KernelCare: Wie wir SOC 2 ®-konform werden

Bei KernelCare wissen wir schon seit einiger Zeit über SOC 2 Bescheid. Unsere Kunden haben uns gesagt, dass unser Linux-Kernel-Live-Patching-Produkt ihnen bei ihren Bemühungen um die Compliance-Zertifizierung geholfen hat. Obwohl KernelCare keine Kundendaten verarbeitet, dachten wir uns, dass wir dem guten Beispiel unserer SOC 2-zertifizierten Kunden folgen und die Vorschriften einhalten sollten. Wir würden die Anwendungsfälle unserer Kunden besser kennen lernen und uns als Unternehmen verbessern.

Ich bin also aufgeregt und auch ein wenig nervös, Ihnen den Beginn unserer eigenen Reise zur Einhaltung von SOC 2 mitzuteilen. Ich werde Ihnen nach und nach mehr darüber berichten.

Eine kurze Einführung in SOC 2

Datensicherheit ist wichtig. Dienstleistungskunden wollen wissen, dass ihre Daten sicher sind; Dienstanbieter wollen beweisen, dass es nichts zu befürchten gibt. Wir alle kennen die Qualitätssiegel auf physischen Produkten. Qualitätssiegel für virtuelle Produkte und Dienstleistungen sind weniger verbreitet und weniger sichtbar. Von diesen Gütesiegeln sticht das SOC 2 heraus.

Ein SOC-2-Zertifizierungsbericht ist das Ergebnis einer Prüfung der Verfahren, Systeme, Datenverwaltungsrichtlinien und -kontrollen eines Unternehmens. Es handelt sich um ein Zertifizierungsprogramm, das von US-amerikanischen Big-Data-Unternehmen durchgeführt wird. Die Kunden ihrer Ökosysteme haben es ebenfalls erhalten, denn der Trend setzt sich in der Nahrungskette der Cloud-Dienste fort. Ein SOC-2-Zertifikat ist eine öffentliche Erklärung an die Kunden, die ihnen sagt, dass:

• ihre Daten sicher und privat sind;
• die Systeme, die sie verarbeiten, sind verfügbar;
• das System die Integrität und Vertraulichkeit ihrer Daten wahrt.

Die hervorgehobenen Wörter sind die fünf Kategorien einer Reihe von Trust Services Criteria, Prinzipien, die einem SOC 2-Bericht zugrunde liegen. Anhand dieser Gruppierungen kann der Kunde eines Wirtschaftsprüfers wählen, welche Elemente einer Prüfung er übernehmen möchte. Diese Flexibilität und dieser Pragmatismus sind Teil des Erfolgs von SOC 2 und seiner Attraktivität für Online-Dienstleister.

Ein Prüfer sein

SOC-2-konform zu werden bedeutet, technische und kulturelle Veränderungen vorzunehmen und diese, falls erforderlich, ständig zu überprüfen und zu ändern, um konform zu bleiben. Um zu verdeutlichen, wie viel Engagement damit verbunden ist, erzählte mir unser Compliance Officer von seinem Hintergrund und seinen Erfahrungen.

Dmytro Pigul begann seine Karriere als interner Prüfer in der Kiewer Niederlassung von Raiffeisen, einer internationalen Bank mit Sitz in Wien. Zwei Jahre lang führte er Betriebsprüfungen durch, bevor er zu GlaxoSmithKline im Vereinigten Königreich wechselte, wo er seine ersten Erfahrungen mit der Prüfung der Einhaltung von Vorschriften machte. Seitdem hat er Schulungen, Big-Data-Analysen, Antikorruptionsuntersuchungen und Finanzforensik durchgeführt. Jetzt, in seinem 10. Jahr als Auditor, nutzt Dmytro seine Erfahrung, um das SOC 2-Compliance-Programm von KernelCare zu leiten. Hier ist ein kurzes Q&A, das ich mit ihm geführt habe.

Aleksandra Mitroshkina: Was sind die wichtigsten Schritte bei einem SOC-2-Audit?

Dmytro Pigul: Es gibt viele davon, also fasse ich sie am besten mit Scope, Scan, Change und Check zusammen.

Umfang bedeutet, dass wir mit Sitzungen mit der Führungsebene beginnen, um zu verstehen, warum sie SOC 2 wollen, und um sicherzustellen, dass die Idee von allen akzeptiert wird. Wir entscheiden, auf welche Trust-Service-Kriterien wir uns konzentrieren und welche Abteilungen und Systeme in Frage kommen. Da KernelCare Teil von CloudLinux Inc. ist, beschloss die Geschäftsleitung, auch zwei andere Produkte einzubeziehen. Ein Teil des Scopings besteht darin, die Interessenvertreter zu identifizieren: wer weiß was und welche Rolle sie spielen. Diese Personen sind meine Ansprechpartner während des gesamten Audits. Am Ende der Scoping-Phase verfüge ich über eine Liste der zu erbringenden Leistungen, d. h. über Dokumente, die die Agenda und den Umfang der Prüfung festlegen und helfen, den Fortschritt der Prüfung zu verfolgen.

Der nächste Schritt ist die Überprüfung. Hier sind Checklisten von unschätzbarem Wert, z. B. auf der Grundlage des COSO- oder COBIT-Rahmens. Checklisten sind ein methodisches Mittel, um die zahlreichen Aspekte einer Prüfung in den Bereichen Organisation und Management, Kommunikation und Risikomanagement im Auge zu behalten. Hinzu kommt die Überwachung der Kontrollen für den logischen und physischen Zugang, den Systembetrieb und das Änderungsmanagement.

Die nächste Phase ist die des Wandels, in der es darum geht, was zu ändern ist und wie man es tut. Der Wandel ist eine Folge der Einhaltung der Vorschriften. Nur wenige Organisationen sind von Anfang an konform; die meisten müssen sich ändern, um konform zu sein. Bei KernelCare zum Beispiel war ein Drittel der IT-Kontrollen unwirksam. Also haben wir Änderungen und Verbesserungen vorgenommen, die sonst unbemerkt geblieben wären oder nur geringe Priorität gehabt hätten.

Die letzte Phase ist die Prüfungsphase. Dies ist das eigentliche Herzstück der Prüfung, eine Überprüfung von Änderungen, eine Validierung von Kontrollen, um sicherzustellen, dass alle Kontrollen vorhanden und wirksam sind.

Auditierung für SOC 2-Konformität:

1. Definieren Sie den Umfang, legen Sie Ziele fest, bestimmen Sie die Beteiligten.
2. Scannen Sie die Organisation: Analysieren und dokumentieren Sie sie.
3. Ändern oder erstellen Sie Kontrollen, die funktionieren.
4. Überprüfen Sie, ob die Kontrollen vorhanden und wirksam sind.

AM: Wie lange wird es dauern, bis wir SOC 2 bekommen?

DP: Jedes Unternehmen ist anders. Bei KernelCare haben wir im Mai dieses Jahres begonnen und streben SOC 2 Typ 1 bis Ende Oktober an. Ein Typ-1-Bericht ist eine Momentaufnahme der Compliance, die nur für einen bestimmten Zeitpunkt gilt. Ein Typ-2-Bericht deckt einen Zeitraum ab, und ich erwarte, dass wir ihn in einem Jahr erhalten werden.

AM: Was passiert, nachdem wir es bekommen haben?

DP: Der Erhalt eines SOC 2 Typ 2-Berichts ist nur der Anfang einer regelmäßigen jährlichen Überprüfung. Die Zertifizierung ist keine einmalige Angelegenheit. Um zertifiziert zu bleiben, müssen Sie regelmäßig geprüft werden.

AM: Zum Schluss: Welche Persönlichkeitseigenschaft ist in Ihrem Beruf am wichtigsten?

DP: Zweifellos die Diplomatie. Als Prüfer bin ich ein Eindringling in die Welt der Menschen und ihre eingefahrenen Wege, Dinge zu tun. Das macht die Mitarbeiter defensiv und resistent gegen Veränderungen. Ich tue mein Bestes, um zu zeigen, dass die Einhaltung von Vorschriften ein Mittel zur Selbstverbesserung sein kann und dass sie nicht nur Unternehmen und deren Kunden zugute kommt. An zweiter Stelle steht das Organisationstalent. Auditing ist kompliziert. Es gibt verschiedene Aspekte zu berücksichtigen, verschiedene Ebenen, die man verstehen muss. Ich arbeite mit allen Teilen des Unternehmens zusammen, von der ersten Reihe bis zur Chefetage.

Der automatisierte Linux-Kernel-Patching-Service von KernelCare unterstützt Unternehmen bei ihren Bemühungen um die Einhaltung der SOC-2-Vorschriften und löst das inhärente Spannungsverhältnis zwischen den Trust-Service-Kriterien für Sicherheit und Verfügbarkeit.

Die Einführung unseres eigenen Compliance-Programms hilft uns zu verstehen, dass selbst kleine Beiträge die Belastung durch die Einhaltung der Vorschriften erheblich verringern können.