Birçok teknoloji şirketi gibi Metadata.io da B2B pazarlama otomasyon işini sıfırdan kurdu ve kişiselleştirme, potansiyel müşteri verisi zenginleştirme ve yaratıcı mikro hedefleme stratejileri gibi önemli işlevleri sürekli olarak ekledi.
Şirket büyüdükçe SOC 2 Tip II ve ISO 27001 gibi kritik onaylara ve standartlara uymak için elinden geleni yaptı. Ancak odak noktası çoğunlukla şirketin temel varlıklarını oluşturmaktı; uyumluluğu kolaylaştırmanın ve otomatikleştirmenin yollarını düşünmek değildi.
Bunlar çerçevelere uymak kolay değil. Aynı kontrollerin yaklaşık %60’ını paylaşsalar da, tamamen farklı çerçevelerdir ve farklı süreçler gerektirirler.
Şirket, bu kontrollere uymak için büyük ölçüde manuel süreçlerle elinden gelenin en iyisini yaptı. Tüm kontroller, belirli kontrollerin sahipleri olmadan ve sürüm kontrolünü sağlamanın bir yolu olmadan elektronik tablolarda yazıldı. Kontroller, iç içe klasörlerde ve Google Drive’da saklandı.
Birkaç yıl sonra, uyumluluk sürecinin işe yaramadığı açıkça ortaya çıktı. Sorunu ele almak ve genel olarak güvenliği artırmak için Metadata.io deneyimli CISO Raymond Taft’ı işe aldı.
Manuel Uyumluluğun Karmaşası
“Buraya ilk geldiğimde, şirketin Seri B bağış toplama kampanyasının başlamasına üç aydan az bir zaman kalmıştı. Hala çok hırçın bir şirketti,” diyor Taft.
İlk iş olarak Metadata.io’nun uyumluluğu ele alışındaki gelişigüzel yolu ele almaktı. Mevcut, büyük ölçüde manuel sistem, uyumluluğu takip etmeyi ve kontrollerin sürekli olarak izlenmesini sağlamayı zorlaştırıyordu.
“Her bir arka plan kontrolü ve gizlilik anlaşması bir klasörde işaretlenmek zorundaydı. Sürekli olarak bu kontrollerin her biri için kanıt toplayıp bunları bu klasörlere koyarsanız, bu çok fazla zaman alabilir,” diyor Taft. “Toplamak bir kabusa dönüşüyor çünkü örneğin belirli günlerde belirli ihtiyaçlar için kanıt toplamak üzere o elektronik tabloya geri dönmeniz gerekiyor.”
Ayrıca emek yoğun bir işti, delil toplamaktan başka bir şey yapmayan altı kişi gerekiyordu. Toplam çalışan sayısı sadece 40 iken bu çok fazla insan demek.
Taft ayrıca şirketin arka plan kontrolleri, performans incelemeleri ve bulut ortamının sürekli izlenmesi konusunda eksik kontrollere sahip olduğunu keşfetti. Belki de daha da endişe verici olan, veri kaybı önlemeve genel olarak güvenlik izlendi ve kontrol edildi.
“Burada çalışmaya başladıktan sonraki ilk üç ay içinde şirketin mevcut büyüklüğünün üç veya dört katına çıkmayı planladığı için asla ölçeklenemeyeceğini biliyordum” diyor.
Otomasyon olmadan Taft duvardaki yazıyı görebiliyordu. Müşteri güvenini kaybetmenin yanı sıra, şirket kanıt toplamaya çok fazla para harcamaya devam etmek zorunda kalacaktı ve tüm işlevi dış kaynak kullanarak yaptırmak zorunda kalabilirdi.
Dış Kaynak Kullanımıyla Uyumluluğun Otomatikleştirilmesi
Uyumluluk işlevini otomatikleştirmek, Taft’ın kontrolü ele geçirmenin ve kontrollerin tutarlı bir şekilde karşılandığından emin olmanın tek yoluydu. İşlevi dahili olarak otomatikleştirmeye çalışmanın iyi bir fikir olmadığını düşünüyordu; bu sadece şirketin temel bir yeterliliği değildi, aynı zamanda önemli bir öğrenme eğrisi gerektirecek ve önemli miktarda zaman alacaktı.
Omdia’da siber güvenlik analisti olan Rik Turner, uyumluluk otomasyonunun birçok işletme için iyi bir seçenek olduğunu söylüyor.
“İşletmeniz birden fazla dikey ve/veya coğrafyayı kapsıyorsa, birden fazla uyumluluk gereksinimine tabi olmanız muhtemeldir. Bu, hepsine uymayı zaman ve kaynak tüketen bir girişim haline getirir, bu nedenle uyumluluk faaliyetlerinizi otomatikleştirmek önemli potansiyel tasarruflar sunar,” diyor.
Ek olarak, tipik bir insan odaklı uyumluluk projesi aylık, üç aylık veya hatta altı aylık bazda gerçekleştirilir, bu da yalnızca tamamlandığı andaki uyumluluğun belirli bir zaman dilimine ait bir görünümünü sağladığı anlamına gelir. Öte yandan, otomatik bir yaklaşım, altyapıda veya iş süreçlerinde bir değişiklik uyumluluktan çıkma riski taşıdığı anda sürekli kontrol ve uyarı vaadinde bulunur, diye ekliyor.
Taft, politikaları yapılandırabilen, kontrol hatalarını veya diğer sorunları belirleyebilen ve yeni kontrolleri hızla dahil edebilen tam yığınlı bir otomasyon aracı istiyordu. Ayrıca çözümün Metadata.io’nun en sık kullandığı yığınlarla entegre olabilmesini sağlamak istiyordu. Bunlara Jira, AWS ve GCP’nin yanı sıra arka plan kontrol sağlayıcısı ve İK platformu da dahildi.
“Bunlara takılıp sürekli olarak kanıt toplayabilirsek, yıl boyunca toplam kanıt toplama ihtiyacımızın %80’inden fazlasını ortadan kaldırabileceğimizi biliyorduk” diyor.
Turner, sürekli uyumlulukla ilgili gereklilikleri karşılayan birçok araç olduğunu söylüyor. Daha spesifik olarak, dikey ve coğrafi kapsam genişliğinin önemli olduğunu belirtiyor. Ancak en önemlisi, potansiyel alıcıların, uyumluluğu ölçen bir aracın uyarı aşamasında durup durmadığını veya bir değişikliğin kuruluşun uyumluluktan çıkmasına neden olduğunu tespit ettiğinde durumları gerçekten düzeltip düzeltemeyeceğini kontrol etmeleri gerektiğini ekliyor.
Bu sorunları aklında tutan Taft, otomatik uyumluluk izleme için Drata’ya karar verdi. Araç, tüm araçlarından kanıt toplamayı otomatikleştiriyor, günün her saniyesinde sorguluyor ve durum hakkında rapor veriyor. Ayrıca Metadata.io’nun uyumluluk programının durumunu denetçilere, soru sormalarına da olanak tanıyan bir portal aracılığıyla iletiyor.
İyi Sonuçlar Üzerine İnşa Etmek
Uygulamadan bu yana Metadata.io’nun dahili uyumluluk ekibi, şirket artık 100’den fazla çalışana ulaşmış olmasına rağmen dört kişiye düşürüldü. Taft, Metadata.io’nun büyüklüğündeki şirketlerin genellikle 10 ila 15 kişilik uyumluluk ekiplerine sahip olduğunu söylüyor.
Şirket ayrıca beklenmedik bir faydayı da fark etti: Hizmetlerinin bir kısmını güven merkezi aracılığıyla Drata’ya katabilmek. Daha önce şirket, müşterilerin erişebildiği bir güven merkezine belgelerini yüklemek için yılda 30.000 dolar ödüyordu. Drata’nın çözümü bir güven merkezi içeriyor ve şirkete bu paradan tasarruf sağlıyor.
Bu, maliyet tasarruflarının sadece bir kısmı. Taft, otomatik uyumluluğun toplamda maliyette 6 kat azalmaya yol açtığını söylüyor.
Zamandan tasarruf da önemli oldu. Örneğin, yalnızca SOC 2 Tip II ve ISO 27001 uyumluluk denetimleri için hazırlık süresi altı haftadan iki haftaya düştü. Taft, yakın zamanda şirketin denetçileriyle denetim dönemi için toplam beş saat görüştüğünü söylüyor. Geçen yıl bu dört gün sürdü.
SOC 2 Bölüm II ve ISO 27001 tamamen otomatikleştirilmiş ve kontrol altında olduğundan, Taft’ın bir sonraki projesi şu gibi diğer uyumluluk projelerine doğru genişliyor: ISO 27701Veri gizliliğine odaklanan ve diğer çerçevelerle birlikte.
Genişlemenin anahtarının, otomasyon aracının eşlemeleri kontrol etme yaklaşımından ve çapraz eşleme yeteneğinden yararlanmak olduğunu söylüyor.
“Onlarca çerçeve var ve hepsi birbirleriyle biraz DNA paylaşıyor,” diye açıklıyor Taft. “Çapraz eşlemeler korkunç olabilir ve aylar sürebilir. Örneğin, ISO 27701, SOC 2 için gizlilikle nasıl ilişkilidir?”
Drata’nın kontrol ve çerçeve eşlemesi, kullanıcıların bir çerçeveye tıklamasını ve hangi kontrollerin ona uygulandığını görmesini sağlar. Bu bilgiyle, yeni çerçeveyi benimsemek için insan kaynakları açısından neye ihtiyaç duyulduğunu ve işletmenin bununla ilerlemesinin mantıklı olup olmadığını belirlemek oldukça basittir, diyor.