Кейси

Кейс: Esgrid проходить аудит SOC 2 Type 2 за 6 місяців

Хмарна B2B SaaS-компанія Esgrid скористалася Kordon, щоб швидко та ефективно досягти відповідності SOC 2. Детальний огляд процесу крок за кроком.

Кейс Esgrid: успішний аудит SOC 2 Type 2 за 6 місяців

Martin Ojala

Co-founder at Kordon

Опубліковано

Про компанію

Esgrid — платформа управління ризиками ланцюга постачань та відносинами з партнерами, призначена для автоматизації та оптимізації оцінки ризиків і управління відносинами для бізнесу. Платформа дозволяє організаціям збирати та аналізувати дані від своїх постачальників, клієнтів та інших учасників ланцюга створення вартості.

Виклик

Готуючись до масштабування, Esgrid усвідомила, що надійна Система управління інформаційною безпекою (СУІБ) є необхідною умовою для захисту даних клієнтів та відповідності галузевим вимогам. Щоб продемонструвати відданість питанням безпеки, Esgrid поставила за мету досягти готовності до SOC 2 за 3 місяці та одразу пройти Type 2 аудит за 6 місяців.

Однак компанія стикнулася з кількома труднощами:

  • Стислі терміни: впровадження СУІБ та підготовка до аудиту — це складний процес, який зазвичай займає понад рік. Esgrid потребувала структурованого підходу, щоб скоротити терміни, не жертвуючи цілісністю відповідності.
  • Відсутність досвіду: в компанії не було нікого з попереднім досвідом побудови СУІБ на основі визнаної системи відповідності.
  • Обмежені ресурси: маючи невелику команду, Esgrid потребувала рішення, яке б зменшило навантаження на внутрішній персонал, забезпечуючи при цьому високу якість практик безпеки.
  • Готовність до аудиту: окрім впровадження, Esgrid мала забезпечити аудиторів необхідними доказами та документацією для успішного проходження аудиту SOC 2.

Для вирішення цих завдань Esgrid звернулася до Kordon.

Рішення

Kordon забезпечив структурований, практичний підхід до впровадження СУІБ, допомігши Esgrid пройти шлях від нуля до готовності до аудиту всього за шість місяців. Процес включав:

1. Прискорене впровадження із завантаженими заходами безпеки

Kordon наповнив акаунт Esgrid набором перевірених заходів безпеки, включаючи регламенти, процеси та технічні засоби захисту, що вже успішно проходили аудити SOC 2 раніше. Ці заходи забезпечили міцну основу, скоротивши час на розробку заходів безпеки з нуля.

2. Щотижневі консультації та підтримка у Slack

Для адаптації заходів безпеки до унікальних потреб Esgrid співзасновник Kordon Мартін провів шість щотижневих стратегічних дзвінків із CTO Esgrid. Ці сесії допомогли відточити регламенти безпеки, визначити чіткі зони відповідальності та узгодити зусилля з впровадження з операційною діяльністю Esgrid.

Для швидкого вирішення поточних питань Kordon також створив спільний канал у Slack, що дозволило команді Esgrid отримувати підтримку в режимі реального часу.

3. Практичне впровадження заходів безпеки

CTO Esgrid Євгеній керував впровадженням заходів безпеки, включаючи:

  • Розгортання технічних заходів безпеки: ведення журналів та моніторинг, контроль доступу та шифрування.
  • Використання платформи Kordon для документування зусиль з відповідності та розподілу відповідальності.
  • Залучення внутрішніх стейкхолдерів для забезпечення дотримання регламентів і процесів безпеки.

4. Підготовка до аудиту

З наближенням аудиту Kordon надав практичну допомогу в:

  • Отриманні пропозицій від аудиторів та виборі відповідної компанії.
  • Перевірці документації з відповідності на повноту.
  • Моделюванні аудиторських сценаріїв для виявлення потенційних прогалин до офіційної оцінки.

5. Підтримка за запитом під час аудиту

Під час аудиту SOC 2 Kordon залишався активно залученим, допомагаючи Esgrid:

  • Ефективно реагувати на запити аудиторів.
  • Визначати відповідні докази для різних критеріїв аудиту.
  • Вирішувати питання відповідності в останній момент, щоб уникнути затримок.

Результати

Завдяки структурованому підходу та практичній підтримці Kordon, Esgrid успішно завершила аудит SOC 2 Type 2 за шість місяців — на 50% швидше за середній показник по галузі. Оптимізований процес забезпечив надійність і практичність системи безпеки Esgrid, дозволивши команді зосередитися на розвитку бізнесу, водночас вбудувавши відповідність у щоденні операції.

Ключові заходи безпеки, що забезпечили найбільший результат

  1. Готові, перевірені регламенти та процеси: замість розробки регламентів безпеки з нуля, Esgrid могла взяти за основу перевірені шаблони документів Kordon, адаптовані під потреби компанії. Це суттєво прискорило процес документування та забезпечило відповідність вимогам SOC 2.
  2. Управління ризиками постачальників: оскільки Esgrid суттєво залежала від хмарних сервісів третіх сторін, безпека постачальників мала бути під жорстким контролем. Kordon забезпечив структуровані процеси для відстеження та оцінки безпекового стану постачальників, зміцнивши загальне управління ризиками Esgrid.
  3. Навчання з питань безпеки: використовуючи платформу Kordon, Esgrid змогла автоматизувати навчання співробітників з питань безпеки, забезпечуючи дотримання регламентів у всій компанії та зменшуючи людські ризики.

«Ми знали, що відповідність SOC 2 стане великим кроком, але Kordon зробив цей процес дуже керованим. Структурований підхід, експертні консультації та підтримка в режимі реального часу зекономили нам місяці роботи.

Ми отримали чіткий план дій і набір заходів безпеки, що справді відповідали нашому бізнесу. Через шість місяців ми були готові до аудиту з впевненістю.»

Євгеній Богатирьов, CTO, Esgrid

Ключові показники

ПоказникРезультат
Час до готовності до аудиту6 місяців
Впроваджено регламентів20
Впроваджено заходів безпеки27
Незадоволених колегЛише кілька і зовсім небагато

Висновок

Шлях Esgrid демонструє, що досягнення відповідності SOC 2 у рекордні терміни можливе за наявності правильної стратегії, інструментів та експертної підтримки. Поєднання завантажених заходів безпеки, практичних консультацій та автоматизації відповідності від Kordon допомогло Esgrid впровадити СУІБ, оптимізувати процес аудиту та пройти його з впевненістю всього за шість місяців.

Маючи надійну основу СУІБ, Esgrid тепер добре підготовлена до безперервного управління та розвитку своєї програми безпеки в міру зростання компанії. Навіть не наймаючи менеджера з безпеки наразі, команда може використовувати Kordon для ефективного відстеження відповідності, оновлення регламентів за потреби та адаптації до мінливих вимог безпеки та нормативних змін.

Для компаній, що зростають і прагнуть швидко побудувати СУІБ, Kordon надає перевірений шлях до успіху в сфері безпеки та відповідності.

Керуйте своєю GRC-програмою з ясністю

Починайте безкоштовно та зведіть заходи, ризики і завдання в одну робочу систему.

Спробувати Kordon Дивитися відео