Wenn du den Begriff noch nicht kennst, wirst du ihn bald kennenlernen. SOC 2 steht für System and Organization Controls 2 und ist ein Prüfungsverfahren, das vom American Institute of CPAs (AICPA) entwickelt wurde. Die Einhaltung von SOC 2 bedeutet, dass du organisatorische Kontrollen und Praktiken eingeführt hast, die den Schutz und die Sicherheit der Kundendaten gewährleisten. Mit anderen Worten: Du musst nachweisen (z.B. dokumentieren und demonstrieren), dass du in gutem Glauben mit den Daten anderer Leute umgehst. In seiner einfachsten Definition ist es ein Zeugnis von einem Prüfer.
Bei Rewind hatten wir schon vor SOC 2 einige Prozesse eingeführt, z. B. Verfahren für das Änderungsmanagement, wenn Notfallkorrekturen schnell in die Produktion gelangen müssen. Aber als wir mit unserer SOC 2-Reise begannen, stellten wir fest, dass wir keine gute Möglichkeit hatten, die Gründe für eine erforderliche Notfalländerung nachzuvollziehen, und das war für unser SOC 2-Audit erforderlich. Also haben wir gemeinsam mit unserem Prüfer ein kontinuierliches Prüfsystem für diese Anträge eingerichtet, das eine langfristige Lösung und eine massive Verfahrensverbesserung darstellt, und bieten diese Lösung auch anderen Unternehmen in unserer Lage an. Das Erreichen der SOC 2-Konformität signalisiert dem Markt, dass du bereit bist, in Form eines Prüfberichts eines Dritten zu versichern, dass du die Kundendaten schützt. Informationen, auf die sich dein Unternehmen verlässt.
Warum überhaupt ein SOC 2?
Kurz gesagt, heute werden von mehr Organisationen mehr Daten gesammelt als jemals zuvor. Sowohl der private als auch der öffentliche Sektor werden sich immer bewusster, wie ihre geschützten Daten von anderen Parteien behandelt werden. Für stark regulierte Branchen wie das Finanzwesen, das Gesundheitswesen oder börsennotierte Unternehmen ist SOC 2 im Grunde genommen zu einem Kostenfaktor für die Geschäftstätigkeit geworden. Für alle SaaS-Unternehmen, die „erwachsen“ werden und an große Marken verkaufen wollen, wird die Frage „Habt ihr euer SOC2?
SOC 2-Berichte verschaffen den Unternehmen auch einen Vorsprung, wenn es darum geht, ihren Kunden in der heutigen Cybersicherheitslandschaft Sicherheit zu bieten. Die Zahl der Cyberangriffe nimmt jedes Jahr zu. Eine Sicherheitsverletzung kann Geldstrafen nach sich ziehen, den Ruf eines Unternehmens schädigen, die Abwanderung von Kunden zur Folge haben und vieles mehr. Die Einhaltung der SOC-2-Richtlinien trägt wesentlich dazu bei, die Verluste aus diesen Szenarien zu mindern, indem sie sicherstellt, dass du über wichtige Prozesse verfügst. Ein Unternehmen, das die Vorschriften einhält, ist eher in der Lage, schnell auf einen Verstoß zu reagieren und so dessen Auswirkungen zu begrenzen.
SOC2 auf die schnelle und intelligente Art erreichen
Bevor ich zu Rewind kam, schien SOC 2 für die meisten wachsenden SaaS-Unternehmen eine einschüchternde Aufgabe zu sein. Wir hatten zwar Prozesse eingeführt, aber wir mussten sie formalisieren, um SOC-2-konform und auditfähig zu werden. Außerdem wurde unser Vertriebsteam immer wieder nach Rewind und unseren Plänen für die SOC-2-Konformität gefragt, weil unsere Kunden diese Sicherheit haben wollten und die SOC-2-Zertifizierung zu einer Priorität wurde. Der nächste Schritt besteht darin, die SOC 2-Ziele und -Prioritäten deines Unternehmens zu verstehen und herauszufinden, welche Schritte unternommen werden müssen, um die Anforderungen zu erfüllen.
Ich habe meine gesamte berufliche Laufbahn als Informationssicherheitsexperte mit Schwerpunkt auf Governance, Risiko und Compliance verbracht. Vieles davon ist für mich selbstverständlich. Für Neulinge kann es ein entmutigender und überwältigender Prozess sein. Hier ist also ein kurzer Leitfaden, der dir helfen soll, dich auf den vor dir liegenden Weg vorzubereiten.
1 – Auswahl des Aufgabenbereichs
Der erste Schritt besteht darin, den Umfang deiner Prüfung zu bestimmen, d.h. welche Dienstleistung oder welches Produkt im Mittelpunkt stehen soll,
und welche Vertrauensdienstprinzipien du prüfen willst. Sicherheit ist zum Beispiel ein obligatorisches Prinzip, aber du kannst auch die Prinzipien Vertraulichkeit, Verfügbarkeit, Integrität der Verarbeitung oder Datenschutz einbeziehen.
Du kannst dir das ganz einfach vorstellen: Die Dienstleistung, die du für deine Kunden erbringst, kann bestimmen, auf welche Vertrauensdienstgrundsätze du dich konzentrieren willst. Wenn dein Unternehmen zum Beispiel Finanzdaten verarbeitet, könnte die „Integrität der Verarbeitung“ ein wichtiger Grundsatz sein, den du aufzeigen solltest. Ein E-Commerce- oder Marketing-Dienstleister würde sich wahrscheinlich auf Sicherheit und Datenschutz konzentrieren, da er mit einer großen Menge an persönlichen Daten arbeitet.
Rewind bietet SaaS-Backups an, daher war der Prüfungsumfang unsere eigene Softwareplattform. Bei unserem ersten SOC 2-Rodeo lag der Schwerpunkt auf Sicherheits- und Vertraulichkeitskontrollen innerhalb dieses Bereichs. Vertraulichkeit war ein wichtiger Grundsatz, denn die Kunden vertrauen uns ihre Sicherungsdaten an, und wir wollten zeigen, wie wir die Vertraulichkeit der uns anvertrauten Informationen sicherstellen.
Es ist auch wichtig, daran zu denken, dass du dein SOC2-Compliance-Programm und deine internen Prozesse pflegen und ausbauen kannst, wenn du in Zukunft weitere Trust Service Principles verfolgen willst, um dieses Ziel zu erreichen.
2 – Bewertung deines Kontrollniveaus
Anfragen des Vertriebsteams können dir definitiv dabei helfen, herauszufinden, auf welche Trust Service Principles du dich konzentrieren sollst, aber das bedeutet nicht, dass du schon morgen mit der Prüfung beginnen kannst. Ich empfehle Unternehmen immer, eine Bereitschaftsbewertung durchzuführen. So kannst du herausfinden, wie viele Kontrollen du bereits durchgeführt hast und auf welche Bereiche du dich konzentrieren musst, wenn das nicht der Fall ist. Sobald ihr 100 % erreicht habt, könnt ihr euch auf eure Prüfung vorbereiten.
Du findest im Internet verschiedene Dokumente zur Beurteilung der Prüfungsbereitschaft von verschiedenen Anbietern oder auf der AICPA-Website. Auch Wirtschaftsprüfer können dir im Rahmen deines Auftrags bei der Bereitschaftsbewertung helfen.
Ein zusätzlicher Bonus ist, dass eine Bereitschaftsbewertung dir helfen kann zu verstehen, wie du dein SOC2-Programm in Zukunft besser budgetieren kannst. Du könntest zum Beispiel feststellen, dass du regelmäßig einen Penetrationstest durch einen Dritten für deine Anwendung durchführen oder in ein Verfahren zur Überprüfung des Hintergrunds deiner Mitarbeiter investieren musst.
3 – Organisation von Kontrollen und Beweissammlung
Es gibt keinen falschen Weg, dein SOC2-Compliance-Programm und deine Kontrollen zu organisieren. Doch auf lange Sicht gibt es Wege, die es schwieriger machen, und Wege, die es einfacher machen. Tabellenkalkulationen sind gut geeignet, um alle Kontrollen aufzulisten, Verantwortliche zu benennen, Notizen festzuhalten und Links zu den Orten hinzuzufügen, an denen die Nachweise für Prüfungen aufbewahrt werden. Mit der Zeit wird das aber unübersichtlich und schwer zu überwachen.
Bei Rewind wollten wir uns auf die Langlebigkeit unseres SOC2-Konformitätsprogramms konzentrieren. Der Besitz von Kontrollen und die Sammlung von Nachweisen mussten zentralisiert und für alle Beteiligten zugänglich sein. Zu diesem Zweck haben wir in eine Security Assurance Platform investiert, die uns bei der Verwaltung unseres Compliance-Programms hilft. Ich würde empfehlen, dass du im Rahmen deines SOC2-Budgets ein Tool in Betracht ziehst, das dir hilft, deine Kontrollen zu organisieren und zu überwachen.
Die Schwierigkeit dabei ist, die richtige Lösung für deine Bedürfnisse zu finden. Häufig werben Unternehmen für ihre Lösungen mit dem Versprechen „SOC2 in zwei Monaten!“. Dein Compliance-Programm sollte eine Maschine sein, die immer weiterläuft. Es ist keine glänzende Medaille, die du in Rekordzeit gewinnen kannst. Wir wollten ein Tool, das diese Mission teilt.
4 – Kontrollverantwortliche auswählen und schulen
Das sind die Personen in deinem Unternehmen, die für die Umsetzung und laufende Einhaltung deiner Kontrollen verantwortlich sind. Die größte Herausforderung besteht darin, dass du oberflächlich betrachtet von deinen Mitarbeitern verlangst, mehr Arbeit zu erledigen. Das sollte aber nicht so gesehen werden. Es handelt sich um eine gemeinschaftliche Anstrengung zur Entwicklung von Kontrollen und Prozessen, die SOC2-konform sind und in die alltäglichen Abläufe der einzelnen Teams integriert werden.
Jeder neu hinzugefügte Prozess sollte eine Verbesserung der Sicherheit (oder anderer Prozesse/Kontrollen im Zusammenhang mit den Vertrauensdienstprinzipien) deines Unternehmens darstellen. Rewind verfolgte einen kollaborativen Ansatz, der von unserem „Trust Team“ geleitet wurde, aber gleichzeitig die Verantwortlichen für die Kontrollen in die Lage versetzte, für ihre eigenen Bereiche verantwortlich zu sein. SOC2 sollte ein gemeinsames Ziel für dein gesamtes Unternehmen sein, nicht nur für das Sicherheitsteam.
5 – Wähle deine Prüfer
Es gibt viele seriöse Wirtschaftsprüfer, die deine Prüfung für dich durchführen, aber die verschiedenen Prüfungsgesellschaften bieten eine Vielzahl von Dienstleistungen an. Wir bei Rewind haben uns für einen Wirtschaftsprüfer (Moss Adams) entschieden, der für die Nutzung unserer Security Assurance Platform (Tugboat Logic) empfohlen und geschult wurde, mit der wir unser SOC2-Programm verwalten. Das bedeutet, dass wir die Einhaltung der Vorschriften für unser gesamtes Programm und die Bereitstellung von Nachweisen für unsere Prüfer mit demselben Tool verwalten können. Das reduziert die Arbeitsbelastung unserer Prüfer und bedeutet, dass wir unsere Kontrollen, die Sammlung von Nachweisen und die Prüfungen zentral verwalten können.
Eine Hürde könnte sein, zu wissen, wo man anfangen soll. Du willst dich nicht an ein bestimmtes Sicherheitstool oder eine CPA binden, wenn es auf Dauer nicht für dich funktioniert. Wähle einen seriösen CPA, der offen dafür ist, mit dir und deinen Arbeitsabläufen zu arbeiten. Du möchtest eine partnerschaftliche Beziehung, in der du auch um Rat fragen kannst und weißt, dass sie auch an deinem Erfolg teilhaben wollen.
6 – Ziehe einen Typ-1-Bericht vor einem Typ-2-Bericht in Betracht
Ein SOC2-Audit des Typs 1 kann unglaublich nützlich sein, um sich mit dem SOC2-Auditprozess vertraut zu machen. Ein Typ-1-Audit gibt dir die Möglichkeit, Erfahrungen mit dem SOC2-Auditverfahren zu sammeln und eine Arbeitsbeziehung zu deinem Prüfer aufzubauen. Außerdem erhältst du einen Bericht, den du deinen Kunden vorlegen kannst und der dein Engagement für dein Compliance-Programm signalisiert. Das ist der Ansatz, den wir bei Rewind gewählt haben, und ich bin froh darüber.
Natürlich gibt es zu diesem Prozess noch viel mehr als das, was ich hier beschrieben habe. Aus meiner Erfahrung heraus denke ich jedoch, dass dies eine gute Grundlage für die nächsten Schritte sein kann. Wenn du heute darüber nachdenkst, wie die SOC 2-Kontrollen in dein Unternehmen passen, ersparst du dir in Zukunft eine Menge Kopfschmerzen.