Interview mit einem SOC 2 Auditor: Warum würde ein Auditor seine Meinung zu einem SOC 2-Bericht einschränken?

  • July 27, 2021

Bereiten Sie sich auf Ihr erstes SOC 2-Audit vor und haben Sie Angst, dass Sie es nicht bestehen werden? Fragen Sie sich, welche genauen Dinge Unternehmen daran hindern, genehmigt zu werden?

Um Ihnen dabei zu helfen, haben wir K.C. Fike, Data Analytics Practice Lead bei The Cadence Group, mit mehr als einem Jahrzehnt Erfahrung in der Überarbeitung von IT-Prozessen und der Datenverarbeitung in Unternehmen interviewt.

Dieses Interview behandelt, was ein SOC 2-Bericht ist und wie er sich von SOC 1 unterscheidet, die Hauptgründe, warum Ihnen Auditoren den Bericht nicht geben, und wie Sie diese Probleme vermeiden können.

Er erklärt auch, wie Sie die Ergebnisse des SOC 2-Berichts interpretieren können, wenn Sie ihn erhalten (da sie nicht einfach nur „bestanden“ oder „nicht bestanden“ schreiben).

Was ist der Unterschied zwischen einem SOC 2-Bericht Typ 1 und Typ 2?

SOC 2 Typ 1: Das anfängliche Kontroll-Design

Ein Typ 1-Bericht ist eine Bewertung des Designs Ihrer Kontrollen zu einem bestimmten Zeitpunkt. Wir gehen die Kontrollen durch, stellen sicher, dass sie für die Umgebung sinnvoll sind, und betrachten ein Beispiel der Kontrolle, um sicherzustellen, dass sie effektiv gestaltet ist. Wenn beispielsweise der Fokus auf der sicheren Datenverarbeitung liegt, wird sichergestellt, dass Passwort-Einstellungen wie Zeichenzahl tatsächlich implementiert werden, Zwei-Faktor-Authentifizierung im gesamten Unternehmen verwendet wird und mehr.

Wer auf welche Daten zugreifen kann, ist ebenfalls wichtig, daher ist die Einrichtung einer Hierarchie mithilfe von Benutzerzugriffskontrollen ein weiteres Beispiel für eine Datensicherheitskontrolle.

SOC 2 Typ 2 - laufender Betrieb der Kontrollen

Ein Typ 2-Bericht untersucht das Design von Kontrollen, um zu sehen, ob sie über 6 oder 12 Monate hinweg effektiv betrieben werden. Es ist also im Wesentlichen ein Test der Kontrollen, die Sie für den Typ 1-Bericht festgelegt haben.

Dann kommen wir ins Spiel und bitten ein Unternehmen, uns den tatsächlichen Prozess in Aktion zu zeigen. Dazu gehören alle neuen Mitarbeiter der letzten 12 Monate, und wir werden testen, ob sie ordnungsgemäß eingearbeitet wurden. Wir könnten beispielsweise nach Passwort-Einstellungen, Zwei-Faktor-Authentifizierung und anderen Sicherheitsmaßnahmen, Zugriffsprotokollen, Verfügbarkeitsberichten und mehr fragen.

Es gibt einige Nuancen im Berichtstyp. Zum Beispiel konzentrieren wir uns bei Typ 1 nur darauf, die Kontrollen aufzulisten. Bei Typ 2 zeigen wir jedoch auch eine Tabelle der durchgeführten Tests, um sicherzustellen, dass diese Kontrollen effektiv/nicht effektiv waren, und Testverfahren.

Um mehr zu erfahren, können Sie unseren umfassenden Leitfaden zu SOC 2 lesen.

Wie interpretiert man die Ergebnisse des SOC 2-Berichts?

In einem SOC 2-Bericht fallen die Ergebnisse in eine von vier Kategorien.

  1. Unqualifizierte Meinung: Keine wesentlichen Ungenauigkeiten oder Mängel in den Systemen. Das ist Ihr Ziel.
  2. Qualifizierte Meinung: Es gibt wesentliche Fehldarstellungen in den Beschreibungen der Systemkontrollen, aber diese sind auf bestimmte Bereiche beschränkt.
  3. Negative Meinung: Es gibt genügend Beweise, um wesentliche Ungenauigkeiten in der Beschreibung Ihrer Kontrollen und Schwächen im Design und der betrieblichen Effektivität nachzuweisen.
  4. Verzicht auf Meinung: Es gibt keine Möglichkeit, genügend Beweise zu erhalten, um eine fundierte Meinung abzugeben.

Es mag kontraintuitiv klingen, aber das beste Ergebnis für den Bericht und das, was Sie für Ihr Unternehmen wollen, ist eine „unqualifizierte Meinung“.

In diesem Kontext bedeutet es nicht einen Mangel an Informationen, sondern dass Ihre Implementierung der Kontrollen und Sicherheitsmaßnahmen genau wie im ursprünglichen SOC 2-Bericht Typ 1 beschrieben funktioniert.

Negative Meinungen sind ziemlich selten, da sie im Grunde darauf schließen lassen, dass es erhebliche Probleme mit dem gesamten Design Ihrer Sicherheitsmaßnahmen gibt. Wenn Sie eine erhalten, sollten Sie am besten ganz von vorne anfangen, vorzugsweise mit einem erfahrenen Berater.

Wenn Sie SOC 2-konform für Ihre Dienstleistungsorganisation sein möchten, ist ein robustes internes Kontrollprotokoll entscheidend.

Was sind die Hauptgründe, warum ein Auditor keinen unqualifizierten SOC 2-Bericht ausstellen würde?

Wenn Sie für einen Bericht bezahlen, werden Sie immer einen erhalten, aber die Meinungen entscheiden darüber, ob Sie SOC 2-konform sein können oder nicht. Nur weil Sie einen Bericht erhalten, bedeutet das nicht automatisch, dass Ihre Datenverarbeitungsintegrität genehmigt ist.

Sie benötigen einen SOC 2-Bericht mit einer uneingeschränkten Stellungnahme dafür.

Was dazu führt, dass ich eine eingeschränkte Stellungnahme abgebe, die auf Probleme im Prozess in bestimmten Bereichen hinweist, ist ein Versagen der Kontrollen. Ein häufiges Beispiel ist das Versagen neuer Mitarbeiter, den ursprünglichen Protokollen zu folgen, die im Kontrollentwurf festgelegt sind.

Eine schnell wachsende Dienstleistungsorganisation oder ein Unternehmen, das eine Übernahme oder Fusion durchgemacht hat, ist typischerweise einem viel höheren Risiko für dieses Problem ausgesetzt.

Hier sind einige Beispiele dafür, was die Meinung des Prüfers negativ beeinflusst:

  • Unkonsistente Anwendung von Kontrollmaßnahmen zwischen den Mitarbeitern (sogar bei Neueinstellungen)
  • Unkonsistente Anwendung zwischen Projekten oder Lieferungen
  • Unzureichende Sicherheitsmaßnahmen im ursprünglichen Kontrollentwurf
  • Mitarbeiter, die die Protokolle ignorieren

Die Ursachen für diese Probleme sind oft:

  • Schlechte Einarbeitung
  • Mangelnde Kommunikation zwischen den Teams
  • Keine klar definierten Standards im gesamten Unternehmen
  • Mangel an Beteiligung der wichtigsten Interessensgruppen
  • Kein internes Kontrollmonitoring
  • Änderung von Softwaretools oder Prozessen
  • Inkonsequenzen in der gesamten technischen Infrastruktur

SOC-Berichte und der Prüfungsprozess konzentrieren sich auf Konsistenz in Ihrer Organisation.

SOC 2-Anforderungen umfassen Risikomanagement, Kommunikationsprotokolle, Gestaltung und Überwachung von Kontrollen und vieles mehr.

Natürlich kann es über einen 12-monatigen Testzeitraum einige Ausnahmen geben, ohne dass Sie automatisch durchfallen. Eine Ausnahme bei der Kontrolle bedeutet nicht, dass Sie keinen Bericht erhalten haben, aber wir markieren es als Ausnahme.

Beispielsweise sagen wir, dass 2 von 25 Softwareänderungen nicht vor dem Live-Gang von einem Kollegen geprüft wurden. Wir würden diese Probleme als Ausnahmen hervorheben und dem Management die Möglichkeit geben, die Probleme zu beheben.

Eine lange Liste von Ausnahmen kann zum Versagen Ihrer Sicherheitskontrollen führen. Jeder Schritt des Prozesses ist entscheidend für den sicheren Umgang mit internen und Kundendaten.

Ich gebe nur eine negative Stellungnahme ab, wenn die Kontrollumgebung nicht existiert und es im gesamten Prozess zu Ausfällen kommt. Zum Beispiel, wenn jeder im Unternehmen auf sensible Kundendaten zugreifen kann und es keine Schutzmaßnahmen wie Zwei-Faktor-Authentifizierung gibt.

Wie vermeiden Sie diese häufigen Fehler?

Um sicherzustellen, dass alle Mitarbeiter die Protokolle befolgen, müssen Sie dies zu einem Teil Ihrer Unternehmenskultur machen. Stellen Sie sicher, dass alle Mitarbeiter ihre Verantwortlichkeiten innerhalb der Organisation und der Prozesse kennen – auch neue.

Führen Sie Schulungen abteilungsübergreifend durch und erstellen Sie einen einheitlichen Standard, dem jeder relevante Mitarbeiter folgen kann.

Mit dem Wachstum der Organisation müssen Sie die Kontrollen und Prozesse in Ihre Einarbeitung und Schulung einbetten.

Darüber hinaus sollten Sie sich an den Prüfer wenden und Fragen stellen. Prüfer versuchen, transparent zu sein. Lassen Sie sie wissen, wenn Sie an etwas wie dem Wechsel von GCP (Google Cloud Platform) zu AWS (Amazon Web Services) denken und wie sich dies auf Ihren SOC-Bericht auswirken würde.

Ihre SOC 2-Zertifizierung zu erhalten bedeutet, Fehler und Ausnahmen zu minimieren, also nehmen Sie diesen Prozess ernst. Sie müssen nachweisen, dass Sie jedes Prinzip der Vertrauensdienste buchstabengetreu einhalten.

Dazu gehören:

  • Sicherheit
  • Verfügbarkeit
  • Verarbeitungsintegrität
  • Vertraulichkeit
  • Datenschutz

Lassen Sie menschliches Versagen nicht die Wirksamkeit Ihres Betriebs beeinträchtigen.

Was raten Sie Unternehmen, die planen, vor dem SOC 2-Audit eine „Bereitschaftsbewertung“ durchzuführen?

Das hängt von der Organisation ab. Wenn Sie ein kleines Startup sind, haben Sie möglicherweise kein Informationsecurity-Team oder jemanden mit solch einem Hintergrund im Team. Aber wenn Sie mit Großunternehmen arbeiten, fragen potenzielle Kunden oft nach einem SOC 2-Bericht.

In diesem Fall ist es eine gute Idee, eine Bereitschaftsbewertung durchzuführen, um die Kontrollen zu verstehen und zu sehen, wie nah Sie dran sind, diese zu erfüllen. Sie sollten es als eine Möglichkeit nutzen, sich vorzubereiten. Beauftragen Sie einen externen Berater, vorzugsweise einen akkreditierten Prüfer, statt den Prozess von Grund auf zu lernen.

Die Bereitschaftsbewertung zeigt Ihnen die Lücken, die Sie haben, also seien Sie transparent mit dem Prüfer. Sie sind da, um Sie und Ihr Team zu beraten.

Wenn Sie erfahrener sind und ein Team haben, das sich auf Informationssicherheit konzentriert, jeder definierte Prozesse hat und Sie sicher sind, dass Sie wissen, was SOC 2 ist, können Sie es als internen Test nutzen, um zu überprüfen, ob Sie bestehen werden.

Haben Sie noch letzte Tipps für Unternehmen, die sich Sorgen machen, das SOC 2-Audit nicht zu bestehen?

Wenn Sie sich Sorgen machen, zu bestehen, beginnen Sie mit dem Typ-1-Bericht, damit Sie die Kontrollumgebung richtig einstellen können.

Bevor Sie beginnen, bewerten Sie Ihre internen Kontrollen und Prozesse, führen Sie eine Bereitschaftsbewertung durch und wenden Sie sich an Wirtschaftsprüfer, um eine Erstberatung zu erhalten. Ein Wirtschaftsprüfer ist nicht nur Richter oder Jury.

Ein Wirtschaftsprüfer ist ein Berater, der Ihnen helfen kann, sicherzustellen, dass Sie für den Erfolg vorbereitet sind, insbesondere wenn Sie eine Typ-1- oder Bereitschaftsbewertung durchführen.

Zuverlässige, sichere Prozesse sind der Schlüssel zu gesunden Kundenbeziehungen.

Der Grund, warum potenzielle Geschäftskunden auf die SOC-2-Compliance Wert legen, ist, dass Datenverletzungen geschäftsschädigend sind.

Sie können es sich nicht leisten, Kunden durch versehentliches Leaken sensibler Informationen zu verlieren. Die SOC-2-Compliance ist ein Weg, um zu beweisen, dass Ihr Unternehmen weiß, wie man mit Daten umgeht.

Wenn Sie anfangen, sich vorzubereiten, mag es wie eine überwältigende Aufgabe erscheinen. Aber mit den richtigen Werkzeugen können Sie sich in Wochen und nicht in Monaten auf einen erfolgreichen SOC-2-Bericht vorbereiten.

Secureframe macht es einfach, Ihre Sicherheitsanforderungen zu implementieren, Ihr gesamtes System zu scannen und Schwachstellen in Ihrem Technologiestack hervorzuheben.

Wenn Sie einen Vorsprung haben möchten, melden Sie sich noch heute für eine kostenlose Demo an.