Проблемът с документационната инфраструктура
Малките и средни организации, които търсят корпоративни клиенти, са изправени пред асиметрично бреме за оценка на сигурността. Екипите за корпоративни доставки изпращат въпросници за сигурност със 150 въпроса, предназначени за организации със специални екипи за сигурност, официални програми ISMS и многогодишни одитни истории. Много от тези въпроси – относно формалните процеси за управление на промените, документираните оценки на риска, рисковите програми на доставчиците – описват зрели програми за сигурност, които повечето малки организации нямат.
Резултатът: много възможности за корпоративни поръчки се губят не защото продуктът на доставчика е несигурен, а защото продавачът няма инфраструктура за документация, за да докаже позицията си на сигурност. 40–80 часа, необходими за въпросник на предприятието (без сертифициране), представляват значителни алтернативни разходи за малки екипи — време, необходимо за разработване на продукта, поддръжка на клиенти и бизнес операции.
Сертифицирането по ISO 27001 разрешава тази асиметрия, като предоставя независима документация за положението на сигурността. Сертификатът, Декларацията за приложимост и картографирането на обобщения контрол заместват по-голямата част от въпросника от 150 въпроса. Екипът по сигурността на доставчика не трябва да възстановява пакета с доказателства за всеки корпоративен клиент — сертифицирането е пакетът с доказателства.
Потокът на сертифициране надолу по веригата
Стойността на съответствието на сертифицирането по ISO 27001 във веригата за доставка на технологии тече надолу по веригата. Когато стартираща компания за легални технологии използва сертифициран инструмент за анонимизиране за своята обработка на PII, тази стартираща компания може да включи сертифицирането на инструмента в собствената си документация за сигурност на доставчика, когато отговаря на въпросниците за сигурност на корпоративни клиенти.
Корпоративният клиент на стартъпа пита: „Какви сертификати за сигурност има вашият доставчик на обработка на PII?“ Стартирането включва сертификата ISO 27001 на инструмента за анонимизиране в техния пакет документация на доставчика. Екипът по сигурността на корпоративния клиент преглежда сертификата, съпоставя го с техните изисквания за риск от трети страни и затваря елемента за оценка на доставчика. Стартиращата компания не трябваше да извършва собствена оценка на сигурността на инструмента за PII; те разчитат на независимото сертифициране на инструмента.
Тази стойност надолу по веригата означава, че сертифицирането по ISO 27001 в инструмент за обработка на данни облагодетелства не само преките корпоративни клиенти на инструмента, но и клиентите на клиентите на инструмента — цялата верига на доставки надолу по веригата.
Разходи-ползи от сертифицирането
Сертифицирането по ISO 27001 обикновено струва €15 000 – €50 000 за първоначалния сертификационен одит плюс текущите разходи за наблюдение (годишни одити). За доставчик, обслужващ корпоративни клиенти в регулирани отрасли, сертифицирането обикновено се изплаща в рамките на първите няколко сключени корпоративни сделки – сделки, които биха били загубени без сертифицирането.
За корпоративните клиенти, избиращи сертифицирани инструменти, ползата е реципрочна: намалени разходи за надлежна проверка (спестени часове за оценка на доставчика), намален одитен риск (независима проверка вместо самоатестиране) и документирана сигурност на веригата за доставки за техните собствени изисквания за одит.
Източници:
- [Workstreet: Тежест във въпросника за съответствие със сигурността за малки доставчици] (https://www.workstreet.com/blog/security-compliance-questionnaires)
- [Dsalta: Изисквания към документацията за сигурност на доставчика и ISO 27001 ROI] (https://www.dsalta.com/resources/articles/vendor-security)
- [ISACA 2024: Унифицирана рамка за контрол намалява дублирането на одит с 60%] (https://www.isaca.org)