3 coisas que os CTOs devem saber sobre conformidade com SOC 2

Mike DeKock , Fundador e CEO da Conselheiros MJD

À medida que a segurança dos dados aumenta com a procura de selar os sistemas contra a onda avassaladora de ataques cibernéticos, mais startups recorreram aos relatórios SOC 2 para provar a sua higiene cibernética aos clientes. Muitos até fazem isso para melhorar sua oportunidades de negócio . No entanto, você ainda pode ter dúvidas sobre o processo de auditoria, pois ele foi retratado como um requisito difícil que você prefere evitar.

A verdade é que o setor de compliance tem passado por grandes mudanças nos últimos anos para se ajustar às exigências dos negócios, mudando completamente a forma como as empresas podem demonstrar a segurança dos seus dados. Por exemplo, a coleta de evidências não é mais feita manualmente, o que exigia muito esforço e tempo de todos os envolvidos. O software de governança, risco e conformidade (GRC) agora automatiza essas tarefas para serem executadas em suas operações - também é um mercado em expansão que se estima que fará US$ 37,63 bilhões nos próximos quatro anos.

Ainda assim, os equívocos são elevados, com as empresas a recorrerem mesmo à mudança de forma das suas operações da noite para o dia para agradar aos auditores, em vez de o fazerem para o bem-estar dos seus negócios. Embora temporariamente útil, não é isso que uma boa conformidade deve render para você. Em vez disso, deve parecer um acelerador de crescimento que mostre suas boas práticas e crie mudanças positivas em sua organização.

Portanto, se você é um CTO, um engenheiro sênior ou qualquer outro líder empresarial responsável pela conformidade de dados, é hora de desmascararmos e esclarecermos três coisas para que você possa realizar com segurança um exame SOC 2.

O que você sabe sobre o SOC 2 está no passado

Embora a história do SOC 2 remonta à década de 1970 , é um padrão de conformidade relativamente novo estabelecido em 2010. Já se passaram quase 15 anos, mas o processo só mudou drasticamente nos últimos dois deles. Não é preenchido com infinitas telas impressas e formulários e mais formulários de questionários de segurança. No entanto, é assim que a maioria das pessoas ainda percebe a conformidade.

A maioria dos equívocos simplesmente carece de contexto ou está desatualizada. Hoje, graças às ferramentas de gestão de compliance, o processo é muito mais fácil e tranquilo. Esses programas são especializados em automatizar tarefas manuais e demoradas para que as tarefas sejam automatizadas e realizadas de forma assíncrona, eliminando a necessidade de reuniões demoradas e lentidão nos negócios para atender aos requisitos do SOC 2.

Por exemplo, algumas plataformas GRC se conectam a ferramentas populares de desenvolvimento, como o GitHub, para monitorar suas atividades diárias para fins de conformidade, sem interromper constantemente o fluxo de trabalho. Essas ferramentas reduziram exponencialmente o tempo necessário para realizar atividades de auditoria complexas, injetando valor e eficiência nelas.

A automatização de tarefas também tirou o peso dos ombros dos auditores, permitindo-lhes dedicar mais tempo a tarefas analíticas. Sua abordagem altamente técnica em relação à conformidade também os ajudou a entender do que tratam os programas que estão examinando. Como resultado, eles evoluíram para profissionais que podem ajudar as empresas a adotar melhores práticas de segurança de dados e ferramentas GRC para permanecerem em conformidade além do SOC 2.

SOC 2 não exige tantos requisitos quanto você pensa

No meio de todos os requisitos de conformidade que as empresas de tecnologia devem cumprir, algo sobre o SOC 2 se perdeu na tradução. Ao contrário de outras auditorias mais rígidas, os relatórios SOC 2 são elaborados em torno das necessidades da empresa enfrentadas pelo seu setor e base de clientes, e não por uma lista de verificação de condições padrão nas quais você deve se enquadrar. Em suma, são as empresas que estabelecem as regras para demonstrar os compromissos de segurança que assumiram aos seus clientes.

Embora isto pareça contra-intuitivo em relação ao que é conformidade – onde todos precisam aderir a práticas muito específicas exigidas por uma agência reguladora – esta liberdade é na verdade o que torna o SOC 2 um relatório de conformidade tão bem-sucedido. É também o que fez com que as empresas norte-americanas em setores como SaaS o preferissem aos questionários de segurança.

Esta abordagem é vantajosa porque, como estrutura de segurança, o SOC 2 reconhece que todas as empresas operam de forma diferente, atendem a diversos clientes e oferecem uma ampla gama de produtos ou serviços. Seria impossível esperar que todos seguissem os mesmos requisitos. Por exemplo, uma empresa edtech pode concentrar-se em controlos de acesso aos dados dos alunos, enquanto uma empresa de serviços financeiros pode dar prioridade à encriptação de dados para transações monetárias.

O que é verdade é que o SOC 2 usa cinco critérios de serviço de confiança , dos quais apenas um é obrigatório (controlos de segurança). Ao se reunir com um auditor, você discutirá seu produto e avaliará quais critérios deve atender e quais gostaria de deixar de fora. Lembre-se de que o SOC 2 não é obrigatório, mas sim uma decisão de negócios que beneficiará sua empresa, portanto cabe a você entender suas necessidades e escolher sabiamente quais critérios cumprir.

Não atualize apenas para agradar os auditores

Como alguém que está no ramo de auditoria há décadas, já vi de tudo. Uma daquelas coisas que presencio com muita frequência, e da qual as empresas definitivamente deveriam se abster, é adquirir ferramentas de segurança logo antes do exame, apenas para agradar os auditores. Quer você mantenha essas ferramentas após concluir seu relatório ou não, você não deve considerá-las um curativo temporário para passar em um teste.

O SOC 2 faz um inventário das práticas e processos que você já utiliza para fornecer aos seus clientes e potenciais clientes uma visão sobre sua postura de segurança. Se você usasse temporariamente programas como detecção de invasões, análise de código estático e outras ferramentas de gerenciamento de vulnerabilidades apenas para a auditoria, você estaria decepcionando e até mesmo enganando os clientes com seu relatório SOC 2. Em última análise, você pode acabar prejudicando sua empresa com práticas enganosas.

Em vez disso, os CTOs devem ser incentivados a conversar com os auditores e ser tão transparentes quanto possível – eles estão lá para destacar o bom trabalho que você já faz, e não para apontar seus pontos fracos. Se você receber uma exceção, isso significa que os auditores fizeram bem o seu trabalho e lhe forneceram uma solução para melhorar suas práticas e cumprir com melhor segurança de dados.

Na verdade, permita que as auditorias sejam a razão pela qual você implementa boas práticas de segurança, permitindo que sua empresa feche negócios melhores e obtenha maior sucesso no futuro. Quem não gostaria disso?

Embora entendamos que a mudança de percepção do SOC 2 não acontecerá da noite para o dia, é importante defender a sua abordagem renovada, facilitando a participação de mais empresas com mais confiança e vontade de mostrar as suas práticas de segurança. As empresas de auditoria estão se adaptando rapidamente ao ritmo da indústria de startups e tecnologia, tornando a conformidade um requisito simplificado que mal se parece com o que era no passado.