Проблема анкет
Малі програмні компанії втрачають корпоративні угоди щокварталу. Причина рідко полягає в самому продукті. Проблема — в паперовій роботі.
Корпоративні покупці надсилають довгі анкети з безпеки. Типова форма містить 150 питань. Вона запитує про офіційні оцінки ризиків, управління змінами та записи про минулі аудити. У більшості малих команд немає спеціалізованих співробітників із безпеки. Кожна форма займає від 40 до 80 годин на заповнення. Це час, відібраний від роботи з продуктом та підтримки клієнтів.
Програмне забезпечення часто не є незахищеним. Команда просто не може достатньо швидко довести це.
Сертифікація ISO 27001 вирішує це. Сертифікат та його Заява про застосовність відповідають на більшість питань форми зі 150 запитань. Сертифікований постачальник не відтворює файл з доказами для кожної нової угоди. Сертифікат і є файлом з доказами.
Цінність рухається вниз по ланцюгу
Цінність ISO 27001 не зупиняється на першому покупці. Вона рухається вниз по ланцюгу постачання.
Візьмемо юридичний стартап, що використовує сертифікований інструмент анонімізації для роботи з персональними даними. Цей стартап має власних корпоративних клієнтів. Ці клієнти запитують: «Які сертифікати має ваш інструмент анонімізації персональних даних?» Стартап включає сертифікат ISO 27001 інструменту анонімізації у свою відповідь. Корпоративна команда безпеки переглядає його та закриває питання оцінки.
Стартап не проводив власний аудит інструменту. Сертифікат зробив цю роботу. Один сертифікований постачальник зменшує навантаження на відповідність для кожного бізнесу вище нього в ланцюгу.
Витрати та прибуток
Первинний аудит ISO 27001 коштує від 15 000 до 50 000 євро. Щорічний огляд додає подальші витрати. Для постачальника на регульованому ринку ці інвестиції часто окупаються на перших двох або трьох закритих корпоративних угодах — угодах, які без сертифіката зупинилися б.
Корпоративні покупці також виграють. Вони економлять час на оціночних роботах. Вони отримують незалежний доказ замість самозвітних заяв. Вони можуть показати власним аудиторам, що їхній ланцюг постачання має задокументовані засоби безпеки.
Сертифікація перетворює повторювані витрати на угоду на одноразові інвестиції. Кожному новому корпоративному потенційному клієнту дається та сама коротка відповідь: ось сертифікат, ось хто його видав, ось дата.
Дивіться наш посібник з управління постачальниками ІКТ DORA та ISO 27001 щодо регуляторного аспекту сертифікації ланцюга постачання. Наш посібник з корпоративної відповідності персональних даних для стартапів охоплює більш широкий стек відповідності для менших команд. Посібник з анкет безпеки та циклів продажів показує, як сертифікована архітектура скорочує терміни закупівель.