En tant qu’ancien CTO, je sais que des intégrations sont nécessaires pour fournir des produits basés sur les données en ligne. J’ai conçu des systèmes de données transactionnelles qui s’intègrent aux réseaux de télécommunications mondiaux, aux systèmes de suivi des candidats et aux infrastructures basées sur le cloud. Des intégrations puissantes ne sont pas difficiles à concevoir. Il est facile d’identifier les données que vous souhaitez partager entre deux systèmes différents.
Une intégration, cependant, est assaillie par la même série d’embûches que toute fonctionnalité de produit ou innovation technologique peut nécessiter, avec un gros problème : au moins la moitié des exigences n’ont jamais été conçues en pensant à vous, à votre cas d’utilisation ou à vos objectifs organisationnels.
La relation complexe entre vos fournisseurs, la technologie et l’ensemble de votre entreprise fait des intégrations un problème difficile. Cela rend également les solutions potentielles très fragiles. Si le problème que vous essayez de résoudre est un audit SOC 2 ou une certification ISO 27001 pour stimuler les ventes, une intégration ne rendra pas la réussite de votre audit plus rapide. En réalité, il sera plus difficile à réaliser.
Le problème que vous essayez de résoudre
Avant les normes de sécurité largement publiées telles que SOC 2 ou ISO 27001, une grande partie du travail de sécurité était cloisonnée dans des fonctions commerciales spécifiques telles que la gestion du conseil d’administration, les RH ou l’infotech. Chaque groupe a conçu les meilleures pratiques en fonction de l’expertise de ses dirigeants. Peu d’acheteurs ont posé des questions.
Avoir une norme publiée avec une méthodologie de test ou d’audit validée fournit un nouveau signal important dans la maturité de l’ensemble de votre organisation. Les acheteurs peuvent indiquer des informations d’identification spécifiques et exiger des entreprises qu’elles réalisent une évaluation indépendante pour être certifiées. À mesure que le nombre et la variété des fournisseurs ont augmenté, les acheteurs ont de plus en plus identifié des outils efficaces pour analyser votre position en matière de sécurité.
Le meilleur moment pour mettre en œuvre une intégration est lorsque vous êtes sûr qu’elle est utile.
Si le problème que vous essayez de résoudre est la confiance via la certification, une intégration technique accélère-t-elle la conformité ?
Les intégrations inhibent la conformité et augmentent les risques
Il n’y a aucune exigence d’intégration pour SOC 2, ISO 27001, HIPAA ou même CMMC, et il n’y a pas de norme de sécurité publiée qui nécessite une intégration pour atteindre la conformité. Même les normes courantes telles que PCI-DSS, GDPR ou CCPA peuvent être atteintes sans intégrations, agents déployés ou technologie d’entreprise.
En effet, toutes les normes de sécurité sont conçues pour ne nécessiter aucune technologie, aucun personnel ou aucun processus spécifique. Les auteurs de normes comme ISO 27001 reconnaissent que chaque entreprise est de plus en plus unique. Par exemple, les entreprises qui proposent un modèle de déploiement sur site ou dans un cloud privé ne sont probablement pas tenues de se conformer à la partie surveillance de la norme de sécurité SOC 2 lors de l’audit. Les organisations de services qui développent de la propriété intellectuelle, comme des logiciels pour leurs clients, ne sont probablement pas tenues de se conformer aux parties de gestion du changement d’ISO 27001 et de SOC 2 Sécurité.