von Robert Pruyn
Informationssicherheit ist ein zentrales und wachsendes Anliegen für Unternehmen, insbesondere für solche, die wichtige Geschäftsabläufe an Drittanbieter wie Robots-as-a-Service (RaaS), Software-as-a-Service (SaaS) und Cloud-Computing-Provider auslagern. Informationssicherheit ist ein berechtigtes Anliegen, denn falsch gehandhabte Daten und unsichere Prozesse können ein Unternehmen angreifbar machen und Attacken wie Ransomware und andere Malware oder Datendiebstahl ermöglichen.
Wenn kritische Geschäftsprozesse ausgelagert werden, ist es wichtig, sich auf die Sicherheitspraktiken des jeweiligen Anbieters verlassen zu können. Eine Methode zur Kontrolle der Praktiken besteht darin, die Service Organization Control-Berichte 2 des Anbieters, besser bekannt als SOC-2-Berichte, zu prüfen.
Ein SOC-2-Bericht ist ein freiwilliger Compliance-Standard und ein Prüfverfahren für Unternehmen mit Cloud-basierten Produkten. SOC-2-Berichte geben aktuellen und potenziellen Kunden und Interessenvertretern die Gewissheit, dass eine bestimmte Dienstleistung sicher bereitgestellt wird. Das American Institute of Certified Public Accountants (AICPA) legt SOC-2-Compliance-Richtlinien fest, um zu gewährleisten, dass Dienstleistungen sicher, verfügbar und vertraulich sind.
Vorteile eines SOC-2-Berichts in der Robotik
Robotik-Unternehmen wie Locus Robotics müssen ihre Kunden in die Lage versetzen, Sicherheitsprobleme zu bewältigen und Sicherheits-, Datenschutz- und andere gesetzliche Anforderungen zu erfüllen.
Die Robotik ist eine relativ neue Branche, die sich in rasantem Tempo verändert. Aus diesem Grund werden die branchenüblichen Sicherheitsmaßnahmen derzeit erst noch festgelegt und implementiert, und nur wenige Unternehmen haben sie bereits in die Praxis umgesetzt.
Sicherheitsmaßnahmen sind die Norm für Unternehmen mit Laptops, da diese geschützte Daten erfassen und enthalten können. Auch Roboter sammeln Daten und benötigen daher die entsprechenden Sicherheitsvorkehrungen.
Bei einem SOC-2-Audit des Typs II wird eine unabhängige Wirtschaftsprüfungsgesellschaft hinzugezogen, um die aktuellen Sicherheitspraktiken des Unternehmens, auch für Laptops und Roboter, anhand der AICPA-Richtlinien zu überprüfen.
Das Audit umfasst eine Revision der folgenden Kategorien:
- Abgrenzung der Zuständigkeiten
- Änderungsmanagement
- Benutzerzugang
- Schwachstellen-Scanning
- Geschäftskontinuität und Disaster Recovery
- Daten-Backup und -wiederherstellung
- Verwaltung von Drittanbietern
- Patch-Management
Diese Prozesse sind von entscheidender Bedeutung, da gewährleistet sein muss, dass die Sicherheitsstandards den Anforderungen entsprechen und ein Unternehmen SOC-2-konform ist.
Zusammenfassend kann man sagen, dass die Robotik eine hochentwickelte, sich ständig verändernde Technologie ist. Ohne wirksame allgemeine IT-Kontrollen (die IT General Controls oder ITGC) können Robotik-Unternehmen keine sichere und effektive Konformität gewährleisten; der Nachweis der SOC-2-Compliance ist also entscheidend.
Was kommt als Nächstes?
SOC-2-Konformität besteht jedoch nicht nur in der einmaligen Erstellung eines Berichts. Damit ein Unternehmen von sich behaupten kann, SOC-2-konform zu sein, sind vielmehr ständig angewandte Sicherheitspraktiken und eine kontinuierliche Compliance erforderlich. Locus Robotics hat vor kurzem seinen ersten SOC-2-Bericht erstellt und wird diesen jährlich erneuern. Wir überwachen laufend die Effektivität der Compliance im gesamten Unternehmen und aktualisieren unsere Richtlinien und Verfahren, wenn dies erforderlich ist. Unser SOC-2-Bericht ist nur ein Meilenstein für künftige Erfolge.
Um unseren öffentlich zugänglichen SOC-3-Bericht einzusehen, klicken Sie bitte hier. (Hinweis: Ein SOC-2-Bericht ist privat, während die öffentliche Version desselben Berichts als SOC-3 bezeichnet wird.)
Wir sind bestrebt, unsere Praktiken im Bereich Informationssicherheit ständig zu überprüfen. Dies bedeutet, dass wir laufend Verbesserungen und Aktualisierungen vornehmen, um den Schutz unserer Produkte und unserer Kunden zu maximieren. In unserem TRUST Center erfahren Sie mehr über unsere laufenden Sicherheits- und Compliance-Prüfungen, Zertifizierungen, Richtlinien und Best Practices.
