Siviili-ilmailuviranomainen on Yhdistyneen kuningaskunnan riippumaton ilmailuviranomainen, joka valvoo ja sääntelee kaikkia siviili-ilmailun näkökohtia Yhdistyneessä kuningaskunnassa. Se pyrkii varmistamaan, että ilmailuteollisuus täyttää korkeimmat turvallisuusstandardit ja että kuluttajat voivat valita, saavat vastinetta rahalle ja että heitä suojellaan ja kohdellaan oikeudenmukaisesti lentäessään. Sillä varmistetaan myös, että ilmailuteollisuus hallitsee turvallisuusriskejä tehokkaasti ja hallitsee ilmailun ympäristövaikutuksia paikallisyhteisöihin ja laajempaan väestöön.
Ilmailuteollisuudella, erityisesti lentoyhtiöillä ja lentoasemilla, on laajat toimitusketjut ja suhteet kolmansiin osapuoliin; teknologiasta ja muista palveluntarjoajista lentokoneisiin ja työvoimaan. Toimitusketjuhyökkäyksien riski, joka voi tulla ja vaikuttaa organisaatioihin suoraan, on suuri.
Sääntelyelimenä CAA vastaa siitä, että ilmailuteollisuus noudattaa korkeimpia kansainvälisiä turvallisuusstandardeja. Tämän vastuun vuoksi CAA:n tiedotusjohtaja Matt Taylor halusi varmistaa, että CAA:n toimittajien riskienhallinta- ja varmennusohjelma ei vain täytä perusvaatimustenmukaisuus- ja sääntelystandardeja, vaan siitä tulee esimerkillinen koko toimialalle.
CAA: lle tämä tarkoitti nykyisen toimittajariskienhallintaohjelman uudelleenarviointia ja sen muuttamista yleisen tietoturvakypsyyden parantamiseksi.
Ennen Risk Ledgerin käyttöä CAA: lla oli yhteisiä haasteita manuaalisissa kolmannen osapuolen riskienhallintaprosesseissa, jotka ovat aikaa vieviä ja tehottomia. Sillä ei ollut mahdollisuutta seurata jatkuvasti toimittajiensa turvallisuusasentoja. CAA:n toimittajaturvallisuuden due diligence keskittyi ensisijaisesti uusien toimittajien mahdollisten turvallisuusriskien arviointiin ennen niiden käyttöönottoa.
Prosessi koostui toimittajille asetetun turvallisuuskyselylomakkeen toimittamisesta. Vaikka nämä kyselylomakkeet olivat kattavia, ne olivat pohjimmiltaan laskentataulukopohjaisia ja siten erittäin aikaa vieviä sekä toimittajien että erityisesti CAA:n tarkistettavaksi. Prosessi sisälsi myös paljon edestakaisin CAA: n ja sen toimittajien välillä toimitettujen tietojen selvittämiseksi ja tarvittavien selvennysten ja todisteiden hankkimiseksi tarvittaessa. Tämä toi CAA: lle keskeisen haasteen - uusien toimittajien käyttöönotosta tuli nopeasti erittäin aikaa vievä yritys, joka hidasti hankintaprosesseja, eikä sitä myöskään voitu helposti skaalata tulevaisuudessa.
Se tarkoitti myös sitä, että CAA pystyi priorisoimaan suurempia ja tärkeämpiä toimittajia vain jatkuvan seurannan tai riskienhallinnan valvonnassa.
Joten oli aika muuttaa, ja päivittää TPRM-ohjelmaansa. CAA:n ratkaisujen etsintää ohjasivat erityisesti seuraavat tavoitteet:
Koska manuaaliset kolmansien osapuolten riskienhallintaprosessit ovat erittäin aikaa ja resursseja kuluttavia, CAA halusi automatisoida prosessit, mukaan lukien toimittajien perehdyttämisen tai tietoisuuden mahdollisista muutoksista heidän turvallisuusasennoissa, sekä saada mahdollisimman paljon paremman yleiskuvan kaikista toimittajiensa valvonnasta. Tämä olisi ratkaisevan tärkeää, jotta sen ohjelmaa voitaisiin laajentaa, mutta kustannustehokkaasti, ja jotta sen tietoturvaryhmä voisi lisätä tehokkuutta vähentämällä sille vanhojen prosessien taakkaa.
CAA: n TPRM-ohjelman uudistamisen toinen päätavoite oli mennä pidemmälle kuin se, että se tarvitsee luottaa tavarantoimittajien säännöllisiin, mutta aina vain ajankohtaisiin arviointeihin. Vaikka CAA oli säännöllisesti tekemisissä joidenkin kriittisempien toimittajien kanssa, se halusi päästä tilanteeseen, jossa se voisi jatkuvasti seurata paljon suuremman määrän toimittajien valvontaa ja sisällyttää lisää toimittajia kolmannen osapuolen riskienhallintaohjelma. Tämän saavuttamiseksi CAA saisi paremman käsityksen koko toimittajaekosysteemistään ja tietäisi heti, milloin toimittajien turvallisuusasema on muuttunut tai voisiko tietoturvaloukkaus aiheuttaa uhan CAA:n omille järjestelmille ja tiedoille.
Nämä näkökohdat saivat CAA: n harkitsemaan Risk Ledgerin kolmannen osapuolen riskienhallinta-alustan käyttöä.
Nopeasti kävi selväksi, että Risk Ledgerin käyttö antaisi CAA: lle mahdollisuuden saavuttaa kaksi päätavoitettaan ja viedä laadullisesti toimitusketjun riskienhallintatyöt seuraavalle tasolle automatisoimalla riskiarviointeja, tehostamalla yhteistyötä toimittajien kanssa, parantamalla tiimien välistä yhteistyötä ja tarjoamalla parempia raportointi- ja oivalluksia.
Olen rehellinen. Tämä on luultavasti parempi työkalu kuin mikään muu käyttämäni työkalu... on työkaluja, joita olen käyttänyt, joita en halua käyttää enää koskaan.
-Matangi Patel, tietoturvavastaava, CAA
Risk Ledger on online-toimitusketjun turvallisuusalusta, jossa toimittajat ja asiakkaat työskentelevät yhdessä saadakseen kattavan yleiskuvan koko toimitusketjuistaan.
Matt Taylor huomautti tehdyistä tehokkuusparannuksista:
Aika, joka olisi kulunut tehdä sitä, mitä Risk Ledger tekee, etenkin tällä yksityiskohtaisuustasolla, on enemmän kuin kokopäiväisen palkkaajan työ.
Käyttämällä Risk Ledgeria CAA hyötyi seuraavista:
Turvallisuusvalvonta, jota Risk Ledger arvioi toimittajia, perustuvat Risk Ledgerin ainutlaatuiseen Toimittajien arviointikehys, joka on luotu alan parhaiden käytäntöjen perusteella ja kartoittaa useita vaatimustenmukaisuus- ja sääntelystandardeja, mukaan lukien ISO 27001, Cyber Essentials, NIST Cybersecurity Framework ja NCSC Cyber Assessment Framework. Koska kaikki Risk Ledger -toimittajat arvioidaan tämän kehyksen perusteella, tämä antaa CAA:n kaltaisille organisaatioille mahdollisuuden saada selkeä standardoitu lähtötaso kaikkien toimittajien vertailuun.
Osana strategiaamme turvallisuuden kypsyyden parantamiseksi halusimme ottaa käyttöön jatkuvan ja jatkuvan seurantajärjestelmän - Risk Ledger auttoi meitä siinä.
-Matt Taylor, CAA: n tietopäällikkö
Risk Ledger on ilmainen toimittajille, ja se vähentää merkittävästi toimittajien taakkaa siitä, että heidän on tehtävä usein tuhansia riskiarviointeja eri asiakkaille ympäri vuoden antamalla heille mahdollisuuden jakaa Risk Ledger -arviointinsa myös Risk Ledgerin ulkopuolisten asiakkaiden kanssa. Tämän avulla asiakkaiden on helpompi vakuuttaa toimittajansa, jotka eivät vielä ole Risk Ledgerissä, liittymään alustalle ja ottamaan turvallisuusarvioinninsa vakavasti. Tämä puolestaan antaa asiakkaille mahdollisuuden saada ajantasaisen, täydellisen luettelon kaikista toimittajistaan jatkuvasti ylläpidetyillä riskeillä.
Koska monet asiakkaista seuraavat toimittajien turvallisuusprofiileja jatkuvasti samanaikaisesti, tämä tarkoittaa myös sitä, että heidän toimittamansa tiedot ovat aina valvonnan alla, säilyttäen laadun, tarkkuuden ja ajantasaisuuden. Tiedot muunnetaan siten reaaliaikaisiksi, poistamalla vuosittaiset toistuvat työnkulut ja sallimalla arvoehdotuksen yhdistymisen vuosittain.
Joten ottamalla käyttöön Risk Ledger, CAA pystyi ensimmäistä kertaa saamaan mahdollisuuden seurata jatkuvasti toimittajien turvallisuusasentoa jatkuvasti suoraan alustalla. CAA pystyy nyt näkemään reaaliajassa, milloin jonkin toimittajan turvallisuusasennot ovat muuttuneet tai jos kriittisiä valvontatoimia ei ole enää käytössä ja ne voivat olla uhka CAA: lle. Tämä antoi CAA: lle lisävarmuuden siitä, että se voi nyt helpommin pysyä mukana toimitusketjun turvallisuustoimissaan.
Risk Ledger tarjoaa myös alustalla olevia viestintätyökaluja, joiden avulla asiakkaat voivat kommunikoida ja tehdä yhteistyötä toimittajiensa kanssa edistääkseen tiiviimpää yhteistyötä ja parempia suhteita heihin.
Mahdollisuus helpottaa viestintää toimittajien kanssa suoraan itse alustalla sen sijaan, että joutuisi luottamaan sähköposteihin, on ollut CAA:lle keskeinen aikasäästö ja on parantanut yhteistyötä toimittajien kanssa ja samalla tarjonnut käyttäjille heidän keskusteluistaan tarkastusketjun, joka on aina käytettävissä. Kuten CAA: n tietoturvavastaava Matangi Patel paljasti kokemuksestaan Risk Ledgerin viestintätoiminnon käytöstä:
Mielestäni se on todella hyödyllistä, enkä ole nähnyt tätä muissa työkaluissa, joita olen käyttänyt.
Koska Risk Ledger integroituu tietoturvaan, hankintaan, vaatimustenmukaisuuteen ja lakiin, tämä parantaa myös tiimien välistä yhteistyötä luoden tehokkaita arvosilmukoita. Risk Ledgerin käyttö vähentää hankintasykliä keskimäärin 9 kuukaudesta alle 4 viikkoon.
Tämä kyky työskennellä tiiviimmin muiden tiimien kanssa hyödytti myös CAA: ta. Kun pystyimme nopeasti tarkistamaan uuden toimittajan turvallisuusasenteen ja tunnistamaan, onko jotain, joka vaatii välitöntä huomiota, nopeutettiin toimittajien tarkistusprosessia ja siten myös hankintasykliä.
CAA havaitsi myös, että Risk Ledger -alusta ylitti odotuksensa helppokäyttöisyyden ja käyttäjäystävällisen käyttöliittymän suhteen. Tietoturvatiimi voi nyt helposti tuottaa raportteja ja hakea tietoja alustalta, kuten Matangi Patel korosti:
Käyttöliittymä ja kojelauta ylittivät alkuperäiset odotukset - oli hienoa saada tilannekuva kaikista toimittajista. Kyky laatia nopea raportti on erittäin hyödyllinen ja antaa minulle paljon luottamusta, kun ihmiset kysyvät, miten hallitsemme toimitusketjuja.
Matangi Patel korosti myös, että alustalla tarjottu tietopohja on erittäin hyödyllinen, jolloin käyttäjät voivat saada nopeita muistutuksia siitä, mistä tietyissä säätimissä on kyse, ja ”valita tukitiedot, kun en tiedä, mitä määritelmä tarkoittaa”.
Kaiken kaikkiaan Risk Ledgerin käyttö on lisännyt huomattavasti CAA: n luottamusta toimitusketjun riskienhallintaohjelmaansa ja vahvistanut sen mainetta. Tietopäällikön sanoin:
Se, että meillä on jotain Risk Ledgerin kaltaista, joka voi antaa meille hyvän toimitusketjun riskinvarmistuksen, on melko tärkeää oman maineemme kannalta sääntelyviranomaisena. Voimme pitää päämme pystyssä, koska asetamme turvallisuuden etusijalle itse.
Tähän mennessä saamiensa positiivisten kokemusten perusteella CAA on nyt myös ottanut tietosuojavastaavan mukaan parantamaan yhteistyötä entisestään, käymällä läpi Risk Ledgerin puitteissa tarvittavat tietosuojan valvontatoimet tunnistaakseen tietosuojavastaavan näkökulmasta olennaiset kysymykset, joita toimittajilta tulisi kysyä, ja poistamalla vähemmän merkitykselliset kysymykset pois käytöstä, mitä Risk Ledger antaa käyttäjille mahdollisuuden tehdä. Tämä tarkoittaa, että kun toimittajien vastaukset ovat erityisen merkityksellisiä tietosuojan ja yksityisyyden kannalta, nämä kontrollit ja toimittajien asema niitä vastaan voidaan nyt jakaa suoraan CAA:n tietosuojavastaavan kanssa Risk Ledger -alustan kautta.
Risk Ledgerillä olemme innoissamme voidessamme jatkaa yhteistyötä CAA: n ja sen suuren tiimin kanssa, ja olemme innoissamme nähdessämme, kuinka Risk Ledger voi jatkaa laajentumistaan ja auttaa CAA: n osastoja arvioimaan toimittajia ja osallistumaan tehokkaampaan ja tehokkaampaan toimittajariskienhallintaan.
-Haydn Brooks, toimitusjohtaja, Risk Ledger
No organisation is an island.
Sign up to our monthly newsletter to receive exclusive research and analyses by our experts, the latest case studies from our clients as well as guides, explainers and more to turn your supply chain risk management programme into a resounding success story.
