TISAX – La valutazione del livello di maturità della sicurezza delle informazioni nell’ambito automotive
La Sicurezza delle Informazioni riveste un ruolo sempre maggiore all’interno delle organizzazioni, specialmente in alcuni settori produttivi. Proprio in questo senso la VDA (Verband del Autobilindustrie – www.vda.de/de) ha sviluppato un modello di valutazione della maturità della Sicurezza delle Informazioni dalle società che operano nell’ambito automotive.
La VDA Information Security Assessment (VDA ISA), diventata de facto standard di riferimento del settore, è oggi oggetto di un meccanismo di auditing e valutazione noto come TISAX (Trusted Information Security Assessment eXchange). Il TISAX nasce come meccanismo di scambio e di condivisione di informazioni tra gli operatori del settore automotive in merito ai livelli di sicurezza presenti delle organizzazioni.
L’Associazione ENX è l’organizzazione a cui la VDA ha affidato l’implementazione e il controllo del TISAX come autorità neutrale (una sorta di organismo di accreditamento) il cui compito è quello di interfacciarsi con gli Audit Provider e con i clienti che vogliono ricevere la valutazione TISAX e gestire la condivisione di queste informazioni tra gli enti.
Attualmente circa dieci fornitori di audit approvati dall’associazione ENX offrono valutazioni TISAX (https://portal.enx.com/en-US/tisax/xap/).
La figura seguente aiuta a capire le relazioni tra ENX (ente centrale), audit provider e soggetti TISAX.
Valutazione del livello di maturità – “TISAX Label”
È bene chiarire che non parliamo di una vera e propria certificazione ma di una valutazione del livello di maturità della sicurezza delle informazioni relative all’automotive gestite da un’organizzazione.
Al termine dell’audit viene rilasciata una “TISAX Label” indicante, secondo quanto descritto nella tabella seguente, il livello di implementazione dei controlli previsti all’interno della VDA-ISA:
Se al termine della valutazione dei controlli presenti all’interno della check list VDA-ISA (di cui parleremo a breve) il risultato calcolato sarà ad esempio un valore pari a 2, come mostrato nella figura seguente, sarà rilasciata per l’organizzazione una “TISAX Label” che indicherà che il livello di maturità e di implementazione dei controlli sulle informazioni automotive dell’organizzazione è “Managed”.
Scopo della valutazione
Differentemente da come siamo abituati per i Sistemi di Gestione, l’ambito di applicazione di una valutazione TISAX non può essere determinato dall’organizzazione ma deve forzatamente comprende tutti i processi e le risorse coinvolte nel trattamento di informazioni afferenti all’industria automobilistica. È possibile apportare due modifiche alla definizione dello scope: estendere il campo di applicazione della valutazione (al fine di avere maggior fiducia della sicurezza delle informazioni dell’organizzazione) oppure ridurre lo scope; in questo caso non è però possibile ottenere la “TISAX Label”.
Qualora un’organizzazione avesse più siti è possibile approcciare lo scope in due differenti modalità mutuamente esclusive:
I) considerare l’organizzazione come un’unica entità e quindi procedere ad un’unica valutazione ottenendo quindi una “TISAX Label” unica;
II) considerare ogni sito come entità assestante e quindi avere una “TISAX Label” per sito.
Questo secondo approccio può essere consigliabile nel caso di organizzazioni molto complesse che hanno necessità di ottenere la “Label” senza dover aspettare che tutte le sedi siano allo stesso livello di maturità. Infatti se una sola sede non raggiunge il livello desiderato, non si otterrà la “TISAX Label”. Ovviamente considerare ogni sito come entità assestante comporta costi e complessità di gestione superiori.
La VDA – Information Security Assessment (ISA)
Dopo aver analizzato a chi si applica la TISAX e quali informazioni rientrano nella valutazione del livello di maturità, arriviamo finalmente ad analizzare il cuore della TISAX che sarà poi la base per l’ottenimento della “TISAX Label”: la VDA-ISA.
La VDA-ISA è la check list di autovalutazione del livello di maturità dei controlli di sicurezza delle informazioni che ogni organizzazione del settore dovrebbe compilare.
L’excel consta di differenti fogli, tra i quali un’Introduzione, la definizione dei livelli di maturità, un glossario, degli esempi di KPI e altre informazioni specifiche sul documento. I fogli principali sono i 6 centrali, nella “cover” troviamo tutte le informazioni che l’organizzazione deve inserire relativamente al suo ambito e allo scope dell’assessment mentre nel foglio “Result” potremo trovare il risultato della valutazione finale dopo aver valutato tutti i controlli previsti nei fogli:
- “Information Security”,
- “Connection to 3rt parties”,
- “Data Protection” e
- “Prototype protection”.
I controlli presenti all’interno dei fogli “Information Security” e “Connection to 3rt parties” sono speculari a quelli proposti dallo standard ISO/IEC 27002. Come già sottolineato in precedenza nella TISAX non si valuta solo se il controllo è applicato o meno, ma qual è il suo livello di maturità.
Per ogni controllo viene definito:
- il controllo messo in forma di domanda a cui l’organizzazione deve rispondere;
- l’obiettivo che ha il controllo;
- i requisiti che:
- devono essere inclusi;
- dovrebbero essere inclusi;
- potrebbero essere inclusi;
- sono necessari in caso di “high protection”;
- sono necessari in caso di “very high protection”.
Per ogni controllo è quindi necessario che l’organizzazione determini il suo livello di maturità, seguendo la scala 0 – 5 sopra definita. Tale autovalutazione sarà poi analizzata da parte del Audit Provider durante l’attività di audit di cui parleremo a breve.
Tipologie di audit
Per quanto abituati ai “classici” audit sui Sistemi di Gestione le modalità di audit previste per l’ottenimento della TISAX Label risulteranno atipici. Sono infatti previste tre tipologie di Assessment:
- Livello 1 (AL 1): svolgono principalmente un ruolo di un’autovalutazione dell’organizzazione. Durante un AL1 viene valutata l’esistenza e la completezza del file di autovalutazione. Non viene analizzato il contenuto dell’autovalutazione e non sono richieste evidenze. Un AL 1 non prevede il rilascio di una “TISAX Label”.
- Livello 2 (AL 2): in questo caso l’audit provider esegue un controllo di plausibilità della check list di autovalutazione (per tutte le sedi nell’ambito della valutazione). Le evidenze sono raccolte analizzando la documentazione e conducendo interviste generalmente tramite audio-conferenza. Su sua richiesta l’audit provider può condurre le interviste di persona. Un AL 2 prevede il rilascio di una “TISAX Label” con evidenza della tipologia di assessment effettuato.
- Livello 3 (AL 3): per una valutazione con livello di valutazione 3 l’audit provider fa tutti i controlli come per una valutazione con livello di valutazione 2. Tuttavia, tutti i controlli saranno più completi e la verifica verrà effettuata in profondità in modo da esaminare in loco l’organizzazione al fine di ottenere tutte le evidenze dichiarate nell’autovalutazione.
Per qualunque tipo di assessment il punto di partenza imprescindibile è che l’organizzazione abbia compilato da VDA-ISA facendo quindi un’autovalutazione. Lo scopo dell’assessment, in particolare per il livello 2 e 3 è quello di validare l’autovalutazione fatta dall’organizzazione raccogliendo evidenze a supporto dei livelli di maturità determinati dall’organizzazione.
TISAX VS ISO/IEC 27001
La tabella seguente riporta le principali differenze tra la ISO/IEC 27001:2013 e la TISAX.
Bibliografia
Articolo a cura di Paolo Sferlazza
Socio fondatore di Gerico Security Srl lavora come advisor, auditor e trainer nel campo della sicurezza delle informazioni, continuità operativa, gestione dei servizi IT e sicurezza delle carte di pagamento.
Ha accompagnato primarie aziende e infrastrutture critiche italiane nell’ottenimento della certificazione ISO/IEC 27001, ISO 22301 e ISO/IEC 20000.
È un Qualified Security Assessor riconosciuto dal PCI Council per la certificazione dei sistemi di pagamento PCI DSS. Ha conseguito la certificazione CISA, CISM, CRISC di ISACA, ed è auditor qualificato e tiene docenze sugli schemi ISO/IEC 27001, ISO 22301, ISO/IEC 27001 e ISO 9001 ed è iscritto ai registri AICQ SICEV quale auditor sulla sicurezza delle informazioni e continuità operativa. Ha inoltre ottenuto altre certificazioni nel campo della sicurezza delle informazioni e dell’IT governance tra cui OPST, COBIT e ITIL. Ha progettato ed erogato docenze, anche in ambito militare, su tematiche di Information Risk Management, ITIL. Ha effettuato audit interno, assessment e consulenza in merito all’accreditamento dei laboratori VA rispetto alla 17025. Si occupa si sicurezza delle informazioni nel mondo specifico dell’automotive in conformità con lo standard di settore TISAX.
Collabora con primari enti di certificazione come auditor di terza parte.