Wie Sie sich auf ein SOC-2-Audit vorbereiten

SOC-Audits (Service and Organization Controls) wurden vom American Institute of CPAs (AICPA) im Rahmen mehrerer Bewertungs- und Berichterstattungsrahmen entwickelt, die die System- und Organisationskontrollen SOC 1, SOC 2 und SOC 3 umfassen. Obwohl jedes dieser Systeme effektiv ist, erwarten viele Unternehmen von ihren Anbietern und Geschäftspartnern, dass sie die Ergebnisse eines SOC-2-Audits vorweisen. Bei diesem Typ bewerten die Prüfer die Organisationen anhand des SOC 2-Rahmens und der fünf AICPA-Kriterien für vertrauenswürdige Dienste - Sicherheit, Verfügbarkeit, Integrität der Verarbeitung, Vertraulichkeit und Datenschutz. Unternehmen nutzen SOC-2-Auditberichte als vertrauenswürdigen Standard, der andere detailliert darüber informiert, wie gut die Daten in jedem dieser fünf Bereiche geschützt werden.

"Es ist ein Beweis dafür, dass wir Vorkehrungen getroffen haben, damit man uns vertrauen kann", betont Kevin R. Powers, Gründer und Leiter des MS in Cybersecurity Policy & Governance Programs am Boston College.

10-Punkte-Plan zur SOC-2-Vorbereitung

Im Folgenden werden zehn Punkte genannt, die Sie bei der SOC-2-Vorbereitung berücksichtigen sollten:

1. Auswahl der zu bewertenden SOC 2 Trust Service Kriterien

Obwohl alle Organisationen bei dieser Prüfung anhand der Sicherheitskriterien bewertet werden, können sie wählen, welche der anderen vier Trust Service-Kriterien in ihre Prüfung einbezogen werden sollen. AJ Yawn, Autor des Buches An Expert's Guide to Reviewing SOC 2 Reports des SANS Institute, rät Unternehmen, sich bei der Entscheidung danach zu richten, was ihre Kunden für wichtig halten.

"Sie sollten diese Entscheidung nicht davon abhängig machen, was die Prüfer Ihnen sagen. Betrachten Sie alles, was Sie tun, durch die Brille der Leser des Berichts und stellen Sie sicher, dass Sie das kommunizieren, was ihnen wichtig ist", erklärt Yawn, der auch Gründer und CEO von ByteChek und Gründungsmitglied der National Association of Black Compliance and Risk Management Professionals ist.

Ein Unternehmen, das Anwendungen anbietet, die von seinen Kunden nicht als unternehmenskritisch eingestuft werden, könnte beispielsweise auf eine Bewertung der Verfügbarkeit verzichten und sich stattdessen auf andere Bereiche konzentrieren, die für seine Kunden von größerer Bedeutung sind.

2. Alleingänge oder Hilfe?

Ein SOC-2-Audit kostet mehrere zehntausend Dollar. Deshalb sollten sich Führungskräfte überlegen, ob sie geeignete Mitarbeiter haben, um das eigentliche Audit vorzubereiten, oder ob sie ein externes Team beauftragen müssen, das diese Arbeit übernimmt, rät Powers, der auch an der Boston College Law School und der Carroll School of Management lehrt.

Laut Richard White, Professor und Lehrstuhlinhaber für Cybersecurity Information Assurance an der University of Maryland, ist es zwar möglich , das Ganze alleine zu machen, "aber es kann entmutigend sein, so dass es empfehlenswert ist, einen Anbieter zu beauftragen, der Sie dabei unterstützt - zumindest beim ersten Mal."

3. Überprüfung der Unternehmensrichtlinien

White weist darauf hin, dass die Prüfer im Rahmen aller SOC-2-Prüfungen die Unternehmensrichtlinien überprüfen, so dass es am besten ist, diese Policies zu klären, bevor der Prozess beginnt. Haben Sie die Richtlinien schriftlich festgehalten? Sind die Arbeitsabläufe schriftlich fixiert? Und dann ist da noch die Umsetzung - haben Sie sie korrekt implementiert? All das muss man im Auge behalten, denn das kann sich auf den Erfolg auswirken.

Die Liste der zu überprüfenden Richtlinien ist lang. Sie reicht von Policies für die akzeptablen Nutzung und Zugriffskontrolle bis hin zu Richtlinien für das Lieferantenmanagement und die Sicherheit von Arbeitsplätzen. Sie müssen gut dokumentiert und auf dem neuesten Stand sein - eine Aufgabe, die für viele eine Herausforderung darstellt.

"Unternehmen neigen dazu, ihre Kontrollen aufzuschreiben und nie wieder anzuschauen. Die Vorbereitung auf das Audit ist also ein geeigneter Zeitpunkt, um sie zu überprüfen und zu aktualisieren, wenn sie nicht mehr dem entsprechen, was man tut", sagt Paul Perry, Mitglied der Emerging Trends Working Group der Governance-Gruppe ISACA und Leiter des Bereichs Sicherheit, Risiko und Kontrollen bei der Wirtschaftsprüfungs- und Beratungsfirma Warren Averett.

4. Bestätigen Sie, dass die Abläufe mit den Richtlinien übereinstimmen

Auditoren wollen gut dokumentierte Richtlinien sehen, aber sie wollen sie auch in der Praxis sehen, um zu überprüfen, ob die Organisationen im Alltag umsetzen, was diese Richtlinien vorschreiben.

Ein Beispiel: "Software-Ingenieure testen vielleicht Code, aber sie müssen dabei die in den Unternehmensrichtlinien festgelegten Prozess- und Dokumentationsanforderungen einhalten. Das ist die Art von Maßnahmen, die die Prüfer sehen wollen", so ByteChek-CEO Yawn.

5. Prüfung der Sicherheits- und Datenschutzkontrollen

Überprüfen Sie die Sicherheits- und Datenschutzkontrollen, um sicherzustellen, dass sie mit den unternehmenseigenen Policies sowie den gesetzlichen Anforderungen und den Best Practices der Branche übereinstimmen. Dies bedeutet, dass alles geprüft werden muss - von Zugangskontrollen über Verschlüsselung bis hin zu Schwachstellen-Scans (vor Ort und in der Cloud). Außerdem muss bestätigt werden, dass die Unternehmenskontrollen mit den SOC-2-Kriterien übereinstimmen. Falls dies nicht der Fall ist, sollten die Gründe für die Abweichung dokumentiert werden.

"Überprüfen Sie Ihre Kontrollen - Ihre Zugangskontrollen, Verschlüsselung, Ihre mehrschichtige Verteidigung", so der Security-Policy-Experte Powers. "Bevor Sie einen SOC-2-Auditor hinzuziehen, sollten Sie sicherstellen, dass Sie sich nicht selbst für einen Misserfolg verantwortlich machen."

6. Führen Sie ein Probe-Audit nach SOC 2 durch

Ein weiterer wichtiger Schritt vor dem eigentlichen Audit ist nach Ansicht mehrerer SOC-2-Behörden ein Übungslauf. "Das ist ein Weg, um sicherzustellen, dass Sie ein positives Ergebnis erzielen", erläutert Jim Routh, ehemaliger CISO von Mass Mutual.

Der Experte ergänzt: "Dies gilt sicherlich für Unternehmen, die zum ersten Mal ein Audit planen, da sie im Allgemeinen weniger Einblicke in das haben, was und wie die Auditoren ihre Bewertungen vornehmen." Aber auch Unternehmen mit ausgereiften Sicherheitsprogrammen könnten von einem Probelauf profitieren, so Routh. "Diese Selbstprüfungen, die von Mitarbeitern oder Beratern durchgeführt werden, könnten Probleme aufdecken: Kontrollen, die nicht so effektiv sind, wie sie sein sollten, Berichts-Tools, die nicht die erforderlichen Daten generieren, falsch konfigurierte Software, die ein Risiko darstellt - all dies könnte ein positives Ergebnis bei der eigentlichen Prüfung gefährden."

7. Priorisieren Sie die zu behebenden Lücken

Dieses Eigentestat sei nur der erste Schritt, so Routh, der derzeit Vorstandsmitglied und Berater für mehrere Unternehmen sowie Mitglied des Beirats der Tandon School of Engineering der New York University ist. Der nächste Schritt bestehe darin, die festgestellten Lücken und Defizite zu beseitigen.

Yawn rät Führungskräften, sorgfältig zu überlegen, wie sie die festgestellten Defizite priorisieren, da Änderungen in einem Bereich oft eine kaskadenartige Wirkung haben. So kann eine Lückenanalyse beispielsweise Probleme bei schriftlichen Richtlinien und der technologischen Infrastruktur aufgedeckt haben. Es mag zwar verlockend sein, die Richtlinien zu aktualisieren, um einen schnellen und einfachen Erfolg zu erzielen, aber laut Yawn kann das größere, komplexere Problem - die Behebung der Architektur - Einfluss darauf haben, wie oder ob die Richtlinien überhaupt neu geschrieben werden müssen.

8. Beweise sammeln

Experten zufolge reicht ein ausgereiftes Sicherheits- und Datenschutzprogramm nicht unbedingt aus, um bei einem SOC-2-Audit erfolgreich zu sein. Die Prüfer wollen Nachweise dafür. Die Liste der benötigten Unterlagen kann sehr umfangreich und breit gefächert sein und reicht von administrativen Sicherheitsrichtlinien und Cloud-Infrastrukturvereinbarungen bis hin zu Risikobewertungen und Lieferantenverträgen.

"Ein SOC-2-Audit ist sehr streng. Sie müssen also nachweisen, dass Sie die Prozesse haben, dass Sie die Prozesse befolgen und dass Sie wie erwartet arbeiten", sagt White. Dieser Teil der Vorbereitungsarbeit fasse die verschiedenen Elemente zusammen, die zu einem gut geführten Sicherheits- und Datenschutzbetrieb gehören, fügt er hinzu: "Sie sehen sich Ihre Prozesse, Richtlinien und Verfahren an, um sicherzustellen, dass sie aufeinander abgestimmt, gut dokumentiert und korrekt sind. Und dass sie bereit zur Weitergabe sind. Sie sollten wissen, welche Fragen der SOC-Auditor stellen wird, damit Sie bereit sind, diese zu beantworten."

9. Vermeiden Sie eine Checklisten-Mentalität

Obwohl Sicherheitsverantwortliche den Wert eines SOC-2-Audits anerkennen, halten sie es für wichtig, dass jedes Unternehmen seine Sicherheits- und Datenschutzprogramme auf die eigenen Bedürfnisse und nicht unbedingt auf die SOC-2-Kriterien abstimmt. "Sie müssen einen Schritt zurücktreten und sicherstellen, dass Sie keine Standardrichtlinien und -verfahren erhalten. Stellen Sie sicher, dass alles auf Ihr Unternehmen zugeschnitten ist", empfiehlt Powers.

Routh pflichtet ihm bei und weist darauf hin, dass die Audit-Kriterien beispielsweise nicht verlangen, dass Unternehmen die neu auf den Markt gekommene Anti-Ransomware-Technologie implementieren, auch wenn es vielleicht sinnvoll ist.

10. Denken Sie daran, dass das Ziel ein besseres Sicherheits- und Datenschutzprogramm ist

Sicherheitschefs von Unternehmen und ihre Kollegen in der Führungsetage sollten ein Sicherheits- und Datenschutzprogramm anstreben, das jederzeit für ein Audit bereit ist. Sie sollten darauf hinarbeiten, dass ihre Richtlinien stets auf dem neuesten Stand sind, ihre Richtlinien und Verfahren stets den gesetzlichen Anforderungen und bewährten Verfahren entsprechen und ihre Kontrollen und Abläufe perfekt auf ihre Richtlinien abgestimmt sind.

Sicherheitsverantwortliche betonen, dass diese Arbeiten nicht nur zur Vorbereitung auf ein Audit durchgeführt werden sollten. Sie weisen darauf hin, dass bei der SOC-2-Auditierung des Typs 2 geprüft wird, ob ein Unternehmen diese Arbeiten während der für die Bewertung vorgesehenen 12 Monate kontinuierlich durchführt.

Gleichzeitig räumen sie ein, dass kein Sicherheits- und Datenschutzprogramm alles erfüllen könne, da es schließlich keine Perfektion in der Sicherheit gebe. "Die besten Unternehmen bereiten sich das ganze Jahr über auf das Audit vor, weil es Teil ihrer Kultur ist und sie sich täglich mit dem Risikomanagement befassen", so Perry. "Diese Unternehmen brauchen niemanden, der sich zwei Wochen oder zwei Monate lang auf die Prüfung vorbereitet, weil sie immer vorbereitet sind. (jm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.