Interview mit einem SOC 2 Auditor: Was sucht ein Auditor während der Prüfung?

  • July 27, 2021
Author

Emily Bonnie

Senior Content Marketing Manager at Secureframe

Wenn Sie ein dienstleistungsorientiertes Unternehmen sind, ist die SOC 2-Konformität ein wichtiger Schritt.

Mit der zunehmenden Anzahl von Cyber-Bedrohungen fühlen sich Kunden wohler bei einem Unternehmen, das sich dieser Art von Prüfung unterzieht.

Aber wenn Sie diesen Leitfaden lesen, wissen Sie das wahrscheinlich bereits.

Jetzt stellt sich die Frage: Was können Sie tun, um sich auf eine SOC 2-Prüfung vorzubereiten?

Um Ihnen zu helfen, haben wir den Auditor K.C. Fikes, Data Analytics Practice Lead bei The Cadence Group, interviewt.

Er hat einige unserer am häufigsten gestellten Fragen beantwortet.

Aber fangen wir mit unserem kurzen Primer zu SOC 2-Prüfungen an.

Was ist eine SOC 2-Prüfung?

SOC 2-Prüfungen analysieren die Abläufe und Kontrollen von dienstleistungsorientierten Organisationen in Bezug auf die „Vertrauensprinzipien“, die vom AICPA (American Institute of Certified Public Accountants) festgelegt wurden, welche folgende umfassen:

  • Sicherheit (oft als „gemeinsame Kriterien“ bezeichnet): Kontrollen, die Sie haben, um vertrauliche Daten vor unbefugtem Zugriff zu schützen.
  • Verfügbarkeit: Kontrollen, die Ihnen helfen sicherzustellen, dass Ihre Dienste für Kunden, Mitarbeiter und Kunden verfügbar sind, wenn sie sie benötigen.
  • Bearbeitungsintegrität: Standards, die Sie für Ihr Verarbeitungssystem festgelegt haben (d.h. wie stellen Sie sicher, dass Ihre Systeme den Kunden rechtzeitig und genau Daten bereitstellen?)
  • Vertraulichkeit: Kontrollen und Standards, die Ihnen helfen, die vertraulichen Daten Ihrer Kunden zu verwalten, zu klassifizieren, zuzugreifen und zu schützen.
  • Privatsphäre: Kontrollen, die Sie verwenden, um die sensiblen Informationen Ihrer Kunden privat zu halten.

Hier ist ein schnelles Diagramm, wie alles zusammenpasst:

All diese Prinzipien arbeiten zusammen, um Kundendaten effektiv zu schützen. Das einzige notwendige Prinzip für die SOC 2-Konformität ist das „Sicherheitsprinzip“, besser bekannt als „gemeinsame Kriterien“.

Damit gesagt, der beste Weg, SOC 2-Prüfungen zu verstehen, ist, sich „in den Kopf“ eines tatsächlichen Auditors zu versetzen.

Also haben wir einen gefragt.

Was suchen Sie, wenn Sie eine Organisation überprüfen?

“Angenommen, Sie sind Typ II, kommen wir ein paar Wochen bevor der Überprüfungszeitraum endet. Wir werden einen Kickoff durchführen und mit den Schlüsselpersonen sprechen und Populationen anfordern (z.B. Instanzen einer Art von Technologie-Funktion in Betrieb, wie eine Softwareänderung oder Sicherheitsüberwachungssoftware-Logs).

“Von den Populationen nehmen wir einige Proben, um zu sehen, ob die Kontrolle funktionierte. Zum Beispiel könnten wir 10 der 100 Softwareänderungen im Überprüfungszeitraum untersuchen und sehen, ob sie von Kollegen überprüft wurden.

“Dann testen wir jede Probe gegen jede Kontrolle.

“Nach dieser Bewertung, wenn alles korrekt funktioniert hat, beginnen wir mit dem Schreiben des Berichts.”

Aber was passiert, wenn eine Ihrer Kontrollen nicht richtig funktioniert?

“Wenn wir etwas stichprobenartig überprüft haben und das Attribut einer Kontrolle nicht erreicht haben, gehen wir zur Firma und sehen, was passiert ist. Wir sagen dem Kunden, dass uns etwas fehlt. Gibt es irgendwelche Beweise, dass dieses Beispiel den Kontrollen entspricht? Dann sehen wir uns das Beispiel an, das nicht bestanden hat. Wir könnten auch die Stichproben erweitern, um zu analysieren, ob es sich nur um einen Ausreißer handelt oder ob es ein systematisches Problem gibt.

“Wenn es ein Ausreißer war, notieren wir eine Ausnahme. Wenn nicht, könnten wir sagen, dass es ein Versagen der Kontrolle war. Unsere Berichte würden diese Ausnahmen und Fehler vermerken.”

Um eine gründlichere Erklärung der SOC 2-Prüfungen zu erhalten, empfehlen wir Ihnen, unseren vollständigen Leitfaden zu SOC 2 zu lesen.

Wie lange dauert eine Prüfung?

SOC 2-Prüfungen können in zwei Haupttypen unterteilt werden: Typ I und Typ II.

Die Dauer Ihrer Prüfung hängt vom Berichtstyp ab, den Sie suchen.

Hier ist der durchschnittliche Umfang für jeden Bericht, der von K.C. Fike bereitgestellt wird:

  • Typ I: Etwa anderthalb Monate.
  • Typ II: Ein paar Wochen länger. Vom Startschuss bis zur Abgabe des Berichts dauert es etwa zwei Monate.

Wenn dies das erste Mal ist, dass Sie eine SOC 2-Bewertung durchlaufen, empfehlen wir Ihnen, mit einem SOC 2 Typ I-Bericht zu beginnen, da es sich um einfachere Audits handelt, die Ihnen helfen können, sich auf einen Typ II-Bericht vorzubereiten.

Was sind die Unterschiede zwischen Typ I- und Typ II-Berichten in einem SOC 2-Audit?

Der Hauptunterschied zwischen SOC 2 Typ I und SOC 2 Typ II liegt in der Dauer jedes Berichts.

SOC 2 Typ I-Berichte analysieren die Leistung Ihrer Kontrollen zu einem bestimmten Zeitpunkt (z.B. SOC 2-Bericht für den 15. Mai 2021).

SOC 2 Typ II-Berichte analysieren die Leistung Ihrer Kontrollen über einen längeren Zeitraum (z.B. SOC 2-Bericht vom 15. Mai 2021 bis 15. Juli 2021).

Fike erwähnt auch andere wesentliche Unterschiede zwischen den beiden Berichtstypen und zerlegt sie Stück für Stück.

Laut Fike bestehen diese Berichte aus den folgenden Bestandteilen:

Typ I:

  • Stellungnahme des Prüfers
  • Stellungnahme des Kunden
  • Narrativ
  • Zuordnung der Kontrollen zu TSC

Typ II:

  • Stellungnahme des Prüfers
  • Stellungnahme des Kunden
  • Narrativ
  • Zuordnung der Kontrollen zu TSC
  • Stellungnahme des Managements

Unser Leitfaden SOC 1 vs. SOC 2 bietet eine detailliertere Erklärung aller Elemente, die in den verschiedenen Berichtstypen enthalten sind. Es ist eine großartige Möglichkeit, Ihr Verständnis für dieses Thema zu vertiefen.

Welche spezifischen Kontrollen haben Unternehmen typischerweise Schwierigkeiten zu bestehen?

Das allgemeine Verständnis der Richtlinien zur SOC 2-Konformität ist wichtig, aber was ist mit den häufigsten Herausforderungen?

Fike schlägt vor, dass Sie besonderen Wert auf die folgenden Kontrollen legen, da Organisationen oft Schwierigkeiten damit haben:

  • Unübliche Kontrollen: “Diese Kontrollen, die nicht so häufig operieren wie andere, weil sie in Vergessenheit geraten (z.B. das Vergessen von jährlichen Risikobewertungen oder jährlichen Überprüfungen).”
  • Unklare Kontrollen: “Kontrollen, die keine klar definierten Richtlinien oder Verfahren haben (z.B. eine Menge Daten von einem Logging-Tool erhalten, aber nicht wissen, wie man richtig darauf reagiert).”

“Es ist wichtig, ein sehr klares organisatorisches Management darüber zu haben, wie mit Kontrollen umzugehen ist.”

Was sind die Hauptwarnsignale, auf die Sie während eines Audits achten?

Hier wird es interessant.

Wie Mark Grey sagt: “Ein Team ist nur so stark wie seine schwächsten Mitglieder.”

In gleicher Weise hängt Ihre SOC 2-Konformität nicht von Ihren besten Kontrollen, sondern von Ihren schwächsten ab.

Der beste Weg, sich auf eine SOC 2-Prüfung vorzubereiten, besteht darin, Ihre Kontrollen zu analysieren und herauszufinden, welche am wenigsten effizient sind. Darauf sollten Sie den größten Teil Ihrer Aufmerksamkeit richten.

Um Ihnen zu helfen, hat Fike einige Hauptwarnsignale aufgezeigt, auf die Sie achten sollten:

  • Verantwortlichkeiten: “Keine Kontrolleigentümerschaft (z.B. Kontrollinhaber sind sich unsicher, was ihre Verantwortlichkeiten sind).”
  • Umfang: “Kein definierter Umfang (z.B. welche Anwendungen/Infrastruktur benötigen Sie für eine SOC 2-Bewertung?).”
  • Bereitschaftsbewertung: “Kein Bereitschaftsprojekt durchgeführt.”
  • Mangelnde Vorbereitung: “Kontrollen hören auf zu funktionieren.”
  • Inkonsistenzen: “Prozesse/Technologie ändert sich, aber die Kontrollen stimmen nicht überein/erfüllen die Anforderungen nicht.”

Indem Sie auf diese Elemente achten, werden Sie besser auf Ihre SOC 2-Prüfung vorbereitet sein.

Es ist auch besonders wichtig, vor Ihrer Prüfung eine Bereitschaftsbewertung durchzuführen. Auf diese Weise können Sie potenzielle Probleme mit Ihren Kontrollen erkennen und beheben, bevor der Prüfer kommt, um Ihr Unternehmen zu analysieren.

Mangelnde Vorbereitung ist einer der Hauptgründe, warum Organisationen eine SOC 2-Prüfung nicht bestehen.

Haben Sie noch letzte Worte für Unternehmen, die sich auf ein SOC 2-Audit vorbereiten?

Zu diesem Zeitpunkt verstehen Sie bereits die Grundlagen der SOC 2-Compliance.

Um Ihnen zu helfen, sich besser vorzubereiten, haben wir Fikes nach einigen zusätzlichen Tipps gefragt, die Sie berücksichtigen sollten.

Hier ist, was er sagte:

  • „Haben Sie eine klare Vorstellung davon, wie Sie den Compliance-Prozess verwalten.“
  • „Definieren Sie einen Verantwortlichen oder eine Person, die für die Einhaltung der Vorschriften in großem Maßstab zuständig ist.“
  • Haben Sie ein Budget, um Sicherheit bei Ressourcen, Tools und Personal zur Priorität zu machen.“
  • „Stellen Sie sicher, dass die oberste Führungsebene wirklich hinter der Sache steht.“

Der letzte Punkt ist besonders wichtig.

Wenn das Management Ihre Sicherheits-Compliance nicht wirklich unterstützt, werden Sie während des gesamten Prozesses auf zahlreiche Probleme stoßen.

Eine SOC 2-Bewertung sollte vollständig mit den Geschäftszielen und -vorgaben übereinstimmen.

Wir empfehlen Ihnen, ein Treffen mit Ihrem Management-Team zu vereinbaren, um alle Vorteile einer SOC 2-Prüfung zu besprechen und sicherzustellen, dass sie den Prozess vollständig unterstützen.

Sind Sie bereit für den SOC 2-Attestierungsprozess?

SOC 2-Prüfungen helfen dienstleistungsorientierten Organisationen sicherzustellen, dass sie die besten Kontrollen zum Schutz der vertraulichen Daten eines Kunden implementiert haben.

Durch die SOC 2-Compliance können Sie einen Ihrer wertvollsten Vermögenswerte schützen: Daten.

Hoffentlich können die heute gegebenen Antworten Ihnen helfen, sich besser auf Ihre Prüfung vorzubereiten und einen guten Start hinzulegen.

Und wenn Sie eine gründlichere Anleitung für Ihre Sicherheits-Compliance benötigen, könnte Secureframe Ihnen helfen. Lesen Sie unsere Produktübersichtsseite, um mehr über unseren Prozess zu erfahren.