La Sicurezza delle Informazioni riveste un ruolo sempre maggiore all’interno delle organizzazioni, specialmente nel settore automotive. La sicurezza è importante nello scambio dei dati di progettazione, nello sviluppo dei processi, per la sicurezza dei processi produttivi e per un processo produttivo affidabile e sistematico.
In tal senso la VDA (Associazione tedesca dell’industria Automotive), ha proposto uno standard di verifica della maturità della Sicurezza delle Informazioni dalle società che operano nell’ambito automotive.
Al fine di standardizzare la metodologia, nel 2017 ha creato TISAX (Trusted Information Security Assessment Exchange) con l’obiettivo di proteggere le informazioni sia relative alla produzione automobilistica, sia quelle collegate ai dati personali di clienti e fornitori.
La certificazione si basa sull’autovalutazione del fornitore che viene verificato in campo da un organismo autorizzato sulla base dei requisiti del TISAX valutando quanto dichiarato dall’Organizzazione nella fase di autovalutazione.
I vantaggi della valutazione TISAX
- Visibilitàall’interno della piattaforma e possibilità di aprire nuove relazioni commerciali
- Innalzamento del proprio livello di sicurezza delle informazioni
- Qualificazione dell’azienda in termini di immagine di fornitore qualificato nel settore automotive
- Identificazione dei rischi informatici grazie a valutazioni aggiornate e test con frequenza periodica
- Aumento della consapevolezza interna sulla protezione dei dati personali
- Utilizzo di un approccio caratterizzato da uno standard globale nella protezione dei dati sensibili
La VDA – Information Security Assessment (ISA)
La VDA-ISA è la check list di autovalutazione del livello di maturità dei controlli di sicurezza delle informazioni che ogni organizzazione del settore dovrebbe implementare.
Per ogni controllo viene definito:
- il controllo messo in forma di domanda a cui l’organizzazione deve rispondere;
- l’obiettivo che ha il controllo;
- i requisiti che:
- devono essere inclusi;
- dovrebbero essere inclusi;
- potrebbero essere inclusi;
- sono necessari in caso di “high protection”;
- sono necessari in caso di “very high protection”.
Per ogni controllo è quindi necessario che l’organizzazione determini il suo livello di maturità, seguendo la scala 0 – 5 che verrà definita di seguito. Tale autovalutazione sarà poi analizzata da parte del Audit Provider durante l’attività di audit.
I livelli di maturità
Per ogni requisito della VDA ISA check list l’azienda deve autovalutarsi secondo 6 livelli (0-5):
Level 0 – Incomplete: Il processo non è operativo, non è seguito o non è adatto al raggiungimento dell’obiettivo.
Level 1 – Performed: Il processo viene seguito ma non è documentato o non è completamente documentato ed esistono indicatori che indicano che raggiunge il suo obiettivo.
Level 2 – Managed: Il processo viene seguito per raggiungere i suoi obiettivi. Sono disponibili la documentazione del processo e le prove di implementazione del processo.
Level 3 – Established: Viene seguito un processo standard integrato nel sistema di gestione. Le dipendenze da altri processi vengono documentate e vengono create interfacce adeguate. Esistono evidenze che il processo è operativo ed efficace.
Level 4 – Predictable: Viene seguito un processo definito. L’efficacia del processo viene costantemente monitorata. Sono definiti valori limite oltre i quali il processo è considerato non efficace e richiede un aggiustamento.
Level 5 – Optimizing: Viene seguito un processo con il miglioramento continuo come obiettivo principale. Il miglioramento è attivamente gestito da risorse dedicate.
Tipologie di Assessment
Per adempiere allo standard TISAX sono previste tre tipologie di Assessment:
- Livello 1 (AL 1): svolgono principalmente un ruolo di un’autovalutazione dell’organizzazione. Durante un AL1 viene valutata l’esistenza e la completezza del file di autovalutazione. Non viene analizzato il contenuto dell’autovalutazione e non sono richieste evidenze. Un AL 1 non prevede il rilascio di una “TISAX Label”.
- Livello 2 (AL 2): prevede una verifica del self assessment dell’AL1, a cui si sommano l’intervista da parte dell’auditor che può essere svolta in modalità remota. Le evidenze sono raccolte analizzando la documentazione e conducendo interviste generalmente tramite audio-conferenza. Su sua richiesta l’audit provider può condurre le interviste di persona. Un AL 2 prevede il rilascio di una “TISAX Label” con evidenza della tipologia di assessment effettuato.
- Livello 3 (AL 3): per una valutazione con livello di valutazione 3 l’audit provider fa tutti i controlli come per una valutazione con livello di valutazione 2. In questo caso però si impone che le interviste vengano svolte di persona direttamente presso la sede del cliente, così come l’ispezione on site che si rende sempre obbligatoria.
In base ai risultati dell’assessment, verrà definito un livello di maturità (tra i sei indicati nel punto precedente) del sistema di gestione della sicurezza delle informazioni.
Richiedi maggiori informazioni
Compila il form qui accanto
Come interviene Mixa
- Kick off e allineamento sugli obiettivi del progetto
- Pre-assesment, in riferimento ai requisiti TISAX, sulle aree Legal, IT, Sistema (procedure)
- Implementazione. Risk assessment e sviluppo delle procedure e policies aziendali riguardanti le aree:
– Policies and Organization
– Human Resources
– Physical Security and Business Continuity
– Identity and Access Management
– IT security/cyber security
– Supplier Relationships
– Compliance
- Pre-audit e follow-up. Simulazione dell’audit da parte dell’ente terzo (audit provider) e condivisione delle risultanze.
- Assistenza durante la verifica dell’audit provider
Richiedi un’offerta
Compila il form qui accanto