uma certificação no Nível de Avaliação 2. Nesse momento, o AL2 parece ser a única escolha sensata.
O ecossistema automotivo, no entanto, é dinâmico. Novas relações com clientes, a expansão do escopo do projeto ou alterações nas classificações de informação podem criar a necessidade de níveis de avaliação mais elevados, por vezes, dentro do mesmo período de validade. Os cenários que surgem frequentemente incluem:
- Tratamento de informação estritamente confidencial
- Requisitos que envolvem disponibilidade muito elevada
- Expansões do escopo que abrangem a proteção de protótipos
- Requisitos adicionais específicos do fabricante de equipamento original (OEM)
Nenhuma organização consegue prever com certeza todos os requisitos futuros. No entanto, considerar potenciais desenvolvimentos de negócio na fase de planejamento, em vez de reagir a eles posteriormente, pode ajudar a evitar a duplicação desnecessária de esforços.
Compreender o verdadeiro custo da atualização a partir do AL2
Para as organizações que começam no AL2 e mais tarde necessitam do AL3, o percurso de atualização não é tão simples como pode parecer.
Uma vez que o AL2 se centra na plausibilidade, em vez da verificação do controlo no local, a sobreposição metodológica entre o AL2 e o AL3 é limitada. Uma atualização do AL2 para o AL3 é, geralmente, comparável, em termos de esforço, à realização de uma avaliação inicial do AL3 a partir do zero. Para uma única localização, isto pode significar aproximadamente 24 horas de esforço de avaliação, essencialmente, um recomeço completo.
Em contrapartida, as organizações que começam no AL2.5 podem ser elegíveis para uma avaliação diferencial ao passarem para o AL3. Dependendo do escopo e das classificações, isto pode reduzir substancialmente o esforço de avaliação necessário para a atualização.
Isto não significa que o AL2 seja o ponto de partida errado. Mas, para as organizações com alguma probabilidade realista de necessitarem do AL3 no futuro, os aspetos econômicos de começar num nível mais elevado merecem uma consideração cuidadosa.
Quando o AL2 é a escolha certa
Apesar dos fatores acima referidos, o Nível de Avaliação 2 é uma escolha adequada e eficaz para muitas organizações. Pode ser particularmente adequado quando:
- A organização já mantém um SGSI bem documentado
- O pessoal relevante tiver uma sólida experiência com os requisitos e a terminologia do TISAX®
- É possível preparar uma autoavaliação de alta qualidade com um número mínimo de iterações
- Não houver qualquer necessidade previsível de atualizar para o AL3 durante o atual ciclo de avaliação
Nestas condições, o AL2 pode constituir um caminho sólido para a obtenção do selo TISAX®, mantendo simultaneamente os custos da avaliação externa sob controlo.
Questões-chave para orientar a sua decisão sobre o nível de avaliação
Em vez de partirem das taxas de avaliação, as organizações beneficiam ao analisar as seguintes considerações:
- Qual é o grau de maturidade da nossa documentação do SGSI existente? É possível extrair facilmente descrições claras e compreensíveis dos controles a partir dos processos documentados?
- Contamos com recursos internos para conduzir um processo de autoavaliação exaustivo sem gerar gargalo?
- Que certificações exigem os nossos clientes atuais? Alguma delas está atualmente no nível AL3 ou poderá estar num futuro próximo?
- Estamos expandindo para novas relações com clientes que possam ter expectativas TISAX® diferentes ou mais elevadas?
- Qual é o nosso percurso de atualização realista? Se o AL3 se tornar necessário, quanto nos custaria essa transição a partir de cada ponto de partida?
Responder a estas questões relativas aos níveis de avaliação TISAX® com o contributo das equipes de Segurança da Informação, TI e de negócios proporciona uma base muito mais confiável para a tomada de decisões do que a simples comparação das taxas de avaliação.
Olhar para além das taxas de avaliação
O Nível de Avaliação 2 é frequentemente considerado a via mais econômica para obter a certificação TISAX®. Para organizações com práticas de documentação sólidas e sem necessidade previsível de níveis de avaliação mais elevados, esta suposição pode muito bem estar correta.
Para outras, no entanto, os custos reais do AL2, medidos em termos de esforço de preparação interna, iterações de revisão e despesas potenciais de atualização, podem exceder as poupanças aparentes nas taxas de avaliação.
O nível de avaliação mais rentável não é necessariamente aquele com o preço de entrada mais baixo. É aquele que proporciona o equilíbrio certo entre esforço, garantia e flexibilidade para a situação específica da sua organização.
Não tem a certeza de qual o nível de avaliação TISAX® mais adequado à sua organização?
Explore as características, os requisitos de esforço e os percursos de atualização dos níveis AL2, AL2.5 e AL3 para tomar uma decisão informada sobre a avaliação.