Nicht sicher, was Sie von Ihrem Prüfer vor, während und nach dem Prüfungsprozess erwarten können? Sie fragen sich, welche Kriterien zur Auswahl eines Prüfers oder Prüfunternehmens zu verwenden sind? Nicht sicher, wie Sie Ihr Prüfungsfenster bestimmen sollen?

Unsere Secureframe Bürozeiten | Fragen Sie einen Experten Serie ist darauf ausgelegt, dass Sie Einblicke, bewährte Verfahren und Antworten auf Ihre Fragen zu jedem Aspekt des Compliance-Prozesses erhalten — einschließlich vor und nach einer Prüfung.

Diese Serie ist ein offenes Forum für Teilnehmer, um ihre Fragen zu Sicherheit, Datenschutz und Compliance von einem unserer internen Compliance-Experten oder Prüfungspartner beantworten zu lassen und zu hören, was andere sicherheitsbewusste Organisationen denken und fragen.

Die dritte Sitzung, die am Donnerstag, den 17. November, stattfand, präsentierte Steve Seideman, CISSP, Direktor für Ethical Hacking bei Prescient Assurance. Steve ist Prüfer mit fast 30 Jahren Erfahrung in der Sicherheits-, Datenschutz- und Compliance-Branche.

Während des 30-minütigen Live-Q&A beantwortete Steve auditspezifische Fragen, die für Startup-Führungskräfte und Sicherheitsexperten von höchster Bedeutung sind. Wenn Sie es verpasst haben, fassen wir seine Antworten unten zusammen.

1. Welche Tools werden für die Prüfung der Sicherheit und Compliance des Systems einer Organisation verwendet?

Steve: Secureframe selbst ist das Hauptwerkzeug, das wir bei Prescient Assurance verwenden, wenn wir Prüfungen durchführen. Natürlich hat Secureframe Hunderte von Integrationen und Automatisierungsprozesse, die Teil dieses Prozesses sind, wie API-Aufrufe und Überprüfungen. Wenn Sie beispielsweise Ihre AWS-Umgebung verbinden, wird die Secureframe-Plattform Ihre AWS-Umgebung abfragen, um eine Reihe verschiedener Konfigurationseinstellungen zu finden. Wir verlassen uns darauf, dass Secureframe diese Art von Arbeit für uns erledigt.

2. Wie messen Sie die Einhaltung der DSGVO? Welche spezifischen Maßnahmen können wir für ein Unternehmen mit globaler Präsenz ergreifen?

Steve: Ich werde das Beantworten von Fragen zur DSGVO mit einer wichtigen Anmerkung beginnen: Datenschutzstandards wie die DSGVO, CCPA, HIPAA, Kanadas Datenschutzstandards und andere staatlich regulierte Datenschutzstandards haben keine leitende Stelle, die definiert, was es bedeutet, diese Standards einzuhalten.

Wenn wir beispielsweise ein SOC 2 Audit oder ein ISO 27001 Audit durchführen, gibt es eine leitende Stelle, die festlegt, was es bedeutet, konform zu sein und die Standards definiert, nach denen eine Prüfung durchgeführt werden muss. Für die DSGVO gibt es so etwas nicht.

Was das effektiv bedeutet, ist, dass die Einhaltung der DSGVO auf die Meinung des Prüfers zurückzuführen ist oder in vielen Fällen auf die Meinung des Unternehmens, das behauptet, den Standard einzuhalten. Wenn Sie also fragen, was es braucht, um DSGVO-konform zu sein, lautet die Antwort darauf: was auch immer Sie denken, was es benötigt, denn es gibt niemanden, der sagt, dass Sie nicht DSGVO-konform sind. Es sei denn, Sie haben natürlich einen erheblichen Datenschutzverstoß und eine EU-Regulierungsbehörde verhängt eine Geldstrafe gegen Sie, weil Sie die Vorschriften nicht eingehalten haben.

Ich wollte also zunächst klarstellen, dass wenn wir eine Konformitätsbescheinigung für einen Datenschutzstandard wie die DSGVO ausstellen, es unsere Meinung ist und wir den allgemein anerkannten Prüfungsgrundsätzen folgen, wie wir diese Prüfung durchführen.

Bei Prescient Assurance haben wir die verschiedenen Technologie- und Governance-Kontrollen, die in der DSGVO-Gesetzgebung definiert sind, herausgearbeitet und auf diese Gesetzgebung angewendet. Es gibt eine Reihe von Möglichkeiten, dies zu tun. Secureframe hat beispielsweise ihre Zuordnung der Kontrollen. Sie können sich auch das Gesetz selbst ansehen und was es von Ihnen verlangt. Das Wichtigste, was Sie bei Datenschutzkontrollen im Allgemeinen beachten müssen, ist, dass sie Transparenz erfordern. Sie verlangen, dass Sie sehr klar definieren, was Sie tun und warum Sie es tun, wenn Sie Daten mit jemandem teilen, mit wem Sie sie teilen, und dass Sie die Zustimmung von jeder Person einholen, deren Daten Sie sammeln.

Die wichtigsten Dinge, die Sie beachten müssen, um DSGVO-konform zu sein, sind zu wissen, was Sie tun und warum Sie es tun, und darüber sehr klar und transparent zu sein. So messen wir hauptsächlich die DSGVO-Konformität.

3. Wie verhält sich die DSGVO im Vergleich zu anderen Datenschutzstandards?

Das kalifornische Datenschutzgesetz beispielsweise ist sehr eng mit der EU-DSGVO abgestimmt. Auch das kanadische Gesetz zum Schutz personenbezogener Daten und elektronischer Dokumente (PIPEDA) ist sehr ähnlich.

Die hauptsächlichen Unterschiede sind bürokratischer Natur. Die DSGVO hat spezifische Anforderungen in Bezug auf die EU, wie zum Beispiel eine EU-Präsenz, eine Person in der EU, die als Datenschutzbeauftragter fungiert, die Definition personenbezogener Daten als persönliche Informationen von EU-Bürgern, solche Dinge eben.

Im Großen und Ganzen sind die Anforderungen ungefähr gleich. Also noch einmal, Transparenz, Klarheit und Zustimmung sind die wichtigsten Punkte.

4. Was kann eine Organisation von einer Erstprüfung erwarten?

Steve: Wenn Sie eine Erstprüfung durchlaufen, ist eines der wichtigsten Dinge, die Sie beachten und erwarten sollten, dass Sie möglicherweise nicht zu hundert Prozent konform sind. Es kann Dinge geben, die Sie noch nicht getan haben oder die noch in Arbeit sind.

Im Allgemeinen sollten Prüfungsunternehmen die Reife Ihres Sicherheits- und Konformitätsprogramms und die auf Ihre Organisation zutreffenden Risiken berücksichtigen. Zum Beispiel ist es im Allgemeinen ein geringes Risiko, nicht alle Details Ihres Programms vollständig dokumentiert zu haben, aber es wäre im Allgemeinen ein hohes Risiko, keine technische Kontrolle zu haben, die verhindert, dass Ihre Daten dem Internet ausgesetzt werden. Wenn wir also Prüfungen durchführen, sollten wir diese Art von Risiko berücksichtigen.

Kleinere Mängel, wie etwa dass Ihre Dokumentation nicht zu hundert Prozent vollständig ist, sind in Ihrem Bericht in der Regel akzeptabel. Viele Menschen gehen mit der Vorstellung in die Prüfung, dass sie hundertprozentige Konformität erreichen möchten. Sie möchten keine Mängel in ihrem Bericht haben, und das ist nicht unbedingt der beste Ansatz.

Der beste Ansatz ist, das, was Sie tun, sicherzustellen, dass es ausgereift, wiederholbar und gut dokumentiert ist, und sich dann um die Dinge zu kümmern, die Sie noch nicht tun. Sie können in Zusammenarbeit mit Ihrem Prüfer und mit den Konformitäts- und Kundensupport-Teams bei Secureframe alle Fragen zu den Dingen durchgehen, die Sie möglicherweise noch tun müssen.

5. Stimmt es, dass der Prüfer möglicherweise einige Verbesserungsmöglichkeiten findet und ein Gespräch mit dem geprüften Unternehmen führt, damit diese während des Prüfungszeitraums Anpassungen vornehmen können?

Steve: Das ist absolut richtig. Insbesondere unsere Haltung bei Prescient Assurance ist, dass wir so früh wie möglich in diese Gespräche involviert werden möchten. Oft haben wir an Prüfungen teilgenommen, bei denen eine Organisation zu uns kommt und denkt, sie seien vollständig bereit für die Prüfung, und Entscheidungen wurden getroffen, die auf Grundlage ihrer Situation nicht die besten waren, und wir hätten ihnen einige Kopfschmerzen ersparen können, wenn wir früher einbezogen worden wären.

Unser Ziel ist es, dass Sie bei einer Prüfung erfolgreich sind. Je früher wir uns einbringen können, desto eher können wir sicherstellen, dass wir alle auf derselben Seite stehen und dass wir alle die gleichen Erwartungen an die Kontrollen haben. Wir können auch Fragen beantworten und mehr helfen, was sowohl für uns als auch für Sie besser ist.

6. Was sind Plan of Actions and Milestones (POA&Ms) und System Security Plans (SSPs)?

Steve: Diese Terminologie ist spezifisch für Regierungsprüfungen, für NIST und FedRAMP und ähnliche Programme. Der Gedanke hinter diesen Dokumenten ist im Wesentlichen, dass die Erwartung der meisten Prüfungen darin besteht, dass Sie zum Zeitpunkt der Prüfung nicht perfekt sind. Es wird erwartet, dass Lücken identifiziert werden. Und wenn Sie eine Lücke identifizieren, wird diese in irgendeine Art Risikoregister aufgenommen und es gibt einen Korrekturaktionsplan für diesen speziellen Punkt. Das ist ein POA&M. Es ist ein Plan von Aktionen und Meilensteinen zur Behebung einer identifizierten Lücke.

Der SSP ist eher ein Systembeschreibungsdokument für SOC 2. Diese Dinge definieren den Umfang und die Kontrollen Ihres Systems.

7. Um alle Standards der Trust Services Criteria zu erfüllen, welche Vorbereitungen sollten wir treffen? Können Sie mir ein Selbstbewertungsformular für SOC 2 Typ II geben?

Steve: Das ist eine der Dinge, in denen Secureframe herausragt. Die Secureframe-Plattform selbst ist dieser Vorbereitungs- und Selbsteinschätzungsprozess, während Sie die Bereitschaftsaufgaben und die in der Plattform bereitgestellten Anleitungen durchlaufen. Die Plattform wird Sie dazu auffordern, Systeme zu verbinden und Systeme sicher zu konfigurieren. Sie wird Sie dazu auffordern, sicherzustellen, dass Sie Aufzeichnungen über Sicherheitsschulungen haben, dass Sie Mitarbeiter ordnungsgemäß integriert haben, all solche Dinge.

Das ist das Hauptargument für die Verwendung eines Tools wie Secureframe: Wenn Sie diese Prüfungen durchlaufen und dieses Dashboard beginnt, grün zu werden, wird es das gewünschte Vertrauen geben, dass Sie bereit sind.

8. Ich führe derzeit eine interne ISO 27001:2013-Lückenanalyse für das Unternehmen durch, bei dem ich arbeite. Welche Fragen sollte ich von den Prüfern in Bezug auf ISO 27001-Standards für ein Unternehmen mit 300 Mitarbeitern erwarten?

Steve: Das ist eine Frage, die ich derzeit nur kurz beantworten kann. Es gibt ungefähr 150 Kontrollen, und ein Prüfer wird Sie zu jedem einzelnen befragen.

Was ich sagen werde, ist, dass Ihnen die Klauseln 4-9 in der Norm einen Überblick über das gesamte Informationssicherheitsprogramm geben, das Sie haben sollten. Die Klauseln sind das Governance-Element hiervon, und die Anhangskontrollen sind eher die technischen Details, wie Sie die Dinge in den Klauseln umsetzen.

Also, auf hoher Ebene sollten Sie sicherstellen, dass Sie sich auf die Klauseln konzentrieren und sicherstellen, dass Sie die Dinge tun, die in den Klauseln definiert sind, dann sollten Sie im Allgemeinen in Ordnung sein.

9. Wie funktioniert die kontinuierliche Überwachung innerhalb von Secureframe?

Steve: Wie ich bereits erwähnt habe, hat Secureframe eine Reihe technischer Komponenten. Es führt täglich, wöchentlich und monatlich Prüfungen Ihrer verschiedenen Kontrollen durch. Es wird dort, wo es praktisch ist, Automatisierung eingesetzt, um zu validieren, dass Ihre Kontrollen konform bleiben. Es gibt auch Alarme innerhalb von Secureframe, die Ihnen bei prozessorientierten Aufgaben helfen. Sie könnten also eine Warnung erhalten, dass ein Beweisstück, das Sie für das Audit im letzten Jahr hochgeladen haben, abgelaufen ist und Sie einen neuen Beweis für das Audit in diesem Jahr hochladen müssen.

Ein weiteres wichtiges Merkmal der kontinuierlichen Überwachung in Secureframe ist die Fähigkeit, einen Testverantwortlichen für alle erforderlichen Tests zu benennen, die den verschiedenen Kontrollen zugeordnet wurden, die Unternehmen implementieren und deren fortlaufenden Betrieb sicherstellen müssen.

Die Plattform gibt Ihnen dann die Möglichkeit, diese Tests zu delegieren und Fälligkeitsdaten, Frequenzen und Toleranzfenster festzulegen. Dies ermöglicht es Ihnen zu verfolgen, wer was wann und wie tun muss.

10. Wie raten Sie, Führungskräfte für die Bedeutung von Sicherheits- und Datenschutzkonformität zu sensibilisieren und zu begeistern, damit sie letztendlich zu Befürwortern werden?

Steve: Das ist eine wirklich wichtige Frage. Wenn Sie kein gutes Engagement der Führungsebene für eine Art von Sicherheitsinitiative haben – sei es eine Compliance- oder eine technische Initiative –, ist es sehr schwierig, Dinge zu erledigen und die Mitarbeiter in der Organisation dazu zu bringen, es zu priorisieren. Sie benötigen die Hilfe des Führungsteams, um dies zu erreichen.

Was sich für mich in meiner Karriere bei der Zusammenarbeit mit Führungskräften in stark regulierten Branchen im Allgemeinen als nützlich erwiesen hat, ist zu sagen: „Hey, wenn wir das nicht tun, werden die Regulierungsbehörden kommen und Sie werden Strafen zahlen müssen, weil Sie nicht konform sind.“ Wenn Sie im Gesundheitswesen tätig sind und HIPAA-konform sein müssen, können Sie diesen „Zuckerbrot-und-Peitsche“-Ansatz verfolgen und sagen: Wenn wir konform sind, werden wir sicherer sein, und wenn ein Regulierer kommt und sich unsere Systeme ansieht, werden wir keine Probleme bekommen.

Wenn Sie sich nicht in einer regulierten Branche befinden und versuchen, das Engagement für Sicherheits- und Compliance-Initiativen zu gewinnen, finde ich es hilfreich, sich einen kürzlich in den Nachrichten aufgetretenen Sicherheitsvorfall anzusehen, der in derselben Branche passiert ist, in der Sie tätig sind. Ein gutes Beispiel ist der jüngste bedeutende Datenverstoß von Uber.

Eines der Dinge, die wir bei Prescient Assurance getan haben, war, diesen Datenverstoß zu untersuchen und zu analysieren, welche Audit-Typ-Kontrollen wir betrachten, wenn wir jemanden beurteilen, der dies hätte verhindern können. Wir fragten also: Was wäre, wenn Uber eine Prüfung mit uns durchlaufen hätte? Welche Kontrollen hätten wir bewertet? Und wie hätten diese Kontrollen diesen Verstoß verhindert? Wir konnten fünf verschiedene Kontrollen an fünf verschiedenen Stellen in diesem Prozess identifizieren, bei denen, wenn auch nur eine dieser Kontrollen wirksam und bei Uber vorhanden gewesen wäre, dieser Datenverstoß verhindert worden wäre.

Es ist also wirklich effektiv, zu Führungskräften und besonders zu Geschäftsführern zu gehen und zu sagen: „Hey, schaut mal! Diese Leute sind genau wie wir, und sie erleben gerade viel öffentlichen Schmerz, weil sie diesen Prozess nicht durchgeführt haben. Hier sind die Bereiche, auf die wir uns konzentrieren müssen, um sicherzustellen, dass wir nicht das gleiche Problem haben wie sie.“

Sie könnten auch ihren Rückhalt sichern, indem Sie einfach die Gelegenheit zur Schließung von Geschäften, Gewinnung neuer Kunden und Steigerung des Umsatzes und letztendlich des Geschäfts hervorheben. Fast jeder Kunde, den wir haben, der eine Prüfung im ersten Jahr durchführt, tut dies, weil ein Kunde, mit dem er einen Geschäftsabschluss erzielen möchte, ihm gesagt hat, dass er dies tun muss.

11. Können Sie den Unterschied im Aufwand für ein Unternehmen, ISO 27001 und ISO 27018 zu erreichen, kommentieren?

Steve: Das hängt davon ab, ob das Unternehmen bereits ISO 27001-zertifiziert ist oder nicht.

Alle ISO-Normen sind prozessorientiert. Der Zweck der ISO-Normen, des Prüfprozesses und der Konformität besteht darin, reife, dokumentierte Prozesse zu haben. Wenn Sie bereits einen ISO 27001-Zertifizierungsprozess durchlaufen haben, sollten Sie gut dokumentierte Prozesse dafür haben, wie Sie die Konformität und Sicherheit Ihres ISMS aufrechterhalten. Dies reduziert die Belastung erheblich, um andere Standards in der ISO 27000-Serie zu erreichen.

Das Hauptthema in Bezug auf den Aufwand ist, wie viel Dokumentation Sie erstellen müssen und auf welchem Reifegrad Sie erwarten, dass diese Prozesse sich befinden. In vielen Fällen, wenn wir zu einer ISO-Prüfung gehen, haben wir Leute, die viele der richtigen Prozesse implementiert haben, aber es gibt keine Dokumentation, die besagt, dass dies der richtige Weg ist.

Das ist wirklich das Hauptthema, auf das man sich bei der Vorbereitung auf ISO konzentrieren sollte: Schauen Sie sich die erforderlichen Prozesse an, stellen Sie sicher, dass diese Prozesse gut dokumentiert sind, und stellen Sie sicher, dass Sie nachweisen können, dass Sie diese Prozesse auf konsistente Weise befolgen.

12. Was denken Sie könnte die Entwicklung von Sicherheit, Prüfung und Integration in den Compliance-Prozess sein?

Lassen Sie mich zunächst das traditionelle Modell zur Durchführung einer Prüfung erläutern. Es beginnt mit einem langen, erschöpfenden Interviewprozess. Der Prüfer würde die Leute nacheinander in einen Konferenzraum rufen und ihnen eine Reihe von Fragen stellen. Dieser Prozess würde so lange fortgeführt, bis die Prüfer überzeugt waren, dass sie alle befragt hatten. Dann würden sie eine Menge Dokumentenanfragen nachschicken. Dann würde es Monate dauern, alle diese Prüfungsnotizen und alle diese Prüfungsdokumente zu überprüfen. Es würde viele Nachfragen geben wie: „Dieses Dokument, das Sie mir gegeben haben, ist nicht ganz richtig, und ich brauche ein anderes.“ Es würde also Monate dauern, um festzustellen, ob ein Unternehmen den jeweiligen Standards entspricht.

Was Sie in der Entwicklung des Sicherheitsbereichs im Allgemeinen sehen, ist, dass es mehr Bestrebungen gibt, von der Erreichung der Sicherheit und Compliance zu einem bestimmten Zeitpunkt wegzukommen und stattdessen immer sicher sein zu wollen. Deshalb sind Compliance-Plattformen wie Secureframe die Zukunft.

Sie überwachen kontinuierlich, sodass Sie jederzeit wissen, ob Sie konform sind oder nicht. Wenn ein Prüfer kommt und sagt: „Zeigen Sie mir, dass Sie X, Y und Z tun“, wissen Sie genau, wo Sie diese Informationen finden und können sie sehr schnell vorzeigen. Es ist nicht nur einfacher für Sie zu wissen, ob Sie konform sind oder nicht – es ist auch einfacher für den Prüfer.

Als Prüfer ist es viel einfacher, eine Plattform wie Secureframe zu verwenden, da ich hineingehen und sehen kann, was konform ist und eine Menge Dokumente überprüfen kann. Ich muss Ihnen keine Fragen stellen, und ich muss keine Menge Dokumentenanfragen stellen. Es spart also allen eine Menge Zeit und Ärger, und ich denke, dass dies der Weg ist, den die Prüfung einschlägt.

Ich denke, dass jedes Unternehmen zu diesem Zeitpunkt, das nicht nach einem GRC-Tool sucht, um seine Konformität zu messen, seine Kontrollen zu übernehmen und sie auf mehrere Prüfungsstandards abzubilden, zurückfallen und Schmerzen erleben wird.

Denn heute wollen die meisten Unternehmen nicht nur SOC 2 konform sein, sondern auch GDPR und CCPA und andere Rahmenwerke. Sie suchen also nach einem Satz von Kontrollen und machen diese Kontrollen wirklich gut und reif und gut dokumentiert, damit sie sie auf jeden Prüfungsstandard anwenden können, den sie benötigen. Das funktioniert, weil sich die meisten Rahmenwerke zu achtzig bis neunzig Prozent überschneiden. Wenn Sie also stark SOC 2 konform sind, sind Sie wahrscheinlich auch stark ISO und anderen Standards konform. Das ist die Richtung, in die sich die Konformitätsbranche entwickelt.

13. Wie priorisiere ich meine Zeit, um auditbereit zu werden, und wo sollte ich anfangen?

In jedem Prüfungsprozess empfehle ich dringend, mit Ihren Richtlinien zu beginnen. Stellen Sie sicher, dass Ihre Richtlinien wirklich widerspiegeln, was Sie tun, nicht das, was Sie denken, dass der Standard will, dass die Richtlinie sagt. Wieder ist es viel besser, gute, reife, gut dokumentierte Prozesse zu haben, die real sind, als etwas zu sagen, von dem Sie denken, dass Sie es tun sollten, es aber tatsächlich nicht tun.

Stellen Sie als Nächstes sicher, dass Ihre Mitarbeiter die Richtlinien und ihre Verantwortlichkeiten und Aufgaben im Zusammenhang mit diesen Richtlinien verstehen. Dann stellen Sie sicher, dass sie tatsächlich Ihre Richtlinien befolgen. Wenn beispielsweise eine Ihrer Richtlinien besagt, dass Sie vierteljährliche Leistungsüberprüfungen durchführen, führen Sie vierteljährliche Leistungsüberprüfungen durch und stellen Sie einige Dokumentationen bereit.

Und schließlich priorisieren Sie die technischen Kontrollen. Stellen Sie sicher, dass Ihr Technologiebereich sicher ist, dass Prozesse rund um Ihre Technologie sicher sind.

Das ist also der Drei-Schritte-Prozess, den ich empfehlen würde: Bringen Sie Ihre Richtlinien in Ordnung, stellen Sie sicher, dass Ihr Personal vollständig mit diesen Richtlinien übereinstimmt, und stellen Sie dann sicher, dass Ihr Technologiebereich solide ist.

Nehmen Sie an unserem nächsten Secureframe Expert Insights Webinar teil

Wir veranstalten Secureframe-Webinare regelmäßig, um die größten Sicherheits-, Datenschutz- und Compliance-Probleme anzugehen, die wir von Interessenten, Kunden und unseren internen Compliance-Experten hören. Finden Sie bevorstehende Webinare sowie On-Demand-Aufzeichnungen vergangener Webinare in unserer Compliance-Ressourcenbibliothek.