Wenn Sie sich auf Ihren ersten SOC 2-Bericht vorbereiten, möchten Sie wahrscheinlich jemanden fragen, wie es wirklich ist, ein Audit zu durchlaufen. Was wünschten sie sich, vorher gewusst zu haben? Was würden sie anders machen? Welche Tipps und Tricks haben sie auf dem Weg entdeckt?

Für unsere neueste Sitzung von Secureframe Office Hours | Frag einen Experten wurde der Secureframe-Compliance-Manager Rob Gutierrez von Scott Savarie von Current begleitet, um aus erster Hand Einblicke in die Erlangung der SOC 2-Konformität zu geben. Current ist eine Plattform für Sichtbarkeit in Arbeit für Produkt-, Design- und Ingenieurteams, um in Echtzeit zu kommunizieren und zusammenzuarbeiten. Teams können Designdateien teilen, in Slack für zeitnahes Feedback cross-posten und Stakeholder mit wöchentlichen Zusammenfassungen über den Projektfortschritt auf dem Laufenden halten.

Während der 30-minütigen Live-Fragerunde teilte Scott seine Erfahrungen mit einem SOC 2-Audit, vom Erstellen einer Richtlinienbibliothek und dem Konfigurieren von Kontrollen bis hin zur Zusammenarbeit mit dem Prüfer für ihren Typ I-Bericht. Er und Rob beantworteten eine Reihe von Fragen zu den praktischen Aspekten der SOC 2-Konformität, von der Anzahl der Stunden, die zur Vorbereitung auf ein Audit erforderlich sind, bis hin zur Entscheidung, ob Auftragnehmer im Geltungsbereich sind. Sehen Sie sich die Zusammenfassung ihrer Antworten unten an.

Was veranlasste Current, einen SOC 2-Bericht anzustreben?

Scott: Wir bekamen erste Traktion für das Produkt, aber während des Onboardings und der Verkaufsgespräche stießen wir unvermeidlich auf Hindernisse mit dem Sicherheitsteam des Anbieters. Wir kamen an einen Punkt, an dem wir entweder unsere Produkt-Roadmap weiter ausbauen und uns auf neue Funktionen konzentrieren oder einen Teil dieser Zeit auf die Straffung der Abläufe und die Verfolgung der SOC 2-Konformität aufwenden konnten.

Wir entschieden uns, einen SOC 2 Typ I-Bericht abzuschließen und befinden uns derzeit in unserem Prüfungszeitraum für unseren Typ II-Bericht. Sobald wir in Arbeit waren und unsere Absicht zur Konformität zeigten, eröffnete dies Möglichkeiten für interne Pilotprojekte und Tests. Nachdem wir unseren Typ I-Bericht erhalten hatten, konnten wir mit SLAs fortfahren.

Welche anderen Anbieter für Compliance-Automatisierung hat Current in Betracht gezogen?

Scott: Wir haben mit einigen Anbietern im Bereich gesprochen, aber die Gespräche waren sehr verkaufsorientiert. Das war für uns etwas abschreckend. Unsere Gespräche mit Secureframe waren nicht so – wir hatten immer eine gute Atmosphäre mit den Leuten von Secureframe, wo wir das Gefühl hatten, dass sie ein echter Partner für uns wären, während wir unser Sicherheitsprogramm aufbauen.

Wo sehen Sie, dass kleine Unternehmen übermäßig viel Zeit auf ihre SOC 2-Bemühungen verwenden, die anderswo besser genutzt werden könnte?

Scott: In unserem Beispiel wollten wir nicht unbedingt sechs Wochen damit verbringen, den Fokus von der Produkt-Roadmap abzuwenden, um an Infrastrukturänderungen zu arbeiten und Prozesse einzuführen sowie Sicherheitsschulungen durchzuführen und alles. Aber der Kompromiss war, dass wir ohne dies nie Feedback zum Produkt bekämen.

Bei B2B-Software muss man wirklich einen SOC 2-Bericht haben, nur um ins Spiel zu kommen. Ohne diesen wird niemand in der Lage sein, Ihr Produkt zu nutzen.

Können Sie einige Beispiele dafür nennen, wie Sie Secureframe verwendet haben, um den Compliance-Prozess zu optimieren?

Scott: Secureframe war sehr hilfreich bei unserem Infrastruktur-Monitoring. Wir verwenden AWS für unsere gesamte Infrastruktur und Backend, und mit den Integrationen von Secureframe konnten wir alles rund um die Uhr überwachen und sehen, ob bestimmte Tests bestanden oder nicht bestanden wurden. Das ist schon sehr hilfreich.

Darüber hinaus war es sehr hilfreich, eine Bibliothek mit Richtlinienschablonen und einen Ort zu haben, um diese intern umzusetzen. Ich kann mir ehrlich gesagt nicht vorstellen, das ohne Secureframe zu tun.

Nicht alle unsere Mitarbeiter sind im Geltungsbereich, es gibt eine Teilmenge von uns, die an Current arbeiten, und wir können das innerhalb von Secureframe konfigurieren. Es macht es einfach, Dinge zu überwachen, wie ob die Personen, die im Geltungsbereich unseres SOC 2 liegen, die richtigen Einstellungen auf ihren Geräten vorgenommen haben. Der Secureframe Agent lässt Sie überprüfen, ob diese Personen die richtigen Passwortrichtlinien haben, sie verschlüsselte Festplatten verwenden - all diese Endpunktanforderungen sind erfüllt.

Was ist der typische Aufwand, den ein Software-Startup-Unternehmen aufbringen muss, um einen SOC 2 Type I zu erreichen?

Scott: Es hat ungefähr einen Monat gedauert, bis wir bereit für das Audit waren. Wir haben einfach in den sauren Apfel gebissen und alles daran gesetzt.

Die Richtlinien haben für mich am meisten Zeit in Anspruch genommen. Zuerst muss man sie alle lesen, was Zeit kostet, und dann auch im gesamten Unternehmen implementieren.

Man könnte eine jährliche Sicherheitsbesprechung haben, die nicht unbedingt schwer zu machen ist, aber man braucht eine Seite in Notion, auf der man Notizen macht und eine wiederkehrende Besprechungseinladung anlegt und dann diesen Nachweis in Secureframe hochlädt. Man muss eine Reihe von Schritten wie diesen für viele der Richtlinien und Kontrollen befolgen.

Der andere zeitaufwändige Teil ist, Leute dazu zu bringen, das Sicherheitstraining abzuschließen und sicherzustellen, dass sie die richtigen Endpunkteeinstellungen haben.

Gibt es noch andere Kosten im Zusammenhang mit dem Compliance-Prozess oder war die Investition rein zeitlicher Natur?

Scott: Wir hatten noch einige andere Kosten. Wir mussten einen Penetrationstest durchführen, und müssen das in einem Jahr wiederholen, was ein paar tausend Dollar kostet. Es gab einige minimale Kosten für Hintergrundüberprüfungen der Mitarbeiter. Dann gibt es natürlich noch die Kosten für das eigentliche Audit. Secureframe hat Beziehungen zu einigen der besten Wirtschaftsprüfungsgesellschaften, mit denen Sie sich treffen und auswählen können.

Was sind die Erfahrungen von Current mit der Durchführung einer Bereitschaftsbewertung vor dem Audit?

Scott: Wir haben ein Vor-Audit mit Rob und unserem CSM Jared durchgeführt, bei dem wir unsere allgemeine Sicherheitslage überprüft und sichergestellt haben, dass wir vollständig vorbereitet waren, bevor wir mit dem CPA das Audit gestartet haben.

Rob: Jeder Kunde erhält einen Kundenbetreuer und einen Compliance-Manager, die ihn während seiner gesamten Reise unterstützen. Ein Teil davon ist ein Bereitschaftsanruf vor dem Audit, um die Instanz des Kunden zu überprüfen und zu besprechen, was vom Audit zu erwarten ist.

Im Fall von Scott, wo er einen Typ I durchführt, gefolgt von einem Typ II, haben wir einige dieser Unterschiede und Erwartungen besprochen.

Mein größtes Ziel bei diesen Anrufen ist es immer sicherzustellen, dass der Kunde vollständig auf sein Audit vorbereitet ist und vor allem sich wohl und zuversichtlich fühlt, dass er seinen Bericht erhält.

Welche Best Practices können Sie für die Vorbereitung auf das SOC 2 Type II Audit teilen?

Scott: Ich fühlte mich in ziemlich guter Verfassung mit dem Secureframe-Team. Wir hatten gerade unser Typ I Audit abgeschlossen und sofort mit Typ II begonnen, sodass es sich anfühlte, als hätten wir alle Vorbereitungen im Voraus getroffen.

Vielleicht ist noch zu beachten, dass der Penetrationstest und das Type-I-Audit nicht so starr sind, wie ich erwartet hatte. Es gibt Gespräche, die geführt werden können. Zum Beispiel fand unser Penetrationstester einige Probleme, die wir beheben konnten, und dann wiederholten sie den Test, bevor sie ein herausragendes Penetrationstestergebnis ausstellten. Das Gleiche gilt für das Type-I-Audit. Es gab ein paar Dinge, bei denen der Prüfer unsicher war oder ein zusätzliches Beweisstück benötigte, und wir konnten das bereitstellen. Man muss sich im Vorfeld nicht so sehr stressen, dass man alles perfekt vorbereitet hat, denn man bekommt die Gelegenheit, während des Prozesses nachzubessern. Lücken können im Laufe des Prozesses behoben werden, und wir hatten die Anleitung, die wir von Secureframe benötigten, um dies erfolgreich zu tun.

Wie viele Stunden hat das Team bei Current benötigt, um sich auf einen SOC 2 Type I vorzubereiten?

Scott: Wir haben einen Monat lang alles gegeben. Als 90% der Vorbereitungsarbeit erledigt waren, gab es ein paar Dinge, auf die wir warten mussten, also konnten wir wieder an Features arbeiten. Dinge wie das Warten auf das Ergebnis einer Hintergrundüberprüfung oder vielleicht haben Sie einige Änderungen an AWS vorgenommen, aber die Tests brauchen eine Weile, um zu validieren, dass alles richtig konfiguriert ist.

Man kann entscheiden, es auf verschiedene Weise zu tun. Man kann eine Task Force einsetzen oder über einen längeren Zeitraum einen Teil der Zeit dafür aufwenden. Aber wir haben uns entschlossen, es zu unserer obersten Priorität zu machen und es so schnell wie möglich zu erledigen.

Bleiben Sie dran für das nächste Secureframe Expert Insights Webinar

Wir veranstalten regelmäßig Secureframe-Webinare, um die größten Sicherheits-, Datenschutz- und Compliance-Probleme zu adressieren, die wir von Interessenten, Kunden und unseren internen Compliance-Experten hören. Finden Sie bevorstehende Webinare sowie On-Demand-Aufzeichnungen vergangener Webinare in unserer Compliance-Ressourcenbibliothek.