Uw SOC 2-naleving behalen als SaaS-bedrijf

SOC 2 Compliance Nachrichten

Als je nog nooit hebt gehoord van de termijn, zul je snel genoeg. SOC 2, wat betekent: Systeem- en organisatiecontroles, is een controleprocedure ontwikkeld door het American Institute of CPAs (AICPA). Na SOC 2-compliance betekent dat u organisatorische controles en praktijken hebt geïmplementeerd die zekerheid bieden voor de bescherming en beveiliging van klantgegevens. Met andere woorden, u moet aantonen (bijvoorbeeld documenteren en aantonen) dat u te goeder trouw handelt met de informatie van anderen. In zijn eenvoudigste definitie is het een rapport van een auditor.

Bij Rewind, vóór SOC 2, hadden we een aantal processen ingevoerd, zoals procedures voor wijzigingsbeheer voor wanneer noodoplossingen snel voor productie moeten worden vrijgegeven. Maar toen we aan onze SOC 2-reis begonnen, realiseerden we ons dat we geen geweldige manier hadden om de redenering achter een vereiste noodwijziging te volgen, en dit was vereist voor onze SOC 2-audit. Dus werkten we samen met onze auditor om een ​​continu auditsysteem voor deze verzoeken op te zetten, wat een langetermijnoplossing en een enorme procedurele verbetering bood, deze oplossing aanbieden aan andere bedrijven in onze functie. Het behalen van SOC 2-compliancesignalen naar een markt, dat u bereid bent om zekerheid te bieden in de vorm van een auditrapport van een derde partij dat u klantinformatie zult beschermen. Informatie waar uw bedrijf op vertrouwt.

Waarom überhaupt SOC 2 hebben?

Kortom, er worden tegenwoordig door meer organisaties meer gegevens verzameld dan op enig moment in de geschiedenis. Over het algemeen worden groepen in de private en publieke sector zich steeds bewuster van de manier waarop andere partijen omgaan met hun eigendomsgegevens. Voor sterk gereguleerde sectoren zoals financiën, gezondheidszorg of beursgenoteerde bedrijven is SOC 2 in wezen een kostenpost geworden om zaken te doen. Voor alle SaaS-bedrijven die willen “groeien” en willen verkopen aan grote merken, is de vraag “Heeft u uw SOC2?” zal een van de eerste dingen zijn die uw verkoopteam wordt gevraagd.

SOC 2-rapporten geven bedrijven ook een voorsprong bij het bieden van zekerheid aan klanten in het huidige cyberbeveiligingslandschap. Het aantal cyberaanvallen neemt elk jaar toe. Een inbreuk kan leiden tot boetes, de reputatie van een bedrijf schaden, een uittocht van klanten veroorzaken en nog veel meer. Naleving van SOC 2 helpt de verliezen als gevolg van deze scenario’s aanzienlijk te beperken door de zekerheid te bieden dat u over de belangrijkste processen beschikt. Een bedrijf dat zich aan de regels houdt, zal eerder snel reageren op een inbreuk, waardoor de impact ervan wordt beperkt.

SOC2 op een snelle en slimme manier krijgen

Voordat ik bij Rewind kwam, en ook voor de meeste groeiende SaaS-bedrijven, leek SOC 2 een intimiderende taak om te volbrengen. We hadden processen ingevoerd, maar er was nog werk aan de winkel om ze te formaliseren om SOC 2-compatibel te zijn en klaar voor audits. Het verkoopteam werd ook constant gevraagd naar Rewind en onze plannen voor SOC 2-compliance omdat onze klanten die zekerheid wilden, en het verkrijgen van SOC 2 werd een prioriteit. De volgende stap is het begrijpen van de SOC2-doelen en prioriteiten van uw bedrijf en het identificeren van de stappen die moeten worden genomen om compliant te worden.

Ik heb mijn hele carrière als Information Security Professional doorgebracht met een focus op governance, risico en compliance. Veel hiervan is mijn tweede natuur. Voor nieuwkomers kan het een ontmoedigend en overweldigend proces zijn. Dus hier is een snel raamwerk om u voor te bereiden op de weg die voor u ligt.

1 Uw bereik kiezen

    De eerste stap is om te beslissen over de reikwijdte van uw audit, op welke dienst of product de focus zal liggen,

    en welke Trust Service Principles u wilt laten controleren. Beveiliging is bijvoorbeeld een verplichtend principe, maar u kunt ook vertrouwelijkheids-, beschikbaarheids-, verwerkingsintegriteit- of privacyprincipes opnemen.

    Hier is een eenvoudige manier om hierover na te denken: de service die u aan uw klanten levert, kan bepalen op welke Trust Service Principles u zich moet concentreren. Als uw bedrijf bijvoorbeeld financiële gegevens verwerkt, kan ‘verwerkingsintegriteit’ een belangrijk principe zijn om te laten zien. Een e-commerce- of marketingservice zou zich waarschijnlijk richten op beveiliging en privacy vanwege de enorme hoeveelheden persoonlijke gegevens die ze verwerken.

    Rewind biedt SaaS-back-ups, dus de scope was ons eigen softwareplatform. Voor onze eerste SOC 2-rodeo lag de focus in dit kader op beveiligings- en vertrouwelijkheidscontroles. Vertrouwelijkheid was een belangrijk uitgangspunt, aangezien klanten ons hun back-upgegevens toevertrouwen en we willen aantonen hoe we de vertrouwelijkheid van de aan ons toevertrouwde informatie waarborgen.

    Het is ook belangrijk om te onthouden dat als u in de toekomst andere Trust Service Principles wilt nastreven, u uw SOC2-nalevingsprogramma en interne processen kunt voeden en uitbreiden om dat doel over de hele lijn te bereiken.

    2 Uw controleniveau beoordelen

      Verzoeken van het verkoopteam kunnen u zeker helpen bepalen op welke Trust Service Principles u zich moet concentreren, maar dat betekent niet dat u morgen met het auditproces kunt beginnen. Ik raad bedrijven altijd aan om gereedheidsbeoordelingen uit te voeren. Dit helpt bij het vaststellen van de maatstaf van het aantal controles dat u mogelijk al heeft, en voor degenen die u misschien niet hebt, kunt u bepalen op welke gebieden u zich moet concentreren. Zodra u 100% heeft bereikt, kunt u zich voorbereiden op uw audit.

      U kunt verschillende documenten voor gereedheidsbeoordelingen op internet vinden van verschillende derde partijen of bezoek de AICPA-website. Auditors kunnen u ook helpen met uw gereedheidsbeoordeling als onderdeel van uw opdracht.

      Als extra bonus kan een gereedheidsbeoordeling u helpen begrijpen hoe u in de toekomst beter kunt budgetteren voor uw SOC2-programma. U kunt bijvoorbeeld vaststellen dat u periodiek een penetratietest van derden op uw toepassing moet uitvoeren, of investeren in een achtergrondcontroleproces van medewerkers, die allemaal doorlopende kosten met zich meebrengen om voor te budgetteren.

      3 Controles en bewijsverzameling organiseren

        Er is geen verkeerde manier om uw SOC2-nalevingsprogramma en controles te organiseren. Maar op de lange termijn zijn er manieren die het moeilijker maken en manieren die het gemakkelijker maken. Spreadsheets zijn prima om al uw controles op te sommen, eigenaren toe te wijzen, notities op te nemen en links toe te voegen naar waar uw bewijsmateriaal is opgeslagen voor audits. Na verloop van tijd wordt dit echter rommelig en moeilijk te controleren.

        Bij Rewind wilden we ons concentreren op de levensduur van ons SOC2-nalevingsprogramma. Eigendom van zeggenschap en bewijsverzameling moesten worden gecentraliseerd en toegankelijk voor alle belanghebbenden. Om hierbij te helpen, hebben we geïnvesteerd in een Security Assurance Platform om ons te helpen ons nalevingsprogramma te beheren. Ik raad u aan om als onderdeel van uw SOC2-budget een tool te overwegen waarmee u uw controles kunt organiseren en in de toekomst kunt controleren.

        De moeilijkheid hier is om de juiste oplossing te vinden die past bij uw behoeften. Je zult vaak zien dat bedrijven hun oplossingen adverteren met de belofte “SOC2 in twee maanden ophalen!”. Uw compliance-programma moet een machine zijn die blijft draaien. Het is geen glimmende medaille om in recordtijd te winnen. We wilden een tool die die missie ook deelde.

        4 Kies en train controle-eigenaren

        Dit zijn personen in uw bedrijf die verantwoordelijk zijn voor de implementatie en voortdurende naleving van uw controles. De grootste uitdaging hier is dat je op het eerste gezicht mensen vraagt ​​om meer werk te doen. Toch moet het niet zo worden gezien. Dit is een gezamenlijke inspanning om controles en processen te ontwerpen die SOC2-compatibel zijn, die verweven raken met de dagelijkse processen van elk team.

        Elk nieuw toegevoegd proces moet een verbetering zijn van de beveiliging (of een ander aan Trust Service Principle gerelateerd proces/controle) van uw bedrijf. De aanpak van Rewind was om te kiezen voor een gezamenlijke aanpak onder leiding van ons “Trust Team”, maar tegelijkertijd de controle-eigenaren in staat te stellen verantwoordelijk te zijn voor hun eigen nalevingsgebieden. SOC2 moet een gemeenschappelijk doel zijn voor uw hele bedrijf, niet alleen voor het beveiligingsteam.

        5 Kies uw accountants

          Er zijn veel gerenommeerde CPA’s om uw audit voor u uit te voeren, maar verschillende auditbedrijven bieden een verscheidenheid aan diensten aan. Bij Rewind wordt onze keuze van auditor (Moss Adams) aanbevolen en getraind om ons Security Assurance Platform (Tugboat Logic) te gebruiken, dat we gebruiken om ons SOC2-programma te beheren. Dit betekent dat we de naleving van ons hele programma kunnen beheren, inclusief het leveren van bewijs aan onze auditors in dezelfde tool. Dit vermindert de werklast van onze controle-auditors en betekent dat we een gecentraliseerde plek kunnen hebben om onze controles, bewijsverzameling en audits te beheren.

          Een hindernis hier zou kunnen zijn om echt te weten waar te beginnen. U wilt zich niet binden aan een specifieke tool voor beveiligingsborging of CPA als dit op de lange termijn niet voor u werkt. Kies een gerenommeerde CPA die open staat om met u en uw workflows samen te werken. U wilt een samenwerkingsrelatie waarbij u ook om advies kunt vragen en weet dat zij ook deel willen uitmaken van uw succes.

          6 Overweeg een Type 1-rapport vóór een Type 2

            Een SOC2 Type 1-audit kan ongelooflijk nuttig zijn om je voeten nat te maken in het SOC2-auditproces. Een Type 1-audit geeft u de mogelijkheid om ervaring op te doen met het SOC2-auditproces en een rapport op te bouwen en een werkrelatie met uw auditor op te bouwen. U krijgt ook een rapport om klanten te verstrekken waaruit blijkt dat u zich inzet voor uw nalevingsprogramma. Dit is de aanpak die we bij Rewind hebben gekozen en ik ben blij dat we dat hebben gedaan.

            Er is duidelijk veel meer aan dit proces dan wat ik heb verstrekt. Op basis van mijn ervaring denk ik echter dat dit u kan helpen de weg vrij te maken voor de volgende stappen. Als u nadenkt over hoe SOC 2-besturingen vandaag in uw bedrijf passen, bespaart u zich in de toekomst een wereld van hoofdpijn.

            David
            Rate author
            Hackarizona