Secureframe Sprechstunden Zusammenfassung: Antworten auf Ihre Fragen zur Beweiserhebung, Sicherheitsschulung und jährlichen Audits

  • November 01, 2022
Author

Emily Bonnie

Senior Content Marketing Manager at Secureframe

Reviewer

Rob Gutierrez

Senior Compliance Manager at Secureframe

Sie sind sich nicht sicher, welche Sicherheits- und Datenschutzrahmenwerke Sie für Ihre Branche und Kunden einhalten müssen? Sie fragen sich, wie Sie Ihr Audit abgrenzen können? Sie suchen nach Best Practices für die Implementierung neuer Sicherheitsrichtlinien oder -prozesse? Unsere Secureframe Sprechstunden | Fragen Sie einen Experten Serie ist für Sie gemacht.

Secureframe Sprechstunden | Fragen Sie einen Experten ist ein offenes Forum, in dem die Teilnehmer ihre spezifischen Fragen zu Sicherheit, Datenschutz und Compliance von einem unserer internen Compliance-Experten und ehemaligen Prüfer beantwortet bekommen.

Die erste Sitzung, die am Donnerstag, dem 20. Oktober, stattfand, wurde von Rob Gutierrez, CISA, CSSK, geleitet. Rob ist ein ehemaliger Prüfer mit umfangreicher Erfahrung in FedRAMP-, Finanzberichterstattungsprüfungen und FISMA. Jetzt teilt Rob sein Prüfungs- und Informationssicherheitswissen mit Secureframe-Kunden, um ihnen zu helfen, Compliance zu erreichen und robuste Sicherheits- und Datenschutzhaltungen aufzubauen.

Während der 30-minütigen, Live-Q&A beantwortete Rob mehr als ein Dutzend Fragen zu Themen, die von der Mitarbeitersicherheitsschulung bis zur Zukunft globaler Cybersicherheitsstandards reichten. Wenn Sie es verpasst haben, fassen wir einige seiner Antworten unten zusammen.

1. Welche Arten von Beweismitteln sollte ich im Voraus oder während des Beobachtungszeitraums der Prüfung sammeln? Ich habe keinen guten Prozess und möchte Best Practices verstehen.

Rob: Die wichtigste Art von Beweisen, die während eines Prüfungsfensters gesammelt werden sollten, sind die Elemente, die vom Prüfer „geprüft“ werden. Dazu gehören Dinge wie Neueinstellungen/Kündigungstickets, Änderungsanforderungen, Leistungsbewertungen — im Wesentlichen alles, was ein wiederholbarer Prozess ist. Das sind die Elemente, bei denen der Prüfer am Ende des Beobachtungszeitraums nach Beispielen fragen wird. Secureframe hilft Ihnen, sich auf Ihre Prüfung vorzubereiten, indem es Ihnen sagt, was Sie benötigen und es für Sie sammelt.

2. Unsere Mitarbeiter müssen eine jährliche Sicherheitsschulung für unsere Compliance-Zertifizierung absolvieren. Die meisten unserer Teammitglieder haben ihre Schulung bereits abgeschlossen — wie wissen wir, wann diese Schulung abläuft?

Rob: Wenn Sie Secureframe verwenden, können Sie dies in der Plattform überprüfen, da dies eine integrierte Funktion ist. Im Allgemeinen sollten Sie jedoch sicherstellen, dass die Mitarbeiterschulung während Ihres Prüfungsfensters abgeschlossen wurde. Wenn Sie ein 12-monatiges Prüfungsfenster haben, stellen Sie sicher, dass die Mitarbeiterschulung in diesem 12-monatigen Zeitraum durchgeführt wurde. Wenn Sie ein Schulungstool verwenden, sollte es Ihnen sagen, wann die Schulung abgeschlossen wurde und die Möglichkeit bieten, Mitarbeiter zu erinnern, die ihre Schulung noch nicht abgeschlossen haben.

Es ist definitiv eine Best Practice, dass Mitarbeiter jährlich eine Sicherheitsschulung absolvieren und sicherstellen, dass der Schulungsinhalt aktuell, relevant und für Ihre Mitarbeiter anwendbar ist.

3. Gibt es Ressourcen, die Sie empfehlen, um einen Business Continuity Plan zu erstellen?

Rob: Die Secureframe-Plattform bietet eine gute Vorlage für einen Business Continuity Plan. Außerdem würde ich empfehlen, eine Arbeitsgruppe in Ihrer Organisation zu gründen, die die beteiligten Personen umfasst, und einige der verschiedenen Details und Verfahren, die für den BCP wichtig sind, zu besprechen.

Das Durchführen einer Katastrophenwiederherstellungsübung kann Ihrer Organisation auch helfen, zu bestimmen, was im BCP enthalten sein sollte. Jedes aus einer Katastrophenwiederherstellungsübung gelernte Wissen sollte dann in den zukünftigen BCP aufgenommen werden.

4. Sehen Sie eine harmonisierte Norm für die Cybersicherheit, die von allen Ländern anerkannt wird?

Rob: Potenziell ja. Derzeit entwickeln viele Länder ihre eigene Gesetzgebung, aber angesichts der Tatsache, dass es eine ganze Gesetzgebung für die EU (DSGVO) gibt, wäre ich überrascht, wenn andere Kontinente oder Verbündete (z.B. NATO, NAFTA usw.) nicht ihre eigene Art zusätzlicher Gesetzgebung entwickeln würden, um in ihren Cyber-Bemühungen vereint zu sein.

5. Was ist der beste Weg, um jährliche Audits zu verwalten?

Rob: Es fällt mir leicht, Secureframe als eine großartige Möglichkeit zu empfehlen, jährliche Audits zu verwalten. Ich würde auch empfehlen, vierteljährliche Treffen zwischen relevanten Stakeholdern, einschließlich Sicherheits- und Compliance-Personal, abzuhalten, nur um sicherzustellen, dass Ihr gesamtes Personal und Ihre Prozesse im Laufe des 12-monatigen Zeitfensters in Übereinstimmung sind.

6. Welche Anpassungen können an Compliance-Tests vorgenommen werden, wenn sie für ein Startup prohibititv teuer sind (wie z.B. Data Loss Prevention-Software, Bedrohungsüberwachung, Pen-Tests usw.)?

Rob: Es hängt von den Tests ab, aber es gibt normalerweise alternative Lösungen oder Implementierungen, die für Startups kostengünstiger sein können. SOC 2 kann ein ziemlich anpassungsfähiges oder flexibles Framework im Vergleich zu anderen Frameworks sein, daher arbeiten wir mit Kunden aller Größen und IT-Umgebungen zusammen, um die besten konformen Lösungen für ihre Startups zu finden. Beispielsweise gibt es kostenlose externe Tools zur Schwachstellenanalyse (wie OWASP ZAP), die verwendet werden können.

Insbesondere für die von Ihnen genannten Punkte:

  • DLP ist gut zu haben, aber keine zwingende Voraussetzung.
  • Einige Configuration Service Providers (CSPs) verfügen über integrierte Bedrohungserkennungstools und/oder es gibt einige kostengünstige Optionen wie Wazuh.
  • Penetrationstests können, wenn sie über Ihren Prüfer durchgeführt werden, manchmal in Ihre Preisgestaltung einbezogen werden, und/oder zumindest haben Sie einen effizienteren Prozess, wenn Sie den Penetrationstest von Ihrem Prüfer anstelle eines anderen externen Anbieters erhalten.

7. Welche Strategien oder Best Practices können Sie für kleine Unternehmen (weniger als 15 Mitarbeiter) empfehlen?

Rob: Da es bei Startups oft so viele konkurrierende Prioritäten gibt und Compliance im Vergleich zu Produkt-/Marktfit und Kunden- und Umsatzwachstum generell keine Priorität hat, würde ich empfehlen, Richtlinien festzulegen, die ein kleines Unternehmen leicht umsetzen und befolgen kann.

Außerdem raten wir kleinen Unternehmen, die gerade mit SOC 2 beginnen, zunächst ihre SOC 2 Type I zu machen, da dies eine gute Möglichkeit ist, sich mit Compliance vertraut zu machen.

Ein schöner Vorteil bei der Zusammenarbeit mit Secureframe ist, dass unsere Customer Success und Compliance Teams sehr eng mit unseren Kunden zusammenarbeiten, um ihnen effizient zu helfen, ihre Compliance- und Prüfungsbereitschaft zu optimieren. Wir helfen Unternehmen, die so klein wie eine Person sind, daher geht unsere beratende und konsultative Unterstützung wirklich weit, um kleineren Startups zu helfen, prüfungsbereit und konform zu werden.

Es ist auch wichtig zu beachten, dass bestimmte Prüfer möglicherweise keinen Penetrationstest für Ihre SOC 2 Type I verlangen. Dies hängt im Allgemeinen von Ihrer Umgebung ab. Wenn Sie viele offene Webvektoren haben, wird der Prüfer eher einen Penetrationstest verlangen.

8. Welche Schritte müssen frühphasige Startups unternehmen, um die Grundlage für erstklassige Sicherheit und Compliance zu legen?

Rob: Das Erste, was ich sagen würde, ist die Etablierung und Implementierung von Richtlinien, die von den Mitarbeitern leicht befolgt und eingehalten werden können.

Als Nächstes ist es wichtig, Ihren Tech-Stack so zu konfigurieren, dass er Ihre geschäftskritischen Funktionen unterstützt und gleichzeitig die SOC 2 Steuerungsanforderungen erfüllt. Für viele Kontrollen gibt es unterschiedliche Wege, die Absicht der Kontrolle zu erfüllen. Die Customer Success und Compliance Teams von Secureframe arbeiten häufig mit Kunden zusammen, um festzustellen, wie Konfigurationen und Kontrollimplementierungen die Anforderungen und Absichten einer bestimmten Kontrolle erfüllen können.

Es hilft auch, Tools zu verwenden, die über eingebaute Funktionen verfügen, die bei der Einhaltung von Vorschriften helfen können, wie AWS, GitHub oder Azure. Sie alle haben Funktionen und Dienstleistungen, die die Einhaltung von Vorschriften für Ihr Unternehmen erheblich erleichtern können.

Nehmen Sie an unseren nächsten Secureframe Office Hours teil | Fragen Sie einen Experten

Wir veranstalten in den kommenden Monaten regelmäßig Secureframe Office Hours. Nehmen Sie an unserer nächsten Sitzung am Donnerstag, den 3. November von 10:30-11:00 Uhr PST/13:30-14:00 Uhr EST mit dem Sicherheits-, Datenschutz- und Compliance-Experten Jonathan Leach CISSP, CCSFP, CCSK teil, um sofortige Antworten auf Ihre spezifischen Fragen zu erhalten. Melden Sie sich noch heute an, um Ihren Platz zu sichern.