Проблема инфраструктуры документации
Малые и средние организации, стремящиеся к привлечению клиентов из числа крупных предприятий, сталкиваются с асимметричной нагрузкой по оценке безопасности. Команды закупок крупных предприятий отправляют анкеты безопасности с 150 вопросами, предназначенные для организаций с выделенными командами по безопасности, формальными программами ISMS и многолетними историями аудитов. Многие из этих вопросов — о формальных процессах управления изменениями, задокументированных оценках рисков, программах управления рисками поставщиков — описывают зрелые программы безопасности, которых у большинства малых организаций нет.
Результат: многие возможности для закупок у крупных предприятий теряются не потому, что продукт поставщика небезопасен, а потому что у поставщика нет инфраструктуры документации, чтобы доказать свою безопасность. 40–80 часов, необходимых для каждой анкеты предприятия (без сертификации), представляют собой значительные упущенные возможности для малых команд — время, отнимаемое от разработки продукта, поддержки клиентов и бизнес-операций.
Сертификация ISO 27001 решает эту асимметрию, предоставляя независимую документацию о состоянии безопасности. Сертификат, Заявление о применимости и сводная карта контроля заменяют большинство из 150 вопросов анкеты. Команде безопасности поставщика не нужно заново собирать пакет доказательств для каждого клиента из числа крупных предприятий — сертификация является пакетом доказательств.
Поток сертификации вниз по цепочке
Ценность соблюдения требований сертификации ISO 27001 в технологической цепочке поставок передается вниз по цепочке. Когда стартап в области юридических технологий использует сертифицированный инструмент анонимизации для обработки своих PII, этот стартап может включить сертификат инструмента в свою собственную документацию по безопасности поставщиков при ответе на анкеты безопасности клиентов из числа крупных предприятий.
Клиент стартапа из числа крупных предприятий спрашивает: "Какие сертификаты безопасности имеет ваш поставщик обработки PII?" Стартап включает сертификат ISO 27001 инструмента анонимизации в свой пакет документации по поставщикам. Команда безопасности клиента из числа крупных предприятий проверяет сертификат, сопоставляет его с их требованиями к рискам третьих сторон и закрывает пункт оценки поставщика. Стартапу не нужно было проводить собственную оценку безопасности инструмента PII; они полагались на независимую сертификацию инструмента.
Эта ценность вниз по цепочке означает, что сертификация ISO 27001 в инструменте обработки данных приносит пользу не только прямым клиентам инструмента из числа крупных предприятий, но и клиентам клиентов инструмента — всей цепочке поставок вниз по цепочке.
Стоимость и выгода сертификации
Сертификация ISO 27001 обычно стоит от €15,000 до €50,000 за начальный аудит сертификации плюс текущие затраты на наблюдение (годовые аудиты). Для поставщика, обслуживающего клиентов из числа крупных предприятий в регулируемых отраслях, сертификация обычно окупается в первые несколько закрытых сделок с крупными предприятиями — сделок, которые были бы потеряны без сертификации.
Для клиентов из числа крупных предприятий, выбирающих сертифицированные инструменты, выгода взаимна: сниженные затраты на проверку (сэкономленные часы на оценке поставщика), сниженный риск аудита (независимая проверка вместо самоаттестации) и задокументированная безопасность цепочки поставок для их собственных требований к аудиту.
Источники: