Civil Aviation Authority är Storbritanniens oberoende luftfartsmyndighet som övervakar och reglerar alla aspekter av civil luftfart i Storbritannien. Det arbetar för att säkerställa att flygindustrin uppfyller de högsta säkerhetsstandarderna, och att konsumenterna har val, får valuta för pengarna, och skyddas och behandlas rättvist när de flyger. Det säkerställer också att flygindustrin hanterar säkerhetsrisker effektivt och hanterar luftfartens miljöpåverkan på lokala samhällen och den bredare befolkningen.
Flygindustrin, särskilt flygbolag och flygplatser, har omfattande leveranskedjor och relationer med tredje part; från teknik och andra tjänsteleverantörer till flygplan till arbetskraft. Risken för leveranskedjeattacker som kan komma och påverka organisationer direkt är hög.
Som tillsynsorgan ansvarar CAA för att flygindustrin följer de högsta internationella säkerhetsstandarderna. Med tanke på detta ansvar var Matt Taylor, Chief Information Officer på CAA, angelägen om att CAA: s leverantörsriskhanterings- och försäkringsprogram inte bara skulle uppfylla grundläggande efterlevnads- och regleringsstandarder, utan bli föredömligt för hela branschen.
För CAA innebar detta att ompröva och sedan omvandla sitt befintliga riskhanteringsprogram för leverantörer för att förbättra dess övergripande säkerhetsmognad.
Innan Risk Ledger användes hade CAA vanliga utmaningar med manuella tredjeparts riskhanteringsprocesser som är tidskrävande och ineffektiva. Företaget hade inget sätt att kontinuerligt övervaka sina leverantörers säkerhetsställning. CAA:s due diligence för leverantörssäkerhet var huvudsakligen inriktad på att bedöma de potentiella säkerhetsrisker som nya leverantörer medför innan de onboardades.
Processen bestod av att förse leverantörer med ett fastställt säkerhetsfrågeformulär. Dessa frågeformulär, även om de var omfattande, var i huvudsak kalkylbladsbaserade och därmed mycket tidskrävande både för leverantörerna att fylla i, men särskilt för CAA att granska. Processen involverade också mycket fram och tillbaka mellan CAA och dess leverantörer för att fastställa den information som lämnats och få nödvändiga förtydliganden och bevis vid behov. Detta innebar en viktig utmaning för CAA - onboarding av nya leverantörer blev snabbt ett extremt tidskrävande åtagande som bromsade upphandlingsprocesserna, och det kunde inte heller lätt skalas i framtiden.
Det innebar också att CAA endast kunde prioritera större och viktigare leverantörer när det gällde löpande övervakningen eller riskhanteringstillsyn.
Så det var dags för en förändring, och att uppgradera sitt TPRM-program. CAA:s sökande efter lösningar styrdes specifikt av följande mål:
Med tanke på den extremt tids- och resurskrävande karaktären hos manuella tredje parts riskhanteringsprocesser var CAA angelägen om att automatisera processer, inklusive onboarding av leverantörer eller att bli medveten om eventuella förändringar i deras säkerhetsställning, samt få en bättre översikt över alla leverantörers kontroller så mycket som möjligt. Detta skulle vara avgörande för att kunna skala upp sitt program, men på ett kostnadseffektivt sätt, och för att göra det möjligt för dess informationssäkerhetsteam att öka effektiviteten genom att minska bördan som de gamla processerna lägger på det.
Det andra stora målet för CAA: s ansträngningar att se över sitt TPRM-program var att gå utöver att behöva förlita sig på regelbundna, men alltid bara punktliga, bedömningar av sina leverantörer. Medan CAA regelbundet samarbetade med några av sina mer kritiska leverantörer, ville den komma in i en position där den kontinuerligt kunde övervaka kontrollerna hos ett mycket större antal leverantörer och införliva fler leverantörer i sina Tredjeparts riskhanteringsprogram. Att uppnå detta skulle göra det möjligt för CAA att få en bättre förståelse för sitt övergripande leverantörsekosystem samt att omedelbart veta när en leverantörs säkerhetsställning har förändrats, eller om ett säkerhetsöverträdelse kan utgöra ett hot mot CAA:s egna system och data.
Dessa överväganden ledde CAA att överväga att använda Risk Ledgers tredjeparts riskhanteringsplattform.
Det blev snabbt klart att användning av Risk Ledger skulle göra det möjligt för CAA att uppnå sina två huvudmål och kvalitativt ta sina insatser för riskhantering i försörjningskedjan till nästa nivå, genom att automatisera riskbedömningar, förbättra samarbetet med leverantörer, förbättra samarbetet mellan team och tillhandahålla bättre rapporterings- och insiktsfunktioner.
Jag ska vara ärlig. Detta är förmodligen ett bättre verktyg än några andra verktyg som jag har använt... det finns verktyg som jag har använt som jag inte vill använda någonsin igen.
-Matangi Patel, informationssäkerhetsansvarig, CAA
Risk Ledger är en online-säkerhetsplattform för leveranskedjan där leverantörer och kunder arbetar tillsammans för att få en omfattande översikt över hela sina leveranskedjor.
Matt Taylor kommenterade de effektivitetsförbättringar som gjorts:
Den tid det skulle ha tagit att göra vad Risk Ledger gör, särskilt till den detaljnivån, är mer än en heltidsanställnings arbete.
Genom att använda Risk Ledger gynnades CAA av följande:
De säkerhetskontroller som Risk Ledger bedömer leverantörer mot baseras på Risk Ledgers unika Ramverk för leverantörsbedömning, som har skapats mot branschens bästa praxis och kartor mot flera efterlevnads- och regleringsstandarder, inklusive ISO 27001, Cyber Essentials, NIST Cybersecurity Framework och NCSC Cyber Assessment Framework. Eftersom alla leverantörer på Risk Ledger bedöms mot detta ramverk gör det ytterligare möjligt för organisationer som CAA att ha en tydlig standardiserad baslinje att jämföra alla sina leverantörer mot.
Som en del av vår strategi för att förbättra vår säkerhetsmognad ville vi implementera ett löpande och kontinuerligt övervakningssystem - Risk Ledger hjälpte oss att göra det.
Matt Taylor, Chief Information Officer, CAA
Risk Ledger är gratis att använda för leverantörer, och minskar avsevärt bördan för leverantörer att behöva göra ofta tusentals riskbedömningar för olika kunder under hela året genom att låta dem dela sin Risk Ledger-bedömning även med kunder utanför Risk Ledger. Detta gör det lättare för kunder att övertyga sina leverantörer som inte redan är på Risk Ledger att gå ombord på plattformen och ta sina säkerhetsbedömningar på allvar. I sin tur gör det möjligt för kunderna att få en uppdaterad, fullständig inventering av alla sina leverantörer med konsekvent upprätthållna risker.
Eftersom leverantörernas säkerhetsprofiler kontinuerligt övervakas av många av deras kunder samtidigt, innebär det också att informationen de tillhandahåller alltid granskas och bibehåller kvalitet, noggrannhet och aktualitet. Data omvandlas därmed till realtid, vilket tar bort årliga upprepade arbetsflöden och låter värdepropositionen sammanfogas varje år.
Så genom att anta Risk Ledger kunde CAA för första gången få möjligheten att kontinuerligt övervaka sina leverantörers säkerhetsställning hela tiden direkt på plattformen. CAA kan nu se i realtid när en av sina leverantörers säkerhetsställningar har förändrats, eller om kritiska kontroller inte längre finns på plats och kan utgöra ett hot mot CAA. Detta gav CAA den extra försäkran om att det nu lättare kan hålla koll på sina säkerhetsinsatser i försörjningskedjan.
Risk Ledger erbjuder också kommunikationsverktyg på plattformen som gör det möjligt för kunder att kommunicera och samarbeta med sina leverantörer för att uppmuntra närmare samarbete och bättre relationer med dem.
Att kunna underlätta kommunikationen med leverantörer direkt på själva plattformen, snarare än att behöva förlita sig på e-post, har varit en viktig tidsbesparare för CAA och har förbättrat samarbetet med sina leverantörer, samtidigt som användarna har ett granskningsspår av deras konversationer för att vara tillgängliga hela tiden. Som Matangi Patel, informationssäkerhetsansvarig vid CAA, avslöjade om sin erfarenhet av att använda kommunikationsfunktionen på Risk Ledger:
Jag tycker att det är riktigt användbart och jag har inte sett detta i några andra verktyg som jag har använt.
Eftersom Risk Ledger integrerar sig inom säkerhet, upphandling, efterlevnad och juridik, förbättrar detta också samarbetet mellan team och skapar kraftfulla värdeslingor. I genomsnitt minskar användningen av Risk Ledger upphandlingscyklerna från 9 månader till under 4 veckor.
Denna förmåga att arbeta närmare med andra team gynnade också CAA. Genom att nu snabbt kunna granska en ny leverantörs säkerhetsställning och identifiera om det finns något som kräver omedelbar uppmärksamhet, påskyndades processen med att granska leverantörer och därmed också upphandlingscykeln.
CAA fann också att Risk Ledger-plattformen överträffade sina förväntningar när det gäller användarvänlighet och användarvänliga användargränssnitt. Informationssäkerhetsteamet kan nu enkelt producera rapporter och hämta data från plattformen, som Matangi Patel betonade:
Gränssnittet och instrumentpanelen överträffade de ursprungliga förväntningarna - det var fantastiskt att ha möjlighet att få en ögonblicksbild av alla leverantörer. Möjligheten att dra en snabb rapport är mycket användbar och ger mig mycket förtroende när folk frågar hur vi hanterar leveranskedjor.
Matangi Patel betonade också att kunskapsbasen som tillhandahålls inom plattformen är extremt användbar, så att användare kan få snabba påminnelser om vad specifika kontroller handlar om och ”plocka ut supportinformation när jag inte vet vad en definition betyder.”
Sammantaget har användningen av Risk Ledger ökat CAA: s förtroende för sitt riskhanteringsprogram för försörjningskedjan och stärkt sitt rykte. Med orden från dess Chief Information Officer:
Det faktum att vi har något som Risk Ledger som kan ge oss god risksäkring i försörjningskedjan är ganska viktigt när det gäller vårt eget rykte som tillsynsmyndighet. Vi kan hålla huvudet uppe eftersom vi prioriterar säkerheten själva.
Baserat på sina positiva erfarenheter av Risk Ledger hittills har CAA nu också tagit in sitt dataskyddsombud för att ytterligare förbättra samarbetet, genomgått relevanta kontroller av dataskydd i Risk Ledgers ramverk tillsammans för att identifiera relevanta frågor, ur DPO:s perspektiv, som leverantörer bör ställas och stänga av mindre relevanta frågor, vilket Risk Ledger tillåter användare att göra. Detta innebär att när svar från leverantörer är specifikt relevanta ur ett dataskydd- och integritetsperspektiv, kan dessa kontroller och leverantörers status gentemot dem nu delas direkt med CAA:s DPO via Risk Ledger-plattformen.
På Risk Ledger är vi glada över att fortsätta arbeta med CAA och dess fantastiska team, och vi är glada att se hur Risk Ledger kan fortsätta att expandera och hjälpa CAA: s avdelningar att bedöma sina leverantörer och engagera sig i effektivare och effektivare leverantörsriskhantering.
-Haydn Brooks, VD, Risk Ledger
No organisation is an island.
Sign up to our monthly newsletter to receive exclusive research and analyses by our experts, the latest case studies from our clients as well as guides, explainers and more to turn your supply chain risk management programme into a resounding success story.
