我于2023年4月离开了之前公司的SOC业务,加入了联邦业务. Before then, I was working on larger contracts; my focus was mainly on established start-ups and enterprise clients. 我把时间花在了这些职责之外,帮助其他评估人员,协助培训和第一次项目范围确定.
我们的审计是详细的,并遵循标准化的方法,控制范围不仅仅是SOC所需的最低限度, but baseline security best practices, 以及在这些基线之外为诸如持续供应商管理平台之类的独特实现制作独特的控制, 基于风险的多因素身份验证工具, and secure, 具有更好可用性的无服务器环境 杰夫·贝佐斯正在山上建一座钟. After talking with peers, voices in the community, and old mentors; I have discovered I was in somewhat of a bubble. 通过我最近在其他公司的面试,我周围的环境正在发生变化, I discovered they were universal issues.
The linchpin of these shifts, I’ve been told repeatedly, 年度SOC的要价是否在下降. 这是由于多种因素造成的——一些经济因素,如高利率和导致大规模裁员的反应性预测——一些技术因素,如人工智能,以及安全工具和GRC公司之间不断扩大的合作.
最终,它造成了一个危险的矛盾. 由于标准SOC 2的平均竞争成本正在下降, 作为一名优秀的评估员和执行SOC 2所需的技能水平已经增加,并且随着时间的推移变得更加明显 2017 Trust Services Criteria mature and interpretations solidify. 所以,问题是,“你如何在保持低价格的同时保证质量。?” Firms are relying on outsourcing, 技术解决方案和控制均质化,以加快审核和降低成本. 如果使用得当,这些方法可以帮助减少开销, but is it enough to justify these prices? I’m not sure.
此外,我很好奇这将如何影响 who is performing SOC 2s. 在高通胀时期,这些价格的下降会导致工资停滞不前吗, 让熟练的评估员从大公司跳槽到更小的公司,以保持更高的标准, 或者他们会完全离开这个学科去参加PCI或联邦审计,以追求一份可以维持生活的工资? Will there be or is there an SOC audit brain drain? 控制测试自动化和GRC工具实现是否会达到一定程度的复杂性和准确性,从而使一个足够好的SOC评估员更多地了解软件而不是系统?
我们不知道也无法预测这些问题的答案. However, 我将观察我的个人预测是否成真,并查看招聘启事,看看要求是否越来越短. All I know is, 在网络安全领域,漏洞和零日攻击正在成为你几乎感觉不敏感的事情, 我希望世界上最流行的评估之一能够提高质量和审计时间,而不是最大的关注点是如何最大化ROI.
