مطالعه موردی: چگونه ManagingLife به SOC 2 دست یافت و امنیت و حریم خصوصی را در تجارت خود تعبیه کرد

مطالعه موردی: چگونه ManagingLife به SOC 2 دست یافت و امنیت و حریم خصوصی را در تجارت خود تعبیه کرد


ما این فرصت را داشتیم تا با طاهر جانمحمد، موسس و مدیر عامل ManagingLife مصاحبه کنیم. گفتگوی ما حول اهمیت امنیت در یک شرکت مراقبت بهداشتی به سرعت در حال رشد، انتخاب آنها برای دنبال کردن SOC 2، استراتژی های آنها برای مقابله با چارچوب های امنیتی آینده، و کمک ارزشمند ارائه شده توسط Carbide Platform و تیم کارشناسان امنیتی آن برای تسریع در مسیر انطباق آنها بود. .

کمی در مورد ManagingLife و کاری که انجام می دهید به ما بگویید.

ManagingLife یک شرکت بهداشت دیجیتال مستقر در تورنتو است. ماموریت ما بهبود زندگی افراد مبتلا به درد مزمن است، چالشی که تقریباً 20 درصد از جمعیت جهان را تحت تأثیر قرار می دهد. ما یک راه حل مدیریت درد دیجیتال پیشرو در صنعت و پلت فرم مبتنی بر برنامه معتبر بالینی به نام Manage My Pain ارائه می دهیم.

چرا امنیت و حریم خصوصی برای شرکت شما مهم است؟

وقتی صحبت از مراقبت های بهداشتی به میان می آید، داده هایی که جمع آوری می شوند معمولا حساس تر هستند. کاربران ManagingLife می‌توانند علائم و تجربیات را به‌گونه‌ای ردیابی کنند که به آن‌ها اجازه دهد از خودشان دفاع کنند – این صدایی برای چیزی است که آن‌ها تجربه می‌کنند. از آنجایی که چنین اطلاعات شخصی جمع آوری و ذخیره می شود، اقدامات حفاظتی ضروری است. امنیت و حریم خصوصی برای اینکه واقعاً در مأموریت ما مؤثر باشد و اعتماد کاربرانمان را حفظ کند، بسیار مهم است.
همچنین تغییری در صنعت مراقبت های بهداشتی وجود دارد که در آن شرکای سیستم مراقبت های بهداشتی، بیمارستان ها و ذینفعان اکنون الزامات امنیتی و حریم خصوصی جامعی دارند که باید با آنها مرتبط شود. همچنین یک مؤلفه قانونی وجود دارد – ما طبق قانون ملزم به رعایت الزامات امنیتی و حریم خصوصی هستیم تا به عنوان یک شرکت سلامت دیجیتال که با اطلاعات سلامت شخصی سروکار دارد، فعالیت کنیم.

به نظر شما چرا SOC 2 بهترین چارچوب انطباق برای پیگیری است؟

امنیت و حریم خصوصی بر اساس طراحی از ابتدا برای ما یک اولویت بوده است – آنها همیشه بخشی از استاندارد عملکرد ما بوده اند. ما در ابتدا سیاست‌ها، فرآیندها و ساختارهایی را برای اطمینان از رعایت امنیت و حریم خصوصی در نظر گرفتیم – اما همانطور که رشد کردیم، متوجه شدیم که برای ارائه شواهد مناسب از تلاش‌ها و سیستم‌هایی که داشتیم، به رسمی‌سازی نیاز داریم. ما تصمیم گرفتیم بین ISO27001 و SOC 2 یکی را انتخاب کنیم. در نهایت، همه چیز به مکان ختم شد – SOC 2 در آمریکای شمالی رایج تر است، جایی که اکثر مشتریان و شرکای ما در آنجا هستند. همانطور که به اتحادیه اروپا و بریتانیا گسترش می‌دهیم، قصد داریم در راستای انطباق با ISO27001 کار کنیم. این استراتژی در انتخاب راه حل امنیتی و حفظ حریم خصوصی بسیار مهم بود. یکی از دلایلی که ما پلتفرم کاربید را انتخاب کردیم، توانایی گسترش و ایجاد بر اساس آنچه به دست آمده است است.

چه کسی مسئول امنیت در سازمان شماست؟

من مسئول امنیت ManagingLife هستم. پیشینه من در معماری سازمانی است، با تجربه گسترده در زمینه توسعه و مدیریت سیستم های سطح سازمانی. این به من به عنوان بنیانگذار و مدیر عامل ManagingLife دیدگاهی منحصر به فرد و تاکتیکی داد. رویکرد من این است که لحن فرهنگی را تقویت کنم که امنیت و حریم خصوصی را در اولویت قرار دهد. این باید توسط مدیریت تنظیم و مدل‌سازی شود و برای همه اعضای تیم ManagingLife قابل دسترسی باشد.

آیا رعایت SOC 2 بر چرخه فروش شما تأثیر می گذارد؟ اگر چنین است، چگونه؟

کاملا. امروزه، انتخاب کار با یا مشارکت در خدمات راه‌حل‌های فناوری نوآورانه و منحصر به فرد مراقبت‌های بهداشتی مانند ManagingLife فقط یک تصمیم تجاری نیست، بلکه می‌تواند یک خطر کامل امنیت اطلاعات باشد. بدون گواهی SOC 2، می توان یک شرکت را دارای مشخصات ریسک افزایش یافته در نظر گرفت. انطباق نه تنها بلوغ امنیتی ما را بهبود می بخشد. اطمینان حاصل کنیم که موقعیت امنیتی و حریم خصوصی ما در طول فرآیند تدارکات به مانعی تبدیل نمی شود.
علاوه بر این، سازگاری SOC 2 به پرسشنامه های امنیتی فروشنده کمک کرد. این یک چارچوب رسمی برای ترسیم سوالاتی که از ما پرسیده می شود فراهم می کند و شواهدی را از طریق گزارش SOC 2 ارائه می دهد.

فرآیند انطباق با SOC 2 چگونه بود؟

از ابتدای این فرآیند، ManagingLife حدود 80٪ از الزامات SOC 2 را برآورده کرد. آنچه ما نیاز داشتیم یک ساختار رسمی‌تر برای نقشه‌برداری، پیاده‌سازی و اعتبارسنجی کنترل‌های امنیتی و حریم خصوصی ما بود. پلتفرم و تیم کاربید با کمک به ما در توسعه و اجرای سیاست‌هایی که مستقیماً به فرآیندها و رویه‌های ما مرتبط است، روند را تسریع کردند. پلت فرم، تیم و خدمات Carbide به پر کردن شکاف هایی که در فرآیند انطباق SOC 2 داشتیم کمک کرد.

تجربه شما از کار با کاربید چگونه بود؟

ما خیلی خوب احساس حمایت کردیم. ما واقعاً از تماس انسانی ارائه شده قدردانی کردیم – همیشه کسی بود که می توانستیم در صورت نیاز با او صحبت کنیم، از جمله کارشناسان مختلفی که می توانستند در مورد سؤالات خاص ما بحث کنند و در هر مرحله راهنمایی ارائه دهند. کارهایی که ما انجام می دهیم تفاوت های ظریفی دارد و داشتن فردی با تجربه گسترده برای پیمایش در مسیر امنیت و حریم خصوصی بسیار ارزشمند بود. تیم کاربید این فرآیند را با استفاده از پرسش‌های کاوشگر برای کمک به تیم ما برای دریافت خروجی و پاسخ‌های مورد نیاز تسهیل کرد. پلتفرم در حال تکامل و بهبود است. ما آن را به ویژه در طول ممیزی مفید یافتیم، زیرا هر کاری که در پلت فرم انجام شود می تواند در طول ممیزی مورد استفاده قرار گیرد.

آیا می توانید یک مثال واقعی در مورد اینکه چگونه کاربید تلاش را به طور مداوم کاهش می دهد ارائه دهید؟

کاربید همه چیزهایی را که برای ساده‌سازی فرآیندهای تمرین‌های دسکتاپ واکنش به حادثه، اعمال خط‌مشی‌های ما، ارزیابی‌های سالانه ریسک و آموزش‌های آگاهی امنیتی نیاز داشتیم، فراهم کرد. قالب ها، ساختار و تیم متخصصان به راحتی در دسترس آنها به ما کمک کرد تا مجبور نباشیم خودمان از ابتدا شروع کنیم.

انطباق با کاربید را ساده کنید و سفر امنیتی خود را تسریع کنید

رعایت استانداردهای امنیتی مورد نیاز مشتریان سازمانی، مانند SOC 2 و ISO27001، می تواند یک فرآیند دشوار و پرهزینه باشد. با این حال، پلت فرم کاربید یک راه حل کامل ارائه می دهد. کاربید با متمرکز کردن کنترل‌ها، خط‌مشی‌ها، تولید وظایف حیاتی و ارائه ابزارهای برنامه‌ریزی، شما را قادر می‌سازد تا جدول زمانی انطباق خود را تسریع کنید. بیایید بحث کنیم که چگونه کاربید می تواند در زمان و هزینه شما در مورد SOC 2، ISO27001 و سایر الزامات انطباق صرفه جویی کند.