SSAE-naleving

24 september 2020 | cyber

SSAE-naleving, ook bekend als de Statement on Standards for Attestation Engagements and Compliance, is een verzameling auditnormen en -richtlijnen die gebaseerd zijn op normen die zijn gepubliceerd door de Auditing Standards Board (ASB) van het American Institute of Certified Public Accountants (AICPA).

Deze normen definiëren hoe dienstverlenende bedrijven rapporteren over hun nalevingscontroles en -processen. SSAE 16 (SOC 1) werd in april 2010 gepubliceerd als de rapportagestandaard voor alle gegevens van service-auditors en werd uitgegeven ter vervanging van de Verklaring inzake auditnormen nr. 70. Als u bekend bent met SOC 1 audits, dan bent u waarschijnlijk bekend met SSAE 16. Helaas had SSAE 16 een aantal tekortkomingen en werd het op 1 mei 2017 vervangen door SSAE 18, dat was ontworpen om deze tekortkomingen te dichten.

SSAE 18 is de huidige standaard. Auditors volgen de voorschriften van SSAE 18 bij het uitvoeren van SOC 1 tot en met 3-beoordelingen, ongeacht Type I (een beoordeling van controles op een bepaald moment) of Type II (een beoordeling van controles gedurende 9 tot 12 maanden).

SSAE 18 introduceerde belangrijke wijzigingen in de manier waarop subdienstverlenende organisaties werden behandeld. Voorheen vielen controles en tests van subdienstverlenende organisaties (uitbesteed of onderaannemers) buiten de scope van de audit, waardoor er kritieke hiaten in de tests ontstonden.

Bronnen: TechTarget, Otava

Gerelateerde termen: SOC 1, SOC 2, SOC 3

Wat betekent dit voor een MKB-bedrijf?

MKB's zouden een controleerbaar cybersecurityprogramma moeten ontwikkelen met controles op het gebied van toegangsbeheer, minimale bevoegdheden, verantwoording, training, governance en technologie. Elk van deze gebieden heeft controles en processen nodig die artefacten opleveren die beschikbaar zijn voor inspectie. Elk MKB zou zich daarom moeten voorbereiden op externe inspectie door middel van een SSAE 18-beoordeling. Organisaties zouden in eerste instantie een SOC 1-inspectie (Point-in-Time) van hun controles moeten uitvoeren. Dit geeft tijd om hiaten te corrigeren en herstelmaatregelen te nemen met een kleinere investering in tijd en geld. Zodra een succesvolle SOC 1 SSAE 18-beoordeling is behaald, zou een MKB snel moeten overstappen op een SOC 2-inspectie om de processen in de loop van de tijd te valideren.

Een MKB-bedrijf dat een SSAE 18 SOC 2 Type II-beoordeling met succes doorstaat, zou ook goed gepositioneerd moeten zijn om andere soorten audits te doorstaan. Er kunnen echter voorschriften gelden die specifiek zijn voor HIPAA en PCI en die verder gaan dan de bestaande controles.

De belangrijkste boodschap van dit artikel over SSAE-audits is dat het inspecteren van bedrijfsprocessen en -controles zeer waardevol is. NIST en CyberHoot bevelen beide aan om een risicomanagementkader op te zetten. elke organisatie. Zo zorgt u ervoor dat u uw beperkte en kostbare tijd en geld besteedt aan de belangrijkste risicobeperkende activiteiten. Deze tijd en dat geld zijn goed besteed.

CyberHoot kan een belangrijke rol spelen bij het voorbereiden van bedrijven op dergelijke audits door middel van beleids- en procesbeheer, trainingsprogramma's, phishingtests en zelfs de beoordelingen die u kunt gebruiken voor zelfevaluatie voorafgaand aan een externe beoordeling. verkoop@cyberhoot.com om meer informatie te krijgen!