CAA skaber tillid med avanceret risikostyring
Luftfartsmyndigheden forbedrer TPRM via Risk Ledger
Community
Aviation
Territory
United Kingdom
CAA skaber tillid med avanceret risikostyring
Luftfartsmyndigheden forbedrer TPRM via Risk Ledger
Civil Aviation Authority er Storbritanniens uafhængige luftfartsmyndighed, der fører tilsyn med og regulerer alle aspekter af civil luftfart i Det Forenede Kongerige. Det arbejder for at sikre, at luftfartsindustrien opfylder de højeste sikkerhedsstandarder, og at forbrugerne har valg, får værdi for pengene og beskyttes og behandles retfærdigt, når de flyver. Det sikrer også, at luftfartsindustrien håndterer sikkerhedsrisici effektivt og styrer luftfartens miljøpåvirkning på lokalsamfund og den bredere befolkning.
Luftfartsindustrien, især luftfartsselskaber og lufthavne, har omfattende forsyningskæder og relationer med tredjeparter; fra teknologi og andre tjenesteudbydere til fly til arbejdskraft. Risikoen for forsyningskædeangreb, der kan komme og påvirke organisationer direkte, er høj.
Som tilsynsorgan er CAA ansvarlig for at sikre, at luftfartsindustrien overholder de højeste internationale sikkerhedsstandarder. På grund af dette ansvar var Matt Taylor, Chief Information Officer hos CAA, ivrig efter at sikre, at CAA's leverandørrisikostyrings- og forsikringsprogram ikke kun ville opfylde grundlæggende compliance- og lovgivningsmæssige standarder, men blive eksemplarisk for hele branchen.
For CAA betød dette at genoverveje og derefter ændre sit eksisterende leverandørrisikostyringsprogram for at forbedre dets overordnede sikkerhedsmodenhed.
Før CAA brugte Risk Ledger, havde CAA fælles udfordringer med manuelle tredjeparts risikostyringsprocesser, der er tidskrævende og ineffektive. Virksomheden havde ingen mulighed for løbende at overvåge sine leverandørers sikkerhedsforhold. CAA's due diligence for leverandørsikkerhed var primært fokuseret på at vurdere de potentielle sikkerhedsrisici, som nye leverandører udgør, før de onboarding.
Processen bestod i at give leverandørerne et sæt sikkerhedsspørgeskema. Selvom disse spørgeskemaer var omfattende, var de i det væsentlige regnearkbaserede og derfor meget tidskrævende både for leverandørerne at udfylde, men især for CAA at gennemgå. Processen involverede også en masse frem og tilbage mellem CAA og dets leverandører for at fastslå de leverede oplysninger og få nødvendige præciseringer og beviser, hvor det var nødvendigt. Dette indførte en vigtig udfordring for CAA - onboarding af nye leverandører blev hurtigt en ekstremt tidskrævende opgave, der bremsede indkøbsprocesserne, og det kunne heller ikke let skaleres i fremtiden.
Det betød også, at CAA kun var i stand til at prioritere større og vigtigere leverandører, når det gjaldt løbende overvågning eller tilsyn med risikostyring.
Så det var tid til en ændring, og at opgradere sit TPRM-program. CAA's søgen efter løsninger blev styret specifikt af følgende mål:
I betragtning af den ekstremt tids- og ressourcekrævende karakter af manuelle tredjepartsrisikostyringsprocesser var CAA ivrig efter at automatisere processer, herunder onboarding af leverandører eller at blive gjort opmærksom på eventuelle ændringer i deres sikkerhedspositioner, samt at opnå et bedre overblik over alle sine leverandørers kontroller så meget som muligt. Dette ville være afgørende for at kunne opskalere sit program, men på en omkostningseffektiv måde, og for at sætte dets informationssikkerhedsteam i stand til at øge effektiviteten ved at reducere den byrde, de gamle processer lægger på det.
Det andet store mål for CAA's bestræbelser på at revidere sit TPRM-program var at gå ud over at skulle stole på regelmæssige, men altid kun tidspunkter, vurderinger af sine leverandører. Mens CAA regelmæssigt engagerede sig med nogle af sine mere kritiske leverandører, ønskede den at komme i en position, hvor den løbende kunne overvåge kontrollen fra et meget større antal leverandører og indarbejde flere leverandører i sine tredjepartsrisikostyringsprogram. At opnå dette ville gøre det muligt for CAA at få en bedre forståelse af sit overordnede leverandørøkosystem samt straks vide, hvornår en leverandørs sikkerhedsposition er ændret, eller om et sikkerhedsbrud kan udgøre en trussel mod CAA's egne systemer og data.
Disse overvejelser fik CAA til at overveje at bruge Risk Ledgers tredjeparts risikostyringsplatform.
Det blev hurtigt klart, at brug af Risk Ledger ville gøre det muligt for CAA at nå sine to hovedmål og kvalitativt tage sin indsats for risikostyring i forsyningskæden til det næste niveau ved at automatisere risikovurderinger, forbedre samarbejdet med leverandører, forbedre samarbejde på tværs af teams og give bedre rapporterings- og indsigtsfunktioner.
Jeg vil være ærlig. Dette er sandsynligvis et bedre værktøj end andre værktøjer, som jeg har brugt... der er værktøjer, som jeg har brugt, som jeg ikke vil bruge nogensinde igen.
-Matangi Patel, informationssikkerhedsofficer, CAA
Risk Ledger er en online forsyningskædesikkerhedsplatform, hvor leverandører og kunder arbejder sammen for at få et omfattende overblik over hele deres forsyningskæder.
Matt Taylor bemærkede de foretagne effektivitetsforbedringer:
Den tid, det ville have taget at gøre, hvad Risk Ledger gør, især til det detaljeringsniveau, er mere end et fuldtidsansættelsesarbejde.
Ved at bruge Risk Ledger nød CAA fordel af følgende:
De sikkerhedskontroller, som Risk Ledger vurderer leverandører mod, er baseret på Risk Ledgers unikke Leverandørvurderingsramme, som er oprettet i forhold til branchens bedste praksis og kort mod flere overholdelses- og reguleringsstandarder, herunder ISO 27001, Cyber Essentials, NIST Cybersecurity Framework og NCSC Cyber Assessment Framework. Da leverandører på Risk Ledger alle vurderes i forhold til denne ramme, giver dette yderligere organisationer som CAA mulighed for at have en klar standardiseret basislinje, som alle sine leverandører kan benchmarke mod.
Som en del af vores strategi for at forbedre vores sikkerhedsmodenhed ønskede vi at implementere et løbende og kontinuerligt overvågningssystem - Risk Ledger hjalp os med at gøre det.
-Matt Taylor, Chief Information Officer, CAA
Risk Ledger er gratis at bruge for leverandører, og reducerer betydeligt byrden for leverandører ved ofte at skulle foretage tusinder af risikovurderinger for forskellige kunder i løbet af året ved at give dem mulighed for at dele deres Risk Ledger-vurdering selv med kunder uden for Risk Ledger. Dette gør det lettere for kunder at overbevise deres leverandører, der ikke allerede er på Risk Ledger, om at gå ombord på platformen og tage deres sikkerhedsvurderinger alvorligt. Til gengæld giver dette kunderne mulighed for at få en opdateret, komplet oversigt over alle deres leverandører med konsekvent vedligeholdte risici.
Da leverandørernes sikkerhedsprofiler løbende overvåges af mange af deres kunder samtidigt, betyder det også, at de oplysninger, de leverer, altid er under kontrol og opretholder kvalitet, nøjagtighed og aktualitet. Data omdannes således til realtid, hvilket fjerner årlige gentagne arbejdsgange og tillader værdipropositionen at blive sammensat hvert år.
Så ved at vedtage Risk Ledger var CAA i stand til for første gang at opnå muligheden for løbende at overvåge sine leverandørers sikkerhedsposition til enhver tid direkte på platformen. CAA er nu i stand til i realtid at se, hvornår en af sine leverandørers sikkerhedspositioner er ændret, eller om kritiske kontroller ikke længere er på plads og kan udgøre en trussel mod CAA. Dette gav CAA den ekstra sikkerhed for, at det nu lettere kan holde sig på toppen af sin forsyningskædesikkerhedsindsats.
Risk Ledger tilbyder også kommunikationsværktøjer på platformen, der giver kunder mulighed for at kommunikere og samarbejde med deres leverandører for at tilskynde til tættere samarbejde og bedre relationer med dem.
At være i stand til at lette kommunikationen med leverandører direkte på selve platformen, snarere end at skulle stole på e-mails, har været en vigtig tidsbesparelse for CAA og har forbedret samarbejdet med sine leverandører, samtidig med at brugerne har fået et revisionsspor af deres samtaler, så de altid er tilgængelige. Som Matangi Patel, informationssikkerhedsofficer hos CAA, afslørede om hendes erfaring med at bruge kommunikationsfunktionen på Risk Ledger:
Jeg synes, det er virkelig nyttigt, og jeg har ikke set dette i andre værktøjer, som jeg har brugt.
Da Risk Ledger integrerer sig på tværs af sikkerhed, indkøb, overholdelse og lovgivning, forbedrer dette også samarbejde på tværs af teams og skaber kraftfulde værdisløjfer. I gennemsnit reducerer brugen af Risk Ledger indkøbscyklusser fra 9 måneder til under 4 uger.
Denne evne til at arbejde tættere sammen med andre teams gavnede også CAA. Da vi nu hurtigt kunne gennemgå en ny leverandørs sikkerhedsposition og identificere, om der er noget, der kræver øjeblikkelig opmærksomhed, blev processen med at gennemgå leverandører og dermed også indkøbscyklussen fremskyndet.
CAA fandt også, at Risk Ledger-platformen overgik sine forventninger med hensyn til dens brugervenlighed og brugervenlige brugergrænseflade. Informationssikkerhedsteamet kan nu nemt producere rapporter og trække data fra platformen, som Matangi Patel fremhævede:
Interfacet og instrumentbrættet overgik de oprindelige forventninger - det var dejligt at have mulighed for at få et øjebliksbillede af alle leverandører. Evnen til at udarbejde en hurtig rapport er meget nyttig og giver mig stor tillid, når folk spørger, hvordan vi styrer forsyningskæder.
Matangi Patel understregede også, at vidensbasen, der leveres på platformen, er yderst nyttig, så brugerne kan få hurtige påmindelser om, hvad specifikke kontroller handler om, og „vælge supportoplysninger, når jeg ikke ved, hvad en definition betyder.“
Samlet set har brugen af Risk Ledger i høj grad forbedret CAA's tillid til sit risikostyringsprogram i forsyningskæden og styrket sit omdømme. Med ordene fra sin Chief Information Officer:
Det faktum, at vi har noget som Risk Ledger, der kan give os god risikoforsikring i forsyningskæden, er ret vigtigt med hensyn til vores eget omdømme som regulerende myndighed. Vi kan holde hovedet oppe, fordi vi selv prioriterer sikkerhed.
På baggrund af de hidtidige positive erfaringer med Risk Ledger har CAA nu også inddraget sin databeskyttelsesrådgiver for yderligere at styrke samarbejdet, gennemgået de relevante kontroller af databeskyttelse i Risk Ledgers rammer sammen for at identificere de relevante spørgsmål, som DPO's perspektiv skal stilles til leverandører, og deaktivere mindre relevante spørgsmål, hvilket Risk Ledger giver brugerne mulighed for at gøre. Det betyder, at når svar fra leverandører er specifikt relevante ud fra et databeskyttelses- og privatlivsperspektiv, kan disse kontroller og leverandørers status over for dem nu deles direkte med CAA's DPO via Risk Ledger-platformen.
Hos Risk Ledger er vi glade for at fortsætte med at arbejde med CAA og dets fantastiske team, og vi er glade for at se, hvordan Risk Ledger kan fortsætte med at udvide og hjælpe CAA's afdelinger med at vurdere sine leverandører og engagere sig i mere effektiv og effektiv leverandørrisikostyring.
-Haydn Brooks, administrerende direktør, Risk Ledger
No organisation is an island.
Sign up to our monthly newsletter to receive exclusive research and analyses by our experts, the latest case studies from our clients as well as guides, explainers and more to turn your supply chain risk management programme into a resounding success story.
