Audyt SOC 2: co, jak i dlaczego?

Jak już może wiecie z bloga Jewgienija Kasperskiego, niedawno przeszliśmy pozytywnie audyt SOC 2. A jeśli nie wiecie, co to jest i dlaczego było to konieczne, czytajcie dalej.

Co to jest audyt SOC 2?

Service and Organization Controls 2 (SOC 2) to ocena procedur kontrolnych w organizacji IT, która świadczy usługi. Mówiąc w skrócie, to międzynarodowy standard gromadzenia i wymiany informacji obowiązujący systemy zarządzania zagrożeniami dla cyberbezpieczeństwa. Standard ten powstał z ramienia Amerykańskiego Instytutu Biegłych Rewidentów (American Institute of Certified Public Accountants, AICPA) i został zaktualizowany w marcu 2018 r.

W dzisiejszym poście opowiemy Wam o audycie SOC 2 Type 1, w którym otrzymaliśmy ocenę pozytywną. Sprawdzał on, czy mechanizmy kontroli bezpieczeństwa zostały skutecznie wdrożone w jednym systemie. W tym celu odwiedzili nas audytorzy zewnętrzni, którzy przeanalizowali nasz system oceny ryzyka, przyjrzeli się wdrożonym przez nas praktykom, a także sprawdzili, na ile spełniamy określone procedury oraz jak rejestrujemy zmiany w tym procesie.

Dlaczego musimy przechodzić audyty?

Każda firma, która świadczy jakiekolwiek usługi, stwarza potencjalne zagrożenie dla swoich klientów. Nawet całkowicie legalna firma może stać się ogniwem w ataku łańcucha dostaw. Jednak na firmach działających w obszarze bezpieczeństwa informacji ciąży jeszcze większa odpowiedzialność: ich produkty mają najwyższy poziom dostępu do systemów informacyjnych użytkownika.

Dlatego co pewien czas klienci, a zwłaszcza duże organizacje, stawiają uzasadnione pytania, np.: Na ile możemy ufać tym usługom? Jakie mamy wewnętrzne polityki dla usług, z których korzystamy? Czy ktoś może zaszkodzić nam swoimi produktami lub usługami powiązanymi?

Co ciekawe, nasze odpowiedzi nie mają tu znaczenia, ponieważ odpowiedzi, których zarówno my, jak i jakakolwiek inna firma, udzielamy, zawsze będą brzmieć przekonująco. Dlatego zwracamy się do audytorów zewnętrznych z prośbą o przeprowadzenie zewnętrznej opinii eksperckiej. Dla nas ważne jest, aby nasi klienci i partnerzy nie mieli wątpliwości, że nasze produkty i usługi są wiarygodne. Ponadto chcemy, aby nasze procesy wewnętrzne spełniały międzynarodowe standardy i najlepsze praktyki.

Co sprawdzali audytorzy?

Największą obawę wzbudza zawsze mechanizm odpowiedzialny za dostarczanie informacji na komputery klientów. Nasze rozwiązania działają w różnych segmentach rynkowych i w różnych branżach, a większość z nich wykorzystuje silnik antywirusowy jako podstawową technologię zabezpieczającą, który skanuje obiekty w poszukiwaniu oznak cyberzagrożeń. Silnik ten wykorzystuje wiele technologii, takie jak superszybkie funkcje skrótu, emulacja w izolowanym środowisku czy bardzo odporne na mutacje modele matematyczne uczenia maszynowego. Wszystko to wymaga regularnych aktualizacji antywirusowych baz danych, aby zapewniać skuteczną ochronę przed współczesnymi cyberzagrożeniami.

Niezależni audytorzy sprawdzili nasz system pod kątem zarządzania tymi bazami danych oraz to, w jaki sposób monitorujemy integralność i autentyczność aktualizacji dla antywirusowych baz produktów przeznaczonych dla serwerów Windows i Unix. Ustalili, że nasze metody kontroli działają prawidłowo, jak również sprawdzili proces tworzenia i udostępniania antywirusowych baz pod kątem wszystkich możliwości wprowadzania nieautoryzowanych zmian.

W jaki sposób przeprowadzili oni swoje badanie?

Audytorzy sprawdzili, na ile procesy dostawcy spełniają każdą z pięciu fundamentalnych zasad bezpieczeństwa: ochrona (czy proces jest chroniony przed nieautoryzowanym dostępem?), dostępność (czy proces jest ogólnie funkcjonalny?), integralność procesu (czy dane dostarczane do klienta są przechowywane bezpiecznie?), poufność (czy do tych danych może ktoś jeszcze uzyskać dostęp?), a także prywatność (czy dane osobowe są przechowywane po naszej stronie, a jeśli tak, to w jaki sposób?).

W naszym przypadku audytorzy sprawdzali:

• co oferują nasze usługi,
• w jaki sposób nasze systemy współdziałają z użytkownikami i potencjalnymi partnerami,
• w jaki sposób implementujemy kontrolę procesu, a także jakie są jej ograniczenia,
• jakie narzędzia kontroli mają użytkownicy, a także w jaki sposób współdziałają one z naszymi narzędziami kontroli,
• na jakie zagrożenia są narażone nasze usługi, a także jakie narzędzia kontroli je minimalizują.

Aby zrozumieć to wszystko, zbadali oni strukturę, mechanizmy i personel naszej organizacji. Ciekawiło ich, w jaki sposób przeprowadzamy kontrolę w tle, gdy zatrudniamy nowych pracowników. Przeanalizowali nasze procedury realizowane podczas zmiany wymogów bezpieczeństwa. Sprawdzali kod źródłowy mechanizmu, którego używamy do automatycznego dostarczania aktualizacji antywirusowych baz danych oraz, co najważniejsze, chcieli wiedzieć, w jakich okolicznościach możliwe jest dokonywanie nieautoryzowanych zmian w tym kodzie. Przyjrzeli się też wielu innym aspektom. Szczegóły dotyczące wspomnianego audytu można poznać po kliknięciu łącza, które podajemy na końcu treści tego posta.

Kto przeprowadzał to badanie i gdzie można znaleźć raport?

Audyt przeprowadziła organizacja Wielka Czwórka. Jak być może zaważyliście, nigdzie nie piszemy, która to firma. Jednak nie oznacza to, że audytorzy byli anonimowi; zwykle nie podaje się nazwy konkretnej firmy. Raport jest oczywiście podpisany.

Ostatecznie audytorzy doszli do wniosku, że nasze procesy tworzenia i udostępniania antywirusowych baz danych są w wystarczającym stopniu chronione przed nieautoryzowanymi zmianami. Pozostałe wnioski, opis procesu badawczego i inne informacje znajdują się w pełnym tekście raportu (wymagana darmowa rejestracja).