Skip to the content

Menu

SOC 2 voor startups: waar te beginnen?

Als onderneming bent u al weer even bezig en de zaken gaan geweldig. Een ‘klein, maar fijn’ team en de geleverde dienst trekt veel aandacht in de markt. Vroeg of laat komt er een grote klant die enthousiast is over de dienst, maar wel een SOC 2, ISAE of ISO wil zien voordat ze met u in zee willen gaan.

Na wat googelen is snel duidelijk wat bijvoorbeeld een SOC 2 is, en ook dat u die niet in twee weken kunt halen. Het kost veel tijd en geld en beide zijn vaak niet aanwezig bij de gemiddelde startup. Maak daarom een plan van aanpak!

Tijd voor een plan! Waar begint u?

Stap 1: maak één iemand van het team vrij om dit op te pakken
Deze persoon moet uiteraard affiniteit hebben met het onderwerp. En minimaal een halve dag per week tijd hebben om zich hier helemaal op te richten. Lukt dit niet, dan heeft u geen andere keuze dan iemand inhuren.

Stap 2: maak afspraken met de klant
Iedereen begrijpt dat het behalen van een SOC 2 tijd kost. Laten zien aan de klant dat u bereid bent om hieraan te werken is vaak al voldoende om verder te kunnen. Presenteer een duidelijk plan van aanpak met een duidelijk schema wanneer u type 1 en vervolgens type 2* gaat behalen.

*Meer weten over het verschil tussen type 1 en type 2, lees dan ook het blog: Hoe bereidt u zich voor op een SOC 2 audit?

Stap 3: doe een nulmeting met uw auditor
Tijdens de nulmeting bepaalt u samen de scope: welke criteria wilt u hanteren?

Alleen:

  • Veiligheid

Of ook:

  • Beschikbaarheid
  • Vertrouwelijkheid
  • Proces integriteit en/of
  • Privacy

Daarnaast: wat is precies de dienst waarover het SOC 2 rapport moet gaan? Tijdens de nulmeting wordt ook duidelijk wat precies met elk van de SOC 2 normen wordt bedoeld en hoe u een systeembeschrijving moet opstellen.

Een SOC 2 traject

Stap 4a: aan de slag

U gaat de systeembeschrijving opstellen en procedures beschrijven. Let op dat u procedures niet hoeft te verzinnen: vaak doet u bepaalde dingen al. Het motto is dan ook: ‘Schrijf op wat je doet, en doe wat je opschrijft’.

  • Volgt het ontwikkelproces altijd dezelfde stappen? Schrijf dat dan op.
  • Worden incidenten altijd het met team geëvalueerd? Schrijf dát dan op.

In deze stap is het verstandig om regelmatig te overleggen met de auditor of u nog op de goede weg bent.

Stap 4b: maar kunt u het ook bewijzen?

Vanaf nu moet het hele team ook nadenken hoe ze zorgen dat alles wat u beschreven heeft ook te bewijzen is tijdens een audit.

  • Controleert u dagelijks systeemmeldingen in een Slackkanaal? Zet even een vinkje bij de melding als u deze heeft afgehandeld.
  • Resulteert een melding in een herstelactie? Maak eerst een ticket aan en noteer uw bevindingen.
  • Krijgt u bevestiging van een collega? Bewaar die mail. Zeker in een klein team gaan veel dingen informeel. Soms moet u dan extra moeite doen om toch een ‘audit trail’ te creëren. Dus bijvoorbeeld een mondelinge afspraak even per mail bevestigen. Probeer het zo in te richten dat het nauwelijks meer werk oplevert.

Stap 5: de audit
Vaak kunt u twee tot drie maanden na de nulmeting de eerste type 1 audit doen. U moet dan laten zien dat u op het moment van de audit alles wat u opgeschreven heeft, ook in de praktijk toepast en dat u het juiste heeft opgeschreven. Gefeliciteerd! Als het goed is heeft u nu uw SOC 2 type 1 rapport behaald!

Stap 6: SOC 2 type 2
Ongeveer zes maanden (soms korter) na de type 1 audit volgt de type 2 audit. Heeft u in stap 4b uw werk goed gedaan, dan hoeft u gedurende die zes maanden weinig te doen, behalve dat waar u goed in bent: werken aan de dienst. Wel moet u zich kort voor de audit weer goed voorbereiden: de systeembeschrijving aanpassen en een dossier opbouwen. Hoe beter u het voorbereidt, hoe soepeler de audit verloopt.

Elke reis begint met de eerste stap

Waar begint u? De belangrijkste stap is altijd de eerste stap, elke reis begint immers met de eerste stap. Kunt u moeilijk die eerste stap zetten, omdat er bijvoorbeeld geen tijd kan worden vrijgemaakt? Dan zegt u eigenlijk dat u er geen prioriteit geeft. En die stelt u altijd zelf! Vindt u het te duur? Een nog belangrijkere vraag om te stellen is: wat levert het u uiteindelijk op. Want niet alleen haalt u er wellicht déze grote klant mee binnen, maar opent dit deuren naar nieuwe klanten en zo heeft u een enorme voorsprong in sales trajecten.

Aan de slag!

 

Over de auteur

Jeroen de Klerk

RE CISA IT-auditor / Consultant
T: 076-5019470
Stel uw vraag

Contact

Vragen over onze IT-audit diensten of autorisatiesoftware voor Microsoft Dynamics?
Wij beantwoorden ze graag. 

Vraag het de specialist