Si vous préparez votre premier rapport SOC 2, vous souhaitez probablement demander à quelqu'un ce que c'est vraiment de passer par un audit. Que souhaiteraient-ils avoir su à l'avance ? Que feraient-ils différemment ? Quels astuces et conseils ont-ils découverts en cours de route ?

Lors de notre dernière session des heures de bureau de Secureframe | Demandez à un expert, le responsable de la conformité de Secureframe, Rob Gutierrez, était accompagné de Scott Savarie de Current pour partager des informations de première main sur la mise en conformité SOC 2. Current est une plateforme de visibilité en cours de développement pour les équipes de produit, de design et d'ingénierie afin de communiquer et collaborer en temps réel. Les équipes peuvent partager des fichiers de design, poster simultanément sur Slack pour obtenir des retours rapides et tenir les parties prenantes informées avec des résumés hebdomadaires sur l'avancement des projets.

Pendant la session de questions-réponses en direct de 30 minutes, Scott a partagé son expérience de passage par un audit SOC 2, de la création d'une bibliothèque de politiques et de la configuration des contrôles à la collaboration avec l'auditeur pour leur rapport de type I. Lui et Rob ont répondu à une série de questions sur les aspects pratiques de la conformité SOC 2, du nombre d'heures nécessaires pour préparer un audit à la décision de savoir si les sous-traitants sont inclus dans le périmètre. Consultez le récapitulatif de leurs réponses ci-dessous.

Qu'est-ce qui a poussé Current à poursuivre un rapport SOC 2 ?

Scott : Nous avons commencé à obtenir des premiers succès pour le produit, mais lors des appels d'intégration et de vente, nous finissions inévitablement par rencontrer un obstacle avec l'équipe de sécurité des fournisseurs. Nous en sommes arrivés à un point où nous pouvions soit continuer à développer la feuille de route de notre produit et nous concentrer sur de nouvelles fonctionnalités, soit consacrer une partie de ce temps à améliorer nos opérations et à poursuivre la conformité SOC 2.

Nous avons choisi de compléter un rapport SOC 2 Type I et sommes actuellement en période d'audit pour notre rapport Type II. Une fois en cours et montrant notre intention de nous conformer, cela a ouvert des opportunités pour des pilotes internes et des tests. Une fois que nous avons obtenu notre rapport de type I, nous avons pu procéder avec les SLA.

Quels autres fournisseurs d'automatisation de la conformité Current a-t-il envisagés ?

Scott : Nous avons parlé à quelques fournisseurs dans le domaine, mais les appels étaient très orientés vers la vente. C'était un peu rebutant pour nous. Nos appels avec Secureframe n'étaient pas comme ça - nous avons toujours eu une bonne impression avec les gens de Secureframe, où nous avons eu l'impression qu'ils seraient de véritables partenaires pour nous en construisant notre programme de sécurité.

Où voyez-vous les petites entreprises consacrer du temps excessif à leurs efforts SOC 2 qui pourrait être mieux utilisé ailleurs ?

Scott : Dans notre cas, nous ne voulions pas nécessairement prendre six semaines pour dévier notre attention de la feuille de route du produit afin de travailler sur des changements d'infrastructure et de mettre en place des processus et de faire des formations de sécurité et tout le reste. Mais le compromis était que sans cela, nous n'allions jamais obtenir de retours sur le produit.

Avec les logiciels B2B, vous devez vraiment avoir un rapport SOC 2 juste pour avoir une chance. Sans cela, les gens ne pourront même pas utiliser votre produit.

Pouvez-vous donner des exemples de la façon dont vous avez utilisé Secureframe pour simplifier le processus de conformité ?

Scott : Secureframe nous a beaucoup aidés avec notre surveillance de l'infrastructure. Nous utilisons AWS pour toute notre infrastructure et notre backend, et grâce aux intégrations de Secureframe, nous avons pu tout surveiller 24h/24 et 7j/7 et voir si certains tests réussissaient ou échouaient. C'était déjà très utile.

En outre, disposer d'une bibliothèque de modèles de politiques et d'un endroit pour les mettre en œuvre en interne était très utile. Je ne peux même pas imaginer faire cela sans Secureframe pour être tout à fait honnête.

Nous n'avons pas tous nos employés inclus, il y a un sous-ensemble d'entre nous travaillant sur Current, et nous pouvons configurer cela dans Secureframe. Cela facilite le suivi de choses comme si les personnes concernées par notre SOC 2 ont configuré les paramètres appropriés sur leurs appareils. L'agent Secureframe vous permet de vérifier que ces personnes ont les bonnes politiques de mot de passe, utilisent des disques durs cryptés - toutes ces exigences de point de terminaison sont en place.

Quel est le niveau d'effort typique requis pour qu'une startup de logiciel atteigne un SOC 2 Type I ?

Scott : Il nous a fallu environ un mois pour nous préparer à l'audit. Nous avons simplement pris le taureau par les cornes et nous nous y sommes mis à fond. 

Les politiques ont été les plus chronophages pour moi. D'abord, vous devez toutes les lire, ce qui prend du temps, puis les mettre en œuvre dans toute l'entreprise. 

Vous pourriez avoir une réunion annuelle d'examen de la sécurité, ce qui n'est pas nécessairement difficile à faire, mais vous devez avoir une page dans Notion où vous prenez des notes, fixer une invitation de réunion récurrente, puis télécharger ces preuves dans Secureframe. Vous devez suivre une série d'étapes comme celle-ci pour de nombreuses politiques et contrôles.

L'autre partie chronophage est de courir après les gens pour qu'ils complètent la formation à la sécurité et de s'assurer qu'ils ont les bons paramètres de point de terminaison. 

Y a-t-il d'autres coûts associés au processus de conformité, ou l'investissement se mesure-t-il uniquement en temps passé ?

Scott : Nous avons eu quelques autres coûts. Nous avons dû faire un test de pénétration, et devrons le refaire dans un an, ce qui représente quelques milliers de dollars. Il y avait quelques coûts minimes liés aux vérifications des antécédents des employés. Puis, il y a le coût de l'audit proprement dit, bien sûr. Secureframe a des relations avec quelques grands cabinets comptables que vous pouvez rencontrer et choisir.

Quelle est l'expérience de Current avec la réalisation d'une évaluation de la préparation avant l'audit ?

Scott : Nous avons effectué un pré-audit avec Rob et notre CSM Jared où nous avons examiné notre posture de sécurité globale et nous nous sommes assurés que nous étions pleinement préparés avant de commencer l'audit avec le CPA. 

Rob : Chaque client obtient un responsable de support client et un responsable de la conformité pour les accompagner tout au long de leur parcours. Une partie de cela consiste en un appel de préparation avant l'audit pour examiner l'instance du client et discuter de ce à quoi s'attendre de l'audit lui-même. 

Dans le cas de Scott, où il effectue un Type I suivi immédiatement par un Type II, nous avons discuté de certaines de ces différences et de ce à quoi s'attendre. 

Mon objectif principal lors de ces appels est toujours de m'assurer que le client est pleinement préparé pour son audit et, plus important encore, qu'il se sente à l'aise et confiant qu'il va obtenir son rapport.  

Quelles pratiques exemplaires pouvez-vous partager pour la préparation à l'audit SOC 2 Type II ?

Scott : Je pensais être en assez bonne forme avec l'équipe Secureframe. Nous venions de terminer notre audit de Type I et avons commencé le Type II immédiatement, donc nous avions l'impression d'avoir fait toute la préparation à l'avance.

Peut-être qu'il est important de noter que le test de pénétration et l'audit de type I ne sont pas aussi rigides que ce à quoi je m'attendais. Il y a des conversations que l'on peut avoir. Par exemple, notre testeur de pénétration a trouvé quelques problèmes, nous avons pu résoudre ces problèmes, puis ils ont refait le test avant de délivrer un résultat de test de pénétration élogieux. Même chose pour l'audit de type I. Il y avait quelques points où l'auditeur n'était pas clair ou avait besoin d'une pièce supplémentaire de preuve et nous avons pu la fournir. Vous n'avez pas besoin de vous stresser autant à l'avance pour que tout soit parfait car vous avez l'opportunité de corriger le tir. Les lacunes peuvent être corrigées tout au long du processus et nous avons eu les conseils nécessaires de Secureframe pour le faire avec succès.

Combien d'heures l'équipe de Current a-t-elle pris pour se préparer à la SOC 2 Type I ?

Scott : Nous avons mis le paquet pendant un mois. Une fois 90 % du travail de préparation effectué, il restait quelques éléments pour lesquels nous devions attendre, donc nous avons pu recommencer à travailler sur les fonctionnalités. Des choses comme attendre qu'un résultat de vérification des antécédents arrive, ou peut-être que vous avez apporté quelques modifications à AWS mais que les tests prennent un certain temps pour valider que tout est correctement configuré.

Vous pouvez décider de le faire de différentes manières. Vous pouvez allouer une équipe spéciale ou passer une partie de votre temps sur une plus longue période. Mais nous avons décidé d'en faire notre priorité n°1 et de le faire aussi vite que possible.

Restez à l'écoute pour le prochain webinaire Secureframe Expert Insights.

Nous organisons régulièrement des webinaires Secureframe pour aborder les plus grands points de douleur en matière de sécurité, de vie privée et de conformité que nous entendons de la part des prospects, des clients et de nos experts internes en conformité. Trouvez les prochains webinaires ainsi que des enregistrements à la demande des webinaires passés dans notre bibliothèque de ressources de conformité.