Tout ce que les startups doivent savoir pour créer un programme de conformité en matière de sécurité

Avec la cybercriminalité en hausse au Royaume-Uni et davantage de PME cibléesla sécurité est plus importante que jamais.

Même si vous pensez que votre entreprise est à l’abri des fuites de données et des cyberattaques, si vous n’êtes pas en mesure de le démontrer à des clients potentiels, votre équipe commerciale pourrait passer à côté d’offres génératrices de croissance. Cela est particulièrement vrai pour les entreprises clientes qui exigent souvent que les partenaires potentiels démontrent leur conformité à certaines mesures clés telles que ISO 27001 et SOC 2.

Tout cela signifie que la conformité en matière de sécurité n’est plus une nécessité pour le Royaume-Uni. startups.

Les programmes de conformité en matière de sécurité aident votre organisation à identifier, mettre en œuvre et maintenir les la cyber-sécurité contrôles pour protéger les données sensibles, se conformer aux lois et aux obligations contractuelles, et adhérer aux normes, exigences réglementaires et cadres nécessaires pour protéger les clients et permettre à l’entreprise de réussir.

Étapes pour commencer

Étape 1 : Définissez vos objectifs et vos besoins organisationnels

Le <3 de la technologie européenne

Les dernières rumeurs sur la scène technologique européenne, une histoire de notre sage vieux fondateur Boris et un art de l’IA discutable. C’est gratuit, chaque semaine, dans votre boîte de réception. S’inscrire maintenant!

Démarrez-vous le programme pour conclure des affaires ? Souhaitez-vous démontrer de manière proactive la confiance ou la conformité ? Plus important encore, qu’essayez-vous d’accomplir et pourquoi ? Après avoir répondu à ces questions, nous vous recommandons d’identifier l’état final souhaité, de le vérifier et de l’aligner sur les principales parties prenantes et leurs besoins. Plus vous serez précis sur vos objectifs et l’état final souhaité, plus il vous sera facile de revenir en arrière vers vos objectifs et d’impliquer également les autres.

Avant de vous soucier de la norme à mettre en œuvre ou des outils à acheter, il est essentiel de vous assurer que ces objectifs sont atteints. plus pour l’organisation que de simplement débloquer des transactions ou résoudre un problème.

À Il se vante, nous exploitons nos efforts de conformité comme multiplicateurs de force dans la mesure du possible. Par exemple, un processus conforme connu dans une unité commerciale pourrait potentiellement être adapté pour fonctionner dans une autre, ce qui pourrait rationaliser le travail interfonctionnel et l’alignement entre différents projets.‍

Étape 2 : Définissez votre feuille de route et votre calendrier

Pensez à diviser votre calendrier en étapes spécifiques que vous pourrez suivre et atteindre. En outre, réfléchissez aux dépendances dont vous devrez tenir compte et à la manière dont elles sont liées.

Cette étape devrait inclure l’identification de la réponse à des questions telles que :‍

• Quels sont nos besoins ou lacunes technologiques connus ?
• Prévoyons-nous que nous devrons investir dans des outils ou un support supplémentaires ?
• Avons-nous une compréhension des exigences techniques de là où nous voulons aller ?
• Devons-nous construire, acheter ou collaborer ?

‍Par exemple, si vous souhaitez créer et envisagez d’embaucher pour le poste, demandez-vous si vous avez besoin de quelqu’un qui soit plutôt un manager capable de définir une direction ou quelqu’un qui est prêt à retrousser ses manches en tant qu’acteur. Ceci est particulièrement important pour un rôle fondamental comme votre première embauche en matière de conformité.

Si vous choisissez d’acheter ou de vous associer, demandez-vous si l’utilisation de services tels qu’un RSSI virtuel (vCISO), un fournisseur de services gérés (MSP) ou d’autres ressources fractionnées pourrait répondre à vos besoins et objectifs de manière plus rentable. Ceci est particulièrement important si vous disposez d’une pile technologique très large ou d’opérations complexes, car une entreprise MSP ou vCISO aura généralement accès à plus de ressources expertes que n’importe quelle personne peut en connaître.

Si vous créez un programme à partir de zéro ou pour la première fois, il peut être plus rentable de faire appel à un tiers de confiance pour compléter votre travail plutôt que d’embaucher un ou plusieurs ETP pour créer un programme en interne. Quelle que soit l’option choisie, vous recherchez probablement une personne, voire une équipe, possédant des connaissances en matière de confidentialité et/ou de conformité ainsi que des connaissances en ingénierie technique.

Une partie de la définition de vos objectifs consiste également à mesurer vos progrès et à vous assurer que ce que vous mesurez est pertinent par rapport aux résultats escomptés. Lorsque vous développez votre programme, veillez à identifier les indicateurs clés qui aident votre organisation à comprendre et à partager les réalisations et les résultats de votre programme de conformité en matière de sécurité.

N’oubliez pas que vous devrez prioriser ce que vous construirez et quand. Cela est particulièrement vrai étant donné que vous aurez probablement une longue liste d’actions à entreprendre et plus d’outils et de besoins que votre budget ne le permet. L’approche que nous avons adoptée chez Vanta consiste à aligner notre programme de conformité en matière de sécurité sur nos objectifs commerciaux, ce qui garantit également que nous répondons aux besoins de nos clients et de notre activité dans son ensemble.

À titre indicatif, notre équipe aime faire référence à Verizon Cinq contraintes de la compétence organisationnelle comme décrit dans leur Rapport sur la sécurité des paiements 2019 pour nous aider à structurer notre approche de notre programme de conformité. Ce cadre souligne l’importance de la capacité, de la compétence, de l’engagement et de la communication en tant que clé de la santé et de l’efficacité d’un solide programme de conformité en matière de protection des données. Nous vous suggérons de le lire rapidement si vous êtes intéressé !

Étape 3 : établir des priorités et commencer à construire

Maintenant que vous comprenez vos besoins et votre calendrier, il est temps de commencer à prioriser vos efforts en fonction des besoins et des contraintes de votre entreprise. Vous pouvez commencer par suivre les étapes suivantes :

• Vérifiez à nouveau l’alignement avec les objectifs de l’entreprise– votre plan répond-il toujours aux besoins de l’entreprise ou a-t-il connu une dérive ou une dérive du plan qui pourrait introduire des frictions inutiles ?
• Fixer des délais officiels sur la base de votre nouvelle compréhension des objectifs du projet et lancez officiellement la mise en œuvre de votre programme.

N’oubliez pas que la sécurité et la conformité sont des trous noirs infinis sans contexte. Assurez-vous que ce que vous envisagez de faire en matière de conformité comporte des garde-fous pour garantir que vous consacrez votre temps et vos efforts à des endroits qui génèrent des résultats commerciaux mesurables.

‍Enfin, comprendre, définir et communiquer pourquoi Si vous travaillez pour atteindre ces objectifs, qu’il s’agisse de répondre aux besoins des clients, d’atteindre des objectifs de revenus ou de réduire les risques internes, vous pouvez également en impliquer d’autres.

Considérations supplémentaires : parties prenantes et ressources

N’oublie pas ça parrainage, engagement et budget de la direction sont quelques-uns des éléments les plus critiques d’un programme de conformité de sécurité solide. Nous vous suggérons de les rechercher le plus tôt possible et de continuer à construire ce pont en mettant en évidence les risques, l’impact (y compris positif !) et le parcours global de conformité en matière de sécurité de votre entreprise.

‍Après avoir déterminé vos objectifs et identifié vos besoins en matière d’outillage et de technologie, il est utile de savoir quels outils sont disponibles et ce qui répond le plus à ces besoins. Faire référence aux tendances et aux commentaires de l’industrie peut être un bon point de départ, ainsi que réseauter avec d’autres acteurs de l’industrie qui sont ou ont relevé des défis similaires.‍

Conseils et suggestions pour élaborer votre programme de conformité de sécurité

Bien que chaque équipe et entreprise aborde la création de programmes de conformité de sécurité de manière légèrement différente, voici quelques conseils que nous vous suggérons :

• Construire la répétabilité : Même s’il peut être tentant de viser des gains rapides, concentrez-vous sur des processus et des résultats reproductibles au sein de votre programme. N’oubliez pas que les exercices d’incendie sont souvent le signe de processus défectueux.
• Commencez avec une base solide : Concentrez-vous sur les fondamentaux et maîtrisez bien vos fondamentaux. Quelle que soit la maturité de votre programme, les fondamentaux comptent toujours.
• Évitez le syndrome des objets brillants : Les outils et la technologie peuvent aider, mais ne feront qu’exacerber les processus défaillants.

Prêt à commencer à élaborer un solide programme de conformité en matière de sécurité ?

Vérifier Le guide Vanta pour les startups britanniques pour en savoir plus sur les différences et les similitudes entre ISO 27001 et SOC 2 et sur ce qui convient à votre organisation. Vous apprendrez également à tirer parti de l’automatisation de la conformité pour rationaliser la certification et soutenir votre entreprise dans son expansion internationale.