Problemet med dokumentasjonsinfrastruktur
Små og mellomstore organisasjoner som søker bedriftskunder står overfor en asymmetrisk sikkerhetsvurderingsbyrde. Innkjøpsteam i store selskaper sender ut 150-spørsmåls sikkerhetsspørreskjemaer designet for organisasjoner med dedikerte sikkerhetsteam, formelle ISMS-programmer og flere års revisjonshistorikk. Mange av disse spørsmålene — om formelle endringshåndteringsprosesser, dokumenterte risikovurderinger, leverandørrisikoprogrammer — beskriver modne sikkerhetsprogrammer som de fleste små organisasjoner ikke har.
Resultatet: mange bedriftsinnkjøpsmuligheter går tapt ikke fordi leverandørens produkt er usikkert, men fordi leverandøren mangler dokumentasjonsinfrastruktur for å bevise sin sikkerhetsstatus. De 40–80 timene som kreves per spørreskjema fra bedrifter (uten sertifisering) representerer en betydelig mulighetskostnad for små team — tid som tas fra produktutvikling, kundestøtte og forretningsdrift.
ISO 27001-sertifisering løser denne asymmetrien ved å gi uavhengig dokumentasjon av sikkerhetsstatus. Sertifikatet, erklæringen om anvendelighet, og oppsummeringskontrollkartleggingen erstatter det meste av det 150-spørsmåls spørreskjemaet. Leverandørens sikkerhetsteam trenger ikke å gjenoppbygge bevispakken for hver bedriftskunde — sertifiseringen er bevispakken.
Flyten av downstream-sertifisering
Overholdelsesverdien av ISO 27001-sertifisering i en teknologisk forsyningskjede flyter nedover. Når en juridisk teknologisk oppstart bruker et sertifisert anonymiseringsverktøy for sin behandling av PII, kan den oppstarten inkludere verktøyets sertifisering i sin egen leverandør sikkerhetsdokumentasjon når de svarer på bedriftskunders sikkerhetsspørreskjemaer.
Oppstartens bedriftskunde spør: "Hvilke sikkerhetssertifiseringer har leverandøren din for PII-behandling?" Oppstarten inkluderer anonymiseringsverktøyets ISO 27001-sertifikat i sin leverandørdokumentasjonspakke. Bedriftskundens sikkerhetsteam gjennomgår sertifikatet, kartlegger det til sine krav til tredjepartsrisiko, og lukker vurderingspunktet for leverandøren. Oppstarten trengte ikke å gjennomføre sin egen sikkerhetsvurdering av PII-verktøyet; de stolte på verktøyets uavhengige sertifisering.
Denne downstream-verdien betyr at ISO 27001-sertifisering i et databehandlingsverktøy gagner ikke bare verktøyets direkte bedriftskunder, men også verktøyets kunders kunder — hele den nedstrøms forsyningskjeden.
Kostnadsnytte ved sertifisering
ISO 27001-sertifisering koster vanligvis €15,000–€50,000 for den innledende sertifiseringsrevisjonen pluss løpende overvåkingskostnader (årlige revisjoner). For en leverandør som betjener bedriftskunder i regulerte industrier, betaler sertifiseringen vanligvis for seg selv innen de første få lukkede bedriftsavtalene — avtaler som ville vært tapt uten sertifiseringen.
For bedriftskunder som velger sertifiserte verktøy, er fordelen gjensidig: reduserte kostnader til due diligence (timer spart på vurdering av leverandører), redusert revisjonsrisiko (uavhengig verifisering i stedet for selvattestasjon), og dokumentert sikkerhet i forsyningskjeden for deres egne revisjonskrav.
Kilder: