TISAX – La valutazione del livello di maturità della sicurezza delle informazioni nell’ambito automotive

La Sicurezza delle Informazioni riveste un ruolo sempre maggiore all’interno delle organizzazioni, specialmente in alcuni settori produttivi. Proprio in questo senso la VDA (Verband del Autobilindustrie – www.vda.de/de) ha sviluppato un modello di valutazione della maturità della Sicurezza delle Informazioni dalle società che operano nell’ambito automotive.

La VDA Information Security Assessment (VDA ISA), diventata de facto standard di riferimento del settore, è oggi oggetto di un meccanismo di auditing e valutazione noto come TISAX (Trusted Information Security Assessment eXchange). Il TISAX nasce come meccanismo di scambio e di condivisione di informazioni tra gli operatori del settore automotive in merito ai livelli di sicurezza presenti delle organizzazioni.

L’Associazione ENX è l’organizzazione a cui la VDA ha affidato l’implementazione e il controllo del TISAX come autorità neutrale (una sorta di organismo di accreditamento) il cui compito è quello di interfacciarsi con gli Audit Provider e con i clienti che vogliono ricevere la valutazione TISAX e gestire la condivisione di queste informazioni tra gli enti.

Attualmente circa dieci fornitori di audit approvati dall’associazione ENX offrono valutazioni TISAX (https://portal.enx.com/en-US/tisax/xap/).

La figura seguente aiuta a capire le relazioni tra ENX (ente centrale), audit provider e soggetti TISAX.

Figura 1 – Relazioni tra ENX, Audit Provider e Partecipanti TISAX

Valutazione del livello di maturità – “TISAX Label”

È bene chiarire che non parliamo di una vera e propria certificazione ma di una valutazione del livello di maturità della sicurezza delle informazioni relative all’automotive gestite da un’organizzazione.

Al termine dell’audit viene rilasciata una “TISAX Label” indicante, secondo quanto descritto nella tabella seguente, il livello di implementazione dei controlli previsti all’interno della VDA-ISA:

Tabella 1 – Livelli di Maturità TISAX

Se al termine della valutazione dei controlli presenti all’interno della check list VDA-ISA (di cui parleremo a breve) il risultato calcolato sarà ad esempio un valore pari a 2, come mostrato nella figura seguente, sarà rilasciata per l’organizzazione una “TISAX Label” che indicherà che il livello di maturità e di implementazione dei controlli sulle informazioni automotive dell’organizzazione è “Managed”.

Figura 2 – Esempio di grafico riassuntivo di una valutazione TISAX

Scopo della valutazione

Differentemente da come siamo abituati per i Sistemi di Gestione, l’ambito di applicazione di una valutazione TISAX non può essere determinato dall’organizzazione ma deve forzatamente comprende tutti i processi e le risorse coinvolte nel trattamento di informazioni afferenti all’industria automobilistica. È possibile apportare due modifiche alla definizione dello scope: estendere il campo di applicazione della valutazione (al fine di avere maggior fiducia della sicurezza delle informazioni dell’organizzazione) oppure ridurre lo scope; in questo caso non è però possibile ottenere la “TISAX Label”.

Qualora un’organizzazione avesse più siti è possibile approcciare lo scope in due differenti modalità mutuamente esclusive:
I) considerare l’organizzazione come un’unica entità e quindi procedere ad un’unica valutazione ottenendo quindi una “TISAX Label” unica;
II) considerare ogni sito come entità assestante e quindi avere una “TISAX Label” per sito.

Questo secondo approccio può essere consigliabile nel caso di organizzazioni molto complesse che hanno necessità di ottenere la “Label” senza dover aspettare che tutte le sedi siano allo stesso livello di maturità. Infatti se una sola sede non raggiunge il livello desiderato, non si otterrà la “TISAX Label”. Ovviamente considerare ogni sito come entità assestante comporta costi e complessità di gestione superiori.

La VDA – Information Security Assessment (ISA)

Dopo aver analizzato a chi si applica la TISAX e quali informazioni rientrano nella valutazione del livello di maturità, arriviamo finalmente ad analizzare il cuore della TISAX che sarà poi la base per l’ottenimento della “TISAX Label”: la VDA-ISA.

La VDA-ISA è la check list di autovalutazione del livello di maturità dei controlli di sicurezza delle informazioni che ogni organizzazione del settore dovrebbe compilare.

L’excel scaricabile dal sito (https://www.vda.de/en/services/Publications/information-security-assessment.html) consta di differenti fogli, tra i quali un’Introduzione, la definizione dei livelli di maturità, un glossario, degli esempi di KPI e altre informazioni specifiche sul documento. I fogli principali sono i 6 centrali, nella “cover” troviamo tutte le informazioni che l’organizzazione deve inserire relativamente al suo ambito e allo scope dell’assessment mentre nel foglio “Result” potremo trovare il risultato della valutazione finale dopo aver valutato tutti i controlli previsti nei fogli:

  • “Information Security”,
  • “Connection to 3rt parties”,
  • “Data Protection” e
  • “Prototype protection”.

I controlli presenti all’interno dei fogli “Information Security” e “Connection to 3rt parties” sono speculari a quelli proposti dallo standard ISO/IEC 27002. Come già sottolineato in precedenza nella TISAX non si valuta solo se il controllo è applicato o meno, ma qual è il suo livello di maturità.

Per ogni controllo viene definito:

  • il controllo messo in forma di domanda a cui l’organizzazione deve rispondere;
  • l’obiettivo che ha il controllo;
  • i requisiti che:
    • devono essere inclusi;
    • dovrebbero essere inclusi;
    • potrebbero essere inclusi;
    • sono necessari in caso di “high protection”;
    • sono necessari in caso di “very high protection”.

Figura 3 – Esempio requisito VDA – ISA

Per ogni controllo è quindi necessario che l’organizzazione determini il suo livello di maturità, seguendo la scala 0 – 5 sopra definita. Tale autovalutazione sarà poi analizzata da parte del Audit Provider durante l’attività di audit di cui parleremo a breve.

Figura 4 – Esempio valutazione controllo VDA – ISA

Tipologie di audit

Per quanto abituati ai “classici” audit sui Sistemi di Gestione le modalità di audit previste per l’ottenimento della TISAX Label risulteranno atipici. Sono infatti previste tre tipologie di Assessment:

  • Livello 1 (AL 1): svolgono principalmente un ruolo di un’autovalutazione dell’organizzazione. Durante un AL1 viene valutata l’esistenza e la completezza del file di autovalutazione. Non viene analizzato il contenuto dell’autovalutazione e non sono richieste evidenze. Un AL 1 non prevede il rilascio di una “TISAX Label”.
  • Livello 2 (AL 2): in questo caso l’audit provider esegue un controllo di plausibilità della check list di autovalutazione (per tutte le sedi nell’ambito della valutazione). Le evidenze sono raccolte analizzando la documentazione e conducendo interviste generalmente tramite audio-conferenza. Su sua richiesta l’audit provider può condurre le interviste di persona. Un AL 2 prevede il rilascio di una “TISAX Label” con evidenza della tipologia di assessment effettuato.
  • Livello 3 (AL 3): per una valutazione con livello di valutazione 3 l’audit provider fa tutti i controlli come per una valutazione con livello di valutazione 2. Tuttavia, tutti i controlli saranno più completi e la verifica verrà effettuata in profondità in modo da esaminare in loco l’organizzazione al fine di ottenere tutte le evidenze dichiarate nell’autovalutazione.

Tabella 2 – Tipologie di audit

Per qualunque tipo di assessment il punto di partenza imprescindibile è che l’organizzazione abbia compilato da VDA-ISA facendo quindi un’autovalutazione. Lo scopo dell’assessment, in particolare per il livello 2 e 3 è quello di validare l’autovalutazione fatta dall’organizzazione raccogliendo evidenze a supporto dei livelli di maturità determinati dall’organizzazione.

TISAX VS ISO/IEC 27001

La tabella seguente riporta le principali differenze tra la ISO/IEC 27001:2013 e la TISAX.

Tabella 3 – ISO 27001 vs TISAX

 

Bibliografia

  • https://www.enx.com/tisax/files/downloads/TISAX-Participant-Handbook-current.pdf
  • https://www.vda.de/en/topics/safety-and-standards/information-security/information-security-requirements.html

 

Articolo a cura di Paolo Sferlazza

L’articolo TISAX – La valutazione del livello di maturità della sicurezza delle informazioni nell’ambito automotive proviene da ICT Security Magazine.

ICT Security Magazine


Stai cercando prodotti per l’hacking, la sicurezza informatica e il penetration testing? Hai bisogno di bonificare il tuo smartphone, il tuo pc o il tuo sito da virus e malware? Devi rintracciare una persona o recuperare delle informazioni urgenti? Devi riprendere possesso di un account, una mail o di una password che ti hanno sottratto? Vuoi acquistare device già configurati per sperimentare tutte le tecniche di hacking in modo facile e veloce? Hai esigenze particolari in ambito software o hardware? Possiamo aiutarti!

Contattaci subito per avere un aiuto immediato : dettagliaci tramite mail o Whatsapp che tipo di supporto ti occorre e ti invieremo un riscontro immediato!

Compila e invia il modulo qui sotto per inviarci subito una richiesta di supporto

Scrivi il tuo indirizzo email qui

Scrivi qui come possiamo aiutarti - ti supportiamo immediatamente per ogni tua esigenza!

chevron_left
chevron_right