Zusammenfassung der Secureframe-Sprechstunde: Wichtige Sicherheitszertifizierungen für Startups, Definition des Prüfungsumfangs und weitere Antworten auf Ihre Compliance-Fragen
Sind Sie sich nicht sicher, welche Sicherheits- und Datenschutzrahmen Ihr Unternehmen in Ihrer Branche und für Ihre Kunden einhalten muss? Fragen Sie sich, wie Sie den Umfang Ihrer Prüfung festlegen sollen? Suchen Sie nach Best Practices für die Implementierung neuer Sicherheitsrichtlinien oder -prozesse? Unsere Secureframe-Sprechstunde | Fragen Sie einen Experten -Reihe ist für Sie konzipiert – genauer gesagt, damit Sie Einblicke, Best Practices und Antworten auf Ihre Fragen erhalten.
Unsere Secureframe-Sprechstunde | Fragen Sie einen Experten -Reihe ist ein offenes Forum, in dem die Teilnehmer ihre Fragen zu Sicherheit, Datenschutz und Compliance von einem unserer internen Compliance-Experten und ehemaligen Prüfer beantwortet bekommen und hören können, worüber andere sicherheitsbewusste Organisationen nachdenken und fragen.
Die zweite Sitzung, die am Donnerstag, den 3. November, stattfand, wurde von Jonathan Leach, CISSP, CCSFP, CCSK geleitet. Jonathan ist ein ehemaliger Prüfer und Informationssicherheitsberater mit mehr als einem Jahrzehnt Erfahrung darin, Unternehmen zu helfen, ihre Sicherheitslage zu verbessern. Jonathan hilft nun Secureframe-Kunden, Compliance mit Rahmenwerken wie SOC 2, ISO 27001, GDPR und HIPAA zu erreichen.
Während des 30-minütigen Live-Q&A beantwortete Jonathan Fragen zu Themen, die von kontinuierlicher Überwachung bis hin zum Start eines neuen Compliance-Programms reichten. Falls Sie es verpasst haben, fassen wir einige seiner Antworten unten zusammen.
1. Welche Sicherheitsstandards empfehlen Sie für SaaS-Unternehmen?
Jonathan: Meine erste Empfehlung ist ISO 27001. ISO 27001 ist ein weltweit anerkannter Standard, und es stellt nicht nur die grundlegenden Sicherheitsrichtlinien und -verfahren auf, sondern ein echtes Informationssicherheits-Managementsystem, das kontinuierlich verbessert wird.
Es ist eines der besten grundlegenden Rahmenwerke, die Sie implementieren können. Dann können Sie sich tief in einige der spezifischeren ISO 27000-Serie-Standards vertiefen und zusätzliche Zertifizierungen erlangen, um Ihren Kunden zu zeigen, dass Sie einen extra Schritt gehen, um ihre Informationen zu sichern.
Wenn Sie in den USA ansässig sind, ist SOC 2 ebenfalls ein sehr anerkannter Standard und hat viele Überschneidungen mit ISO 27001. Beide Rahmenwerke geben Ihnen ein starkes Set an grundlegenden Sicherheitsprinzipien, um Ihr Unternehmen und Ihre Kunden zu schützen.
Der ultimative Leitfaden zu ISO 27001
Wenn Sie ein konformes ISMS aufbauen und die Zertifizierung erreichen möchten, enthält dieser Leitfaden alle Details, die Sie benötigen, um loszulegen.
2. Wie können kleine Organisationen (weniger als 5 Mitarbeiter) die Anforderungen an die Trennung von Aufgaben und Zugriffskontrollen erfüllen, die für die Zertifizierung benötigt werden?
Jonathan: Diese Frage taucht häufig bei Unternehmen mit kleinen Entwicklerteams auf. Sie möchten über ihre Gewichtsklasse hinauswachsen und Zertifizierungen erreichen, die typischerweise von größeren Unternehmen mit einem ausgebauten Entwicklerteam und bereits vorhandenen Sicherheitskontrollen gesehen werden.
Es gibt einige Workarounds, die es Ihnen ermöglichen, risikoinformierte Entscheidungen über Zugriffskontrollen, Trennung von Aufgaben, Doppelautorisierung und angemessene Code-Überprüfung zu treffen.
Der erste Schritt hat mit der Dokumentation zu tun, die ein zentraler Bestandteil von ISO 27001 ist. Wenn es um Zugangskontrolle geht, bei der eine begrenzte Anzahl von Personen Zugriff auf sensible Informationen und Entwicklerwerkzeuge hat, mit denen Updates herausgegeben werden können, ist der erste Schritt die Standardisierung der Arten von Änderungen, um die Anzahl der tiefgehenden Überprüfungen und Tests für Änderungen mit geringem Risiko zu begrenzen. Sie können Typen von Änderungen mit geringem Einfluss identifizieren, die eine minimale Überprüfung und Genehmigung erfordern, aber dennoch so viel automatisierte Tests und Inspektionen wie nötig durchlaufen.
Das zweite Element ist die doppelte Autorisierung für größere und einflussreichere Änderungen. Der Anfragende der Änderung ist eine andere Person als der Genehmigende oder erfordert zumindest eine Überprüfung durch eine andere qualifizierte Ressource vor der Genehmigung.
Secureframe kann Ihnen helfen, die erforderliche Dokumentation zu erstellen und zu veröffentlichen, sowie zu bestätigen, dass alle notwendigen Änderungen oder Anpassungen den Anforderungen der ISO entsprechen. Wir sehen uns als Erweiterung Ihres Teams, egal wie groß oder klein es ist, und beantworten gerne alle Fragen, die Sie zur Dokumentation haben.
3. Wie kann ich Sicherheitsfragebögen schneller ausfüllen?
Jonathan: Das erinnert mich an meine Zeit als vCISO, als ich Unternehmen dabei half, all diese RFPs und Fragebögen zu beantworten. Es kann wirklich mühsam sein, so viele verschiedene Anfragen zu beantworten und Dutzende von Variationen derselben Frage zu beantworten.
Unsere Ingenieur- und Produktteams haben ein erstaunliches künstliches Intelligenzsystem mit Secureframe Questionnaires entwickelt. Mit einigen Beispielen zuvor beantworteter Fragebögen kann die KI eine Basis erstellen und unbeantwortete RFPs und Fragebögen mit hoher Genauigkeit (über 90%) ausfüllen. Sie können die Antworten bestätigen oder bearbeiten, bevor Sie den ausgefüllten Fragebogen an Ihren Kunden zurücksenden, was der KI hilft, zu lernen und die Genauigkeit für zukünftige Antworten zu erhöhen.
Experteneinblicke | Reagieren Sie schnell auf Sicherheitsfragebögen und RFPs mit KI
Erfahren Sie, wie künstliche Intelligenz (KI) es schnell und einfach macht, die Sicherheits-, Datenschutz- und Compliance-Position Ihres Unternehmens zu demonstrieren.
4. Wie weiß ich, dass meine Richtlinien alle erforderlichen Informationen enthalten, um konform zu sein? Enthalten die Vorlagen von Secureframe alles Notwendige?
Jonathan: Alle vorgeprüften und genehmigten Richtlinien, die wir bereitstellen, sind absichtlich so geschrieben, dass sie so breit gefächert sind, wie es erforderlich ist, um die Anforderungen abzudecken, und gleichzeitig dort anpassbar sind, wo es notwendig ist. Wir heben spezifische Abschnitte hervor, die vor der Veröffentlichung einer weiteren Überprüfung oder Anpassung bedürfen, um das richtige Gleichgewicht zwischen sofortiger Einsatzbereitschaft und Anwendbarkeit auf Ihre spezifische Umgebung zu gewährleisten.
5. Unsere Organisation muss GDPR-konform sein, aber es war schwierig, Zeit für den Compliance-Prozess zu finden. Wo sollten wir anfangen?
Jonathan: Die GDPR kann abschreckend wirken, insbesondere da sie ein Gesetz ist. Secureframe macht es Ihnen so einfach wie möglich mit unseren eigenen internen Compliance-Experten und ehemaligen Auditoren, sodass Sie über jeden Zweifel erhaben wissen, dass Sie alles tun, was notwendig ist, um die Daten von EU-Bürgern zu schützen.
Während die DSGVO-Compliance eher auf Richtlinien, Dokumenten und der Erfüllung gesetzlicher Anforderungen basiert, unterstützen wir, indem wir die Richtlinien und Verfahren bereitstellen, die Sie benötigen, um die Einhaltung nachzuweisen, falls Sie sich für ein Audit entscheiden (obwohl es kein offiziell vorgeschriebenes „Audit“ oder „Zertifizierung“ für die DSGVO gibt).
6. Was müssen gedeckte Einrichtungen und Arztpraxen tun, um eine HIPAA-konforme Verschlüsselung zu implementieren?
Jonathan: Wir haben vielen, vielen Organisationen geholfen, die erforderlichen Richtlinien und Verfahren, die notwendig sind, um HIPAA-konform zu sein, effektiv umzusetzen. Und das nicht nur, um HHS-Anforderungen zu erfüllen, sondern im Namen der Patienten und Datensubjekte, deren geschützte Gesundheitsinformationen Sie anvertraut sind zu schützen, egal ob Sie eine gedeckte Einrichtung oder ein Geschäftspartner sind. Verschlüsselung ist nur ein Teil davon.
Unerlaubte Offenlegungen sind passiert, weil Daten im Ruhezustand nicht verschlüsselt wurden. Jemand lässt einen Laptop im Auto oder unbeaufsichtigt im Büro und jemand stiehlt ihn. Die Verschlüsselung dieser Informationen stellt sicher, dass, sollte jemand unbefugten physikalischen Zugang zu einem Gerät erhalten, die geschützten Daten nicht einsehen oder darauf zugreifen kann.
7. Wie funktioniert das kontinuierliche Monitoring von Secureframe?
Jonathan: Kontinuierliches Monitoring gibt unseren Kunden wirklich die Ruhe, dass unsere Plattform nach Compliance-Lücken sucht, Kunden alarmiert und ihnen zeigt, was sie beheben müssen und wann.
Dies funktioniert auf verschiedene Weise, hauptsächlich indem Testverantwortliche zugewiesen werden, die allen verschiedenen Kontrollen für die unterschiedlichen Rahmenwerke zugeordnet sind. Eine spezifische Person in einer bestimmten Abteilung ist verantwortlich für spezifische Tests, die an spezifische Kontrollen gebunden sind.
Sie können Häufigkeiten für jeden Test festlegen, so dass, wenn es sich um eine wiederkehrende Aufgabe wie vierteljährliche Zugriffsüberprüfungen oder jährliche Penetrationstests handelt, der Kontrollverantwortliche eine Erinnerung erhält.
Secureframe nimmt viel Stress aus dem Prozess. Erstens, zu wissen, was Sie tun müssen, um konform zu werden, und dann genau zu wissen, wer für was verantwortlich ist und wann, um konform zu bleiben.
8. Aus der Perspektive der PCI DSS-Compliance, gibt es Kriterien, die Microsoft Bitlocker als effektives Festplattenverschlüsselungstool ausschließen, wenn kein Active Directory verfügbar ist, um den Wiederherstellungsschlüssel zu speichern?
Jonathan: Ich bin mit den PCI DSS-Anforderungen nicht vertraut, die die Wirksamkeit von Bitlocker beeinträchtigen würden. Aber ohne einen Wiederherstellungsschlüssel, der im Active Directory verfügbar ist, und solange jemand mit autorisiertem Zugriff diesen Schlüssel bei Bedarf sicher wiederherstellen kann, sollte es kein Problem sein.
Das einzige Problem, das ich mit Bitlocker gesehen habe, ist mit Microsoft Home Windows Edition. Das würde zusätzliche mildernde Maßnahmen erfordern, um sicherzustellen, dass sensible Daten niemals auf die Endpunktebene gelangen und dass sie andernorts sicher gespeichert werden, wo Sie eine effektive Verschlüsselung einsetzen können.
9. Wie erfasse ich mein Audit?
Jonathan: Secureframe hilft dabei ebenfalls. Die Erfassung eines einzelnen Produkts, Werkzeugs oder Systems, das sensible Informationen enthält, kann schwierig werden, da sie oft in unterstützende Systeme übergeht.
Ich empfehle immer, wo immer möglich, die gesamte Organisation in den Umfang des Audits einzubeziehen. So wissen Sie, dass Sie von oben bis unten sicher sind. Jedes Mal, wenn Sie neue Produkte oder Dienstleistungen herausbringen, wissen Sie, dass diese ebenfalls die gleichen Anforderungen erfüllen werden.
Es gibt auch das menschliche Element. Wenn Sie alle in der Organisation einbeziehen können, müssen Sie nicht raten, wer in den Umfang für Richtlinienbewertungen und Sicherheitsschulungen einbezogen werden muss.
Manchmal lässt sich dieser größere Umfang aus Budgetgründen leichter sagen als tun. Wir besprechen den Audit-Umfang immer während des Onboarding-Prozesses mit den verschiedenen dedizierten Ressourcen, die Sie erhalten, wenn Sie Secureframe-Kunde werden.
Nehmen Sie an unserem nächsten Secureframe Expert Insights Webinar teil
Wir veranstalten regelmäßig Secureframe-Webinare, um die größten Sicherheits-, Datenschutz- und Compliance-Probleme zu behandeln, die uns von Interessenten, Kunden und unseren internen Compliance-Experten zugetragen werden. Finden Sie kommende Webinare und On-Demand-Aufzeichnungen vergangener im unsere Ressourcenbibliothek für Compliance.