  Майк ДеКок , основатель и генеральный директор компании   МЖД Эдвайзорс  Поскольку безопасность данных возрастает в связи с необходимостью герметизировать системы от подавляющей волны кибератак, все больше стартапов обращаются к отчетам SOC 2, чтобы доказать клиентам свою кибергигиену. Многие даже делают это, чтобы улучшить свои  . Тем не менее, у вас все еще могут возникнуть сомнения по поводу процесса аудита, поскольку его изображают как сложное требование, которого вы предпочитаете избегать.   возможности для бизнеса  Правда в том, что в последние годы в сфере соблюдения требований претерпеваются огромные изменения, чтобы приспособиться к потребностям бизнеса, что полностью меняет способы демонстрации безопасности данных компаниями. Например, сбор доказательств больше не осуществляется вручную, что раньше требовало много усилий и времени от всех участников. Программное обеспечение для управления, управления рисками и соответствия требованиям (GRC) теперь автоматизирует эти задачи и позволяет выполнять их в рамках ваших операций. По оценкам, это также быстро развивающийся рынок,  в течение следующих четырех лет.   37,63 миллиарда долларов  Тем не менее, заблуждений становится все больше: компании даже прибегают к изменению своей деятельности в одночасье, чтобы угодить аудиторам, а не делать это ради благополучия своего бизнеса. Хотя это временно полезно, это не то, что должно дать вам хорошее соблюдение требований. Вместо этого он должен выглядеть как ускоритель роста, который демонстрирует ваши передовые методы и создает позитивные изменения в вашей организации.  Итак, если вы технический директор, старший инженер или любой другой бизнес-лидер, ответственный за соответствие данных, пришло время развенчать и прояснить три вещи, чтобы вы могли уверенно пройти проверку SOC 2.   То, что вы знаете о SOC 2, осталось в прошлом  Хотя история SOC 2  , это относительно новый стандарт соответствия, установленный в 2010 году. Прошло почти 15 лет, однако процесс кардинально изменился лишь за последние пару лет. Он не заполнен бесконечными экранами печати и формами анкет безопасности. Однако большинство людей по-прежнему воспринимают соответствие именно так.   уходит корнями в 1970-е годы  Большинству заблуждений просто не хватает контекста или они устарели. Сегодня, благодаря инструментам управления соблюдением требований, этот процесс стал намного проще и плавнее. Эти программы специализируются на автоматизации ручных и трудоемких задач, поэтому задачи автоматизируются и выполняются асинхронно, что устраняет необходимость в длительных совещаниях и замедлении работы бизнеса для удовлетворения требований SOC 2.  Например, некоторые платформы GRC подключаются к популярным инструментам разработчиков, таким как GitHub, для мониторинга их повседневной деятельности в целях обеспечения соответствия, не прерывая при этом рабочий процесс. Эти инструменты экспоненциально сократили время, необходимое для выполнения сложных аудиторских действий, вместо этого привнося в них ценность и эффективность.  Автоматизация задач также сняла груз с плеч аудиторов, позволив им уделять больше времени аналитическим задачам. Их высокотехнологичный подход к соблюдению требований также помог им понять, что представляют собой программы, которые они изучают. В результате они превратились в профессионалов, которые могут помочь компаниям внедрить более эффективные методы обеспечения безопасности данных и инструменты GRC, чтобы обеспечить соответствие требованиям за пределами SOC 2.   SOC 2 не так требовательна, как вы думаете  Среди всех требований соответствия, которые должны соблюдать технологические компании, кое-что в SOC 2 затерялось при переводе. В отличие от других более жестких аудитов, отчеты SOC 2 формируются на основе потребностей компании, с которыми она сталкивается в своей отрасли и клиентской базе, а не на контрольном списке стандартных условий, которым вы должны соответствовать. Короче говоря, именно компании создают правила, чтобы продемонстрировать обязательства по обеспечению безопасности, которые они взяли на себя перед своими клиентами.  Хотя это звучит нелогично по отношению к тому, что такое соблюдение требований (когда каждый должен придерживаться очень конкретных методов, предписанных регулирующим органом), на самом деле именно эта свобода делает SOC 2 таким успешным отчетом о соблюдении требований. Это также то, что заставило североамериканские компании в таких отраслях, как SaaS, предпочесть его анкетам безопасности.  Этот подход выгоден, поскольку в качестве структуры безопасности SOC 2 признает, что все компании работают по-разному, обслуживают разных клиентов и предлагают широкий спектр продуктов или услуг. Было бы невозможно ожидать, что все будут следовать одним и тем же требованиям. Например, компания в области образовательных технологий может сосредоточиться на контроле доступа к данным студентов, а компания, предоставляющая финансовые услуги, может уделить приоритетное внимание шифрованию данных для денежных транзакций.  Верно то, что SOC 2 использует  , из которых только один является обязательным (меры безопасности). На встрече с аудитором вы обсудите свой продукт и оцените, каким критериям вы должны соответствовать, а какие вы бы хотели исключить. Помните, что SOC 2 не является обязательным, а скорее бизнес-решением, которое принесет пользу вашей компании, поэтому вам нужно понять свои потребности и разумно выбрать, каким критериям соответствовать.   пять критериев доверительного обслуживания   Не обновляйтесь только для того, чтобы угодить аудиторам  Как человек, который десятилетиями работал в аудиторском бизнесе, я видел все это. Одна из тех вещей, которые я наблюдаю слишком часто и от которых компаниям определенно следует воздерживаться, — это приобретение инструментов безопасности прямо перед экзаменом, просто чтобы угодить аудиторам. Независимо от того, сохраните ли вы эти инструменты после завершения отчета или нет, вы не должны воспринимать их как временный пластырь для прохождения теста.  SOC 2 проводит инвентаризацию практик и процессов, которые вы уже используете, чтобы предоставить вашим клиентам и потенциальным клиентам представление о вашем состоянии безопасности. Если бы вы временно использовали такие программы, как обнаружение вторжений, статический анализ кода и другие инструменты управления уязвимостями, только для аудита, вы бы подвели и даже ввели в заблуждение клиентов своим отчетом SOC 2. В конечном итоге вы можете нанести вред своей компании обманными действиями.  Вместо этого следует поощрять технических директоров общаться с аудиторами и быть максимально прозрачными — они здесь для того, чтобы подчеркнуть хорошую работу, которую вы уже выполняете, а не указывать на ваши слабости. Если вы получили исключение, это означает, что аудиторы хорошо выполнили свою работу и предоставили вам решение, позволяющее улучшить вашу практику и обеспечить лучшую безопасность данных.  Во всяком случае, позвольте аудиту стать причиной внедрения передовых методов обеспечения безопасности, что позволит вашей компании заключать более выгодные сделки и достигать большего успеха в будущем. Кто бы этого не хотел?  Хотя мы понимаем, что изменение восприятия SOC 2 не произойдет в одночасье, важно выступать за его обновленный подход, помогая большему количеству компаний перейти на него с большей уверенностью и желанием продемонстрировать свои методы обеспечения безопасности. Аудиторские фирмы быстро адаптируются к темпам развития стартапов и индустрии высоких технологий, превращая соблюдение требований в упрощенное требование, которое почти не похоже на то, что было раньше.

The is an opinion piece based on the author’s POV and does not necessarily reflect the views of HackerNoon.

Read My Stories

Этот звук создан на языке оригинала истории!

Слишком долго; Читать

Download free Tech Leaders Productivity Report!

3 вещи, которые технические директора должны знать о соблюдении SOC 2

About Author

КОММЕНТАРИИ

БИРКИ

ЭТА СТАТЬЯ БЫЛА ПРЕДСТАВЛЕНА В

Related Stories

Хотите выиграть конкурс HackerNoon? Вот что рекомендуют победители конкурса #crypto-api

Невидимые слои: почему интервью с пользователями являются незаменимым активом

Руководство архитектора по созданию эталонной архитектуры для озера данных AI/ML

От форумов до лент новостей: как алгоритмы социальных сетей формируют цифровое взаимодействие

Хотите выиграть конкурс HackerNoon? Вот что рекомендуют победители конкурса #crypto-api

Невидимые слои: почему интервью с пользователями являются незаменимым активом

Руководство архитектора по созданию эталонной архитектуры для озера данных AI/ML

От форумов до лент новостей: как алгоритмы социальных сетей формируют цифровое взаимодействие

Light-Mode

Classic

Newspaper

Dark-Mode

Neon Noir

Minty

HN StartUps