מה זה SOC 2 ולמה זה חשוב גם לעסקים קטנים בישראל

SOC 2 (Service Organization Control 2) הוא תקן אמריקאי שמאשר שלחברה יש בקרות אבטחה מספיקות בחמישה תחומים: אבטחה, זמינות, סודיות, פרטיות, ואינטגריטי של עיבוד. הוא נוצר על ידי AICPA (איגוד רואי החשבון האמריקאי) לעולם של חברות שירות שמטפלות במידע של לקוחותיהן.

בשנים האחרונות הרבה לקוחות B2B אמריקאיים והאירופאיים דורשים מספקים שלהם להיות SOC 2 compliant. אם אתם חברת תוכנה, חברת SaaS, חברת שירותים פיננסיים, או חברת IT שעובדת עם לקוחות מחו״ל — סביר להניח שמישהו ידרוש מכם את האישור הזה. בלי זה, הרבה דלתות פשוט סגורות.

**SOC 2 Type I:** מצלם רגע בזמן. בודק שיש לכם בקרות מתאימות נכון להיום. מהיר יותר וזול יותר — 3-6 חודשים, 30,000-60,000 ש״ח. **SOC 2 Type II:** בודק שהבקרות עבדו לאורך זמן (לרוב 6-12 חודשים). יותר מקיף ויותר מקובל. 9-18 חודשים מתחילת התהליך, 80,000-200,000 ש״ח (כולל הסמכה ועלויות פנימיות). רוב הלקוחות הגדולים דורשים Type II.

בגדול: ניהול גישות (מי נכנס לאן), אבטחת רשת (firewalls, VPN, segmentation), ניטור לוגים, גיבוי ושחזור, תוכנית תגובה לאירוע, מדיניות סיסמאות חזקה, 2FA חובה, הצפנה (in-transit ו-at-rest), בקרת שינויים (change management), הדרכת עובדים, וניהול ספקים. נשמע הרבה — וזה באמת הרבה.

**שלב 1 (חודש 1):** Gap analysis. בודקים מה כבר יש לכם ומה חסר. בד״כ עסק ישראלי טיפוסי מתחיל עם פערים של 30-50 בקרות. **שלב 2 (חודשים 2-6):** סגירת פערים. בונים את המסמכים, מטמיעים כלים (SIEM, MDM, password manager, etc), מבצעים הדרכות. **שלב 3 (חודשים 7-12):** Observation period. כל מה שהוטמע צריך לעבוד באמת לאורך זמן. **שלב 4 (חודש 13-15):** ביקורת רשמית על ידי auditor חיצוני (CPA אמריקאי), ובסוף — תעודת SOC 2.

ITNinja היא לא חברת ייעוץ ל-SOC 2 — אנחנו לא חותמים על דוחות. אבל אנחנו עוזרים בחלק הטכני שמהווה 60-70% מהעבודה: הקמת תשתית מאובטחת, MDM למחשבים, password manager ארגוני, SIEM פשוט (Wazuh / Splunk), backup עם הצפנה, EDR, firewall ארגוני, ועוד. אנחנו עובדים עם יועצי SOC 2 ישראליים שמובילים את התהליך הפרוצדורלי, בעוד אנחנו דואגים שהמערכות באמת יעמדו בדרישות.