מתי אתם צריכים לעבוד על תוכנית Compliance ואיך תעשו את זה נכון?

גם סטארטאפים בתחילת הדרך צריכים לחשוב על תוכנית להגנת פרטיות ואבטחת מידע, בטח אם הם מתכוננים להתחיל בשלב המכירות. איך תדעו אם אתם כבר נמצאים צעד מאחור ומה בדיוק צריך כדי לבנות תוכנית טובה?

Compliance יכול להיות מעצבן, אבל אין דרך לברוח מזה (צילום: Dreamstime)

מאת אסתר פינטו, מנהלת אבטחת מידע ב-anecdotes, וקו-פאונדריט של קהילת Compliance Overflow

אנחנו חיים בעידן שבו אבטחה ופרטיות (Security ו-Privacy) חשובות מאוד ללקוחות הקצה, ולכן באופן טבעי משפיעות משמעותית על תהליכי מכירות. רוב החברות היום בשוק רוצות להיות בטוחות שכאשר הן מאפשרות לחברות צד ג׳ גישה לדאטה שלהן, הן לא מסתכנות בלהפוך ל-Accellion הבאה. לכן, אחד הדברים המרכזיים שיבדקו בתהליך ה-Due diligence (בדיקת נאותות) הוא תוכנית ה-Compliance שלכם.

Compliance הוא מונח רחב המתאר שורה של תקנים ורגולציות, שנועדו להבטיח שהארגון מיישם פרקטיקות של אבטחת מידע והגנת פרטיות. תקנים אלו – כגון SOC 2 ,HIPAA ,ISO 27K ו-PCI – מהווים מעין גושפנקא המחזקת את האמון בין חברות לקהל הלקוחות שלהן. אם יש לכם תוכנית Compliance, ודאו שהלקוחות שלכם יודעים את זה והראו להם שאתם ארגון מאובטח; אם אין לכם תוכנית כזו, אתם נמצאים צעד מאחור וחשוב שתצמצמו את הפער במהירות.

מתי הזמן הנכון להתחיל?

עבודת Compliance היא משהו שצריך להתחיל בשלב מוקדם של העסק ולא לחכות איתו לדקה ה-90, שזה במקרה שלנו רגע לפני שרוצים להתחיל למכור את המוצר. הסיבה לכך היא פשוטה – אי אפשר למכור בלי Compliance, וכדי לבנות תוכנית כזאת בארגון צריך זמן ואסטרטגיה טובה. זאת העבודה שבסופה תוכלו לקבל את הסרטיפיקציה הנחשקת שבה תלויות המכירות שלכם, והיא – ממש כמו רומא – לא נבנית ביום אחד. גם לא בשבוע או בחודש.

אז מתי כדאי להתחיל לעבוד על Compliance? קשה להצביע על הרגע המדויק, אבל אפשר לומר שאם כבר יש לכם Design partners ולא התחלתם להשקיע בזה מחשבה, אתם בפיגור. למה? כי כשתרצו לעשות להם Onboarding כלקוחות, אתם צריכים להיות מוכנים.

העבודה על תוכנית Compliance טובה יכולה להיות מעצבנת, וזו כנראה הסיבה שחברות רבות דוחות את ההתעסקות בה, אבל הדחיינות הזאת עולה להן ביוקר. חשוב לזכור: חברות גדולות מעגנות בחוזים שלהן עמידה בתקנים הרלוונטיים, ואין באמת איך לברוח מזה. תוכנית Compliance מסודרת תחזק את המוניטין שלכם, תעזור לכם להרוויח את אמונם של לקוחות פוטנציאליים ותנטרל חסמים מיותרים בתהליך המכירה שלכם. אם תשקיעו בתוכנית טובה כמו שצריך ומוקדם מספיק, הלקוחות ירגישו בטוחים יותר, ה-ARR יגדל והחברה תצמח. אמנם צורכי ה-Compliance יגדלו גם כן, אבל אתם כבר תהיו מוכנים לזה.

אז איך עושים את זה נכון?

בשלב הראשון חשוב להבין לאיזה שוק אתם מנסים לחדור ואילו פריימוורקים יחזקו אתכם מול אותו השוק. לדוגמה, סטארטאפים נותני שירות שמתכננים לחדור לשוק האמריקאי יידרשו לאמץ בין היתר SOC 2 Type 2. מדובר בתקן שהפך למקובל מאוד בשוק האמריקאי ובעולם בכלל, ושבונה אמון רב עם לקוחות, ולכן לרוב הוא יהיה התקן הראשון שכדאי לחברות לאמץ. לעומתם, סטארטאפים שמכוונים למכור לחברות בתחום הרפואי או מעבדים מידע רפואי יידרשו לעמוד ב-HIPAA; וחברות שיציעו סליקה באשראי ידרשו לאמץ את תקן ה-PCI; וכן הלאה.

השלב השני הוא להתחיל לבנות את תוכנית ה-Compliance שמתאימה לצרכים, למבנה ולאופי החברה.  כלומר חשוב להגדיר את סוג החברה – חברת שירות, מוצר או ייעוץ למשל – ולפי זה קל יותר להבין מהם התקנים שאותם תרצו לאמץ. חשוב שכל ראשי הצוותים בחברה יהיו חלק מהתהליך הזה, משום שתוכנית Compliance צריכה להיות בנויה כך שהיא תשרת את הצרכים העסקיים של החברה.

חלק מהצרכים העסקיים זה גם להיות מוכנים לצמיחה של החברה, ואכן תוכנית Compliance טובה היא כזאת שלא רק מסתכלת על הרבעון או השנה הקרובים. ככל שהחברה תגדל כך גם צורכי ה-Compliance, וכדי להמשיך להישאר בראש, חשוב להיות מוכנים לכך.

על מנת לבנות תוכנית ארוכת טווח, זהו השלב שבו צריך להבין איפה וכיצד תשלבו טכנולוגיה בתוכנית שלכם. שימוש בכלים הנכונים יבהיר לכם, לדוגמה, כמה מהעבודה שעשיתם עבור ה-SOC 2 יכול לשמש גם עבור ISO 27001 ולהחליט אם כדאי ללכת דווקא בכיוון של התקן הזה ולא אחר.

אם תתחילו להשקיע ב-Compliance ולבנות את האסטרטגיה הטובה ביותר לחברה כבר בשלב מוקדם, כשיגיע הזמן לצמוח אתם כבר תהיו מורגלים להתנהל בצורה הנכונה ו-Compliance יהיה חלק קוהרנטי מתהליכי העבודה שלכם. מה עושים עכשיו? מתחילים ליישם.

הכתבה בחסות anecdotes

אנקדוטס מאפשרת לחברות ענן לצמוח על ידי בניית תוכניות Compliance מתקדמות וחכמות. באמצעות מערכת ההפעלה הייחודית שלה (Compliance OS), יחד עם יכולות אוטומציה וקהילה של מומחים, סטארטאפים וחברות בצמיחה יכולים לבנות אמון עם לקוחות ושותפים בקלות ולהגדיל את ההכנסות שלהם.
חברות כגון SimilarWeb, Fiverr ו-Riskified, משתמשות באנקדוטס כדי להגביר את יעילות ה-Compliance שלהן ולאמץ בצורה חלקה תקני אבטחת מידע חדשים.

כתבת אורחת

הגב

1 תגובה על "מתי אתם צריכים לעבוד על תוכנית Compliance ואיך תעשו את זה נכון?"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
Chief tech
Guest

קו-פאונדרית

wpDiscuz

תגיות לכתבה: