Wie man einen SOC 2 Typ 1 oder Typ 2 Bericht für SaaS-Unternehmen erhält

Dieser Artikel klärt einige der Begriffe und Prozesse rund um die Erstellung von SOC 2 Typ 1 und Typ 2 Berichten für SaaS-Unternehmen.

Was ist SOC 2?

SOC steht für “Service Organisation Controls”. SOC 2 ist ein vom AICPA entwickelter Berichtsrahmen. Es handelt sich nicht um einen Sicherheitsrahmen; das AICPA legt die Kriterien fest, aber es besteht Flexibilität bei der Erfüllung dieser Kriterien. Es handelt sich um einen Berichtsrahmen, und nur CPA-Firmen sind berechtigt, solche Berichte zu erstellen.

Bei NIST, ISO27001 und anderen Sicherheitsrahmenwerken gibt es bestimmte Kontrollen, die Sie erfüllen müssen, um zertifiziert zu werden. SOC 2 gibt Ihnen die Flexibilität zu entscheiden, welche Kontrollen Sie für eine bestimmte Berichtsanforderung implementieren wollen.

Was sind die Markttreiber, und was ist SOC 2?

Heutzutage gibt es viele Markttreiber für die Erstellung eines SOC-2-Berichts; einer davon ist das erhöhte Risiko von Cyberangriffen für Unternehmen. Größere Unternehmen erkennen dieses Risiko und verlangen von ihren Lieferanten, dass sie zumindest einige grundlegende IT-Sicherheitsanforderungen erfüllen.

Die AICPA hat SOC 2 Typ 1 und SOC 2 Typ 2 entwickelt, die die Einhaltung dieser grundlegenden Sicherheitskontrollen bescheinigen.

Diesen SOC-2-Bericht können Sie dann Ihren größeren Kunden zur Verfügung stellen, die danach fragen.

Der Hauptgrund für die Einführung von SOC 2 ist die Notwendigkeit, Vertrauen zwischen einem größeren Unternehmen und seinen Zulieferern oder zwischen zwei gleichberechtigten Unternehmen, die miteinander Geschäfte machen wollen, herzustellen.

Unternehmen, die mit größeren Kunden Geschäfte machen wollen, werden aufgefordert, ihre Programme für Informationssicherheit und Datenschutz zu gewährleisten.

Mit SOC 2 können Sie diese Zusicherung auf Anfrage geben.

Wie wird der Umfang des SOC 2-Berichtsprojekts festgelegt?

Es gibt fünf verschiedene Vertrauenskategorien, wobei die Sicherheit die Grundlage bildet.

Die vier zusätzlichen Kategorien werden auf der Grundlage von Kundenanforderungen oder Branchenerwartungen ausgewählt.

Diese sind Vertraulichkeit, Verfügbarkeit, Integrität der Verarbeitung und Datenschutz.

Wir empfehlen, dass Sie zumindest mit der Sicherheit beginnen.

Welche Systeme würden für das Berichtsprojekt in Frage kommen?

SOC 2 bietet Ihnen Flexibilität bei der Auswahl der zu prüfenden Systeme. Je nach Unternehmen können Sie definieren, was Sie unter einem Informationssystem verstehen. Dabei kann es sich um einen Computer, einen Server, eine Reihe von virtuellen Servern, einen Cloud-Anbieter oder ein ganzes Rechenzentrum handeln.

Wie lange dauert es in der Regel, bis Sie Ihren SOC-2-Bericht in Händen halten?

Die meisten Unternehmen können ihren SOC 2 Typ 1 Bericht innerhalb von 3 bis sechs Monaten erhalten, je nach Komplexität ihrer internen Geschäftsprozesse.

Ihr IT-Team ist von entscheidender Bedeutung, da sich seine Verfügbarkeit auf die Geschwindigkeit auswirkt, mit der es die Abhilfemaßnahmen für die bei der anfänglichen Lückenbewertung festgestellten Schwachstellen umsetzen kann.

Nehmen wir natürlich an, Ihr Geschäftspartner gibt Ihnen den Auftrag, in sechs Monaten einen Bericht zu erstellen. In diesem Fall ist das in der Regel Motivation genug, um genügend Unternehmensressourcen zur Erreichung dieses Ziels einzusetzen.

Größere Unternehmen haben es satt, Sicherheitsfragebögen zu verschicken und auszuwerten, und eine der Lösungen zur Kontrolle des Drittparteirisikos für sie ist SOC 2. Natürlich gibt es Alternativen zur Auslagerung von Sicherheitsfragen auf Plattformen von Drittanbietern, die die Einhaltung von ISO 27001 und NIST oder HITRUST erzwingen. Dennoch ist SOC 2 eine sehr effiziente und relativ einfache Lösung, um sicherzustellen, dass die Grundlagen abgedeckt sind, insbesondere für Softwareentwicklungsunternehmen.

Als Lieferant solch großer Unternehmen muss es mühsam gewesen sein, pausenlos Sicherheitsfragebögen auszufüllen – und vielleicht werden Sie es als Erleichterung empfinden, einen SOC-2-Bericht vorlegen zu können.

Der AICPA regelt den SOC 2-Rahmen. Es handelt sich um einen Berichtsrahmen und nicht um einen Sicherheitsrahmen.

Es gibt fünf verschiedene Kategorien von Vertrauensdiensten, wobei die Sicherheit die Grundlage jedes SOC 2-Berichts bildet, aber es gibt vier zusätzliche Kategorien, die Unternehmen hinzufügen können

Manchmal basiert dies auf Industrienormen, Präferenzen, Erwartungen oder Kundenanforderungen, und dazu gehören:

  • Vertraulichkeit
  • Verfügbarkeit
  • Integrität der Verarbeitung
  • Datenschutz

Diese sind fakultativ.

Für ein Rechenzentrum wäre die Verfügbarkeit für seine Kunden von entscheidender Bedeutung, so dass es dies in seinem SOC-2-Bericht berücksichtigen sollte. In der Gesundheitsbranche ist der Datenschutz von größter Bedeutung, und man erwartet von den Unternehmen dieser Branche, dass sie den Datenschutz einführen.

Im FinTech-Bereich ist die Integrität der Verarbeitung von entscheidender Bedeutung.

Wir empfehlen Unternehmen im ersten Jahr oft, mit dem Sicherheitsbereich zu beginnen, um einen Fuß in die Tür zu bekommen. So können Sie Ihr Sicherheitsprogramm aufbauen und dann überlegen, ob es sinnvoll ist, dieses Programm im Laufe der Zeit um weitere Kategorien zu erweitern.

Was die in den Geltungsbereich fallenden Systeme betrifft, so bietet SOC 2 Flexibilität, da jedes Unternehmen sein Informationssystem definieren kann, über das dann berichtet wird.

Sie können Ihr Informationssystem als Ihr gesamtes Unternehmen definieren, oder Sie können es als eine Geschäftseinheit innerhalb des Unternehmens beschreiben, oder es ist vielleicht produktspezifisch. Es wird Kontrollen geben, die für das Unternehmen gelten werden.

Die SOC 2-Bereitschaftsbewertung

Bei einer Bereitschaftsbewertung helfen wir Ihnen, Lücken in Ihren Sicherheitskontrollen zu erkennen, und geben Ihnen Hinweise, wie Sie die Anforderungen erfüllen können und wie Sie die Dinge in Ordnung bringen können.

Zum Beispiel müssen Sie vielleicht Richtlinien schreiben oder einige Prozesse aktualisieren, und dann kommen wir zu den Feinheiten von Typ 1 und Typ 2.

Nach Abschluss der SOC-2-Bereitschaftsbewertung sind die meisten Unternehmen bereit, einen Bericht zu erstellen. Was die meisten Unternehmen in den ersten Jahren machen, ist ein SOC-2-Typ-1-Bericht, also ein Bericht zu einem bestimmten Zeitpunkt.

Sie sind qualifiziert, einen Bericht zu erhalten, wenn Sie alle Ihre Kontrollen durchgeführt haben. Wenn Sie gerade eine Bereitschaftsbewertung abgeschlossen haben und der letzte Nachweis zeigt, dass Sie die Mindestkriterien erfüllen, können Sie Ihren Typ-1-Bericht sofort erhalten.

Aber das ist in der Regel nicht genug. Der Markt erwartet, dass Sie einen SOC-2-Bericht des Typs 2 erhalten, der in der Regel ein Jahr abdeckt.

In den Folgejahren wird dann in der Regel ein rollierender Zwölfmonatszeitraum erstellt. Zu beachten ist, dass Typ 2 keine einmalige Angelegenheit ist, die man nur einmal im Jahr durchführen muss – es handelt sich um eine jährliche Prüfung, die man jedes Jahr auffrischen und jedes Mal den gesamten Prozess durchlaufen muss. Ihre Kunden und Auftraggeber wissen sehr genau, was sie in diesen Berichten suchen, und verlangen in der Regel jedes Jahr einen aktualisierten Bericht.

Seien Sie darauf vorbereitet, diese Prozesse zu etablieren und im Laufe der Zeit zu pflegen.

Die Vorbereitungsphase erfordert in der Regel den größten Zeit- und Arbeitsaufwand sowohl auf Ihrer Seite als auch auf der Seite, die Sie bei der Vorbereitung auf einen SOC-2-Bericht unterstützt.

Ihr Prüfer wird sich mit Ihnen zusammensetzen, um das Unternehmen, seine Triebkräfte und die Bedeutung der Sicherheit für das Unternehmen zu verstehen – und dann Kontrollen entwickeln, die den AICPA-Kriterien entsprechen.

Der größte Zeitaufwand fällt in der Sanierungsphase an, bevor Sie für eine Berichtsbewertung bereit sind.

Was die Bereitschaft betrifft, so sollten Sie sich überlegen, worauf Sie sich vorbereiten müssen. Ein Hackerangriff? Oder eine Prüfung?

Beide haben das Potenzial, Ihr Geschäft zu stören. Und der Unterschied zwischen Erfolg und Misserfolg ist der Grad der Anpassung, den Sie von Ihrem SOC 2-Bereitschaftsbewertungsanbieter erhalten können.

Etwa 80 % aller CPA-Firmen, die SOC-2-Audits und -Berichte erstellen, machen sich nicht die Mühe, sich zu vergewissern, dass Sie über angemessene Sicherheitskontrollen verfügen – stattdessen stellen sie nur sicher, dass Sie das absolute Minimum tun, um die offiziellen Anforderungen auf dem Papier zu erfüllen.

Man kann es diesen CPA-Firmen nicht verübeln – die meisten ihrer Kunden wollen nicht sicher sein, sie wollen ihren Bericht, damit sie schneller Geschäfte machen können.

Wenn Sie versuchen, jemandem, der das nicht will, die Bemühungen um echte Sicherheit aufzuzwingen, verlieren Sie am Ende vielleicht den Kunden und Ihre Zeit – und das ist der Grund, warum die meisten CPA-Firmen keine echten Sicherheitsexperten einstellen; sie gehen Checklisten durch und stellen ihren Kunden Vorlagen zur Verfügung.

Wir haben uns entschieden, nicht den einfachen Weg zu gehen.

Das könnte bedeuten, dass wir 80 % aller potenziellen Kunden verlieren, aber auf lange Sicht wird unser Ruf das wahre Unterscheidungsmerkmal sein, und der Wert, den wir unseren Kunden bieten, wird hervorstechen. Langfristig werden unsere Kunden mehr Aufträge erhalten und sich daran erinnern, wer ihnen dabei geholfen hat.

Sie möchten ein nachhaltiges Sicherheitsprogramm einrichten, das Sie pflegen und verwalten können und das sich eng an das anlehnt, was Sie bereits für die Ausrichtung des Unternehmens tun.

Zeitleiste

Die meisten Unternehmen, die einen SOC-2-Bericht anstreben, haben ein Mandat von einem Partner erhalten, in dem es heißt: “Sie haben sechs oder zwölf Monate Zeit, um einen Bericht zu erstellen”.

Als Planungsfaktor empfehlen wir Ihnen, sich drei bis sechs Monate Zeit zu nehmen, um Ihren Typ-1-Bericht zu erstellen und sich mit den Feinheiten von Typ 1 und Typ 2 zu befassen, aber das ist nur ein fairer Planungsfaktor. Wir haben erlebt, dass Unternehmen schneller vorankommen, wenn sie motiviert sind und eine Kundenfrist haben.

Wenn Sie zu den Unternehmen gehören, die wissen, dass dies nur eine Frage der Zeit ist, und die sich mehr Zeit lassen, um die erforderlichen Kontrollen einzuführen, sollten Sie drei bis sechs Monate einplanen, bis Sie Ihren Bericht in Händen halten können.

Dieser Zeitplan ist an eine Bedingung geknüpft: Sie müssen parallel mit Ihrem Prüfungsunternehmen und mit jemandem zusammenarbeiten, der Ihnen bei der Umsetzung aller Kontrollen hilft, die bei den einzelnen Auditsitzungen entdeckt werden.

In der Regel handelt es sich um einen dreistufigen Prozess.

Der erste Schritt besteht darin, einen Kunden durch eine Lückenanalyse vorzubereiten. Zunächst einmal wissen die meisten Unternehmen nicht einmal, welche Kontrollen ihnen fehlen; sie wissen nicht, dass es diese Kontrollen gibt, geschweige denn, wie man sie durchführt.

Deshalb ist es wichtig, zunächst eine Bereitschaftsbewertung durchzuführen.

Im Folgenden wird ein allgemeiner Zeitplan für ein SOC-2-Projekt dargestellt:

Die Phase der “Bereitschaftsbewertung” dauert etwa sechs Monate. Und es ist nicht der Bewertungsteil, der so lange dauert – die Bewertung dauert etwa zwei Wochen.

Sobald Sie Ihre Bewertung durchgeführt haben und wir einen Plan für Ihr Informationssicherheitsprogramm erstellt haben, beginnt der eigentliche arbeits- und ressourcenintensive Prozess, um die Art und Weise zu ändern, wie Sie die Dinge seit Jahrzehnten gehandhabt haben.

Es müssen neue Strategien und Verfahren eingeführt werden, die dann auch umgesetzt werden müssen, und die Mitarbeiter müssen beginnen, sie zu befolgen.

Sie werden auf Widerstand stoßen.

Sie könnten sogar mit Sabotage durch Ihre ältesten, vertrauenswürdigsten Mitarbeiter konfrontiert werden, die, wenn sie gehen, Ihr Unternehmen lahm legen könnten. Wir haben das mehr als einmal erlebt und möchten Ihnen versichern, dass dies ganz normal ist. Wenn Sie damit rechnen, können Sie Gegenmaßnahmen vorbereiten, die den Druck abbauen und die gesamte Energie in die richtige Richtung lenken.

Nach der anfänglichen SOC 2-Bereitschaftsbewertung wird der Kunde alle von uns festgestellten Mängel beheben. Dann führen wir das SOC-2-Audit des Typs 1 durch, und sobald Sie mit der Behebung der zweiten Gruppe von Ergebnissen fertig sind, erhalten Sie den Typ-1-Bericht.

Dann beginnt der Zeitraum des SOC 2 Typ 2 Audits.

Der Prüfungszeitraum heißt so, weil Sie das ganze Jahr über kleine “Bewertungen” erhalten, eine Art Stichproben, damit wir feststellen können, ob Sie die Anforderungen von SOC 2 gemäß AICPA einhalten.

Bei so langen Prüfungszeiträumen planen wir normalerweise im Voraus.

Alle unsere Sitzungen werden in den ersten sechs Monaten im Voraus geplant, dann führen wir ein Halbzeit-Audit durch und erarbeiten Vorschläge für Abhilfemaßnahmen, gefolgt von einigen Folgetreffen und Stichproben. Am Ende des Jahres führen wir ein kleineres Audit durch und stellen Ihren SOC 2 Typ 2 Bericht für das Jahr aus, den Sie ein weiteres Jahr verwenden können.

Und der Prozess wiederholt sich.

Sie können es als laufende Kosten für die Geschäftsbeziehung mit den Kunden betrachten, die von ihren Lieferanten SOC-2-Typ-2-Berichte verlangen. Die Zusammenarbeit mit solchen Kunden bringt Ihnen in der Regel großartige Projekte ein, und die Investition ist es mehr als wert!

Die letzten jährlichen Überprüfungen bestehen in der Regel aus ein paar Tagen, in denen wir uns die Richtlinien ansehen, ein paar Beweise sammeln und uns vergewissern, dass der Kunde alle Sicherheitsanforderungen gut erfüllt.

Dann stellen wir die Dokumentation fertig und geben den SOC-2-Bericht des Typs 2 heraus.

Die Frage der Transparenz

Wenn jemand Sie zwingt, einen SOC-2-Bericht zu erstellen, und Sie einfach nicht bereit dafür sind, wenn Ihre IT-Infrastruktur bei weitem nicht gut geschützt ist, empfehlen wir Ihnen, dies Ihrem Kunden gegenüber transparent zu machen.

Wenn man von Ihnen erwartet, dass Sie den Bericht in drei Monaten vorlegen, Sie aber nicht in der Lage sind, 300 Änderungen in all Ihren Prozessen in weniger als sechs Monaten umzusetzen, sollten Sie dies Ihrem Kunden gegenüber transparent machen.

Sie werden Ihre Ehrlichkeit zu schätzen wissen, vor allem, wenn Sie sofort damit beginnen, an Ihrer Sicherheit zu arbeiten und ihnen Beweise für diese Arbeit zeigen.

Ein offenes Gespräch und ein Dialog mit allen betroffenen Parteien ist in der Regel der beste Weg, um eine Lösung zu finden, mit der alle Beteiligten ihre Ziele erreichen können.

Viele unserer Kunden möchten im Voraus wissen, welche Belastung die Arbeit für ihr Team bedeutet – nicht nur für das IT-Team, sondern auch für das Verwaltungspersonal. Der COO, der CEO und der CFO müssen einige, wenn nicht sogar viele, Beiträge zu einigen der Prüfungsfragen liefern.

Und diese Fragen führen oft zu administrativen und verfahrenstechnischen Änderungen nicht nur in der IT, sondern auch in anderen Abteilungen des Unternehmens.

In der Regel sind fünf bis sechs Besprechungen erforderlich, damit wir Ihr Unternehmen gut verstehen und Ihnen Anregungen geben können, was geändert werden muss, um den realen Sicherheitsrisiken und den AICPA SOC 2-Anforderungen zu entsprechen, damit Sie Ihren Bericht erhalten.

Der größte Teil der Arbeit wird dann auf die Sanierung entfallen. Zu Beginn ist es fast unmöglich zu wissen, wie hoch der Sanierungsbedarf sein wird. Wenn wir eine Standardschätzung vornehmen, benötigen einige Unternehmen mit mehr als hundert Mitarbeitern und einer umfangreichen IT-Infrastruktur ein Jahr, um ihren Typ-1-Bericht vollständig zu erhalten.

Selbst wenn Sie mit der guten Absicht starten, alle Feststellungen innerhalb von drei Monaten zu beheben, werden Ihr Team und die mit SOC-2-Aufgaben betrauten Personen ständig durch das Tagesgeschäft unterbrochen. Diese Unterbrechungen verzögern das Projekt erheblich. Die einzige Möglichkeit, sich an den Plan zu halten, besteht darin, jeden Tag eine bestimmte Anzahl von Stunden für die SOC 2-Bemühungen aufzuwenden und zu wissen, dass Ihre anderen Geschäftsbereiche für eine Weile zurückgestellt werden müssen.

Schließlich kommen wir zu der Mutter aller Fragen:

Wie viel kostet die Durchführung einer SOC 2-Bereitschaftsprüfung und wie viel kostet der Erhalt eines SOC 2-Berichts vom Typ 1 oder Typ 2?

Die kurze Antwort lautet immer: Es kommt darauf an.

Das haben Sie erwartet, nicht wahr?

Dafür gibt es einige Faktoren. Der Umfang ist ein entscheidender Faktor: Die Anzahl der Standorte, der Systeme oder der Produkte, für die Sie den SOC-Bericht erstellen lassen, beeinflusst den Zeitaufwand für die Prüfung und Behebung und damit auch den Preis.

Wenn Sie sich für eine der vier großen Wirtschaftsprüfungsgesellschaften entscheiden, zahlen Sie oft für die Marke und nicht unbedingt für die Art der Arbeit.

Und manchmal ist es genau das, was ein Unternehmen braucht – um zu der Art von Kunden zu gelangen, die nichts anderes erwarten, als dass eine Big-Four-Wirtschaftsprüfungsgesellschaft mit Ihnen zusammenarbeitet, um Ihnen zu vertrauen.

Wichtig ist jedoch die Frage: Brauchen Sie einen SOC-2-Bericht, nur weil Sie den Bericht brauchen, oder wollen Sie ein wirksames Informationssicherheitsprogramm einführen?

Wenn wir die Preise der “Big Four” außer Acht lassen, dann sollte Ihr Budget für einen SOC-2-Typ-1-Bericht bei den meisten anderen CPA-Firmen zwischen 30 000 und 50 000 Dollar pro Jahr liegen (oder bis zum Fünffachen bei einer großen Firma, die Ihre Prüfung und Berichterstattung übernimmt).

Wenn sich das hoch anhört, bedenken Sie, dass die Kosten für die Einstellung eines guten CISO für ein Jahr etwa 200 000 Dollar betragen.

Beauftragen Sie ein Sicherheitsunternehmen wie Kloudwerk mit der Durchführung Ihrer SOC-2-Bereitschaftsbewertung und der Erstellung eines Informationssicherheitsprogramms. Sie erhalten Hilfe bei allen Abhilfemaßnahmen und sparen fast 100 000 Dollar im Vergleich zur Einstellung eines Vollzeit-CISO für den gleichen Zeitraum.

Dann würden Sie eine CPA-Firma dafür bezahlen, die Prüfung durchzuführen und einen Bericht für Sie zu schreiben, und Sie können anfangen, Kunden anzusprechen, die ohne einen SOC-2-Bericht nicht einmal mit Ihnen sprechen würden.

Wenn Sie auch nur einen dieser Kunden an Land ziehen, könnte das ein Vielfaches Ihrer SOC-2-Ausgaben und dessen, was Sie für die Sicherung Ihres gesamten Unternehmens bezahlt haben, ausmachen.

Ganz zu schweigen davon, dass Sie vor Hackerangriffen geschützt sind und sich keine Sorgen mehr machen müssen, dass die Daten Ihrer Kunden bei einer Sicherheitsverletzung verloren gehen.

Denken Sie daran, dass CPA-Firmen nur selten brillante Cybersicherheitsexperten in ihr Team aufnehmen, da diese Experten lieber bei Sicherheitsfirmen oder großen Technologieunternehmen arbeiten.

Da Buchhalter sehr gut im Berichtswesen sind, hat die AICPA nur CPA-Firmen mit der Erstellung von SOC-2-Berichten beauftragt.

Der größte Teil Ihrer Ressourcen und Ihrer Zeit wird jedoch für Abhilfemaßnahmen vor Ihrem Bericht verwendet werden. Und Sie brauchen die Hilfe von Cybersicherheitsexperten, um sicherzustellen, dass jede Abhilfemaßnahme gegen brillante und hartnäckige Hacker wirksam ist, die über jahrzehntelange Erfahrung mit der Durchbrechung gut konzipierter und gut ausgeführter Verteidigungsmaßnahmen auf der ganzen Welt verfügen.

More To Explore

Contact Kloudwerk

drop us a line to Get keep in touch

WEBSITE SECURITY REPORT

Add Your Heading Text Here

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

Add Your Heading Text Here

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.