תעשיית ההייטק הישראלית צומחת בקצב מהיר וחלומות על אקזיט מתחלפים בבנייה של חברה גדולה. הדרך לשם עוברת בפיתוח מהיר של מוצר, מכירות משמעותיות, והגעה למעמד יוניקורן - ככל שהמטרה מושגת מהר יותר, כך היוקרה של היזמים והחברה עולים.

כדי להגשים את המטרה הזאת ולעשות סקייל מהיר, החברות נדרשות להסיר את כל המכשולים שבדרך. הסטארט אפים הישראלים מכוונים מראש לייצר מכירות משמעותיות, עוד בשלבי סיד ובניית צוות הפיתוח. המכירות הן המפתח לעולם של הסטארט אפים הבוגרים, כאלה שקיומם לא תלוי רק ביחס שריפת המוזמנים בהשקעה הבאה כפי שאנו צופים בתקופה האחרונה.

מציאת האיזון בין תהליכי הקומפליינס לתהליכים העסקיים חשובה מאוד על מנת שתוכלו לזוז מהר, להיות מאובטחים, לבנות אמון מצד הלקוחות ולמכור יותר.

בין כל מאות חברות ההייטק המצליחות בישראל, נדיר למצוא חברות שאין להם מכירות משמעותיות בארה"ב. השוק הישראלי מוערך כ-2%-3% מהשוק האמריקאי אך ברוב המקרים החברות נקתלות באתגר הסטנדרט

השוק האמריקאי היה ונשאר המפתח של רוב הסטארט אפים הישראלים (השוק הישראלי מוערך כ-2%-3% מהשוק האמריקאי). בין כל מאות חברות ההייטק המצליחות בישראל, נדיר למצוא חברות שאין להם מכירות משמעותיות בארה"ב.

ברוב המקרים, סטארט אפים וחברות טכנולוגיה ישראליות, ששואפות לחדור ולהתרחב לשוק האמריקאי נתקלות באתגר: עליהן לעמוד בסטנדרטים גלובליים של ציות ותקינה מורכבות, שעלולות לעכב את צמיחתן ולעיתים אף לעכב קרנות הון סיכון מובילות להשקיע בהן.

ממש לאחרונה, שוחחתי עם שותף בקרן הון סיכון מוכרת שדרש מהחברה שבה השקיע, עם מוצר SaaS B2B להוכיח שהוא עומד בתקן SOC2 - תקן שמחייב חברה כנותנת שירות ללקוחות לסטנדרטים מינימליים, כחלק מאסטרטגיית החדירה לשוק האמריקאי.

תקינת מוצר, אילוסטרציה  (אילוסטרציה: d3verro, Shutterstock)
חברות טכנולוגיה רבות יודעות שאי עמידה בתקן SOC2 עלולה להוות חסרון משמעותי לעומת המתחרים|אילוסטרציה: d3verro, Shutterstock

אל תעמידו עצמכם בפני מכשול: אי עמידה בתקינה תבלום צמיחה מהירה וסגירת עסקאות

כשפיתוח המוצר מגיע לשלב בשלות והסטארט אפ יוצא משלב השלד (Stealth) ומתרכז בקידום מכירות, כל עיכוב עלול להיות משמעותי מאוד, ביישום אסטרטגיה של צמיחה מהירה ועמידה ביעדי הכנסות.

האצת קצב המכירות והפיתוח של סטארט אפ תלויה במימון, כוח אדם והסרת חסמים כמו תאימות לרגולציה וסטנדרטים גלובליים של אבטחת מידע. גם אם קרנות הון סיכון לא יבחנו עמידה בתקינה ורגולציית כחלק מבדיקת נאותות, ובהנחה שמדובר על מוצר שהוא לא deep-tech אלא מבוסס על scale מהיר, הן דורשות לראות מכירות משמעותיות של המוצר והגדלת ה-ARR למיליון דולר ומעלה, כתנאי למימון בסבבי A. ולא - הן עלולות למשוך ידן מההשקעה.

מה עושים סטארט אפים עם משאבים מוגבלים שלא יכולים להטמיע מהר את דרישות התקינה של התאגידים האמריקאים?
בהיעדר כוח אדם בשלבים הראשונים של חברה, נדרשים גם המייסדים והנהלה לבצע משימות סיזיפיות ואדמיניסטרטיביות לשם עמידה באותן סטנדרטים ותקנות.

כל רגע שצוות פיתוח לא מתרכז בטכנולוגיה, הוא השקעת משאב יקר במקום לא אופטימלי. במונחים כלכליים, ובמונחי אילוצים חשבונאיים, לעתים עלות שעה של עיסוק ברגולציה, היא עלות שעת עבודה של הארגון כולו

התמודדות עם הטמעת בקרות ועמידה בתקינה יכולה לקחת לסטארט אפ כ-250 שעות בשנה (באם מדובר ב-framework אחד) של ה-CTO וה-COO או גורם ניהולי אחר.

מניסיון אישי, אני יכול להגיד שכל רגע שצוות פיתוח לא מתרכז בטכנולוגיה, הוא השקעת משאב יקר במקום לא אופטימלי. במונחים כלכליים, ובמונחי אילוצים חשבונאיים, לעתים עלות שעה של עיסוק ברגולציה, היא עלות שעת עבודה של הארגון כולו, מאחר והיא צוואר בקבוק לכל הארגון.

ברוב המקרים סטארט אפים ממנים את ה-CTO לנהל את הפרויקט, שנאלץ להקדיש עשרות עד מאות שעות לניהול הליכי הביקורת, כשברור שפיתוח המוצר של החברה נפגע כתוצאה מכך. עבור סטארט אפים עם משאבים מוגבלים, מדובר במשימה מסובכת עוד יותר שעלולה לעכב את פעילותם ואת זמן התגובה שלהם לשוק.

 ה-CTO נאלץ להקדיש עשרות עד מאות שעות לניהול הליכי הביקורת ופיתוח המוצר של החברה נפגע כתוצאה מכך. עבור סטארט אפים עם משאבים מוגבלים, מדובר במשימה מסובכת עוד יותר שעלולה לעכב את פעילותם ואת זמן התגובה שלהם לשוק

אם נעמיק בעולמות התוכנה שדורשים עדכונים בלתי פוסקים, ייתכן וצוות הפיתוח יסיים עדכון, כשעד לסיום תהליך הביקורת שלו, הוא כבר לא יהיה רלוונטי כי תדרשו לעדכון נוסף.

תקן אבטחת המידע הנפוץ ביותר בארה"ב עבור חברות הטכנולוגיה שמעוניינת להיכנס לשוק האמריקאי הוא SOC2. תקן שנקבע ע"י המכון האמריקאי לרואי חשבון (AICPA), העוסק בסודיות המידע, זמינות המידע, אבטחתו, והגנה על פרטיות הלקוחות.

כחלק מהתחרות שקיימת כיום בשוק האמריקאי, חברות טכנולוגיה רבות יודעות שאי עמידה בתקן SOC2 עלולה להוות חסרון משמעותי לעומת המתחרים אשר כחלק מתהליך המכירה ירצו לוודא עמידה של החברה בסטנדרטים גלובליים בהתאם למדיניות הארגונית. הדרישה לעמידה ב-SOC2 נדרשת ע״י כל חברת SaaS B2B עם פעילות עסקית בשוק האמריקאי.

דגל ישראל ודגל אמריקה  (צילום: Remistudio, shutterstock)
דגל ישראל וארה"ב. השוק האמריקאי יוודא עמידה של חברות בסטנדרטים גלובליים בהתאם למדיניות הארגונית|צילום: Remistudio, shutterstock


לאחרונה נתקלתי במקרה של חברה עם contractors במספר מדינות בעולם אשר היו בעלי גישה למידע רגיש, ולא נכללו כחלק ממצבת העובדים של החברה מאחר והם לא היו בטבלת מקבלי השכר. זוהי בעיית קומפליינס שכן עובדים אלו לא נלקחו בחשבון כחלק מתהליכי הביקורת, אפקטיביות הבקרות לא נבדקה עליהם ולכן תהליכי הקומפליינס לא היו אפקטיביים, עניין אשר מגביר את הסיכון שכן החברה לא לקחה בחשבון את אותם עובדים כחלק מביקורת הרשאות רבעונית ובקרות נוספות.

בעיות קומפליינס, או תקינה, מסוג זה מעלות את הסיכון ומורידות את אמון הלקוחות הקיימים והעתידיים בתהליכי אבטחת המידע בארגון.

מהם השלבים הבסיסיים שעלינו למלא בכדי למכור לארגונים גדולים?

1. האם על המוצר שלכם לעמוד ב-SOC2? תוכלו לבחון זאת די בקלות בשיחות עם גורמים בתעשייה ועם לקוחות פוטנציאליים. אם אתם מוכרים מוצרי SaaS בארה"ב, סבירות גבוהה שתצטרכו לעמוד בתקן זה.

ככל שהפתרון העתידי או הקיים נוגע במערכות הליבה בארגון, כך הצורך בתקינה יהיה משמעותי יותר. העמידה בתקן נדרשת גם אם יש לכם מוצר תוכנה לצרכנים שייתכן ומשתמשים בו בתוך ארגונים.

2. התקבלה החלטה שעל החברה לעמוד בדרישות קומפליינס ותקינה כדוגמת SOC2? מצאו שותף לדרך שיוכל לספק עצות ותובנות שיסייעו לכם לחסוך לכם זמן ומשאבים משמעותיים, לקצר את תהליך ההכנה (readiness assessment) ולהגיע לתוצאות מוצלחות וחוות דעת חיובית בזמן קצר.

3. עמידה בתקן SOC2 יכולה להיות נטל לא פשוט על הארגון. הבינו מראש מה יידרש מהגורמים הרלוונטיים בארגון (מנהלי פיתוח, אנשי מוצר, תמיכה, משאבי אנוש, IT וכו׳), כמה שעות הם יצטרכו להשקיע (הן בביקורת והן בהכנה), אילו כלים נוספים החברה תצטרך להטמיע (חלק מתכנון זמן ועלויות נוספות) והבינו מההתחלה לאן פניכם מועדות, כמה שעות זה ייקח, ומה תהיינה העלויות.

4. כתיבת נהלי עבודה לעמידה בתקינה: ההנהלה נדרשת לבנות מראש תהליכי עבודה ומדיניות ארגונית מוגדרים ומסודרים, הנוגעים אפילו בכתיבת הקוד וניהול שינויים, ניהול הרשאות וגישות ועוד. המסמכים האלו הם לא רק דרישה של תהליכי ציות ותקינה - אלא אמורים לשמש כבסיס ידע ארגוני אשר ישקף את רצון ההנהלה כלפי כל העובדים בצורה ברורה, ישמר את הידע הארגוני במקום אחד ויתמוך במטרות העסקיות של החברה.

5. ביקורת היא במילים אחרות מבחן שעל החברה לעבור, כל שנה, על פני 12 החודשים האחרונים, בה תיבדק אפקטיביות הבקרות על פני תקופת זמן. חשוב מאוד להבין כיצד אתם יכולים להטמיע ולנטר באופן שוטף את הבקרות הטכניות והתהליכיות בצורה פשוטה. ניהול מרכזי של כל פעילויות הקומפליינס ואבטחת המידע, אוטומציה לכל מה שאפשר, ורתימה של ההנהלה והגורמים הרלוונטיים קריטיות להצלחת הפרויקט.

חשוב לזכור - אם קיבלתם החלטה לעבור תהליך קומפליינס ובכל מקרה משקיעים את הזמן והכסף - תעשו את זה נכון כך שה-ROI ישתלם לארגון. אל תסתכלו על תהליכי ציות ותקינה כ-check the box, אלא הבינו מה הארגון יכול להרוויח מתהליכי אפיון והטמעה נכונים, אשר יתמכו בצמיחה מהירה של הארגון, מעבר מהיר של ביקורות אבטחת מידע וניהול סיכונים מחושב. ככל שהחברה תצמח - תדרשו לעמוד ביותר סטנדרטים, תקינה ורגולציה שתהיה יותר חכמה, מדויקת ואיכותית.

מה הלאה? תקינה ורגולציה נדרשו בעבר בהתאם למדינות ואזורים גיאוגרפיים שונים בעולם, הן התפתחו לתעשיות בעולמות ה-Healthcare וה-Payments כמו סטנדרטים מסוג HIPAA ו-PCI-DSS. בעתיד הלא רחוק, אנו צפויים לראות סטנדרטים, תקנים ורגולציות חלים גם על על טכנולוגיות חדשניות כמו בלוקצ'יין, בינה מלאכותית, רכבים אוטונומיים, האינטרנט של הדברים ועוד.

עם ההתפתחות הטכנולוגית אנו נראה תהליכי RegTech שמתפתחים בהתאם, הופכים ליומיים, חכמים יותר ומדויקים יותר. במקום לחשוש מהשינוי, נוכל לנצל יכולות חדשות שלא היו קיימות בעבר בשביל לקדם את התהליכים הארגוניים שיתמכו באסטרטגיית אבטחת המידע ובניית אמון בשרשרת האספקה הארגונית שרק צפויה לגדול.

מירן גאליס, מייסד  (צילום: מיכל לוצאטו, יחצ)
צילום: מיכל לוצאטו, יחצ

הכותב הוא מירן גאליס, מייסד ומנכ"ל Scytale