← Tilbage til artikler
Artikel

Oversat til dansk via AI (ChatGPT) fra original: https://accelcomply.com/articles/vanta-drata-security-review

Når Vanta eller Drata stadig ikke tilfredsstiller reviewers

Mange teams bruger Vanta eller Drata og får stadig opfølgende spørgsmål i en sikkerhedsgennemgang, fordi scope, ejerskab og policy-virkelighed er uklare. Denne guide forklarer det manglende baseline-lag og hvordan evidens kan pakkes, så reviewers kan følge historien fra ende til ende.

Udgivet 15. februar 2026 · 15 min læsetid
Vanta/Drata Sikkerhedsreviews Evidensbaseret Governance Reviewer-klar

Hvis reviewers stadig presser tilbage efter Vanta eller Drata, mangler der typisk et baseline-narrativ: klart scope, navngivne ejere, policies der matcher virkeligheden og et delbart evidensindeks. Brug platformen til overvågning og indsamling, ikke til selve historien.

Indholdsfortegnelse

Ledelsesresumé

  • Hvad det er: Vanta og Drata hjælper med compliance-workflows og evidens, men de genererer ikke automatisk et sammenhængende narrativ, som en reviewer kan stole på fra ende til ende.
  • Hvem bør interessere sig: CIO’er (Chief Information Officers), CTO’er (Chief Technology Officers), IT-chefer og sikkerhedsansvarlige, der bruger Vanta eller Drata og stadig møder indkøbsopfølgning, SOC 2 (System and Organization Controls 2) spørgsmål eller ISO/IEC 27001-scrutiny.
  • Første måned: afklar scope (service, data, grænser), udpeg ejere og godkendere, få policies til at matche virkeligheden, map kontroller til evidens og kør én reel sikkerhedsgennemgang fra start til slut for at finde huller tidligt.
  • Evidens der bør gemmes: et scope-notat, en ejerskabsmatrix, godkendte policies (med review-cadence), en kontrolmapping-workbook og et evidensindeks med delingsregler plus nylig proof for ofte efterspurgte kontroller.
  • Typiske faldgruber: at antage at “passing tests” giver reviewer-tillid, at lade scope være tvetydigt, at genbruge template-ordlyd der ikke er sand, og at dele rå exports uden redaktionsregler.
  • Konklusion i én sætning: en organisation er reviewer-klar, når scope, policy, kontroller og evidens hænger rent sammen med navngivne ejere.

En organisation er reviewer-klar, når en reviewer kan følge scope -> policy -> kontrol -> evidens med navngivne ejere, uden at skulle have afklaringskald om det basale.

Vanta og Drata i klart sprog

Hvad platformene automatiserer

Vanta og Drata er platforme til compliance-automatisering. De forbindes typisk til organisationens systemer (for eksempel identitet, endpoints, cloud og ticketing) for at overvåge kontrolsignaler, indsamle evidens og styre opgaver mod et valgt rammeværk eller et bestemt review-scope.

De kan også strukturere arbejdet omkring dokumentation og accept. Vanta knytter for eksempel hver policy til to tests: én for policy-godkendelse og én for medarbejderaccept, og nogle kontroller anses først som opfyldt, når begge tests passerer. Værktøjet hjælper teams med at gøre godkendelser og attesteringer synlige og gentagelige.

Hvad de ikke kan beslutte for organisationen

Det platformen ikke kan beslutte, er hvad “i scope” betyder for organisationen, hvem der ejer hver kontrol i praksis, og hvordan kontrolhistorien skal forklares i et sprog en reviewer kan følge. Det baseline-narrativ er en ledelsesbeslutning, ikke en platformindstilling.

Platforme kan også halte efter virkeligheden, hvis review-pakning ikke er forstået. Drata forklarer, at en downloadbar Control Evidence package genereres som et snapshot af mappet evidens på det tidspunkt, hvor auditoren sætter samples. Hvis ny evidens uploades efter sampling, fremgår den ikke nødvendigvis i den eksisterende pakke, medmindre auditoren sætter nye samples. Den detalje betyder noget, når reviewers siger, at evidens “mangler”, selv om teamet netop har udbedret problemet.

I Drata Audit Hub kan request-statusser for eksempel være Prepared, New, Completed og Deleted. Drata bemærker, at status Prepared typisk betyder, at organisationen har forberedt materiale til review, men at den ikke garanterer, at al krævet evidens er vedhæftet. Den forskel betyder noget, når interne teams behandler status som det samme som fuldstændighed.

Hvorfor reviewers stadig presser tilbage

Hvad reviewers forsøger at verificere: kunders sikkerhedsreviewere, indkøbsteams og auditorer forsøger ikke at score et dashboard. De forsøger at forstå, om kontroller findes, om de kører som beskrevet, og hvor ansvar ligger, når noget går galt.

I SOC 2 beskriver AICPA (American Institute of Certified Public Accountants) en SOC 2-undersøgelse som en rapport om kontroller hos en serviceorganisation, der er relevante for sikkerhed, tilgængelighed, behandlingsintegritet, fortrolighed eller privatliv. De områder omtales ofte som Trust Services Criteria-kategorier.

I ISO/IEC 27001 beskriver ISO (International Organization for Standardization) standarden som krav til et informationssikkerhedsledelsessystem, et ISMS (Information Security Management System, informationssikkerhedsledelsessystem). Et ISMS er ledelsessystemet, der holder sikkerhedsarbejde ejet, konsistent og løbende forbedret. Reviewere, der vurderer ISO/IEC 27001-parathed, vil derfor stadig spørge efter ejerskab, scope og evidens for drift, selv når tekniske signaler ser gode ud.

Det typiske gap: de fleste opfølgende spørgsmål handler ikke om, hvorvidt et værktøj er installeret. De handler om huller mellem artefakter. En policy findes, men det er uklart hvem der godkendte den. En kontrol står som “OK”, men det er uklart hvilke services den dækker. Evidens eksporteres, men der er ingen kontekst, ejer, periode eller redaktionsregel.

Supply chain-pres gør det ofte værre. NIST (National Institute of Standards and Technology) Special Publication 800-161 Rev. 1 Update 1 beskriver cybersecurity supply chain risk management (C-SCRM, cybersikkerhed i leverandørkæden) som et integreret sæt risikostyringsaktiviteter og giver vejledning om policies, planer og risikovurderinger for produkter og services. Mange “ekstra” reviewer-spørgsmål er i praksis supply chain-spørgsmål, selv når rammeværksnavnet i spørgeskemaet er et andet.

Baseline-laget som værktøjer ikke auto-genererer

Scope og delt ansvar

En reviewer kan ikke vurdere kontroller uden klare grænser. Et praktisk scope-notat dækker typisk følgende punkter i klart sprog:

  • Hvad der bliver reviewed: hvilke service(s) og miljøer der er i scope (produktion, staging, corporate IT).
  • Hvilke data der er i scope: kundedatatyper og hvor de behandles og lagres på et overordnet niveau.
  • Hvor grænserne går: hvad der eksplicit er ude af scope og hvorfor (for eksempel et separat produkt eller et legacy-miljø).
  • Væsentlige afhængigheder: centrale tredjeparter (cloud, hosting, identitet, betaling) og hvad der forventes af dem.
  • Delt ansvar: hvad organisationen leverer, hvad kunden skal konfigurere, og hvad der er “arvet” fra leverandører.

En “delt ansvarsmodel” er kort sagt en tydelig beskrivelse af de grænser og ansvar. Reviewere bruger den til at afgøre, hvilken evidens der er relevant at anmode om fra leverandøren, og hvad der ligger hos kundens egne kontroller.

Ejerskab, godkendelser og undtagelser

Mange organisationer kan vise evidens, men kan ikke vise ejerskab. Reviewere lægger hurtigt mærke til, når en policy ikke er godkendt, når kontrol-ejeren bare er “IT”, eller når undtagelser håndteres ad hoc.

Ejerskab skal være konkret. Hvert større kontrolområde bør have en navngiven ejer (ansvarlig for drift) og en navngiven godkender (ansvarlig for tilsyn). Det er ikke papirarbejde for syns skyld. Vantas policy-workflow illustrerer pointen: det tjekker om en policy er godkendt, og om relevante medarbejdere har accepteret den, og nogle kontroller passerer først, når begge tests er i orden.

Undtagelser har også brug for struktur. Når en kontrol kun er delvist implementeret, er den mest reviewer-venlige tilgang at registrere en undtagelse med: påvirket scope, risiko, kompenserende foranstaltning (hvis relevant), remediation-plan og den beslutningstager, der accepterer residual risiko. Det gør et “gap” til et styret punkt.

Policy-virkelighed og kontrol-narrativ: policies er kun nyttige, når de beskriver hvordan arbejdet faktisk udføres. Template-drift er en hyppig årsag til reviewer-pushback. Hvis en policy siger, at noget sker på en bestemt cadence, men aktiviteten i praksis er uformel, vil revieweren først bede om evidens, derefter spørge hvem der ejer det, og derefter spørge hvilke systemer det dækker.

Et “kontrol-narrativ” er en kort, gentagelig forklaring af hvordan en kontrol fungerer i praksis. Det binder policy sammen med workflow og evidens. Et brugbart narrativ indeholder en trigger, procestrin, hvilket værktøj der bruges, hvilken evidens der gemmes, samt cadence og en check for completion. Når narrativet er på plads, bliver platformen evidensmotoren for historien, ikke selve historien.

Gør platform-output til et reviewer-pack

Evidensindeks og sikre delingsregler

Et reviewer-pack er et kurateret sæt dokumenter og evidenspointers, der kan deles sikkert. Det er ikke det samme som det interne evidenslager. Internt kan evidens være bredt og rodet. Et reviewer-pack skal være bevidst og minimalt.

Teams diskuterer ofte, om de skal give “Vanta auditor access”, bruge Drata Audit Hub exports eller sende en kurateret mappe. Leveringsformen varierer, men reviewers har stadig brug for det samme baseline-narrativ og det samme evidensindeks.

Kernen i pakken er et evidensindeks: en enkel tabel, der mapper reviewer-spørgsmål eller kontrolområder til konkrete evidensitems. Indekset forebygger “screenshot ping-pong”, hvor evidens sendes i fragmenter over e-mail.

Et praktisk evidensindeks indeholder typisk:

  • Kontrol eller emne: adgangskontrol, incident response, sårbarhedshåndtering, leverandørrisiko.
  • Evidensitem-navn: artefaktet revieweren faktisk skal læse.
  • Ejer: hvem der kan forklare det.
  • Placering: hvor det ligger (mappesti eller platform-sektion).
  • Periode: hvilken periode evidensen dækker.
  • Delingsklasse: kan deles som den er, kan deles med redaktion, eller kun internt.
  • Noter: hvad revieweren bør kigge efter, og hvad der er udeladt med vilje.

Delingsregler er en praktisk kontrol mod oversharing. Organisationen kan definere et lille sæt delingsklasser og bruge dem konsekvent, for eksempel:

  • Delbar: policies, højniveau-diagrammer, procedurer, træningsopsummeringer, redigerede screenshots.
  • Delbar med kontrol: audit-exports, adgangsreview-output, sårbarhedslister med følsomme felter fjernet.
  • Kun internt: secrets, fulde logs, følsomme konfigurations-exports, kundespecifikke identifikatorer.

Evidensindekset bliver samtidig kilden til konsistente evidens-links i sikkerhedsspørgeskemaer. Organisationer, der ønsker en dybere operativ metode for spørgeskema-workflows, kan bygge videre med Sikkerhedsspørgeskemaer og kundegennemgange: svar hurtigt med evidens-links.

Sådan håndteres delvise kontroller ærligt

Meget reviewer-friktion opstår, når organisationen over-claimer. En platform kan vise enkelte tests som bestået, mens den end-to-end kontrol stadig kun er delvist implementeret. Når revieweren opdager de manglende trin, falder tilliden.

Et “rent” svar på en delvis kontrol dækker typisk:

  1. Angiv den aktuelle position: hvad er implementeret, og hvad er ikke, i klart sprog.
  2. Vis hvad der kører nu: del evidens for de dele der findes.
  3. Vis planen: remediation-opgaver, ejer og hvordan færdiggørelse verificeres.
  4. Vis governance: undtagelsesrecord eller beslutningslog, der viser at risikoen er forstået og ejet.

Tilgangen forebygger overraskelser og giver revieweren mulighed for at vurdere residual risiko på et faktuelt grundlag.

De første 30 dage: en plan

Uge for uge udrulning

Denne plan forudsætter, at organisationen allerede bruger Vanta eller Drata. Den forudsætter ikke værktøjsskifte og den forudsætter ikke privilegeret adgang til kundesystemer. Formålet er at bygge baseline-laget og et reviewer-pack, der kan genbruges.

  1. Uge 1: scope og ejerskab. Organisationen skriver et kort scope-notat, aftaler grænser for delt ansvar, bygger en ejerskabsmatrix for større kontrolområder, og beslutter hvor delbare dokumenter skal ligge og hvem der godkender deling.
  2. Uge 2: policy-virkelighed og godkendelser. Organisationen identificerer de policies den reelt bruger i reviews, omskriver template-ordlyd der ikke matcher virkeligheden, kører policies gennem godkendelse og accept i platformen (eller en tilsvarende proces), og sikrer at policy-titler og identifikatorer matcher det der fremgår i exports.
  3. Uge 3: kontrol-narrativ og mapping. Organisationen skriver korte kontrol-narrativer for de områder der typisk udløser flest spørgsmål, mapper dem til evidens, bygger evidensindekset og tester exports så de indeholder det revieweren forventer. Drata bemærker, at evidenspakker kan være snapshots knyttet til auditor-sampling, så “as of”-dato og sampling-adfærd bør være forstået før et review starter.
  4. Uge 4: kør én fuld gennemgang fra start til slut. Organisationen kører en fuld gennemgang med et reelt kundespørgeskema eller et standard enterprise-review-format, besvarer det via evidens-links fra indekset, tracker opfølgende spørgsmål og lukker gaps. For en struktureret liste over spørgsmål reviewers ofte stiller, se Enterprise-kontraktstopper: reviewer-spørgsmål, der kan besvares på forhånd i dokumentationen.

Definition of Done checkliste: en reviewer-klar baseline ser kedelig ud på den gode måde. Følgende checks reducerer opfølgende spørgsmål, fordi de fjerner tvetydighed:

  • Scope er skrevet, godkendt og matcher det der beskrives i spørgeskemaer og dokumenter.
  • Delt ansvar er eksplicit, så revieweren ved hvilken evidens der er relevant.
  • Hvert kontrolområde har en navngiven ejer og en navngiven godkender.
  • Policies matcher virkeligheden og har godkendelses- og review-metadata.
  • Kontrol-narrativer findes for de mest efterspurgte områder og peger på evidens.
  • Evidensindeks findes med delingsklasser og redaktionsnoter.
  • Et reviewer-pack findes som en kurateret mappe eller et export-sæt, adskilt fra internt arbejds-evidens.

Når dokumentationskvalitet skal have et gentageligt QA-check, viser Accel Complys Proces og QA et eksempel på metadata- og krydsreferencechecks, der forebygger “orphan” kontroller og “orphan” evidens.

For organisationer, der arbejder mod ISO/IEC 27001, hjælper det ofte at stabilisere baseline-artefakter i en fornuftig rækkefølge. ISO 27001 under en deadline: de første 10 artefakter at stabilisere giver en triage-sekvens, der passer godt sammen med planen her.

Evidens der bør gemmes

Minimumskategorier reviewers typisk spørger efter

Evidensforespørgsler varierer mellem reviewers og rammeværk, men mønsteret er stabilt. Reviewere beder om ting der beviser governance, kontrol-drift og sporbarhed til systemer og services.

Typiske kategorier:

  • Scope og systembeskrivelse: hvilke services der er dækket, og hvad der er udeladt.
  • Policy-sæt: policies der sætter forventninger, plus godkendelses- og accept-records.
  • Risikostyring: risikoregister og beslutninger om risikobehandling for væsentlige risici.
  • Adgangskontrol: joiner-mover-leaver-proces (onboarding, rolleændringer og offboarding), godkendelser for privilegeret adgang og periodiske adgangsreviews.
  • Sårbarhedshåndtering: prioriteringsbeslutninger, remediation-records og verifikationsnoter.
  • Ændringsstyring: change-godkendelser og evidens for review og test af ændringer.
  • Incident response beredskab: procedure, eskaleringsveje og øvelsesnoter.
  • Business continuity: backup- og recovery-evidens for kritiske services.
  • Leverandør- og subprocessor-overblik: leverandørliste og due diligence for kritiske leverandører.

SOC 2 og ISO/IEC 27001 peger begge reviewers tilbage på kontroller og ledelsessystem-krav. NIST SP 800-161 forstærker hvorfor supply chain-governance, policies og risikovurderingsartefakter er en del af moderne assurance. Evidenslisten bør derfor favourere items, der viser ejerskab og operativ rytme, ikke engangsscreenshots.

Evidens-metadata der reducerer opfølgning: evidens “findes” ofte, men reviewers spørger stadig videre, fordi evidensen mangler kontekst. Et lille sæt metadatafelter reducerer friktionen:

  • Ejer og godkender: hvem der er ansvarlig for indhold og tilsyn.
  • Version og ikrafttrædelsesdato: hvad der er gældende, og hvornår det trådte i kraft.
  • Review-cadence: hvornår det revideres, og hvad der udløser ændringer.
  • Scope-tags: hvilke services, miljøer eller teams det gælder for.
  • Periode dækket: hvilken periode et export eller en rapport repræsenterer.
  • Redaktionsnote: hvad der er fjernet og hvorfor, så revieweren ikke antager manglende kontroller.

Det er derfor reviewer-klar dokumentation ser konsistent ud. Accel Complys QA-uddrag bruger for eksempel en basischeck om at hvert dokument har ejer, godkender, version, ikrafttrædelsesdato og review-cadence. Det samme metadata-mønster kan anvendes i organisationens interne dokumenter og i reviewer-pack’et.

Typiske faldgruber med Vanta eller Drata

Passing tests, men ikke et sammenhængende narrativ: platformen kan vise grønne signaler, mens revieweren stadig mangler nok kontekst til at stole på historien. De hyppigste årsager er forudsigelige:

  • At behandle platformstatus som en audit-opinion. Grøn status forklarer ikke scope, ansvar eller undtagelser.
  • Scope-tvetydighed. Reviewere spørger mere, når “i scope” ikke er skrevet ned eller skifter mellem dokumenter.
  • Policy-drift. Policies skrevet ud fra templates, der ikke matcher virkeligheden, skaber unødvendige opfølgninger.
  • Evidens uden kontekst. Exports uden ejer, periode og tolkningsnoter skaber usikkerhed.
  • Oversharing. Rå logs eller fulde konfigurations-exports uden redaktionsregler øger risiko og forlænger reviewet.
  • Ingen forudbesvaret baseline. Hvert spørgeskema behandles fra bunden i stedet for at vedligeholde et reviewer-pack og et evidensindeks.

Når organisationen vil standardisere reviewer-svar på tværs af kunder og aftaler, fungerer evidensindeks-tilgangen bedst sammen med et sæt pre-answered reviewer-spørgsmål. Mønstrene er dækket i Enterprise-kontraktstopper: reviewer-spørgsmål, der kan besvares på forhånd i dokumentationen.

Konklusion

Compliance-automatiseringsplatforme er nyttige. De reducerer manuelt arbejde og gør evidensindsamling synlig. De gør ikke i sig selv en organisation reviewer-klar.

Reviewer-parathed kommer fra et sammenhængende baseline-narrativ: scope der er klart, ejerskab der er navngivet, policies der matcher virkeligheden, og evidens der er mappet og delbar med sikre regler. Når de elementer findes, bliver Vanta eller Drata stærkere, fordi platform-output kan læses og forstås hurtigt og konsistent.

Et praktisk næste skridt er at bygge et reviewer-pack og et evidensindeks, og derefter køre ét end-to-end review med reelle spørgsmål. Det finder huller tidligt og gør opfølgende spørgsmål til en styret forbedringsliste i stedet for en tilbagevendende scramble.

Ofte stillede spørgsmål (FAQ)

Hvorfor beder reviewers stadig om policies, når Vanta eller Drata viser kontroller som bestået?

Reviewere bruger policies til at forstå intention, scope og governance. Et “bestået” kontrolsignal kan vise, at en teknisk indstilling findes, men det forklarer ikke altid hvem der godkendte tilgangen, hvilke services den dækker, hvilke undtagelser der findes, eller hvilken proces der sikrer at kontrollen fortsat kører. Policies og kontrol-narrativer giver den kontekst, og platform-evidensen understøtter derefter påstanden.

Hvad er det mindste scope-notat reviewers typisk forventer i en sikkerhedsgennemgang?

Der findes ikke én universel skabelon, men reviewers har brug for nok til at forstå grænser. Et praktisk minimum beskriver hvilken service der vurderes, hvilke miljøer og datatyper der er i scope, hvad der eksplicit er ude af scope, og hvilke væsentlige tredjeparter servicen afhænger af. Det bør også beskrive grænser for delt ansvar, så revieweren ved hvilke kontroller der ligger hos leverandøren og hvilke der ligger hos kunden.

Hvordan bør teamet svare, når en platformtest fejler, eller en kontrol kun er delvist implementeret?

Den mest solide tilgang er at undgå over-claiming og i stedet give en styret, faktuel position. Angiv hvad der er implementeret nu, vis evidens for det der findes, og registrér en undtagelse for det der ikke er på plads. Tilføj derefter remediation-plan, ejer og hvordan completion verificeres. Reviewere accepterer typisk et ærligt, ejet gap lettere end en optimistisk påstand, der ikke matcher evidensen.

Hvilken evidens er sikker at dele med en kundereviewer, og hvad bør som udgangspunkt blive internt?

Sikker deling styres af et evidensindeks og delingsklasser. Policies, højniveau-diagrammer og procedurer er ofte delbare. Exports, logs og konfigurations-evidens kræver ofte redaktion eller opsummering. Secrets, kundespecifikke identifikatorer og fulde konfigurationsdumps bør typisk forblive interne. Målet er at give tilstrækkelig proof uden at skabe en reel sikkerhedsrisiko.

Hvordan tolker SOC 2- og ISO 27001-reviewere det, en compliance-platform viser?

Begge reviews fokuserer på kontroller og governance, ikke på hvilket værktøj der bruges. AICPAs SOC 2-framing er en undersøgelsesrapport om kontroller relevante for Trust Services Criteria-kategorier. ISO/IEC 27001 handler om krav til et ISMS. En platform kan understøtte begge ved at tracke evidens og tasks, men reviewere vurderer stadig scope, ejerskab og om kontroller kører som beskrevet.

Er det nødvendigt at udskifte Vanta/Drata eller tilføje et GRC-værktøj for at tilfredsstille reviewers?

Ikke nødvendigvis. Mange organisationer kan tilfredsstille reviewers med eksisterende værktøjer, når de bygger det manglende baseline-lag: scope, ejerskab, policy-virkelighed, kontrol-narrativer og et evidensindeks med delingsregler. Et GRC-værktøj (governance, risk, and compliance) kan hjælpe i større skala, men det erstatter ikke de beslutninger og forklaringer som reviewers bygger tillid på.

Eksterne ressourcer:

Bed om services Se pakker og priser