השוק האמריקני הוא יעד נכסף ללא מעט חברות סטארט-אפ אבל לא מעט אחרי הכנת תוכנית עסקית, התאמת הארגון לעבודה מול ארה"ב, וקביעת פגישות עם לקוחות פוטנציאליים היזמים נתקלים במחסומים בירוקרטיים נוספים שאליהם לא נערכו. החברות שרוצות להיכנס לארה"ב נחשפות פתאום לדרישות הסף של השוק האמריקני בכל עסקה – דרישות הציות (Compliance). 

SOC2, GDPR, ISO, HIPPA ראשי תיבות שיוצרות לא מעט כאבי ראש רגע לפני חתימה על עסקה. גם בהתמודדות עם דרישות הציות קיימים לא מעט פתרונות טכנולוגיים שיכולים להקל על המסע, קיימים לא מעט סטארטאפים שזיהו את הכאב ואת הצורך, והחלו לפתח כלים אוטומטיים למענה על דרישות ציות  ואבטחת מידע - תו תקן שבלעדיו אין היתכנות לעסקה. 

כמו בתחומים רבים נוספים, עד השנים האחרונות, התהליכים, איסוף החומרים ותיעודם נעשו בצורה ארכאית. האוטומציה חוסכת לארגון את תהליך הביקורת המורכב, מפשטת את התהליך, מקצרת זמן יקר, ומייעלת את אופן העבודה.  

 מרבית הכלים נותנים מענה לשלבים הראשונים בתהליך, הם מסייעים באיסוף וריכוז המידע מהמערכות השונות, מנתחים ומציגים אותו באופן ויזואלי ונוח לשימוש, כך שכל מה שנותר למבקר הציות הוא לאשר ולתת תעודה לחברה שעונה על כל דרישות אבטחת המידע הרלוונטיים. 

המוסד לתקינה חשבונאית אמריקאית (AICPA) פרסם לאחרונה מסמך המציג את הסיכונים והפערים בשימוש בכלים השונים, שחשוב להכיר רגע לפני שבוחרים את המוצר שנכון לכם. מכיוון שכל חברה פותרת את הבעיה אחרת ומציעה פונקציות שונות, חשוב להבין מה הצרכים של הסטארטאפ מבחינת ציות ואיזה פתרון טכנולוגי ייתן את המענה המתאים ביותר. אז רגע לפני שאתם בוחרים את כלי האוטומציה לציות המתאים – אלו השאלות שכל מנכ"ל וסמנכ"ל כספים חייבים לשאול, כדי להבין שאתם בוחרים במה שנכון לכם.

  1. איזה מידע אתם מרכזים במערכת?

    יש לוודא שהכלי אוסף את הנתונים שאתם צריכים - ובמלואם. הסיכון שעולה הוא שהכלי לא יפעל כמתוכנן וירכז רק מידע חלקי או אפילו שגוי. כתוצאה מכך, המידע שייאסף ייתן תמונת מצב שגויה לפיה אתם עומדים בדרישת אבטחת המידע, כשבפועל החברה לא עומדת בביקורת הציות.

    לדוגמה, הכלי יאסוף במקביל נתוני תצורה טכנולוגיים ממערכת יומן האירועים וממערכת הניטור, אך הממשק של הכלי שאמור לבצע את החיבור בין הנתונים לא יעבוד כמו שצריך.

  2. מה נדרש מבחינת אינטגרציה? עם איזה מערכות אתם יודעים להתחבר?

    חשוב לבדוק שהכלי שאתם בוחרים ידע להתחבר למערכות הארגוניות שלכם. מומלץ לעשות הערכה בלתי תלויה שתבחן את תוצרי הכלי האוטומטי (הערכה עצמאית של הבקרה הפנימית של הארגון וביצוע סקרי סיכונים) ולהבין עד הסוף את התועלות של הכלי והתאמתו אליכם.  כך לדוגמה, יתכן שבחרתם כלי שלא יכול להתחבר לאחת המערכות שבהם אתם משתמשים בחברה וכתוצאה מכך לא יוכל לתת מענה מלא.

    רבקי קר פרידמן, מובילת תחום ניהולי סיכוני IT צד של (צילום: יח"צ)
    רבקי קר פרידמן, מובילת תחום ניהולי סיכוני IT צד שלישי, Deloitte | צילום: יח"צ

     

    אם לא תבצעו הערכה עצמאית למערכת אז ייתכן שתישארו עם לקונה שאתם לא מודעים אליה, והדוח שתקבלו לא יספק את המענה הראוי לדרישות הציות.

  3. מה נדרש מאיתנו כדי לעבוד עם הכלי כמו שצריך?

חשוב להבין ששימוש בכלים טכנולוגיים מקל על העבודה – אבל האחריות לעמידה בתנאי הציות נשארת שלכם. לכן, צריך לעשות את האדפטציה ולקנפג את הכלי למה שנכון לצרכים שלכם. לדוגמה, ייתכן והכלי מציע בקרה של מבדקי חדירה אחת לרבעון. יש חברות שזה מספיק להן, אבל עבור חברות מסוימות בקרה כזו צריכה להיות בתדירות גבוהה יותר ויש לשנות את ההגדרות בהתאם. 

אנו ממליצים לבקש גם מהמבקר, שבאחריותו להסמיך ולוודא כי דרישות אבטחת מידע שונות אכן מיושמות, לתת את הדגשים שלו. כאשר החברה מבצעת שימוש בכלי אוטומטי הוא מהווה עבורה IPE (Information produced by entity) – מידע המסופק על ידי החברה - ועל המבקר לתת את דעתו על שלמות ודיוק המידע שנאסף בכלי. כמו כן יש לתת דגש שהכלי האוטומטי עצמו עומד בתקני אבטחת מידע מקובלים, כמו למשל SOC2. 

אין ספק שאנחנו חיים בעידן שבו הכלים האוטומטיים הם חלק אינטגרלי ובלתי נפרד מעמידה בתקני compliance שונים. רק צריך לתת דגשים לכל הדברים הנלווים לכך, כדי שהכלים אכן יהוו עזר ולא מעמסה.

לעוד מידע במפת הפתרונות של Deloitte. לחצו כאן