Problemet med dokumentationsinfrastruktur
Små och medelstora organisationer som söker företagskunder står inför en asymmetrisk säkerhetsbedömningsbörda. Företagets upphandlingsgrupper skickar 150-fråge säkerhetsfrågeformulär utformade för organisationer med dedikerade säkerhetsteam, formella ISMS-program och fleråriga revisionshistorik. Många av dessa frågor — om formella förändringshanteringsprocesser, dokumenterade riskbedömningar, leverantörsriskprogram — beskriver mogna säkerhetsprogram som de flesta små organisationer inte har.
Resultatet: många företagsupphandlingsmöjligheter går förlorade inte för att leverantörens produkt är osäker, utan för att leverantören saknar dokumentationsinfrastruktur för att bevisa sin säkerhetsställning. De 40–80 timmar som krävs per företagsfrågeformulär (utan certifiering) representerar en betydande möjlighet kostnad för små team — tid som tas från produktutveckling, kundsupport och affärsverksamhet.
ISO 27001-certifiering löser denna asymmetri genom att tillhandahålla oberoende dokumentation av säkerhetsställning. Certifikatet, tillämplighetsdeklarationen och sammanfattande kontrollkartläggning ersätter de flesta av de 150-fråge formulären. Leverantörens säkerhetsteam behöver inte återskapa bevispaketet för varje företagskund — certifieringen är bevispaketet.
Flödet av certifiering nedströms
Värdet av efterlevnad av ISO 27001-certifiering i en teknologisk leveranskedja flödar nedströms. När en juridisk teknikstart-up använder ett certifierat anonymiseringsverktyg för sin PII-hantering kan den start-up inkludera verktygets certifiering i sin egen leverantörssäkerhetsdokumentation när de svarar på företagskunders säkerhetsfrågeformulär.
Start-upens företagskund frågar: "Vilka säkerhetscertifieringar har din PII-hanteringsleverantör?" Start-upen inkluderar anonymiseringsverktygets ISO 27001-certifikat i sitt leverantörsdokumentationspaket. Företagskundens säkerhetsteam granskar certifikatet, kartlägger det till sina krav på tredjepartsrisk och avslutar bedömningspunkten för leverantören. Start-upen behövde inte genomföra sin egen säkerhetsbedömning av PII-verktyget; de litade på verktygets oberoende certifiering.
Detta nedströmsvärde innebär att ISO 27001-certifiering i ett databehandlingsverktyg gynnar inte bara verktygets direkta företagskunder utan också verktygets kunders kunder — hela den nedströms leveranskedjan.
Kostnadsnyttan av certifiering
ISO 27001-certifiering kostar vanligtvis €15,000–€50,000 för den initiala certifieringsrevisionen plus pågående övervakningskostnader (årliga revisioner). För en leverantör som betjänar företagskunder inom reglerade branscher betalar certifieringen vanligtvis för sig själv inom de första stängda företagsaffärerna — affärer som skulle ha gått förlorade utan certifieringen.
För företagskunder som väljer certifierade verktyg är fördelen ömsesidig: minskade kostnader för due diligence (timmar sparade på leverantörsbedömning), minskad revisionsrisk (oberoende verifiering snarare än självattestering) och dokumenterad säkerhet i leveranskedjan för deras egna revisionskrav.
Källor: