כך תבנו תוכנית קומפליינס בלי כאבי ראש ובזבוזי זמן

בניית תוכנית קומפליינס שואבת לסטארטאפים זמן רב של עובדים וחברי הנהלה, אבל הנה כמה טיפים וטכנולוגיות שיקצרו לכם את התהליך בצורה משמעותית

פרויקט קומפליינס עשוי לקחת בממוצע 250 שעות לחברה צעירה (צילום: Dreamstime)

מאת מירן גאליס, מנכ"ל Scytale

זמן הוא המשאב היקר ביותר של סטארטאפים שנדרשים לבנות מוצר מעולה, לגייס טאלנטים ולבצע מכירות במהירות – בייחוד בעת הזו. על מנת למכור את המוצר שלהן, חברות SaaS נדרשות לעמוד בתהליכי תקינה (קומפליינס), רגולציות שונות והתחייבויות חוזיות ללקוחות קיימים ופוטנציאליים הקשורים לאבטחת מידע, סודיות ופרטיות. למעשה, ארגונים מחויבים לכך שהדאטה או הגישות שמקבלים הספקים שלהם לא יובילו לפגיעות מיותרות שיגדלו את הסיכון – והם נדרשים לבנות אמון בחברה ובמוצר בפרק זמן קצר.

כדי לעשות זאת עליהם לעמוד בסטנדרטים גלובליים לאבטחת מידע. שני הסטנדרטים המובילים בעולם היום הם SOC 2 ו-ISO 27001. לעתים רבות זוהי אף דרישה שמגיעה מלקוחות עוד בשלבים הראשוניים של החברה – אם בשביל להטמיע את המערכת אצל Design partners, כדי להיכנס ל-Marketplace שונים או בשביל לצלוח שאלוני אבטחת מידע ולחתום על חוזים בהצלחה עם לקוחות חדשים.

תהליכי קומפליינס מלווים בעבודה סיזיפית של הכנת הארגון, מציאת פערים ותיקונם, תכנון והטמעה של בקרות ותהליכים, איסוף מאות ראיות ומעבר ביקורות על ידי מבקרים חיצוניים. במילים אחרות – שעות שלכם, והרבה מהן. פרויקט כזה עשוי לקחת בממוצע 250 שעות לחברה צעירה, ולכלול חברי הנהלה בכירה ומהנדסים שיאלצו להשקיע זמן רב בעבודת אדמיניסטרציה ידנית, הטמעת תהליכים ופריסה של סביבות וכלים חדשים. אלה ידרשו מהחברה להקצות משאבים חשובים וזמן יקר על מנת להשיג את ההסמכה ולאפשר מכירות בארגון.

אמנם מדובר במטרה חשובה, אבל תהליך הקומפליינס עלול להסיט את משאבי הארגון מפעילויות הליבה הקריטיות להצלחת החברה. החדשות הטובות הן שיש דרך לעשות זאת תוך דילוג על המוקש שרבים נופלים בו.

אז איך מתחילים?

בשלב הראשון הארגון יידרש לבצע Gap Analysis ולמצוא פערים בין המצב הקיים בחברה למצב הרצוי (התקן אותו מטמיעים). דוגמה לבקרה נפוצה שצוותי פיתוח נדרשים להטמיע היא ניהול שינויים בתהליכי פיתוח המוצר. היא נובעת מהעקרון לפיו בקשות לשינויים בסביבות פרודקשן צריכות להיות מאושרות ומתועדות בשל סיכונים של טעויות אנוש והונאות. המבקר יבחן בקרה זו בכמה דרכים – בדיקת ההגדרות בכל ה-repositories הרלוונטיים ובנוסף ביצוע מדגם רנדומלי מכלל השינויים שבוצעו במהלך תקופת הביקורת.

כל מה שצריך בשביל להיכשל בבקרה הוא Pull request שהושלם ללא Code review על ידי מפתח אחר – ובכך השינוי לא עמד בבקרה הארגונית ובדרישות התקן. מכיוון שזה עלול להיות מצוין בדוח הסופי שנשלח ללקוחות, יש לשים לב מה יהיו ה-testing procedures לכל בקרה ולהתכונן בהתאם.

אתגרים רבים נוספים בתהליך מסיטים את הארגון ממטרתו העיקרית ויוצרים צוואר בקבוק ובזבוז זמן יקר של עובדים ועובדות חשובים. יש לכך פתרון: באמצעות שילוב אוטומציות ו-workflows מוגדרים, אנשי פיתוח, מוצר, תפעול ומנהלי אבטחת מידע יכולים להתרכז בתהליכים האסטרטגים ולא לבזבז את זמנם על פעולות ידניות וסיזיפיות שחוזרות על עצמן.

ניהול חכם של תהליכי קומפליינס מקנה את היכולת לאסוף ראיות בצורה אוטומטית ולזהות תקלות בזמן אמת, לנהל באופן מרוכז מסמכים וגרסאות, לחסוך שעות עבודה רבות, להטמיע קומפליינס ב-scale שיתמוך במגוון רחב של frameworks ולוודא שהארגון יעבור תהליכי ביקורת בהצלחה וביעילות. ניהול כזה מתחיל בגישה ובאימוץ של טכנולוגיות תומכות שייהיו מכפיל כוח שתומך בצוות המנהל את תהליכי הקומפליינס.

הנה דוגמה טובה לאוטומציה: כאשר עובדת עוזבת את החברה, מנהלת משאבי אנוש תעדכן זאת במערכת ה-HR הארגונית. זהו הטריגר לתהליך שיוביל לביטול כלל הגישות לכל המערכות הארגוניות בחיבור למערכת ניהול הזהויות הארגונית (כגון Okta) תוך 8 שעות.

דוגמה נוספת היא ניהול בקשת גישות לסביבת פרודקשן – הטמעת תהליך ברור של בקשת גישה (כולל סיבה) ואישור הגישה (רק לסביבה שצריכים, ולפרק זמן מוגבל). זה יכול להיות שימוש ב-Slack לבקשת גישה ואישורה לפי רשימת עובדים רלוונטיים, מחיקת הגישה לאחר 8 שעות וכמובן תיעוד התהליך ב-audit log לצורכי ביקורת (הכל צריך להיות מתועד, תתרגלו). ניתן לפתח אוטומציות כאלו בעצמכם, או להשתמש בכלים ייעודיים ולבנות את התהליכים בצורה שתתאים לאופן שבו עובד הארגון ולסיכון הממשי בכל אחת מהבקרות.

כך תתכוננו לשינויים הצפויים

הביקורת המסורתית – הכוללת ביקורת שנתית, צילומי מסך ומדגמים רנדומליים על אחוז מצומצם מכלל המקרים – צפויה להשתנות ולהפוך לביקורת מתמשכת. זו תכלול ניטור ואיסוף ראיות יומי של כלל הבקרות, התראה על בעיות בזמן אמת והצגה ויזואלית להנהלה בצורה מהימנה היכן הארגון עומד בכל רגע נתון.

באמצעות פיתוח טכנולוגיות מבוססות Agile Audit ,RPA ,Data Analytics & Visualisation ו-AI, חברות יוכלו לנתח את סביבת הבקרות בזמן אמת. כך הן יוכלו להבין אם הן עומדות בהצלחה בכל בקרה, ניטור non-compliance issues בזמן אמת והרצת מודלים ללמידת מכונה שיכולים לצפות בעיות עתידיות ולוודא עמידה בדרישות לקוחות בנושאי אבטחת מידע וקומפליינס בצורה אוטומטית.

אם בעבר ביקורות היו מתבצעות במשרדי החברה – בעולם בו עובדים מרחוק, וממגוון מדינות רחב – הביקורת תצטרך להתנהל בצורה אג'ילית תוך הקפדה על הסטנדרטים הגבוהים של המבקרים ושיטות חדשות למדידת אפקטיביות. שימוש בדאטה הרב להצגה ויזואלית לדרג הבכיר יתרום לרתימת ההנהלה וניהול יעיל וחכם של כל התהליך. חברות יחסכו זמן רב, ירכזו מאמצים בעיקר ולא בטפל ויבנו יכולת קבלת החלטות שיתמכו באבטחת המידע, בצמיחה הארגונית ובמכירות.

 

הנה כמה טיפים שימושיים לפני שמתחילים לבנות תוכנית קומפליינס:

  • הבינו אילו Security Certifications רלוונטיים עבורכם, כמה זמן ייקח להשיג אותם ומה יהיו העלויות הכוללות. לדוגמה, סטארטאפים שמפתחים מוצר SaaS B2B עם מכירות בשוק האמריקאי ככל הנראה יצטרכו להטמיע SOC 2.
  • הגדירו בצורה ברורה את המערכות הנכללות בתכולה (in-scope), מפו וסווגו מערכות קריטיות וזהו היכן נשמר מידע של לקוחות, למי יש גישות וכיצד הן מתבצעות.
  • זהו את העובדים הרלוונטיים ורתמו אותם למשימה בתחילת הפרויקט. הקפידו על שיקוף מטרות, יעדים ולוחות זמנים, וגיבוי ההנהלה הבכירה הקריטית להצלחת הפרויקט. בניית תוכנית נכונה תתמוך בצמיחה של הארגון ובמעבר שאלוני אבטחת מידע בקלות.
  • עצבו בקרות וצרו מסמכי מדיניות ארגונית שמבטאים את כוונות ההנהלה לגבי פעילויות שונות בחברה. לדוגמה, Information Security policy ,Human Resource policy וכדומה. חשוב להקפיד לכתוב מסמכים בצורה פשוטה וממוקדת ולהוסיפם למאגר הידע הארגוני כדי שיהיו זמינים לכלל העובדים.
  • הגישה שלכם חשובה לא רק להצלחת הפרויקט, אלא גם להפקת הערך המרבי מהתהליך. אם כבר אתם משקיעים את הזמן והקשב שלכם – עשו זאת בצורה מעמיקה שתתמוך בצמיחת הארגון, בצמצום הסיכונים ובביטחון שאתם מתנהלים בהתאם ל-Best practice.

Linkedin: Google:

הכתבה בחסות סייטייל

סייטייל היא המובילה העולמית בניהול ואוטומציה של
SOC 2, ISO 27001 וHIPAA ועוזרת לחברות SaaS לעמוד בסטנדרטים גלובליים של אבטחת מידע,
להגביר את אמון הלקוחות, לאפשר מכירות, ולהכין את החברה לצמיחה.

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

רוצה להיות הראשון להגיב?

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

wpDiscuz

תגיות לכתבה: