Evaluarea TISAX® de nivel 2: De ce opțiunea cea mai ieftină nu este întotdeauna cea mai rentabilă

Presupunerea comună privind nivelul de evaluare 2

Atunci când furnizorii din industria auto explorează pentru prima dată opțiunile de evaluare TISAX®, Nivelul de evaluare 2 (AL2) tinde să pară punctul de plecare logic. Taxele de evaluare externă sunt mai mici decât cele pentru nivelurile superioare. Evaluarea se realizează de la distanță, astfel încât nu este necesar să se deplaseze, iar, pe hârtie, calea către obținerea etichetei TISAX® pare mai scurtă și mai puțin costisitoare.

Cu toate acestea, organizațiile care își planifică parcursul TISAX® bazându-se exclusiv pe taxele de evaluare se confruntă adesea cu o realitate mai complexă. Efortul total implicat în obținerea și menținerea unei certificări TISAX® depinde de factori care depășesc cu mult ceea ce apare pe factura auditorului.

Este esențial ca furnizorii din industria auto să înțeleagă imaginea de ansamblu înainte de a se angaja la un anumit nivel de evaluare.

Ce presupune de fapt nivelul de evaluare 2

Nivelul de evaluare TISAX® 2 este o evaluare a plauzibilității. Sarcina evaluatorului este de a evalua dacă autoevaluarea organizației descrie în mod plauzibil un Sistem de Management al Securității Informației (ISMS) funcțional, care respectă cerințele din catalogul ISA.

Spre deosebire de nivelul de evaluare 3, AL2 nu include o verificare la fața locului a controalelor implementate. Evaluarea se desfășoară în principal pe baza autoevaluării scrise a organizației și a documentației justificative.

Acest lucru are o implicație esențială: calitatea autoevaluării determină succesul procesului.

Pentru AL2, evaluatorul trebuie să fie capabil să înțeleagă modul în care este îndeplinit fiecare obiectiv de control doar pe baza descrierii scrise din catalogul ISA. Documentele justificative servesc la susținerea acestor explicații — ele nu le înlocuiesc. Dacă textul autoevaluării este neclar, inconsistent sau insuficient de detaliat, nicio cantitate de documentație suplimentară nu poate compensa acest lucru. În astfel de cazuri, devin necesare revizuiri și cicluri suplimentare de analiză, ceea ce prelungește atât termenele, cât și efortul intern.

De ce efortul intern este adesea subestimat

Taxele de evaluare sunt vizibile. Efortul intern nu este — și aici multe organizații sunt luate prin surprindere.

Pregătirea unei autoevaluări plauzibile necesită o înțelegere detaliată și documentată a modului în care funcționează controalele de securitate a informațiilor în întreaga organizație. Acest lucru implică, de obicei, contribuții din partea:

• Departamentele de securitate a informațiilor și IT
• Resurse umane și gestionarea facilităților
• Funcțiile de conformitate și juridice
• Conducerea executivă

Timpul necesar depinde în mare măsură de expertiza și diligența persoanei responsabile de documentarea controalelor în catalogul ISA. Organizațiile cu un ISMS bine stabilit și personal familiarizat cu cerințele TISAX® pot adesea finaliza procesul în mod eficient. În schimb, organizațiile cu un ISMS mai puțin matur se confruntă, de obicei, cu un efort semnificativ mai mare în colectarea informațiilor necesare și în descrierea proceselor și controalelor subiacente într-o manieră clară și ușor de înțeles. Pe baza experienței de evaluare, organizațiile bine pregătite investesc, de obicei, aproximativ 24 de ore în pregătirea unei autoevaluări plauzibile. Organizațiile mai puțin pregătite pot avea nevoie de 48 de ore sau mai mult — iar iterațiile suplimentare de revizuire solicitate în timpul verificării plauzibilității pot mări și mai mult acest timp.

AL2 versus AL2.5: o perspectivă mai echilibrată asupra efortului total

Presupunerea că un nivel de evaluare mai scăzut înseamnă automat o investiție totală mai mică nu se aplică întotdeauna.

Atunci când se compară AL2 și AL2.5 din perspectiva efortului total — incluzând atât pregătirea internă a organizației, cât și activitatea de revizuire a evaluatorului — imaginea este diferită de ceea ce sugerează doar onorariile de evaluare:

AL2.5 implică o evaluare mai aprofundată și un rol mai activ al auditorului, ceea ce duce la costuri externe mai mari. Cu toate acestea, reducerea efortului de pregătire internă poate face din AL2.5 o opțiune cu adevărat mai eficientă pentru organizațiile care nu dispun de disciplina necesară în ceea ce privește documentația sau de resursele de personal necesare pentru a gestiona eficient o autoevaluare AL2 de înaltă calitate.

Niciuna dintre opțiuni nu este preferabilă în mod inerent. Alegerea potrivită depinde de circumstanțele specifice ale organizației, mai degrabă decât de opțiunea care pare mai puțin costisitoare în propunerea de evaluare.

Riscul modificării cerințelor

Multe organizații își încep parcursul TISAX® cu o cerință clară și specifică din partea unui singur client: obținerea unei certificări la Nivelul de evaluare 2. În acel moment, AL2 pare a fi singura alegere rațională.

Ecosistemul auto este însă dinamic. Noile relații cu clienții, extinderea domeniului de aplicare al proiectului sau modificarea clasificărilor informațiilor pot genera necesitatea unor niveluri de evaluare mai ridicate — uneori chiar în cadrul aceleiași perioade de valabilitate. Printre scenariile care apar frecvent se numără:

• Gestionarea informațiilor strict confidențiale
• Cerințe care implică o disponibilitate foarte ridicată
• Extinderea domeniului de aplicare pentru a acoperi protecția prototipurilor
• Cerințe suplimentare specifice producătorilor de echipamente originale (OEM)

Nicio organizație nu poate prevedea cu certitudine toate cerințele viitoare. Însă luarea în considerare a potențialelor evoluții ale afacerii încă din etapa de planificare — în loc să se reacționeze la acestea ulterior — poate contribui la evitarea duplicării inutile a eforturilor.

Înțelegerea costului real al trecerii de la AL2

Pentru organizațiile care încep de la AL2 și au nevoie ulterior de AL3, calea de trecere nu este atât de simplă pe cât ar putea părea.

Deoarece AL2 se concentrează pe plauzibilitate mai degrabă decât pe verificarea controlului la fața locului, suprapunerea metodologică dintre AL2 și AL3 este limitată. O trecere de la AL2 la AL3 este, în general, comparabilă ca efort cu efectuarea unei evaluări inițiale AL3 de la zero. Pentru o singură locație, acest lucru poate însemna aproximativ 24 de ore de efort de evaluare — practic, o reluare completă.

În schimb, organizațiile care încep de la AL2.5 pot fi eligibile pentru o evaluare diferențiată atunci când trec la AL3. În funcție de domeniul de aplicare și de etichete, acest lucru poate reduce substanțial efortul de evaluare necesar pentru trecerea la un nivel superior.

Acest lucru nu înseamnă că AL2 este un punct de plecare greșit. Însă, pentru organizațiile care au o probabilitate realistă de a avea nevoie de AL3 în viitor, aspectele economice ale începerii de la un nivel superior merită o analiză atentă.

Când AL2 este alegerea potrivită

În ciuda factorilor menționați mai sus, Nivelul de evaluare 2 este o alegere adecvată și eficientă pentru multe organizații. Acesta poate fi deosebit de potrivit atunci când:

• Organizația dispune deja de un ISMS bine documentat
• Personalul relevant are o experiență solidă în ceea ce privește cerințele și terminologia TISAX®
• Se poate pregăti o autoevaluare de înaltă calitate cu un număr minim de iterații
• Nu există nicio cerință previzibilă de trecere la AL3 în timpul ciclului actual de evaluare

În aceste condiții, AL2 poate oferi o cale solidă către obținerea etichetei TISAX®, menținând în același timp costurile evaluării externe la un nivel redus.

Întrebări cheie care să vă ghideze în luarea deciziei privind nivelul de evaluare

În loc să pornească de la costurile de evaluare, organizațiile au de câștigat dacă iau în considerare următoarele aspecte:

1. Cât de matură este documentația noastră ISMS existentă? Se pot deduce cu ușurință descrieri clare și ușor de înțeles ale controalelor din procesele documentate?
2. Dispunem de resursele interne necesare pentru a conduce un proces de autoevaluare aprofundat, fără a crea blocaje?
3. Ce certificări solicită clienții noștri actuali? Există vreuna dintre acestea la nivelul AL3 în prezent sau care ar putea ajunge la acest nivel în viitorul apropiat?
4. Ne extindem către noi relații cu clienții care ar putea avea așteptări TISAX® diferite sau mai ridicate?
5. Care este calea noastră realistă de actualizare? Dacă nivelul AL3 devine necesar, cât ne-ar costa această tranziție pornind de la fiecare punct de plecare?

Răspunsul la aceste întrebări privind nivelurile de evaluare TISAX®, cu contribuția echipelor de securitate a informațiilor, IT și de afaceri, oferă o bază mult mai fiabilă pentru luarea deciziilor decât simpla comparare a taxelor de evaluare.

Privind dincolo de taxele de evaluare

Nivelul de evaluare 2 este adesea considerat cea mai economică cale către obținerea certificării TISAX®. Pentru organizațiile cu practici solide de documentare și fără o nevoie previzibilă de niveluri de evaluare superioare, această presupunere poate fi corectă.

Pentru altele, însă, costurile reale ale AL2 — măsurate în efortul de pregătire internă, iterațiile de revizuire și cheltuielile potențiale de upgrade — pot depăși economiile aparente la taxele de evaluare.

Nivelul de evaluare cel mai rentabil nu este neapărat cel cu prețul de intrare cel mai mic. Este cel care oferă echilibrul potrivit între efort, asigurare și flexibilitate pentru situația specifică a organizației dumneavoastră.