3 Dinge, die CTOs über die Einhaltung von SOC 2 wissen sollten

Mike DeKock , Gründer und CEO bei MJD-Berater

Da die Datensicherheit mit der Forderung steigt, Systeme gegen die überwältigende Welle von Cyberangriffen abzudichten, haben sich mehr Startups für SOC 2-Berichte entschieden, um ihren Kunden ihre Cyberhygiene nachzuweisen. Viele tun dies sogar, um ihre Gelegenheiten für Geschäfte . Allerdings haben Sie möglicherweise immer noch Bedenken hinsichtlich des Audit-Prozesses, da dieser als schwierige Anforderung dargestellt wird, die Sie lieber vermeiden möchten.

Tatsächlich hat sich der Compliance-Sektor in den letzten Jahren massiv verändert, um sich an die geschäftlichen Anforderungen anzupassen. Dadurch hat sich die Art und Weise, wie Unternehmen ihre Datensicherheit nachweisen können, komplett verändert. Beispielsweise erfolgt die Beweisaufnahme nicht mehr manuell, was früher viel Aufwand und Zeit von allen Beteiligten erforderte. Governance-, Risiko- und Compliance-Software (GRC) automatisiert diese Aufgaben jetzt, sodass sie im Hintergrund Ihrer Betriebsabläufe ausgeführt werden – es ist auch ein boomender Markt, der voraussichtlich 37,63 Milliarden US-Dollar innerhalb der nächsten vier Jahre.

Dennoch gibt es viele Missverständnisse. Unternehmen greifen sogar darauf zurück, ihre Betriebsabläufe über Nacht umzukrempeln, um Prüfern zu gefallen, anstatt dies zum Wohle ihres Unternehmens zu tun. Das ist zwar vorübergehend hilfreich, aber gute Compliance sollte Ihnen nichts bringen. Vielmehr sollte sie wie ein Wachstumsbeschleuniger wirken, der Ihre bewährten Praktiken zur Schau stellt und positive Veränderungen in Ihrem Unternehmen bewirkt.

Wenn Sie CTO, leitender Ingenieur oder eine andere Führungskraft sind, die für die Datenkonformität verantwortlich ist, ist es an der Zeit, dass wir drei Dinge entlarven und klären, damit Sie selbstbewusst eine SOC 2-Prüfung absolvieren können.

Was Sie über SOC 2 wissen, gehört der Vergangenheit an

Während die Geschichte von SOC 2 reicht zurück bis in die 1970er Jahre , es handelt sich um einen relativ neuen Compliance-Standard, der 2010 eingeführt wurde. Das ist zwar schon fast 15 Jahre her, aber der Prozess hat sich erst in den letzten Jahren dramatisch verändert. Er ist nicht mit endlosen Ausdrucken und Formularen für Sicherheitsfragebögen gefüllt. So nimmt die Mehrheit der Menschen Compliance jedoch immer noch wahr.

Den meisten Missverständnissen fehlt einfach der Kontext oder sie sind veraltet. Dank Compliance-Management-Tools läuft der Prozess heute viel einfacher und reibungsloser ab. Diese Programme sind auf die Automatisierung manueller und zeitaufwändiger Aufgaben spezialisiert, sodass Aufgaben automatisiert und asynchron ausgeführt werden. Dadurch entfallen langwierige Besprechungen und Geschäftsverlangsamungen, um die SOC 2-Anforderungen zu erfüllen.

Einige GRC-Plattformen verbinden sich beispielsweise mit beliebten Entwicklertools wie GitHub, um ihre täglichen Aktivitäten zu Compliance-Zwecken zu überwachen, ohne ihren Arbeitsablauf ständig zu unterbrechen. Diese Tools haben den Zeitaufwand für die Durchführung komplexer Auditaktivitäten exponentiell reduziert und ihnen stattdessen Mehrwert und Effizienz verliehen.

Durch die Automatisierung von Aufgaben wurde auch die Arbeit der Prüfer erleichtert, sodass sie mehr Zeit für analytische Aufgaben haben. Ihr hochtechnischer Compliance-Ansatz hat ihnen auch geholfen, zu verstehen, worum es bei den Programmen geht, die sie prüfen. Dadurch haben sie sich zu Experten entwickelt, die Unternehmen dabei helfen können, bessere Datensicherheitspraktiken und GRC-Tools einzuführen, um auch über SOC 2 hinaus konform zu bleiben.

SOC 2 ist nicht so anforderungsintensiv wie Sie denken

Inmitten all der Compliance-Anforderungen, die Technologieunternehmen erfüllen müssen, ist etwas an SOC 2 bei der Übersetzung verloren gegangen. Im Gegensatz zu anderen, strengeren Audits sind SOC 2-Berichte auf die Anforderungen der Unternehmen an ihre Branche und ihren Kundenstamm zugeschnitten und stellen keine Checkliste mit Standardbedingungen dar, die Sie erfüllen müssen. Kurz gesagt: Es sind die Unternehmen, die die Regeln festlegen, um die Sicherheitsverpflichtungen nachzuweisen, die sie gegenüber ihren Kunden eingegangen sind.

Das klingt zwar nicht gerade nach Compliance – jeder muss sich an ganz bestimmte, von einer Regulierungsbehörde vorgeschriebene Praktiken halten – aber genau diese Freiheit macht SOC 2 zu einem so erfolgreichen Compliance-Bericht. Das ist auch der Grund, warum nordamerikanische Unternehmen in Branchen wie SaaS ihn Sicherheitsfragebögen vorziehen.

Dieser Ansatz ist vorteilhaft, da SOC 2 als Sicherheitsrahmen berücksichtigt, dass jedes Unternehmen anders arbeitet, unterschiedliche Kunden bedient und eine breite Palette an Produkten oder Dienstleistungen anbietet. Es wäre unmöglich zu erwarten, dass alle die gleichen Anforderungen erfüllen. Beispielsweise könnte sich ein Edtech-Unternehmen auf Zugriffskontrollen für Studentendaten konzentrieren, während ein Finanzdienstleistungsunternehmen der Datenverschlüsselung für Geldtransaktionen Priorität einräumen könnte.

Richtig ist, dass SOC 2 fünf Trust Service Kriterien , von denen nur eines obligatorisch ist (Sicherheitskontrollen). Bei einem Treffen mit einem Prüfer besprechen Sie Ihr Produkt und beurteilen, welche Kriterien Sie erfüllen müssen und welche Sie weglassen möchten. Denken Sie daran, dass SOC 2 nicht obligatorisch ist, sondern eine Geschäftsentscheidung, die Ihrem Unternehmen zugute kommt. Es liegt also an Ihnen, Ihre Bedürfnisse zu verstehen und mit Bedacht zu entscheiden, welche Kriterien Sie erfüllen möchten.

Führen Sie kein Upgrade nur durch, um den Prüfern einen Gefallen zu tun

Als jemand, der seit Jahrzehnten im Wirtschaftsprüfungsgeschäft tätig ist, habe ich alles gesehen. Eines der Dinge, die ich viel zu oft beobachte und die Unternehmen unbedingt vermeiden sollten, ist der Erwerb von Sicherheitstools kurz vor der Prüfung, nur um den Prüfern zu gefallen. Unabhängig davon, ob Sie diese Tools nach Abschluss Ihres Berichts behalten oder nicht, sollten Sie sie nicht als vorübergehendes Pflaster betrachten, um einen Test zu bestehen.

SOC 2 nimmt eine Bestandsaufnahme der Praktiken und Prozesse vor, die Sie bereits anwenden, um Ihren Kunden und potenziellen Kunden einen Einblick in Ihre Sicherheitslage zu geben. Wenn Sie vorübergehend Programme wie Angriffserkennung, statische Codeanalyse und andere Tools zur Schwachstellenverwaltung nur für das Audit verwenden würden, würden Sie Ihre Kunden mit Ihrem SOC 2-Bericht enttäuschen und sogar irreführen. Letztendlich können Sie Ihrem Unternehmen durch betrügerische Praktiken schaden.

Stattdessen sollten CTOs ermutigt werden, sich mit den Prüfern zusammenzusetzen und so transparent wie möglich zu sein – sie sind da, um die gute Arbeit hervorzuheben, die Sie bereits leisten, und nicht, um Ihre Schwächen aufzuzeigen. Wenn Sie eine Ausnahme erhalten, bedeutet dies, dass die Prüfer ihre Arbeit gut gemacht und Ihnen eine Lösung zur Verbesserung Ihrer Praktiken und zur Einhaltung einer besseren Datensicherheit bereitgestellt haben.

Wenn überhaupt, sollten Sie Audits als Grund für die Implementierung guter Sicherheitspraktiken nutzen, damit Ihr Unternehmen in Zukunft bessere Geschäfte abschließen und größeren Erfolg erzielen kann. Wer würde das nicht wollen?

Obwohl wir verstehen, dass die veränderte Wahrnehmung von SOC 2 nicht über Nacht passieren wird, ist es wichtig, für den neuen Ansatz einzutreten und mehr Unternehmen mit mehr Vertrauen und der Bereitschaft, ihre Sicherheitspraktiken zu demonstrieren, an den neuen Ansatz heranzuführen. Wirtschaftsprüfungsunternehmen passen sich schnell dem Tempo der Startup- und Technologiebranche an und machen die Einhaltung zu einer rationalisierten Anforderung, die kaum noch an ihre Vergangenheit erinnert.