3 вещи, которые технические директора должны знать о соблюдении SOC 2

Майк ДеКок , основатель и генеральный директор компании МЖД Эдвайзорс

Поскольку безопасность данных возрастает в связи с необходимостью герметизировать системы от подавляющей волны кибератак, все больше стартапов обращаются к отчетам SOC 2, чтобы доказать клиентам свою кибергигиену. Многие даже делают это, чтобы улучшить свои возможности для бизнеса . Тем не менее, у вас все еще могут возникнуть сомнения по поводу процесса аудита, поскольку его изображают как сложное требование, которого вы предпочитаете избегать.

Правда в том, что в последние годы в сфере соблюдения требований претерпеваются огромные изменения, чтобы приспособиться к потребностям бизнеса, что полностью меняет способы демонстрации безопасности данных компаниями. Например, сбор доказательств больше не осуществляется вручную, что раньше требовало много усилий и времени от всех участников. Программное обеспечение для управления, управления рисками и соответствия требованиям (GRC) теперь автоматизирует эти задачи и позволяет выполнять их в рамках ваших операций. По оценкам, это также быстро развивающийся рынок, 37,63 миллиарда долларов в течение следующих четырех лет.

Тем не менее, заблуждений становится все больше: компании даже прибегают к изменению своей деятельности в одночасье, чтобы угодить аудиторам, а не делать это ради благополучия своего бизнеса. Хотя это временно полезно, это не то, что должно дать вам хорошее соблюдение требований. Вместо этого он должен выглядеть как ускоритель роста, который демонстрирует ваши передовые методы и создает позитивные изменения в вашей организации.

Итак, если вы технический директор, старший инженер или любой другой бизнес-лидер, ответственный за соответствие данных, пришло время развенчать и прояснить три вещи, чтобы вы могли уверенно пройти проверку SOC 2.

То, что вы знаете о SOC 2, осталось в прошлом

Хотя история SOC 2 уходит корнями в 1970-е годы , это относительно новый стандарт соответствия, установленный в 2010 году. Прошло почти 15 лет, однако процесс кардинально изменился лишь за последние пару лет. Он не заполнен бесконечными экранами печати и формами анкет безопасности. Однако большинство людей по-прежнему воспринимают соответствие именно так.

Большинству заблуждений просто не хватает контекста или они устарели. Сегодня, благодаря инструментам управления соблюдением требований, этот процесс стал намного проще и плавнее. Эти программы специализируются на автоматизации ручных и трудоемких задач, поэтому задачи автоматизируются и выполняются асинхронно, что устраняет необходимость в длительных совещаниях и замедлении работы бизнеса для удовлетворения требований SOC 2.

Например, некоторые платформы GRC подключаются к популярным инструментам разработчиков, таким как GitHub, для мониторинга их повседневной деятельности в целях обеспечения соответствия, не прерывая при этом рабочий процесс. Эти инструменты экспоненциально сократили время, необходимое для выполнения сложных аудиторских действий, вместо этого привнося в них ценность и эффективность.

Автоматизация задач также сняла груз с плеч аудиторов, позволив им уделять больше времени аналитическим задачам. Их высокотехнологичный подход к соблюдению требований также помог им понять, что представляют собой программы, которые они изучают. В результате они превратились в профессионалов, которые могут помочь компаниям внедрить более эффективные методы обеспечения безопасности данных и инструменты GRC, чтобы обеспечить соответствие требованиям за пределами SOC 2.

SOC 2 не так требовательна, как вы думаете

Среди всех требований соответствия, которые должны соблюдать технологические компании, кое-что в SOC 2 затерялось при переводе. В отличие от других более жестких аудитов, отчеты SOC 2 формируются на основе потребностей компании, с которыми она сталкивается в своей отрасли и клиентской базе, а не на контрольном списке стандартных условий, которым вы должны соответствовать. Короче говоря, именно компании создают правила, чтобы продемонстрировать обязательства по обеспечению безопасности, которые они взяли на себя перед своими клиентами.

Хотя это звучит нелогично по отношению к тому, что такое соблюдение требований (когда каждый должен придерживаться очень конкретных методов, предписанных регулирующим органом), на самом деле именно эта свобода делает SOC 2 таким успешным отчетом о соблюдении требований. Это также то, что заставило североамериканские компании в таких отраслях, как SaaS, предпочесть его анкетам безопасности.

Этот подход выгоден, поскольку в качестве структуры безопасности SOC 2 признает, что все компании работают по-разному, обслуживают разных клиентов и предлагают широкий спектр продуктов или услуг. Было бы невозможно ожидать, что все будут следовать одним и тем же требованиям. Например, компания в области образовательных технологий может сосредоточиться на контроле доступа к данным студентов, а компания, предоставляющая финансовые услуги, может уделить приоритетное внимание шифрованию данных для денежных транзакций.

Верно то, что SOC 2 использует пять критериев доверительного обслуживания , из которых только один является обязательным (меры безопасности). На встрече с аудитором вы обсудите свой продукт и оцените, каким критериям вы должны соответствовать, а какие вы бы хотели исключить. Помните, что SOC 2 не является обязательным, а скорее бизнес-решением, которое принесет пользу вашей компании, поэтому вам нужно понять свои потребности и разумно выбрать, каким критериям соответствовать.

Не обновляйтесь только для того, чтобы угодить аудиторам

Как человек, который десятилетиями работал в аудиторском бизнесе, я видел все это. Одна из тех вещей, которые я наблюдаю слишком часто и от которых компаниям определенно следует воздерживаться, — это приобретение инструментов безопасности прямо перед экзаменом, просто чтобы угодить аудиторам. Независимо от того, сохраните ли вы эти инструменты после завершения отчета или нет, вы не должны воспринимать их как временный пластырь для прохождения теста.

SOC 2 проводит инвентаризацию практик и процессов, которые вы уже используете, чтобы предоставить вашим клиентам и потенциальным клиентам представление о вашем состоянии безопасности. Если бы вы временно использовали такие программы, как обнаружение вторжений, статический анализ кода и другие инструменты управления уязвимостями, только для аудита, вы бы подвели и даже ввели в заблуждение клиентов своим отчетом SOC 2. В конечном итоге вы можете нанести вред своей компании обманными действиями.

Вместо этого следует поощрять технических директоров общаться с аудиторами и быть максимально прозрачными — они здесь для того, чтобы подчеркнуть хорошую работу, которую вы уже выполняете, а не указывать на ваши слабости. Если вы получили исключение, это означает, что аудиторы хорошо выполнили свою работу и предоставили вам решение, позволяющее улучшить вашу практику и обеспечить лучшую безопасность данных.

Во всяком случае, позвольте аудиту стать причиной внедрения передовых методов обеспечения безопасности, что позволит вашей компании заключать более выгодные сделки и достигать большего успеха в будущем. Кто бы этого не хотел?

Хотя мы понимаем, что изменение восприятия SOC 2 не произойдет в одночасье, важно выступать за его обновленный подход, помогая большему количеству компаний перейти на него с большей уверенностью и желанием продемонстрировать свои методы обеспечения безопасности. Аудиторские фирмы быстро адаптируются к темпам развития стартапов и индустрии высоких технологий, превращая соблюдение требований в упрощенное требование, которое почти не похоже на то, что было раньше.