Ein Einblick in die Entwicklung der SOC 2-Prozesse von Threat Stack

Jahr 1: Aufbau des Fundaments

Im ersten Jahr (2017) haben wir uns für SOC 2 entschieden, weil wir ein Sicherheitsunternehmen sind, das Kunden bei der Einhaltung von SOC 2 unterstützt, und wir glauben, dass es wichtig ist, mit gutem Beispiel voranzugehen, indem wir die Prüfung selbst absolvieren. Wir haben Typ 2 gegenüber Typ 1 bevorzugt, da dieser einen weitaus strengeren Prozess sowie einen Nachweis kontinuierlicher Einhaltung bietet. Sam Bisbee, CSO von Threat Stack, erklärte: „Mit der Entscheidung für Typ 2 haben wir dem Markt ein viel stärkeres Signal gesendet, dass wir in der Lage sind, unseren eigenen Anspruch auf ‚kontinuierliche Compliance‘ aufrechtzuerhalten, indem wir intern nach dieser Richtlinie arbeiten.“

Nachdem wir uns dazu entschlossen hatten, Typ 2 SOC 2 anzustreben, nutzten wir die Zeit vor der Prüfung, um eine solide Grundlage für Kontrollen, Prozesse und Governance zu schaffen. Insbesondere haben wir neue Richtlinien und Technologien implementiert, um unsere Infrastruktur zu stärken und Sicherheit in jeder Phase der Produktentwicklung zu gewährleisten. Darüber hinaus haben wir die Gelegenheit genutzt, unser Sicherheitsteam besser in unsere DevOps-Praktiken zu integrieren. Schließlich haben wir Tools entwickelt, um die SOC 2-Erwartungen in unsere automatisierten Prozesse einzubetten und so sicherzustellen, dass die erforderlichen Prüfungen in unseren Entwicklungsprozess integriert und nicht am Ende als Hindernis hinzugefügt werden. 

Die Ergebnisse: Indem wir die Prüfung ohne Ausnahmen bestanden haben, haben wir gezeigt, dass man sich darauf verlassen kann, dass die Threat Stack Cloud Security Platform®, die Menschen dahinter und die implementierten Prozesse kontinuierlich die strengsten Compliance-Standards einhalten. 

Jahr 2: Eine dedizierte GRC-Funktion einrichten und Prozesse optimieren 

Obwohl das erste Jahr sehr erfolgreich war, wurde schnell klar, dass wir in Zukunft mit noch konsequenteren und effizienteren Methoden dieselben oder bessere Ergebnisse erzielen könnten. Vor diesem Hintergrund haben wir das zweite Jahr dazu genutzt:

• Schaffen Sie einen verteilten, unternehmensweiten Ansatz zur Unterstützung von Audits, indem Sie innerhalb unseres Sicherheitsteams eine dedizierte Governance-, Risiko- und Compliance-Funktion (GRC) aufbauen und dabei die Teams für Engineering, Betrieb und Plattformsicherheit nutzen.
• Konzipieren und führen Sie vor der formellen SOC 2-Bewertung vor Ort ein strenges internes Audit durch, um die Wirksamkeit unserer Kontrollen, Richtlinien und Prozesse von Anfang bis Ende zu beurteilen und zu verbessern und um zu ermitteln, welche Tools wir entwickeln oder nutzen können, um eine höhere Genauigkeit und Effizienz zu erreichen. 

Die Auszahlung war beträchtlich. Wir haben nicht nur unsere Unternehmensführung und unser Grundgerüst gestärkt, sondern auch unsere internen Prozesse vor der offiziellen Prüfung weiter verbessert. Während unsere interne Prüfung etwa einen Monat dauerte, war für die offizielle Prüfung lediglich eine dreitägige Anwesenheit der Prüfer vor Ort erforderlich. (Wir haben die Zeit, die die Prüfer vor Ort verbringen mussten, tatsächlich verkürzt, weil wir durch die interne Prüfung darauf vorbereitet waren, die von den Prüfern benötigten Beweise rasch zu identifizieren und zusammenzutragen.)

Die Ergebnisse: Schlanke Prozesse, verkürzter Vor-Ort-Besuch und eine erfolgreiche Prüfung ohne Ausnahmen!

Jahr 3: Erweiterung unseres Leistungsumfangs und Einbindung neuer Kontrollen

Das dritte Jahr war sowohl interessant als auch herausfordernd. Man könnte annehmen, dass mit zwei erfolgreichen Prüfungen ohne Einwände das Erreichen einer dritten Prüfung ein Leichtes wäre. Aber angesichts des ständigen Wandels, der die Cybersicherheitsbranche allgemein kennzeichnet, und des Wandels und Wachstums, das wir bei Threat Stack erlebt haben, war dies definitiv nicht der Fall. Um die Herausforderungen zu bewältigen, die sich aus den Umfangsänderungen und der Einführung neuer Kontrollen ergeben, haben wir unsere Bemühungen auf drei Bereiche konzentriert:

• Validierung vorhandener Überwachungs- und Kontrollmechanismen: Obwohl wir in den ersten beiden Jahren eine solide Grundlage an Richtlinien, Verfahren und Kontrollen geschaffen und verbessert haben, ist dadurch allein noch keine kontinuierliche Einhaltung gewährleistet (und daher ist eine jährliche Überprüfung erforderlich). Im Vorfeld dieser Entwicklung stellten wir sicher, dass wir interne Kontrollen und Prüfungen eingebaut hatten, die es uns ermöglichten, die Wirksamkeit unserer bestehenden Prozesse zu bestätigen und den Prüfern die Einhaltung der Vorschriften leicht nachzuweisen. Kurz gesagt: Wir haben einen proaktiven Ansatz gewählt, der es uns ermöglichte, unsere Systeme vor der Prüfung zu testen und so eine durchgängige Wirksamkeit und Konformität sicherzustellen. Durch die Integration dieser Prozesse in den Standardbetrieb konnten wir sicherstellen, dass die Aufrechterhaltung der kontinuierlichen Compliance die Arbeit ermöglicht und nicht nur ein zeitaufwändiges Zusatzelement am Ende ist.
• Erweiterung des Geltungsbereichs unserer Governance um neue Funktionen: Wenn sich der Funktionsumfang in einer Organisation ändert, muss unbedingt sichergestellt werden, dass für die neue Funktionalität dieselben Richtlinien und Verfahren gelten, die für die übrige Organisation gelten. In unserem Fall hat Threat Stack Mitte 2019 eine neue einheitliche Lösung zur Überwachung der Application als integralen Bestandteil der Threat Stack Cloud Security Platform bereitgestellt. Daher war es von entscheidender Bedeutung, sicherzustellen, dass dies angemessen überwacht und kontrolliert wurde und dass wir dies den Prüfern nachweisen und entsprechende Beweise zur Untermauerung unseres Nachweises vorlegen konnten. Daher haben wir die Application proaktiv in den Umfang unserer SOC 2-Governance-Aktivitäten aufgenommen, um sicherzustellen, dass das für Appsec verantwortliche Team alle unsere Richtlinien und Verfahren berücksichtigt, einschließlich unseres Änderungsmanagementprozesses.
• Nachweis der Einhaltung zusätzlicher Kontrollen: Im Rahmen unserer Prüfung im Jahr 2019 wurden wir darüber informiert, dass wir den Nachweis für die Einhaltung einer Reihe zusätzlicher Kontrollen erbringen müssen. Besonders wichtig war dabei die Fähigkeit, „mit Lieferanten und Geschäftspartnern verbundene Risiken einzuschätzen und zu managen“.
  
  Unternehmen lagern ihre Aufgaben zunehmend an qualifizierte Anbieter aus. Die Verantwortung für diese Anbieter wird selbstverständlich nicht ausgelagert. Die Verantwortung verbleibt bei Ihrem Unternehmen und es ist wichtig, dass Sie Lieferanten in Ihr Lieferantenmanagementprogramm einbeziehen und für sie dieselben Richtlinien, Verfahren und Kontrollen anwenden, die Sie auch im Rest Ihres Unternehmens verwenden. Da Threat Stack einen proaktiven Ansatz beim Drittanbieter-Lieferantenmanagement verfolgte, konnten wir erneut nachweisen, dass wir bereits über eine entsprechende Lieferantenmanagementrichtlinie verfügten. Im Wesentlichen stellte unser GRC-System sicher, dass wir diesen Fall vorhergesehen und die Anforderungen des Lieferantenmanagements berücksichtigt hatten.

Durch den Aufbau eines soliden Rahmens für die Einhaltung von SOC 2 bei gleichzeitiger Wahrung der Flexibilität konnte sich Threat Stack positiv an Änderungen in der Art und dem Umfang seiner Betriebsabläufe anpassen und sicherstellen, dass die kontinuierliche Einhaltung eine lohnende Herausforderung darstellt. Während wir unsere Grundlagen fortlaufend validieren und uns an Veränderungen anpassen, stärken wir kontinuierlich unsere Sicherheitslage und optimieren gleichzeitig unsere Betriebsrichtlinien und -verfahren. Compliance ist somit zu einem Netto-Geschäftsverstärker und -förderer geworden, der es uns ermöglicht, intern Vorteile zu erzielen und gleichzeitig unseren Kunden durch die Threat Stack Cloud Security Platform und durch die Erkenntnisse, die wir mit ihnen teilen, einen Mehrwert zu geben.

Zusätzlich zu seiner eigenen Prüfung nach SOC 2 Typ 2 unterstützt Threat Stack seine Kunden bei der Vereinfachung des Cloud-Compliance-Managements durch vollständige Beobachtung der Cloud-Sicherheit sowie kontinuierliche Überwachung, Alarmierung, Untersuchung und Überprüfung der Cloud-Infrastruktur über unsere Cloud-Sicherheitsplattform.