Die Einhaltung gesetzlicher Vorschriften zu erreichen und aufrechtzuerhalten, ist zeit- und ressourcenintensiv – und Startups sind bei beidem begrenzt.

Im Secureframe Webinar „Expert Insights“, das am Dienstag, den 8. November, stattfand, erläuterte der Compliance-Experte und ehemalige Auditor Marc Rubbinaccio die fünf größten Sicherheits- und Datenschutz-Compliance-Herausforderungen von Startup-Führern und wie man sie löst.

Falls Sie es verpasst haben, fassen wir seine Erkenntnisse und Best Practices zur Vereinfachung und Optimierung des Compliance-Prozesses für Startups unten zusammen. Sie können die Aufzeichnung auch hier ansehen.

Warum Sicherheit, Datenschutz und Compliance für Startups wichtig sind

Der Hauptgrund ist, dass Sie in der Lage sein wollen, die Daten Ihrer Kunden ausreichend zu sichern und deren Datenschutzbedenken zu zerstreuen.

Kunden suchen nach Unternehmen, ob klein oder groß, die die Sicherheit und den Datenschutz ihrer Daten und Interessen schützen können.

Dies zu erreichen ist durch die Einhaltung von Sicherheits- und Datenschutzanforderungen wie SOC 2 und ISO 27001 und durch die Einhaltung von Datenschutzbestimmungen wie DSGVO und CCPA möglich, was eine ideale Möglichkeit darstellt, Ihr Engagement für Sicherheit und Datenschutz zu demonstrieren.

Der Aufbau eines starken Cybersicherheitsprogramms, das die Compliance-Anforderungen erfüllt, hilft Startups, zusätzliche Vorteile zu erzielen, einschließlich:

• Schaffung optimierter, skalierbarer interner Prozesse für Dinge wie Onboarding und Offboarding von Mitarbeitern;
• Verhinderung von Datenverletzungen, die kostspielig in Bezug auf Umsatz und Ruf sein können; und
• Anziehung von Interessengruppen, die ihr rechtliches und reputationsbezogenes Risiko bei Investitionsentscheidungen begrenzen wollen.

Compliance-konforme Startups können sich auch von nicht konformen Wettbewerbern abheben, schneller mehr Geschäfte mit Kunden abschließen, die einen Compliance-Nachweis verlangen und in neue Märkte expandieren, einschließlich des Vorstoßes in den gehobenen Markt.

Die größten Sicherheits- und Datenschutz-Compliance-Herausforderungen für Startup-Leaders und wie man sie löst

1. Fehlende interne Expertise, um den Compliance-Prozess zu beginnen

Es sei denn, Sie haben Audits durchgeführt oder in der internen Compliance einer Organisation gearbeitet, ist es unwahrscheinlich, dass Sie die Anforderungen dieser Sicherheitsrahmenwerke auswendig gelernt haben. Es kann auch schwierig sein, diese zu verstehen.

Typischerweise sind die Anforderungen des Rahmens entweder sehr spezifisch und komplex oder allgemein und zu allgemein, um genau zu wissen, was umgesetzt werden muss.

Beispielsweise ist SOC 2 eine Richtlinie, die vom AICPA erstellt wurde. Diese Richtlinie kann zwischen Unternehmen oder sogar Prüfungsunternehmen, die ihre eigenen Informationsanforderungsliste und Interpretationen haben, unterschiedlich interpretiert werden.

Diese Rahmenwerke ändern sich ebenfalls, da sich unsere Technologie ändert. ISO 27001 hat ein großes Update veröffentlicht. PCI DSS 4.0 wurde ebenfalls offiziell veröffentlicht. Das Lesen und Verstehen der Rahmenwerke ist schon schwierig genug – das Verfolgen ihrer Änderungen und wie sie sich auf Ihre Organisation auswirken könnten, ist noch schwieriger.

Als Startup haben Sie möglicherweise kein dediziertes Team, das dafür verantwortlich ist, diese Rahmenwerke im Laufe der Zeit zu verstehen und dieses Verständnis aufrechtzuerhalten.

Lösungen

Gut: Lesen Sie die Richtlinien

Es ist unglaublich wichtig, zumindest ein Grundverständnis dafür zu haben, was von Ihnen für diese Compliance-Bemühungen verlangt wird. Dies kann jedoch ohne vorherige Prüfungs- oder Compliance-Erfahrung schwierig sein. 

Besser: Einen Berater engagieren

Einen Berater zu beauftragen, der ein tiefes Verständnis dieser Compliance-Rahmenwerke hat und die Richtlinien in umsetzbare Aufgaben übersetzen kann, ist eine bessere Option. Ein Berater wird in der Lage sein, mit Ihnen in Bezug auf Ihre Umgebung und Ihre Prozesse, wie sie jetzt sind, zusammenzuarbeiten und Ihnen Schritte zu geben, um diese Compliance-Anforderungen zu erreichen. Dies kann jedoch kostspielig sein, insbesondere wenn Sie einen Berater beauftragen, Ihnen bei der Einhaltung der Vorschriften zu helfen.  

Am besten: Eine automatisierte Plattform in Verbindung mit Compliance-Unterstützung verwenden

Die Nutzung einer Plattform, die Sie in Ihre Technologie integrieren können und die genau zeigt, was Sie basierend auf Ihren Konfigurationen und Ihrer Umgebung tun müssen, ist ideal. Es wird der effizienteste Weg sein, in Ihrem Compliance-Prozess voranzukommen, insbesondere wenn Sie niemanden in Ihrem Team haben, der Experte für diese Rahmenwerke ist. 

2. Genau verstehen, was Sie implementieren müssen

Das Lesen der Richtlinien und das Verstehen ist nicht genug – Sie müssen genau verstehen, was die Richtlinien von Ihnen verlangen, zu implementieren.  

Wie oben für SOC 2 erwähnt, könnte jeder Prüfer diese Richtlinien unterschiedlich interpretieren. Basierend auf ihrer Interpretation könnten sie Ihnen eine separate Liste mit Informationsanforderungen zur Verfügung stellen. Daher könnte der Prüfer, den Sie auswählen, Ihre Bewertung erheblich beeinflussen. Zum Beispiel könnten Sie die Richtlinien auf eine bestimmte Weise interpretieren, bestimmte Prozesse implementieren, um diese zu reflektieren, und feststellen, wenn es Zeit für die Prüfung ist, dass Sie zusätzliche Prozesse oder Implementierungen basierend auf der Interpretation des Prüfers benötigen. Dies wird den Zeitrahmen für die Erfüllung der Compliance verlängern. 

Lassen Sie uns ein Beispiel betrachten. Ein SOC 2-Prinzip besagt: „Die Einheit setzt effektive Risikobewertungsmechanismen ein, die angemessene Managementebenen einbeziehen.“ Wenn Secureframe-Kunden gebeten würden, diese Kontrolle zu implementieren, würden sie dies wahrscheinlich alle auf unterschiedliche Weise tun, weil es schwierig ist zu verstehen, was sie suchen, wenn man nur die Richtlinien liest. Was genau sind effektive Risikobewertungsmechanismen laut den Prüfern und für Ihr Unternehmen? Was ist eine angemessene Managementebene? All diese Dinge können unterschiedlich interpretiert werden. Und dies ist nur ein Beispiel für Implementierungsrichtlinien im AICPA-Leitfaden. 

PCI-Selbstauskunftsbögen (SAQs) sind ein weiteres großes Beispiel für diesen Schmerzpunkt. PCI verlangt von jedem Händler oder Dienstleister, der Karteninhaberdaten unter der Bezeichnung Level 2-4 speichert, verarbeitet, überträgt oder die Sicherheit der Daten beeinflussen kann, einen SAQ auszufüllen und aufrechtzuerhalten. Dies ist eine Selbsteinschätzung. Ein QSA oder ein externer Prüfer ist nicht erforderlich, um Ihre Kontrollen zu bestätigen. 

Was also, wenn Sie ein Unternehmen mit fünf Personen sind und noch nie von PCI gehört haben? Sie haben nun die komplizierte Aufgabe, diese 300 oder so PCI-Kontrollen durchzulesen, Ihre Karteninhaber-Datenumgebung einschließlich der verbundenen und isolierten Systeme abzugrenzen und dann die Hunderte von PCI-Kontrollen zu implementieren, um Ihr SAQ abzuschließen. Dann reichen Sie diese Attestierung der Konformität (AoC) bei Ihrem Zahlungsabwickler oder Ihren Kunden ein und erklären, dass Sie konform sind. Alles, was Sie tun können, ist zu hoffen, dass alles richtig implementiert ist und Sie nicht gehackt werden.

Um Ihnen eine Vorstellung davon zu geben, wie schwierig dies ist: Alle PCI Secureframe-Startkunden, die sich allein einem SAQ unterzogen haben, hatten fehlende Implementierungen, als es Zeit für die Überprüfung durch ihren dedizierten Compliance-Manager war.

Es ist also unglaublich wichtig zu verstehen, was Sie umsetzen müssen, um konform zu werden. Dazu müssen Sie zunächst verstehen, was Sie haben und was nicht.

Lösungen

Gut: Führen Sie eine Bereitschaftsbewertung durch

Eine Bereitschaftsbewertung gibt Ihnen eine Vorstellung davon, was Sie heute haben und wo Sie hin müssen, um konform zu sein. Es kann jedoch kontraintuitiv sein, eine Bereitschaftsbewertung nach einem Rahmenwerk durchzuführen, das Sie nicht wirklich verstehen.

Besser: Beauftragen Sie einen Cybersecurity-Berater zur Durchführung einer Bereitschaftsbewertung

Es ist wichtig, dass jemand, der Experte in dem Rahmenwerk und Ihrer Umgebung ist, eine Bereitschaftsbewertung durchführt. Wenn Sie niemanden in Ihrem Team haben, können Sie erwägen, einen Berater zu beauftragen.

Am besten: Verwenden Sie eine automatisierte Plattform, die Sie durch den Prozess führt

Die beste Lösung ist die Verwendung einer automatisierten Plattform, auf der Sie Ihre Technologie verbinden können, alle Ihre Konfigurationen sehen und die Zuordnung von Kontrollen zu all diesen Rahmenwerken nutzen können, um Ihnen genau zu sagen, welche Aufgaben Sie erledigen müssen, um konform zu werden.

Viele dieser Plattformen bieten auch den Kundenservice und die Expertise, um Sie durch diesen Prozess zu führen, damit Sie genau wissen, was Sie bei der Implementierung tun.

3. Die richtigen Anbieter und Partner erwerben

Ein weiterer wichtiger Teil der Compliance ist die Beschaffung der richtigen Anbieter und Partner, die Sie bei Ihrem Compliance-Projekt unterstützen.

Zum Beispiel ist ein Auditor ein Drittpartner, den Sie benötigen, um Ihre AoC zu erhalten. Ein externer Penetrationstester könnte für einige Rahmenwerke erforderlich sein. ISO 27001 erfordert eine interne Prüfung, für die Sie möglicherweise eine Drittpartei benötigen, wenn Sie nicht die Ressourcen haben, sie selbst durchzuführen. PCI DSS erfordert externe Schwachstellenscans, die von einem von PCI zugelassenen Scan-Anbieter durchgeführt werden.

Sie müssen also verstehen, welche Anbieter und Partner Sie benötigen und wer für Ihre spezifische Umgebung am besten geeignet ist.

Lösungen

Gut: Fragen Sie einen Freund oder Kollegen

Sie können Ihr persönliches Netzwerk fragen, welche Anbieter und Partner sie verwenden. Diese Empfehlungen können Ihnen helfen, Ihre Suche einzugrenzen, um herauszufinden, wer es wert ist, recherchiert und interviewt zu werden.

Besser: Recherchieren und interviewen Sie Anbieter und Partner

Die Recherche von Anbietern und Partnern sowie die Anforderung eines Interviews sind ein guter Anfang für Ihren Anbieterakquisitionsprozess, aber dies könnte viel Zeit in Anspruch nehmen. Es wäre auch schwierig zu beurteilen, ob ein Anbieter nur auf der Grundlage einer Online-Recherche der richtige Partner für Sie ist.

Am besten: Greifen Sie auf ein vertrauenswürdiges Partnernetzwerk von vorab geprüften Anbietern zurück

Die Nutzung eines Partnernetzwerks wäre die beste Option. Wenn Sie einen Anbieter haben, dem Sie vertrauen, ist die Nutzung seines vorab geprüften Partnernetzwerks eine großartige Möglichkeit, einige gute Optionen auszuwählen. Dies wäre viel einfacher als die Online-Recherche und die Bewertung von ein paar hundert Anbietern, um zu versuchen, herauszufinden, welcher für Ihre Umgebung am besten geeignet ist.

Bei Secureframe haben wir ein etabliertes Partnernetzwerk für Pen-Tester, Prüfer, ASV-Scanner und mehr, das von unserem internen Team geprüft wurde. In Zusammenarbeit mit Ihrem engagierten Compliance-Manager könnten Sie bestimmen, welcher Pen-Tester oder anderer Anbieter für Ihre spezifische Umgebung geeignet ist. So müssten Sie keine eigene Due Diligence durchführen.

4. Verwaltung Ihrer Zeit zwischen Compliance und dem Aufbau Ihres Dienstes

Dies ist wahrscheinlich der größte Schmerzpunkt für Startup-Leiter. Als Startup steht wahrscheinlich nur wenig Bandbreite zur Verfügung, die Sie von der Entwicklung und dem Betrieb abziehen können, um sich auf Ihre Compliance-Bemühungen zu konzentrieren.

Hier bei Secureframe gibt es immer neue Funktionen zu entwickeln, Fehler zu beheben und Prozesse zu verbessern. Dies gilt auch für Sie alle: Sie verbessern ständig Ihr Produkt oder Ihre Dienstleistung für Kunden, was entscheidend für das Wachstum Ihres Geschäfts ist.

Das Problem ist, dass dies während Ihrer Prüfung Chaos verursachen kann, wenn Sie keinen Berater oder keine Compliance-Plattform verwenden. Es sei denn, Sie führen eine Bereitschaftsbewertung mit einem Berater durch, der genau versteht, was der Prüfer während der Prüfungszeit benötigt, oder Sie verwenden eine Plattform zur Organisation Ihrer Beweise. Der Prüfungsprozess kann kompliziert sein und wertvolle Zeit und Ressourcen erfordern.

Lassen Sie uns den Prüfungsprozess aufschlüsseln. Er besteht normalerweise aus einer Feldarbeitswoche und dann einer Überprüfungs- oder Berichterstellungswoche. Es ist von entscheidender Bedeutung, dass die Prüfer so viele genaue Beweise wie möglich vor der Feldarbeitswoche erhalten, um diese Fristen einzuhalten. Dies gibt den Prüfern die Möglichkeit, so viele Beweise wie möglich vor oder während der Feldarbeitswoche zu überprüfen, damit sie alle Interviews und Beobachtungen durchführen und nur eine kleine Liste von Nachfolgeaufgaben erstellen können, die am Ende der Feldarbeitswoche oder während der folgenden Berichterstellungswoche gesammelt werden können.

Wenn Sie nicht vollständig auf die Prüfung vorbereitet sind und nicht so viele Beweise wie möglich vor dieser Feldarbeitswoche bereitstellen, wird diese Nachfolgeliste viel länger sein. Wenn Sie diese Liste der Nachfolgeaufgaben nicht vor dem Ende der Berichterstellungswoche abschließen, wird der Prüfer nicht mehr Ihnen zugewiesen sein. Sie werden einem anderen Kunden zugeordnet sein und nur so viel Zeit haben, um die von Ihnen gelieferten Beweise zu überprüfen. Dies kann den Prüfungsprozess erheblich verlängern. Es kann sogar dazu führen, dass Sie Ihren Prüfungstermin verpassen.

Lösungen

Gut: Aufgaben aus dokumentierter Anleitung abbilden

Das Abbilden Ihrer Aufgaben aus dokumentierten Beweisen ist ein guter Anfang, aber es wird viel Bandbreite auf Ihrer Seite erfordern.

Besser: Berater beauftragen, um die Aufgaben für Sie aufzulisten

Die Nutzung eines Beraters zur Unterstützung bei der Abbildung dieser Aufgaben spart viel Zeit, kann aber sehr teuer sein.

Am besten: Nutzung einer Automatisierungsplattform, die Sie durch den Prozess führt

Die Nutzung einer Automatisierungsplattform ist ideal. Eine Plattform, die nicht nur diese Aufgaben abbildet, sondern die Beweise automatisch sammelt, spart vor und während des Prüfungsprozesses erheblich Zeit.

Bei Secureframe laden wir unsere Prüfer ein, Beweise vor der Prüfungswoche zu ziehen, um festzustellen, ob sie akzeptabel sind. Alle Listen von Nachfolgeaufgaben werden kurz und während der Prüfungswoche bereitgestellt, um sicherzustellen, dass wir die Prüfung nicht in eine Woche verschieben, in der der Prüfer einem anderen Kunden zugewiesen ist.

5. Kontinuierliche Überwachung zur Aufrechterhaltung der Compliance

Die Vorbereitung auf Ihre erste Bewertung ist nur der erste Schritt — die Aufrechterhaltung der Compliance ist entscheidend. Es gibt viele Prozesse, die im Laufe des Jahres regelmäßige Überprüfungen erfordern, wie z. B. vierteljährliche Zugriffsüberprüfungen, Schwachstellenscans und Penetrationstests. Das Versäumnis, eine dieser wiederkehrenden Aufgaben zu erfüllen, könnte Ihren Compliance-Status beeinträchtigen. Wenn Prozesse nicht genau befolgt werden, kann dies während des Prüfungsprozesses auch ein kritisches Problem darstellen.

Bei Prüfungen, die Beweise über einen bestimmten Zeitraum überprüfen, könnte ein fehlender Schwachstellenscan oder eine fehlende Überprüfung bei einer kritischen Codeänderung Ihren Compliance-Status gefährden. Es kann zum Beispiel zu einer Ausnahme oder einem qualifizierten Bericht führen.

Das wäre unglaublich bedauerlich, weil Sie so viel Mühe und Zeit aufgewendet haben, um compliant zu werden. Und wenn Sie im nächsten Jahr nicht compliant sind, müssen Sie all Ihren Kunden, die Ihren Status als Teil ihres Due Diligence-Prozesses anfordern, dies mitteilen.

Lösungen

Gut: Planen Sie regelmäßige Überprüfungen, um alle Systeme, Anwendungen, Tools und Integrationen zu prüfen

Das Planen dieser Überprüfungen im Voraus ist eine gute Möglichkeit, sich das ganze Jahr über vorzubereiten, aber dies ist aufgrund menschlicher Fehler nicht ideal. Die verantwortliche Person könnte das Unternehmen verlassen, diese Aufgaben falsch planen oder eine erforderliche Aufgabe verpassen und sie nicht einplanen.

Besser: Erinnerungen für Aufgabenverantwortliche einrichten

Sie könnten Erinnerungen für die Aufgabenverantwortlichen einrichten, um Überprüfungen durchzuführen, aber dieser manuelle Prozess wäre immer noch anfällig für menschliche Fehler.

Am besten: Verwenden Sie eine Automatisierungsplattform, die automatisierte Erinnerungen sendet

Die Nutzung einer Plattform, die diese erforderlichen Aufgaben automatisch plant, Ihnen ermöglicht, Verantwortliche zuzuweisen, und auch Benachrichtigungen sendet, wird der effizienteste Weg sein, um sicherzustellen, dass alle diese Aufgaben während des Jahres abgeschlossen werden.

Um zu hören, welche Fragen während dieses Secureframe-Webinars live gestellt und beantwortet wurden, sehen Sie sich die Aufzeichnung an, die etwa bei der 27-Minuten-Marke beginnt.

Nehmen Sie an unserem nächsten Secureframe Expert Insights Webinar teil

Wir veranstalten regelmäßig Secureframe-Webinare, um die größten Sicherheits-, Datenschutz- und Compliance-Schmerzpunkte zu behandeln, die wir von Interessenten, Kunden und unseren internen Compliance-Experten hören. Finden Sie bevorstehende Webinare sowie On-Demand-Aufzeichnungen vergangener Webinare in unserer Compliance-Ressourcenbibliothek.