CAA bygger tillit med avansert risikostyring
Luftfartstilsynet forbedrer TPRM via Risk Ledger
Community
Aviation
Territory
United Kingdom
CAA bygger tillit med avansert risikostyring
Luftfartstilsynet forbedrer TPRM via Risk Ledger
Civil Aviation Authority er Storbritannias uavhengige luftfartsmyndighet som fører tilsyn med og regulerer alle aspekter av sivil luftfart i Storbritannia. Det jobber for å sikre at luftfartsindustrien oppfyller de høyeste sikkerhetsstandardene, og at forbrukerne har valg, får valuta for pengene, og blir beskyttet og behandlet rettferdig når de flyr. Det sikrer også at luftfartsindustrien håndterer sikkerhetsrisikoer effektivt og håndterer luftfartens miljøpåvirkning på lokalsamfunn og den bredere befolkningen.
Luftfartsindustrien, spesielt flyselskaper og flyplasser, har omfattende forsyningskjeder og relasjoner med tredjeparter; fra teknologi og andre tjenesteleverandører til fly til arbeidskraft. Risikoen for forsyningskjedeangrep som kan komme og påvirke organisasjoner direkte er høy.
Som reguleringsorgan er CAA ansvarlig for å sikre at luftfartsindustrien overholder de høyeste internasjonale sikkerhetsstandardene. Med tanke på dette ansvaret var Matt Taylor, Chief Information Officer i CAA, opptatt av å sikre at CAAs leverandørrisikostyrings- og forsikringsprogram ikke bare ville oppfylle grunnleggende standarder for samsvar og regulatoriske standarder, men bli eksemplarisk for hele bransjen.
For CAA betydde dette å revurdere og deretter transformere det eksisterende leverandørrisikostyringsprogrammet for å forbedre den generelle sikkerhetsmodenheten.
Før bruk av Risk Ledger hadde CAA vanlige utfordringer med manuelle tredjeparts risikostyringsprosesser som er tidkrevende og ineffektive. Det hadde ingen måte å kontinuerlig overvåke leverandørenes sikkerhetsstillinger. CAAs due diligence for leverandørsikkerhet var hovedsakelig fokusert på å vurdere potensielle sikkerhetsrisikoer som nye leverandører utgjør før de onboarding.
Prosessen besto av å gi leverandører et fast sikkerhetsspørreskjema. Disse spørreskjemaene, selv om de var omfattende, var i hovedsak regnearkbaserte og dermed svært tidkrevende både for leverandørene å fylle ut, men spesielt for CAA å gjennomgå. Prosessen involverte også mye frem og tilbake mellom CAA og dets leverandører for å fastslå informasjonen som ble gitt og få nødvendige avklaringer og bevis der det var nødvendig. Dette introduserte en sentral utfordring for CAA - onboarding av nye leverandører ble raskt et ekstremt tidkrevende foretak som bremset anskaffelsesprosessene, og det kunne heller ikke lett skaleres i fremtiden.
Det betydde også at CAA bare var i stand til å prioritere større og viktigere leverandører når det gjaldt løpende overvåking eller risikostyringstilsyn.
Så det var på tide med en endring, og å oppgradere TPRM-programmet. CAAs søk etter løsninger ble styrt spesielt av følgende mål:
På grunn av den ekstremt tids- og ressurskrevende karakteren til manuelle tredjeparts risikostyringsprosesser, var CAA opptatt av å automatisere prosesser, inkludert onboarding av leverandører eller å bli gjort oppmerksom på eventuelle endringer i deres sikkerhetsposisjoner, i tillegg til å få en bedre oversikt over alle leverandørenes kontroller så mye som mulig. Dette vil være avgjørende for å kunne skalere opp programmet, men på en kostnadseffektiv måte, og for å gjøre det mulig for informasjonssikkerhetsteamet å øke effektiviteten ved å redusere belastningen de gamle prosessene legger på det.
Det andre hovedmålet med CAAs innsats for å revidere TPRM-programmet var å gå utover å måtte stole på regelmessige, men alltid bare tidspunkter, vurderinger av leverandørene. Mens CAA regelmessig engasjerte seg med noen av sine mer kritiske leverandører, ønsket den å komme i en posisjon der den kontinuerlig kunne overvåke kontrollene til et mye større antall leverandører, og innlemme flere leverandører i sine tredjeparts risikostyringsprogram. Å oppnå dette vil gjøre det mulig for CAA å få en bedre forståelse av sitt overordnede leverandørøkosystem, samt å vite umiddelbart når en leverandørs sikkerhetsstilling har endret seg, eller om et sikkerhetsbrudd kan utgjøre en trussel mot CAAs egne systemer og data.
Disse hensynene førte til at CAA vurderte å bruke Risk Ledgers tredjeparts risikostyringsplattform.
Det ble raskt klart at bruk av Risk Ledger ville tillate CAA å oppnå sine to hovedmål og kvalitativt ta risikostyringsarbeidet i forsyningskjeden til neste nivå, ved å automatisere risikovurderinger, forbedre samarbeidet med leverandører, forbedre samarbeidet på tvers av team og gi bedre rapportering og innsiktsmuligheter.
Jeg skal være ærlig. Dette er sannsynligvis et bedre verktøy enn noen andre verktøy som jeg har brukt... det er verktøy som jeg har brukt som jeg ikke vil bruke noen gang igjen.
-Matangi Patel, informasjonssikkerhetsoffiser, CAA
Risk Ledger er en online sikkerhetsplattform for forsyningskjeden der leverandører og kunder jobber sammen for å få en omfattende oversikt over hele forsyningskjedene.
Matt Taylor bemerket effektivitetsforbedringene som ble gjort:
Hvor lang tid det ville ha tatt å gjøre det Risk Ledger gjør, spesielt til det detaljnivået, er mer enn en heltidsinnleieres arbeid.
Ved å bruke Risk Ledger hadde CAA fordel av følgende:
Sikkerhetskontrollene som Risk Ledger vurderer leverandører mot er basert på Risk Ledgers unike Rammeverk for leverandørvurdering, som er opprettet mot bransjens beste praksis og kart mot flere samsvars- og reguleringsstandarder, inkludert ISO 27001, Cyber Essentials, NIST Cybersecurity Framework og NCSC Cyber Assessment Framework. Siden leverandører på Risk Ledger alle blir vurdert mot dette rammeverket, gjør dette ytterligere det mulig for organisasjoner som CAA å ha en klar standardisert grunnlinje for å måle alle leverandørene mot.
Som en del av vår strategi for å forbedre sikkerhetsmodenheten, ønsket vi å implementere et kontinuerlig og kontinuerlig overvåkingssystem - Risk Ledger hjalp oss med å gjøre det.
-Matt Taylor, Informasjonssjef, CAA
Risk Ledger er gratis å bruke for leverandører, og reduserer betydelig byrden for leverandører av å måtte gjøre ofte tusenvis av risikovurderinger for forskjellige kunder gjennom året ved å la dem dele sin Risk Ledger-vurdering selv med kunder utenfor Risk Ledger. Dette gjør det lettere for kunder å overbevise leverandørene sine som ikke allerede er på Risk Ledger om å gå ombord på plattformen og ta sikkerhetsvurderingene sine på alvor. I sin tur tillater dette kundene å få en oppdatert, full beholdning av alle leverandørene sine med konsekvent opprettholdt risiko.
Siden leverandørenes sikkerhetsprofiler kontinuerlig overvåkes av mange av kundene samtidig, betyr dette også at informasjonen de gir alltid er under kontroll, og opprettholder kvalitet, nøyaktighet og aktualitet. Data blir dermed transformert til sanntid, og fjerner årlige gjentatte arbeidsflyter og lar verdiforslaget bli sammensatt hvert år.
Så ved å ta i bruk Risk Ledger, var CAA i stand til å oppnå, for første gang, muligheten til kontinuerlig å overvåke leverandørenes sikkerhetsstilling til enhver tid direkte på plattformen. CAA kan nå se i sanntid når en av leverandørenes sikkerhetsstillinger har endret seg, eller om kritiske kontroller ikke lenger er på plass og kan utgjøre en trussel mot CAA. Dette ga CAA den ekstra forsikringen om at den nå lettere kan holde seg oppdatert på sikkerhetsinnsatsen i forsyningskjeden.
Risk Ledger tilbyr også kommunikasjonsverktøy på plattformen som lar kunder kommunisere og samarbeide med leverandørene sine for å oppmuntre til tettere samarbeid og bedre relasjoner med dem.
Å kunne legge til rette for kommunikasjon med leverandører direkte på selve plattformen, i stedet for å måtte stole på e-post, har vært en viktig tidsbesparelse for CAA og har forbedret samarbeidet med leverandørene, samtidig som det gir brukerne et revisjonsspor av samtalene deres for å være tilgjengelig til enhver tid. Som Matangi Patel, informasjonssikkerhetsoffiser ved CAA, avslørte om hennes erfaring med å bruke kommunikasjonsfunksjonen på Risk Ledger:
Jeg tror det er veldig nyttig, og jeg har ikke sett dette i noen andre verktøy som jeg har brukt.
Siden Risk Ledger integrerer seg på tvers av sikkerhet, anskaffelse, samsvar og juridisk, forbedrer dette også samarbeidet på tvers av team og skaper kraftige verdisløyfer. I gjennomsnitt reduserer bruken av Risk Ledger anskaffelsessykluser fra 9 måneder til under 4 uker.
Denne evnen til å jobbe tettere med andre team kom også CAA til gode. Ved å nå raskt kunne gjennomgå en ny leverandørs sikkerhetsstilling og identifisere om det er noe som krever umiddelbar oppmerksomhet, ble prosessen med å vurdere leverandører fremskyndet, og dermed også anskaffelsessyklusen.
CAA fant også at Risk Ledger-plattformen overgikk forventningene når det gjelder brukervennlighet og brukervennlig brukergrensesnitt. Informasjonssikkerhetsteamet kan nå enkelt produsere rapporter og hente data fra plattformen, som Matangi Patel fremhevet:
Grensesnittet og dashbordet overgikk de opprinnelige forventningene - det var flott å ha muligheten til å ha et øyeblikksbilde av alle leverandører. Muligheten til å lage en rask rapport er veldig nyttig, og gir meg mye selvtillit når folk spør hvordan vi håndterer forsyningskjeder.
Matangi Patel understreket også at kunnskapsbasen som tilbys i plattformen er ekstremt nyttig, slik at brukerne kan få raske påminnelser om hva spesifikke kontroller handler om og «plukke ut støtteinformasjon når jeg ikke vet hva en definisjon betyr.»
Samlet sett har bruk av Risk Ledger økt CAAs tillit til risikostyringsprogrammet for forsyningskjeden og styrket omdømmet. Med ordene fra sin Chief Information Officer:
At vi har noe som Risk Ledger som kan gi oss god risikosikring i forsyningskjeden er ganske viktig når det gjelder vårt eget rykte som regulerende myndighet. Vi kan holde hodet oppe fordi vi prioriterer sikkerhet selv.
Basert på sine positive erfaringer med Risk Ledger til dags dato, har CAA nå også hentet inn sin databeskyttelsesansvarlig for å forbedre samarbeidet ytterligere, gjennomgått de relevante kontrollene for databeskyttelse i Risk Ledgers rammeverk sammen for å identifisere de relevante spørsmålene, fra DPOs perspektiv, som leverandører bør stilles, og slå av mindre relevante spørsmål, noe Risk Ledger lar brukerne gjøre. Dette betyr at når svar fra leverandører er spesielt relevante fra et databeskyttelses- og personvernperspektiv, kan disse kontrollene og leverandørens status mot dem nå deles direkte med CAAs DPO gjennom Risk Ledger-plattformen.
Hos Risk Ledger er vi glade for å fortsette å jobbe med CAA og dets flotte team, og vi er glade for å se hvordan Risk Ledger kan fortsette å utvide og hjelpe CAAs avdelinger med å vurdere leverandørene og engasjere seg i mer effektiv og effektiv leverandørrisikostyring.
-Haydn Brooks, administrerende direktør, Risk Ledger
No organisation is an island.
Sign up to our monthly newsletter to receive exclusive research and analyses by our experts, the latest case studies from our clients as well as guides, explainers and more to turn your supply chain risk management programme into a resounding success story.
