כל סטרטאפ צריך למכור. כזה פשוט ועדיין לפעמים שוכחים לחשוב על זה מההתחלה.
ממש מההתחלה. בין התוכנית העיסקית שהכנתם, ל-Pitch Deck, אחרי שיש לכם כבר שותף או שניים לדרך, ולפני או אחרי שגייסתם כסף - לפעמים יזמים נוטים לחשוב על כל כ״כ הרבה אחרים דברים בתחילת הדרך בלי לחשוב על השורה התחתונה בדוח הכנסות והוצאות שלכם - כמה הכנסות היו לחברה.
ואולי עדיף עוד לפני שכתבתם את שורת הקוד הראשונה.
הבעיה? מכירה מורכבת ממספר דברים שלא תמיד ידועים לנו בתחילת הדרך, ואם אתם מוכרים לחברות גדולות (Enterprise) או לחברות יותר קטנות (SMBs) סביר שSOC 2 & ISO 27001- Compliance יכולה להיות דרישה מהלקוחות שלכם לפני שהם יחתמו על חוזה. במילים אחרות, אם הגעתם עד לשלב שמדברים איתכם על אבטחת מידע אתם תתבקשו לספק הוכחה להטמעת סטנדרט גלובאלי בעולמות אבטחת המידע כדוגמת SOC 2 או ISO 27001.
הסיבה פשוטה, חברות רוצות למזער את סיכון שעלול להיגרם מעבודה עם המערכת שלכם למינימום האפשרי. לקוחות שיבחרו לעבוד איתכם יתבקשו להזין מידע מסוים, בדרך מסוימת, למערכת שלכם. המידע הזה הוא מידע של הלקוח שלכם, ואתם נדרשים להגן עליו.
תארו לעצמכם את הנזק שיכול להיגרם ללקוח שלכם אם ידלוף, ייגנב, או ימחק מידע. קשה לשערך את הנזק הכלכלי שייגרם מהחשיפה לתביעות או פגיעה במוניטין.
אם בעבר עמידה בתקני אבטחת מידע גלובאלים היתה נחלת התאגידים, היום זוהי נחלת הכלל.
מציאות חדשה של אבטחת מידע
הצמיחה בשימוש בענן ובמוצרי SaaS בעשור האחרון היא חסרת תקדים, והיום סטרטאפים נדרשים לכך בשלבים מוקדים. כמה מוקדים? חתימה על חוזה עם Design Partner, לקוחות חדשים, כניסה ל-Marketplace, גיוס סבב A, חדירה לשווקים חדשים ועוד.
למעשה, רוב חברות SaaS B2B יטמיעו לפחות תקן אחד בשנתיים הראשונות שלהן, כלומר בשלבי ה-Pre-Seed ו-Seed.
העניין עם SOC 2 & ISO 27001 Compliance שהוא דורש זמן עבודה שלכם ושל הצוות שלכם, לוקח זמן עד לקבלת ההסמכה, דורש ידע מסויים ועולה כסף.
בוא נפרט קצת יותר מה זה אומר:
דורש זמן
בין שאתם ה-CTO, CEO או Co-founder בתפקיד כזה או אחר, הזמן שלכם קריטי. מובן מאליו שהטמעה של SOC 2 לא בהכרח בראש סדר העדיפויות שלכם. עד שהוא כן. וברגע שהוא כן, אתם תעשו כל מה שצריך בשביל לקבל אותו כמה שיותר מהר. וזה לוקח זמן, מעכב דברים אחרים, דוחה Roadmap ועוד. כמה זמן? 200-250 שעות בממוצע לסטרטאפ קטן.
לוקח זמן עד לקבלת הסמכה
קיבלתם החלטה שמטמיעים תקן, יוצאים לדרך וכמה שיותר מהר. עדיין ישנם גורמים שלא תלויים בכם, לדוגמא כמה זמן ייקח לזהות את הפערים בין המצב הקיים בחברה למצב הרצוי (לצורך העניין, SOC 2). כמה זמן ייקח לתקן את הפערים, להטמיע בקרות, להטמיע כלים ותהליכים, לכתוב מסמכי מדיניות ועוד. האם ישנה תקופת ביקורת שתגדיל את לוחות הזמנים להסמכה, כמה זמן ייקח למבקר החיצוני לבצע את הביקורת וכמה זמן ייקח לו להפיק את דוח ההסמכה הסופי.
דורש ידע
כמו כל דבר בחיים, אם לא עברתם את זה בעבר תצטרכו להשקיע זמן בלמצוא חומרים/אנשים רלוונטיים, להבין, ללמוד ולתקן. לדוגמא, בהסמכה של ISO 27001 תצטרכו להגדיר אילו בקרות (מתוך 94) רלוונטיות אליכם, ואילו לא. אלו שלא - למה לא. אלו שכן - האם קיימות או צריך להטמיע בפעם הראשונה. אלו הקיימות - מה תהליך הבדיקה ומה נדרש לספק. אלו שלא ,האם ניתן להטמיע באופן ידני, או יש להיעזר בספק חיצוני. ב-SOC 2 אתם תידרשו לכתוב את הבקרות בעצמכם, להתאים אותן לאירגון, ולמפות אותן לקריטריונים הרלוונטיים. עוד על התקנים בהמשך.
עולה כסף
המשתנים שאתם צריכים לקחת בחשבון בשביל להבין את העלויות הכוללות
- עובדים - כמה שעות אתם תצטרכו להשקיע, וכמה שווה שעת עבודה שלכם.
- מבקר חיצוני - תלוי בתקן, בין $5,000-$20,000
- עזרה חיצונית (מערכת אוטומציה לקומפליינס, ייעוץ, גם וגם) - $10,000-$20,000
- בדיקת חדירה למערכת $5,000-$10,000
- כלים נוספים כמו Anti-malware, security awareness training, endpoint management, vulnerability scanners, sso and more.
מה חשוב לדעת בתהליך הטמעה של SOC 2 או ISO 27001? אלו תקני אבטחת מידע גלובאליים, ורוב הסיכויים שתצטרכו להטמיע לפחות אחד מהם, לעיתים גם את שניהם. כל תקן מבוסס על מתודולוגיית ביקורת שונה, Framework שונה וגישה שונה.
מוכרים לארה״ב? כנראה צריך SOC 2
בודק: דוח של מבקר חיצוני בלתי תלוי בחברת ראיית חשבון הרשומה ב-AICPA (לדוג׳, EY)
סוגים: Type I vs. Type II.
- Type I: פשוט יותר, פחות זמן - עיצוב והטמעה של בקרות על פני נקודה בזמן. בדיקה דיכוטומית - כו או לא עומדים בבקרות. 3-5 חודשים.
- Type II: מורכב יותר, יותר זמן. עיצוב, הטמעה ובדיקת האפקטיביות על פני תקופת זמן של הבקרות. 5-10 חודשים. אחורה, אפקטיביות של בקרות על פני תקופה של זמן
תוצר סופי: דו״ח של 50-100 עמודים עם 4 פרקים - הצהרת הנהלה, חוות דעת סופית, הסבר על החברה והמוצר, כל תהליכי הבדיקה והממצאים שעלו.
מוכרים לאירופה? כנראה צריך ISO 27001
בודק: דוח של מבקר חיצוני בלתי תלוי בארגון הסמכה מאושר, אשר עבר אקרדיטציה ע״י אירגון בינלאומי (RVA, ANAB). בישראל יש את מכון התקנים, Ronet, IQC ועוד.
סוגים: ISO 27001:2013 vs ISO 27001:2022
- ISO 27001:2013 - גירסה ישנה של התקן
- ISO 27001:2022 - גירסה עדכנית אשר כל האירגונים יהיו מחוייבים לעבור אליה עד אוקטובר 2025.
תוצר סופי: תעודת הסמכה שניתן לשתף עם לקוחות ודוח המבקר המכיל את כל הממצאים שעלו מהמבדק.
לסיכום
זמן שחסכתם זה זמן שהרווחתם. הזמן שלכם הוא הדבר החשוב ביותר שיש לכם ואתם צריכים להשקיע אותו כראוי. קשה עד בלתי אפשרי לחזות מראש את כל הדברים שיזמים יידרשו להתמודד איתם בתחילת הדרך. SOC 2 וISO 27001 הוא אחד מהם. חברות נדרשות לעמוד בסטנדרים גלובאליים של אבטחת מידע כי זה מה שהלקוחות שלהם דורשים מהם בשביל לחתום על חוזה ולהתחיל לעבוד ביחד.
כמה טיפים לפני שאתם יוצאים לדרך:
- קבלו החלטה איזה תקן רלוונטי אליכם. כדאי להתחיל עם מנהל המכירות ולהבין האם הפסדתם מכירה עקב אי-עמידה בתקן מסוים.
- הובלה - החליטו מי מוביל את הפרויקט בתוך החברה, ולמי ה-Accountability המלא על הפרויקט. דוח ״נקי״, עמידה בלוחות זמנים, תקשורת פנימית וחיצונית, וניווט אל היעד בהצלחה.
- רתימת ההנהלה ועובדי האירגון. מי שמוביל את הפרויקט חייב את תמיכתם. הטמעה של תהליכים חדשים ישפיעו על יעדים של עובדים אחרים, ולכן חשוב להסביר למה החברה בחרה לעבור את התהליך הזה.
- השותפים לדרך. חברת ייעוץ, חברת מוצר, מבקר חיצוני ועוד, אלו רק חלק מהגורמים שרלוונטיים להצלחת הפרויקט. בחרו בחוכמה ותזכרו שבסוף התקנים, המערכת, והיועץ צריכים להתאים לאירגון - ולא האירגון צריך להתאים את עצמו אליהם. אלו מכם הבוחרים לצאת לדרך ללא עזרה, יכולים לעשות את הקורס SOC 2 Masterclass (קורס חינמי) שיקנה לכם כלים חשובים להכנת האירגון ולצליחת הביקורת.
- אם זה לא יהיה פשוט, זה פשוט לא יהיה. סדר, אירגון ותקשורת ברורה הכרחיים לתהליך מוצלח. תהליכי תקינה אלו תהליכים מורכבים, ארוכים וחוצי מחלקות. החליטו על Single Source of Truth, פתחו ערוץ ייעודי ב-Slack, ומקום מרכזי בו כולם עובדים וחולקים את הראיות הנדרשות.
- תקציב. הבינו את העלויות הכוללות מההתחלה. כן, זה כולל גם את הזמן של הצוות ושלכם שיושקע בפרויקט. נסו להיות כמה שיותר Lean, והבינו שדברים משתנים בכל עת באירגון וחלק מהבקרות שמוטעמות היום ככל הנראה ישתנו בשנה הבאה. אירגון של 10 עובדים לא בהכרח צריך להטמיע כלים יקרים ומסובכים, אלא יכול לנהל זאת ידנית עד שהאירגון גדל והדבר מתבקש.