2014年後半、LogicMonitorは大規模なプロジェクトに着手しました。LogicMonitorSaaSプラットフォームのSOC2タイプ1監査です。 LogicMonitorの財務担当副社長として、リスクやコンプライアンスなど、多くの分野で法務と戦略的イニシアチブを推進しています。 より大規模で洗練された顧客と関わり始めたとき、セキュリティと可用性への取り組みを強化し、プラットフォームの背後にあるポリシーと手順に顧客に透明性を与えるための手段が必要であることに気付きました。 Ernst&Youngはこの分野で専門的な業務を行っており、ソフトウェアインフラストラクチャの革新に情熱を注いでいるため、アドバイスを求めました。
2年早送り–顧客と見込み客に提供するSOC 1タイプXNUMXレポートがあります(もちろん、NDAの下で)。 それは過酷で費用がかかり、確かにすべての機能にわたってより多くの内部プロセスがあります。 しかし、それは私たちの未来だけでなく、お客様の未来にとっても非常に重要でした。
この旅の中で、私たちは会社の運営を非常に深いレベルで評価し、重要な根本的な変更を加えました。 お客様は、ソフトウェアサービスと会社を運営するためのベストプラクティスと次世代アプローチをどのように展開しているかについての洞察を得ることができます。 このプロセスにより、見込み客のITセキュリティ質問票への記入、SLAの交渉、および見込み客の弁護士とのプライバシーの話し合いに費やす時間も短縮されます。
その過程で学んだXNUMXつのことを次に示します。
1.最も簡単な方法が常に最良の方法であるとは限りません –監査人は、特定されたギャップに対する最も簡単な解決策を提案する傾向があります。 ただし、急速に成長している場合は、時間をかけて、会社のニーズに最適な最も徹底的で自動化されたソリューションを実装する必要があります。
2.小刻みに動く部屋があります– SOC 2監査は、特定の方法で物事を行う必要があることを示しているのではなく、特定の基準に準拠する必要があることを示しています。 内部プロセスを微調整またはオーバーホールするときは、実装する変更が長期的に実行可能であることを確認してください。
3.常にトレイルを残す –すべての機能にわたる内部プロセスの証拠があることを確認します(たとえば、ボブが毎月セキュリティスキャン結果を確認していることを証明できます)–この証拠がないと、監査が保留されます。
4.ドキュメント、ドキュメント、ドキュメント –他の要件の中でも、監査では、すべてのポリシーと手順が十分に文書化されている必要があります。 監査人が来るXNUMX週間前に急いで提出しなければならない文書が少なければ少ないほど、問題が発生する可能性は低くなります。
5.監査人が来る前に内部ウォークスルーを行います –証拠を見つける場所を知り、文書化されているとおりであることを確認すると、監査プロセスが簡素化(および短縮)されます。
長期的なセキュリティとコンプライアンスのロードマップに取り組んでいるため、これは旅の始まりにすぎません。 これらのプロセスを財務部門から引き続き監督できることをうれしく思います。アイデアや経験を交換したい場合は、私に連絡してください。
ここに 詳細については、完全なプレスリリースです。
この記事に貢献してくれたSarahTerryとJeffBehlに感謝します。