我于2023年4月离开了之前公司的SOC业务,加入了联邦业务. 在那之前, I was working on larger contracts; my focus was mainly on established start-ups and enterprise clients. 我把时间花在了这些职责之外,帮助其他评估人员,协助培训和第一次项目范围确定.
我们的审计是详细的,并遵循标准化的方法,控制范围不仅仅是SOC所需的最低限度, 但是基线安全最佳实践, 以及在这些基线之外为诸如持续供应商管理平台之类的独特实现制作独特的控制, 基于风险的多因素身份验证工具, 和安全, 具有更好可用性的无服务器环境 杰夫·贝佐斯正在山上建一座钟. 在与同龄人交谈之后, 社会上的声音, and old mentors; I have discovered I was in somewhat of a bubble. 通过我最近在其他公司的面试,我周围的环境正在发生变化, 我发现它们是普遍存在的问题.
这些转变的关键, 我被告知过很多次了, 年度SOC的要价是否在下降. 这是由于多种因素造成的——一些经济因素,如高利率和导致大规模裁员的反应性预测——一些技术因素,如人工智能,以及安全工具和GRC公司之间不断扩大的合作.
最终,它造成了一个危险的矛盾. 由于标准SOC 2的平均竞争成本正在下降, 作为一名优秀的评估员和执行SOC 2所需的技能水平已经增加,并且随着时间的推移变得更加明显 2017年信托服务标准 成熟和解释固化. 所以,问题是,“你如何在保持低价格的同时保证质量。?“365买球网站下载正在依赖外包, 技术解决方案和控制均质化,以加快审核和降低成本. 如果使用得当,这些方法可以帮助减少开销, 但这足以证明这些价格是合理的吗? 我不确定.
此外,我很好奇这将如何影响 谁 正在执行SOC 2s. 在高通胀时期,这些价格的下降会导致工资停滞不前吗, 让熟练的评估员从大公司跳槽到更小的公司,以保持更高的标准, 或者他们会完全离开这个学科去参加PCI或联邦审计,以追求一份可以维持生活的工资? 是否会有SOC审核 人才流失? 控制测试自动化和GRC工具实现是否会达到一定程度的复杂性和准确性,从而使一个足够好的SOC评估员更多地了解软件而不是系统?
我们不知道也无法预测这些问题的答案. 然而, 我将观察我的个人预测是否成真,并查看招聘启事,看看要求是否越来越短. 我只知道, 在网络安全领域,漏洞和零日攻击正在成为你几乎感觉不敏感的事情, 我希望世界上最流行的评估之一能够提高质量和审计时间,而不是最大的关注点是如何最大化ROI.
