Erkenntnisse aus der SOC-2-Zertifizierung mit dem CISO von Magnolia
Magnolia in Aktion
Unser Expertenteam zeigt Ihnen live, was Magnolia für Sie leisten kann.
Jetzt Demo buchenSOC 2 ist ein Compliance-Standard für die Verwaltung von Kundendaten. Auf der Grundlage der fünf Säulen Sicherheit, Verfügbarkeit, Integrität der Verarbeitung, Vertraulichkeit und Datenschutz wird im Rahmen des SOC 2-Zertifizierungsprozesses bewertet, ob eine Organisation sensible Daten im Auftrag ihrer Kunden sicher verarbeitet.
Als Chief Information Security Officer (CISO) bei Magnolia ist Jan Haderka für alle Sicherheitsfragen zuständig, einschließlich ISO 27001, SOC 2 und andere sicherheitsrelevante Audits und Zertifizierungen. Magnolia hat vor kurzem die SOC 2-Zertifizierung erhalten. In diesem Interview berichtet Jan über seine Erfahrungen mit dem SOC 2-Zertifizierungsprozess, der alle Geschäftsbereiche von Magnolia betrifft, von der Personalabteilung über die Softwareentwicklung bis hin zum Magnolia DXP selbst.
Was ist SOC 2?
Sandra: Jan, unser heutiges Thema ist SOC 2. Können Sie sagen, was SOC 2 ist und warum es wichtig ist?
Jan: SOC 2 ist eine Zertifizierung, die Anbieter erwerben können, um nachzuweisen, dass sie über angemessene Sicherheitskontrollen verfügen, die gewährleisten, dass die von ihnen angebotenen Dienste sicher sind.
Sandra: Ich spreche speziell mit Ihnen über SOC 2. Können Sie unseren Lesern mitteilen, was Ihre Aufgabe bei Magnolia ist und wie sie mit SOC 2 zusammenhängt?
Jan: Ich bin der Chief Information Security Officer bei Magnolia. In dieser Funktion bin ich für alles verantwortlich, was mit Sicherheit zu tun hat. Dazu gehören ISO 27001, SOC 2 und alle anderen sicherheitsrelevanten Prüfungen und Zertifizierungen, die wir benötigen, um unser Geschäft zu führen und unseren Kunden sichere Dienstleistungen anzubieten.
Sandra: Sie haben ISO- und andere Sicherheitsaudits erwähnt, die wir in der Vergangenheit durchgeführt haben. SOC 2 ist etwas, woran Sie im Moment aktiv arbeiten. Mich würde interessieren, welche Erfahrungen Sie während des Zertifizierungsprozesses gemacht haben. Erzählen Sie uns mehr.
Jan: SOC 2 wurde vor ein paar Wochen nach einem beschleunigten Zeitplan fertiggestellt. Ursprünglich hatten wir dies für Ende 2023 geplant. Das gestiegene Sicherheitsbewusstsein der Branche im vergangenen Jahr veranlasste das Team jedoch, im September letzten Jahres mit den Vorbereitungen für die Zertifizierung zu beginnen. Bis Ende des Jahres waren alle Kontrollen eingerichtet, und das Audit begann im Januar und wurde vor einigen Wochen abgeschlossen. Das Verfahren dauerte etwa zwei Monate und erforderte das Sammeln von Beweisen, die Vorbereitung auf die Prüfer und die Vorlage aller erforderlichen Unterlagen, um nachzuweisen, dass Verfahren und Praktiken vorhanden sind, die Mitarbeiter geschult sind und die Informationen sicher sind. Alle Tests und Prüfungen wurden erfolgreich bestanden, um die Zertifizierung zu erhalten.
Sandra: Herzlichen Glückwunsch! Apropos SOC 2, gibt es auch eine SOC 1?
Jan: Die Benennung dieser Zertifikate kann verwirrend sein. SOC 1 befasst sich in erster Linie mit Finanzkontrollen und bescheinigt, dass ein Unternehmen finanziell solide ist. Da unser in der Schweiz ansässiges Unternehmen jedoch jedes Jahr einem Schweizer Finanzaudit unterzogen wird, das ebenso gründlich ist, benötigten wir kein SOC 1.
SOC 2 hingegen konzentriert sich auf die Informationssicherheit, die für unsere Kunden von entscheidender Bedeutung ist. Die Ereignisse des letzten Jahres, wie die Zunahme von Cyberangriffen, haben dazu geführt, dass Sicherheit für viele Unternehmen höchste Priorität hat. Daher verlangen die meisten Finanzinstitute in den USA von allen ihren Zulieferern eine SOC-2-Zertifizierung. Da dies ein wichtiges Segment für uns ist, mussten wir dieser Anforderung nachkommen.
Wir hatten jedoch geplant, die SOC-2-Zertifizierung trotzdem anzustreben, da sie ein wichtiger Meilenstein ist und die Reife unserer Plattform demonstriert. Wir konnten den Prozess beschleunigen, indem wir uns im September letzten Jahres auf die Zertifizierung vorbereiteten, bis Ende des Jahres die erforderlichen Kontrollen einführten und im Januar mit dem Audit begannen. Der zweimonatige Prozess war intensiv, denn wir mussten den Prüfern alle Nachweise vorlegen und zeigen, dass unsere Verfahren, Praktiken und Mitarbeiter alle vorhanden und geschult waren, um die Sicherheit der Informationen zu gewährleisten.
PaaS-Sicherheit
Unsere Kunden verlassen sich auf Magnolia, um jeden Tag Tausende von digitalen Erlebnissen bereitzustellen. Auf dieser Seite finden Sie einen Überblick über unsere Zertifizierungen und Prozesse zur Gewährleistung der Sicherheit ihrer Daten und der Verfügbarkeit ihrer Dienste.
Vorbereitung auf den SOC 2-Zertifizierungsprozess
Sandra: Auf welche Faktoren haben die Prüfer geachtet und wie haben Sie sich auf die Zertifizierung vorbereitet?
Jan: Die Arbeit, die wir leisten, um unsere SOC-2-Zertifizierung zu erlangen und aufrechtzuerhalten, ist fortlaufend und nicht ein einmaliges Ereignis, das bis zur erneuten Zertifizierung vergessen werden kann. SOC 2 verlangt, dass Kontrollen über einen bestimmten Zeitraum hinweg vorhanden sind, und die Prüfer müssen nachweisen, dass diese Kontrollen nicht nur heute, sondern auch in der Vergangenheit vorhanden waren. Diese Kontrollen decken alle sicherheitsrelevanten Aspekte des Unternehmens ab, einschließlich der Aufnahme von Mitarbeitern, Hintergrundprüfungen und Schulungen sowie Zugangskontrolle, Datenspeicherung, Notfallwiederherstellung, Reaktion auf Zwischenfälle und Softwareentwicklung.
Wir nehmen den Datenschutz ernst und stellen sicher, dass auch unsere Mitarbeiter nicht unberechtigt auf Informationen zugreifen können. Zusammenfassend lässt sich sagen, dass die SOC-2-Zertifizierung alle sicherheitsrelevanten Aspekte des Unternehmens abdeckt, von den Humanressourcen über die Finanzen bis hin zur Entwicklung und zum Betrieb der internen Systeme und der Kundenplattform.
Sandra: Es klingt, als hätte Sie dieser Prozess sehr beschäftigt.
Jan: Ja, die SOC-2-Zertifizierung war ein langwieriger Prozess. Wir mussten verschiedene Kontrollen einführen, und es ist eine ständige Aufgabe, diese Kontrollen aufrechtzuerhalten. Während ich eine koordinierende und überwachende Rolle spielte, mussten andere Abteilungen im Unternehmen die Richtlinien und Prozesse mit allen notwendigen Kontrollen zur Gewährleistung der Sicherheit umsetzen. Meine Aufgabe war es, sie zu beraten und zu unterstützen, die Umsetzung zu überwachen und bei der Lösung von Konflikten oder Unklarheiten zu helfen. Es war eine Teamarbeit, die sich auf das gesamte Unternehmen auswirkte, wobei jeder einen Teil der Informationen beisteuern konnte. Trotz des beschleunigten Zeitplans und der kurzen Vorankündigung konnten wir die Zertifizierung bei laufendem Geschäftsbetrieb erreichen. Das zeigt, dass wir bereit sind, und ich spreche allen Mitarbeitern von Magnolia für ihre harte Arbeit und ihr Engagement meine Anerkennung aus.
Sandra: Das ist schön zu hören. Wenn Sie auf die letzten Monate zurückblicken, welche Fallstricke sind Ihnen da aufgefallen? Und wie haben Sie diese überwunden?
Jan: Eine der Hauptfallen, mit denen wir während des SOC-2-Zertifizierungsprozesses konfrontiert waren, war das mangelnde Bewusstsein innerhalb der Organisation. Es ist eine Sache, die Mitarbeiter darüber zu informieren, dass wir uns vorbereiten und den Prüfern die erforderlichen Informationen zur Verfügung stellen müssen, aber es ist eine andere Sache, dies auch umzusetzen. Als wir zum Beispiel die Mitarbeiter aufforderten, Protokolle oder Aufzeichnungen von Sicherungs- und Wiederherstellungstests zur Verfügung zu stellen, brauchten wir diese kurzfristig, um unsere Prozesse zu überprüfen, aber die Mitarbeiter fragten sich immer noch, warum wir sie brauchten. Ich musste erklären, wie wichtig es ist, die Nachweise rechtzeitig vorzulegen, und dass wir alle Fragen nach dem Audit besprechen können.
Eine weitere Herausforderung war die große Menge an Informationen, die die Prüfer von uns benötigten. Sie mussten sie alle durchgehen, überprüfen und Stichproben auswählen, um sie genauer zu untersuchen. Obwohl ich wusste, dass die Prüfung alle Aspekte der Arbeit des Unternehmens betreffen würde, hatte ich nicht erwartet, dass die Menge der benötigten Daten so groß sein würde. Beim nächsten Mal werde ich einige der Informationen im Vorfeld sammeln oder vorbereiten, um besser vorbereitet zu sein und die Belastung während der Prüfung zu verringern.
Sandra: Sie haben vorhin von "Kontrollen" gesprochen. Was sind Kontrollen? Und wie setzen Sie sie effektiv um?
Jan: Kontrollen sind Maßnahmen, die wir ergreifen, um sicherzustellen, dass wir verschiedene Aspekte unseres Geschäfts im Griff haben. Sie reichen vom Schutz der persönlichen Daten unserer Mitarbeiter durch Verschlüsselung und Zugangsbeschränkung bis hin zur Verwaltung unseres Codes, indem wir ihn sicher aufbewahren, seine Funktionalität gewährleisten und die Möglichkeit haben, ihn bei Bedarf wieder zurückzusetzen. Jeder einzelne Sicherheitsaspekt, den die Prüfer untersuchen, wird als Kontrolle betrachtet, unabhängig davon, ob er sich auf Informationen oder Prozesse bezieht.
Sandra: Es ist Ihnen gelungen, den Prüfern zufriedenstellende Informationen zu liefern, so dass wir vor kurzem unsere SOC-2-Zertifizierung erhalten haben. Herzlichen Glückwunsch!
Wie planen Sie, sich über alle Änderungen an SOC 2 auf dem Laufenden zu halten?
Jan: Es ist wichtig, proaktiv zu sein und uns und unser Team ständig weiterzubilden, um sicherzustellen, dass wir die neuesten und sichersten Verfahren anwenden. Man muss sich über die neuesten Nachrichten in der Branche auf dem Laufenden halten, um zum Beispiel über eine neue Art von Phishing- oder Cyberangriffen zu erfahren.
Es gibt drei Möglichkeiten, die Sie nutzen können:
Eine Möglichkeit, über die neuesten Sicherheitspraktiken auf dem Laufenden zu bleiben, besteht darin, Mailinglisten zu abonnieren und die Gespräche innerhalb der Sicherheitsgemeinschaft zu verfolgen. Auf diese Weise bleiben Sie über neue Trends, Aktualisierungen und Änderungen in diesem Bereich informiert und erfahren, in welche Richtung sich die Branche insgesamt bewegt.
Die zweite ist die kontinuierliche Weiterbildung durch das Lesen von Blogs, das Anschauen von Präsentationen und die Teilnahme an Konferenzen, wie in jeder anderen Disziplin auch.
Drittens führen wir neben dem SOC 2 zusätzliche Sicherheitsaudits und -tests durch, z. B. Penetrationstests, die wir für alle unsere Systeme durchführen, um Schwachstellen oder schwache Kontrollen zu ermitteln, die wir dann verbessern und verstärken können.
Die Implementierung von Tools wie der Cloud-basierten Sicherheitsüberwachung ist nicht nur eine notwendige Voraussetzung für das Bestehen des Audits, sondern hilft uns auch, neue Empfehlungen oder Richtlinien zu erkennen, die umgesetzt werden müssen.
Insgesamt ist es wichtig, wachsam und proaktiv an die Sicherheit heranzugehen, um sicherzustellen, dass wir potenziellen Bedrohungen immer einen Schritt voraus sind.
Sandra: Wenn die Prüfer alle Informationen überprüft haben, vergeben sie dann Noten oder einfach nur ein Bestehen?
Jan: Entweder man besteht oder man fällt durch, aber die Auditoren machen Sie auch auf Nichtkonformitäten aufmerksam oder teilen Ihre Beobachtungen mit. Es gibt verschiedene Stufen von Nichtkonformitäten, darunter auch größere, die sofortige Maßnahmen erfordern. Werden schwerwiegende Mängel festgestellt, haben Sie in der Regel nur 30 Tage Zeit, diese zu beheben und die Einhaltung der Vorschriften nachzuweisen. Tun Sie dies nicht, verlieren Sie die Zertifizierung.
Geringfügige Nichtkonformitäten gefährden die Zertifizierung nicht, erfordern aber dennoch Maßnahmen innerhalb eines bestimmten Zeitrahmens vor dem nächsten Audit.
Schließlich gibt es Beobachtungen, d. h. Feedback und Vorschläge der Prüfer zur Verbesserung Ihrer Kontrollen und Prozesse. Sie könnten zum Beispiel häufigere Tests oder die schriftliche Dokumentation von verbalen Kontrollen empfehlen. Der Prüfungsprozess kann eine wertvolle Lernerfahrung sein und Erkenntnisse darüber liefern, wie man die Einhaltung der Vorschriften verbessern und aufrechterhalten kann.
Ratschläge und Lehren
Sandra: Kannst du mehr über deine Erfahrungen berichten?
Jan: Das gesamte Auditverfahren war für uns eine Lernerfahrung. Wir haben uns bereits seit mehreren Jahren ISO 27001-Audits unterzogen, und obwohl es Ähnlichkeiten gibt, ist SOC 2 eher praktischer Natur. Bei der ISO liegt der Schwerpunkt auf dem Informationsmanagement und darauf, dass man sich an das hält, was man verspricht.
Ursprünglich hatte ich gedacht, dass wir nach dem ISO-Audit zu 70-80 % auf das SOC 2 vorbereitet wären. Es stellte sich jedoch heraus, dass wir nur zu etwa 50 % bereit waren, da es eine Menge zusätzlicher Anforderungen gab. Der SOC2-Auditprozess geht viel tiefer in die Details. Insgesamt haben wir aus diesem Prozess viel gelernt.
Sandra: Apropos Lernen: Geben die Prüfer auch Lob, und wenn ja, haben wir in einem bestimmten Bereich welches erhalten?
Jan: Obwohl wir während des SOC 2-Audits kein spezifisches Feedback erhalten haben, haben wir uns gleichzeitig dem ENS-Zertifizierungsprozess für das National Security Framework in Spanien unterzogen und ein sehr positives Feedback von den Auditoren erhalten, das besagt, dass wir uns in einer außergewöhnlich guten Position befinden.
Das ENS-Audit hatte etwa 80 % der Nachweise mit dem SOC-2-Audit gemeinsam, was es uns erleichterte, alle von den Prüfern geforderten Informationen schnell bereitzustellen. Sie waren angenehm überrascht, wie mühelos wir ihre Anforderungen erfüllen konnten, und ich glaube, dass dies der Standard für alle Audits sein sollte.
Ich werde Maßnahmen ergreifen, um bestimmte Informationen, wie Protokolle und Erklärungen, zu organisieren, von denen ich weiß, dass sie für zukünftige Prüfungen benötigt werden. Dies wird es mir erleichtern, die erforderlichen Informationen zu beschaffen, ohne ständig andere Teammitglieder zu belästigen. Im Idealfall werden mir die Informationen automatisch zugestellt oder ich habe über ein zentrales System Zugang zu ihnen.
Sandra: Das klingt nach einem wirklich guten Ratschlag für Sie selbst und für alle, die diesen Blogbeitrag lesen. Haben Sie noch weitere Ratschläge für andere, die sich auf das SOC-2-Audit vorbereiten?
Jan: Automatisieren Sie so viel wie möglich, nicht nur für das Audit selbst, sondern auch für die Beantwortung von Fragebögen zur Informationssicherheit von Kunden und Interessenten. Die Fragen sind zwar nicht identisch, aber oft sehr ähnlich, so dass KI-Tools und -Module für Konversation sehr effektiv sind, um effiziente und genaue Antworten zu geben. Durch die Einspeisung von Fragen und Antworten in diese Tools können Unternehmen ihren Antwortprozess rationalisieren und die erforderlichen Informationen schnell und einfach bereitstellen.
Warum SOC2 und ISO für Unternehmen wichtig sind
Sandra: Das klingt aus Sicht der Anbieter sehr sinnvoll. Betrachten wir es doch einmal aus der Perspektive der Anwender. Wann sollten Unternehmen nach einer ISO-, SOC 2- oder ENS-Zertifizierung eines Anbieters suchen?
Jan: Als Unternehmen möchten Sie sicher sein, dass Ihre Anbieter ihre Produkte sicher entwickeln. Dies wird noch wichtiger, wenn Sie sich für eine anbieterbasierte Cloud entscheiden, egal ob es sich um PaaS, SaaS oder eine andere Art von Dienst handelt. Wenn Sie Ihre Daten einem Cloud-Anbieter anvertrauen, müssen Sie sich vergewissern, dass der Anbieter in der Lage ist, sie zu schützen. An dieser Stelle kommen Zertifizierungen ins Spiel.
Diese Systeme sind unglaublich komplex, und als Kunde verfügen Sie möglicherweise nicht über die notwendigen Ressourcen oder Kenntnisse, um eine angemessene Prüfung durchzuführen. Daher dienen Zertifizierungen als unabhängige Drittpartei, die bestätigt, dass das System, die Prozesse und die Sicherheit des Anbieters solide und sicher sind. Auf diese Weise können Sie sicher sein, dass der Anbieter bereit ist, das System wiederherzustellen, wenn etwas schief geht, und dass er seine Sorgfaltspflicht erfüllt hat, um das System sicher zu halten.
Sandra: Wir haben über SOC 2, ISO und die ENS-Zertifizierung gesprochen. Ersetzen oder ergänzen sie sich gegenseitig? Braucht man eine oder alle?
Jan: SOC 2 und ISO-Zertifizierungen ergänzen sich und konzentrieren sich auf unterschiedliche Aspekte der Informationssicherheit. Während sich die ISO auf Informationsmanagementsysteme und -prozesse konzentriert, prüft SOC 2 praktische Aspekte wie die Bereitschaft, auf Vorfälle zu reagieren, und die Sicherheitsvorkehrungen und Verfahren zur Wiederherstellung.
Staatliche Zertifizierungen hingegen sind in der Regel länderspezifisch und dienen als Zulassungsstempel für staatliche Stellen. Auch wenn sie Ähnlichkeiten mit ISO und SOC 2 aufweisen, sind sie nicht austauschbar.
Sandra: Vielen Dank, Jan.