Problem z kwestionariuszami
Małe firmy softwarowe tracą kontrakty enterprise co kwartał. Rzadko winny jest produkt. Winne są dokumenty.
Kupujący z sektora enterprise rozsyłają obszerne kwestionariusze bezpieczeństwa. Typowy formularz liczy 150 pytań. Dotyczy formalnych ocen ryzyka, zarządzania zmianami i historii audytów. Większość małych zespołów nie ma dedykowanego specjalisty ds. bezpieczeństwa. Wypełnienie jednego formularza zajmuje 40–80 godzin — godzin wyrwanych z pracy nad produktem i obsługi klientów.
Oprogramowanie często wcale nie jest niebezpieczne. Zespół po prostu nie jest w stanie wystarczająco szybko tego udowodnić.
Certyfikacja ISO 27001 rozwiązuje ten problem. Certyfikat i towarzyszące mu Oświadczenie o Zastosowaniu odpowiadają na większość pytań ze 150-punktowego formularza. Certyfikowany dostawca nie musi za każdym razem budować od zera kompletu dokumentów. Certyfikat jest tym kompletem.
Wartość płynie w dół łańcucha
Korzyści z ISO 27001 nie zatrzymują się na pierwszym kupującym. Płyną w dół łańcucha dostaw.
Weźmy legal-techowy startup, który korzysta z certyfikowanego narzędzia do anonimizacji danych osobowych. Ten startup ma własnych klientów korporacyjnych. Ci klienci pytają: „Jakie certyfikaty posiada wasze narzędzie do PII?" Startup dołącza certyfikat ISO 27001 narzędzia do anonimizacji do swojej odpowiedzi. Korporacyjny zespół ds. bezpieczeństwa analizuje go i zamyka pozycję w ocenie.
Startup nie przeprowadzał własnego audytu narzędzia. Zrobił to certyfikat. Jeden certyfikowany dostawca redukuje obciążenie compliance u każdej firmy wyżej w łańcuchu.
Koszty i zwroty
Pierwszy audyt ISO 27001 kosztuje 15 000–50 000 euro. Coroczny przegląd generuje kolejne koszty. Dla dostawcy na rynku regulowanym inwestycja ta zwraca się zazwyczaj po pierwszych dwóch lub trzech zamkniętych kontraktach enterprise — kontraktach, które bez certyfikatu utknęłyby w miejscu.
Kupujący z sektora enterprise też zyskują. Oszczędzają czas na ocenach dostawców. Zamiast deklaracji własnych otrzymują niezależne potwierdzenie. Mogą pokazać własnym audytorom, że ich łańcuch dostaw ma udokumentowane kontrole bezpieczeństwa.
Certyfikacja przekształca powtarzający się koszt na transakcję w jednorazową inwestycję. Każdy nowy potencjalny klient korporacyjny otrzymuje tę samą krótką odpowiedź: oto certyfikat, oto kto go wystawił, oto data ważności.
Zobacz nasz przewodnik po zarządzaniu dostawcami ICT w kontekście DORA i ISO 27001, aby poznać regulacyjny aspekt certyfikacji w łańcuchu dostaw. Artykuł Enterprise compliance w zakresie PII przy budżecie startupu omawia szerzej stos compliance dla mniejszych zespołów. Przewodnik po kwestionariuszach bezpieczeństwa a cyklu sprzedaży pokazuje, jak certyfikowana architektura skraca czas postępowania zakupowego.