Brasil,

TOKIO MARINE SEGURADORA

Auditoria de segurança SOC 2: o que é e por que é essencial

Por James Kupernik, CTO da VidMob

O atual conhecimento do padrão global para o manuseio seguro de dados conhecido como System and Organization Controls (SOC) é relativamente baixo em alguns países, mas essa situação deve mudar no próximo ano. Com a segurança de dados agora uma prioridade principal em todo o mundo, todas as empresas que coletam e compartilham informações devem ter SOC 2 em seu radar.

Porém, primeiro, é fundamental estabelecer os diferentes níveis dos relatórios disponíveis. Existem três relatórios de auditoria SOC diferentes - SOC 1, SOC 2 e SOC 3 - e dentro deles existem diferentes 'Tipos'.

O SOC 1 examina os protocolos de relatórios financeiros de uma empresa; SOC 2 investiga como uma empresa se compromete e implementa controles internos em torno de um ou mais dos Critérios de Serviços de Confiança do Instituto Americano de Contadores Públicos Certificados (AICPA) em relação à disponibilidade, segurança, integridade de processamento, confidencialidade e privacidade; SOC 3 usa os mesmos critérios que SOC 2, mas o relatório é preparado para fins de ampla distribuição, por exemplo, no site de uma empresa para fins de marketing.

Os relatórios de auditoria SOC 1 e SOC 2 podem ser do Tipo I ou do Tipo II. A diferença é que o Tipo I é uma avaliação pontual dos controles e o Tipo II é uma avaliação da eficácia dos controles ao longo de um período de tempo, normalmente seis meses ou mais. O relatório de auditoria SOC 3 é sempre baseado nos resultados de uma avaliação SOC 2 Tipo II.

Das três opções, o relatório SOC 2 Tipo II é o mais aprofundado e rigoroso. Por isso, eu gostaria de oferecer alguns conselhos a outras organizações que estão iniciando a jornada do SOC, analisando mais profundamente o que é SOC 2, quem precisa e o que é preciso para alcançá-lo.

Auditorias SOC 2 explicadas

Uma auditoria SOC 2 fornece aos clientes e partes interessadas de uma organização uma garantia sobre a adequação e eficácia de seus controles de dados, com base em sua conformidade com os critérios de serviços de confiança estabelecidos pelo AICPA. Esses critérios são divididos em quatro categorias: controles de acesso lógico e físico, operações do sistema, gerenciamento de mudanças e mitigação de riscos. O SOC 2 não é uma certificação, mas sim um exame dos controles de dados de uma organização e a opinião de um terceiro credenciado sobre a adequação desses controles.

Quem precisa de uma auditoria SOC 2?

A validação de controles de dados por terceiros é importante para qualquer organização envolvida em serviços que requerem compartilhamento de dados. Uma auditoria SOC 2 pode tornar um fornecedor muito mais atraente para os clientes que antes gastavam muito tempo avaliando as práticas de dados do fornecedor para garantir que eles estivessem em dia. O relatório SOC 2 pode ser usado para entender rapidamente como o fornecedor opera e reduz a carga sobre o grupo de operações de segurança do cliente. Essa validação de terceiros pode ser uma aposta na conquista de novos negócios.

Os tipos de clientes que exigem que fornecedores ou parceiros provem controles de dados eficazes e apropriados por meio do SOC 2 variam muito. No passado, era mais provável que fossem grandes empresas americanas, mas empresas menores em todo o mundo estão começando a perceber o valor da auditoria terceirizada de controles de dados.

Não é necessariamente o tamanho da empresa que dita seus requisitos para controles de dados robustos e apropriados, mas sim outros fatores, como o impacto que a exposição da propriedade intelectual de uma empresa aos concorrentes no mercado pode ter.

As auditorias SOC 2 podem abranger cinco categorias de serviços de confiança. A única categoria obrigatória é a segurança, mas as organizações também podem escolher ser auditadas quanto à disponibilidade, integridade de processamento, confidencialidade e privacidade.

Atender aos critérios para a categoria de serviços de confiança de segurança significa que "informações e sistemas são protegidos contra acesso não autorizado, divulgação não autorizada de informações e danos aos sistemas que podem comprometer a disponibilidade, integridade, confidencialidade e privacidade de informações ou sistemas e afetar a capacidade de cumprir seus objetivos.

Ao decidir quais categorias de serviços confiáveis ​​serão auditadas, as organizações devem observar o tipo de dados que coletam e compartilham e determinar quais categorias são necessárias para mitigar os riscos para o serviço específico que fornecem. Se estiverem compartilhando informações pessoais identificáveis ​​(PII) muito profundas sobre os usuários - funcionários e clientes, por exemplo - eles precisarão considerar a categoria de privacidade.

Para a maioria das organizações que trabalham com dados menos confidenciais - como um nome e endereço de e-mail que é usado apenas para criar uma conta - a categoria de segurança é uma primeira etapa ideal que os ajudará a garantir que tenham os sistemas e controles corretos em vigor.

Considerações antes de uma auditoria SOC 2

É fácil para as organizações presumir que o processo de exame SOC 2 é puramente técnico, mas isso está longe de ser o caso. Enquanto os controles de segurança, desenvolvimento de software e gerenciamento de mudanças são avaliados, o escopo da estrutura em torno do SOC 2 se expandiu nos últimos anos, tornando o risco organizacional a base para o restante dos critérios e tornando a auditoria mais orientada para os negócios e processos.

Há todo um componente que avalia a organização, desde o conselho até a diretoria executiva, para entender como eles discutem e documentam os riscos, bem como sua estratégia e expectativas. Esse componente significa que é vital contar com a adesão total da empresa no início do processo SOC 2. O conselho e a equipe executiva devem ser capazes de demonstrar os controles que possuem para vários critérios por meio de documentos, como atas do conselho e avaliações de riscos organizacionais, tanto externos quanto internos.

De um ponto de vista mais técnico, uma das coisas mais importantes para entender o SOC 2 é que não há um único caminho para fazê-lo. As organizações precisam definir o que acreditam ser os controles e processos apropriados para garantir a segurança dos dados de seus negócios e, em seguida, apresentá-los aos auditores nos quais possam basear sua opinião. As organizações podem ir tão fundo ou superficial quanto quiserem em torno dos controles que implementam, já que a avaliação é baseada puramente na eficácia desses controles.

Há um risco de que as organizações tenham processos de engenharia excessiva para se adequar ao que elas acham que precisa ser feito, em vez de criar uma estrutura que seja certa para sua organização individual e atinja seus objetivos exclusivos de segurança de dados. Eles precisam entender quais dados possuem, determinar quais riscos representam para seus negócios e seus clientes, implementar controles apropriados para mitigar esses riscos e encontrar uma maneira de demonstrar eficácia. A mensagem para as organizações é ser você mesmo, assumindo, é claro, que você se preocupa com a segurança de dados.

Uma consideração final para aqueles que estão se preparando para realizar uma auditoria SOC 2 é a importância da documentação. A eficácia dos processos organizacionais só pode ser avaliada se eles forem devidamente documentados. Muitas organizações já estarão fazendo a maioria das coisas certas, mas se não estiverem escritas, não podem ser compartilhadas com auditores ou com a empresa em geral para aumentar o entendimento.

As organizações precisam documentar até mesmo os menores processos, portanto, uma das etapas iniciais na preparação para o SOC 2 é identificar a documentação que a empresa já possui e quaisquer lacunas potenciais que existem. Dependendo do tamanho da organização, a documentação pode ser manual para começar, mas a automação deve ser considerada para reduzir o atrito no processo e torná-lo o mais eficiente possível.

Melhores práticas para uma auditoria SOC 2

• Políticas e procedimentos da empresa em relação ao ciclo de vida de desenvolvimento de software;

• É importante demonstrar a segregação de funções;

• A mesma pessoa não pode fazer mudanças no código e empurrar essas mudanças para a produção unilateralmente;

• Use o recurso de proteção de ramificação do GitHub para impor aprovações de revisão de código;

• Rastreie todas as mudanças de código e infraestrutura com tickets de alteração em um software como o JIRA;

• Segurança de rede;

• Grupos de segurança, firewalls, etc. devem ser configurados para negar todos por padrão. Tenha um processo em que você precise explicitamente solicitar e revisar as portas que precisam ser abertas na rede;

• Acesso lógico;

• Clareza na política de controles de acesso em torno de privilégios mínimos;

• Padrões de criptografia;

• TLS 1.2 como o protocolo mínimo para comunicação criptografada;

• Backup e recuperação de desastres;

• Documente seus serviços essenciais e atribua um líder técnico para restaurar cada serviço no caso de um evento de DR,

• Teste esses controles pelo menos uma vez por ano.

O conhecimento do SOC 2 pode ser baixo no momento, mas isso está mudando à medida que os clientes priorizam cada vez mais a segurança de dados. Concluir um exame SOC 2 inevitavelmente ajudará as organizações a comprovar a eficácia de seus controles de dados e, por fim, ganhar mais negócios, portanto, agora é a hora de começar a se preparar.

James Kupernik é CTO da VidMob, primeira e única plataforma de inteligência criativa do mundo.

Sobre a VidMob:

VidMob é a primeira plataforma de peças criativas inteligentes do mundo e fornece uma solução de ponta a ponta para ajudar as marcas a melhorar seus resultados de marketing, unificando criativos e dados. A VidMob é a única empresa no mundo a receber um selo certificado de parceiro de marketing criativo de todas as principais plataformas sociais e digitais. Uma parcela de todo dólar que a VidMob recebe é usada para financiar serviços criativos pro bono para organizações sem fins lucrativos por meio de sua organização sem fins lucrativos VidMob Gives. Mais recentemente, a empresa foi incluída na lista anual da revista Inc. dos Melhores Lugares para se Trabalhar em 2020 e a recebeu o Prêmio de Inovação Tecnológica de Inteligência Criativa 2020 da Frost & Sullivan. Saiba mais sobre a VidMob em www.vidmob.com e sobre a VidMob Gives em vidmob.gives.


Compartilhe:: Participe do GRUPO SEGS - PORTAL NACIONAL no FACEBOOK...:
 
https://www.facebook.com/groups/portalnacional/

<::::::::::::::::::::>
IMPORTANTE.: Voce pode replicar este artigo. desde que respeite a Autoria integralmente e a Fonte...  www.segs.com.br
<::::::::::::::::::::>
No Segs, sempre todos tem seu direito de resposta, basta nos contatar e sera atendido. -  Importante sobre Autoria ou Fonte..: - O Segs atua como intermediario na divulgacao de resumos de noticias (Clipping), atraves de materias, artigos, entrevistas e opinioes. - O conteudo aqui divulgado de forma gratuita, decorrem de informacoes advindas das fontes mencionadas, jamais cabera a responsabilidade pelo seu conteudo ao Segs, tudo que e divulgado e de exclusiva responsabilidade do autor e ou da fonte redatora. - "Acredito que a palavra existe para ser usada em favor do bem. E a inteligencia para nos permitir interpretar os fatos, sem paixao". (Autoria de Lucio Araujo da Cunha) - O Segs, jamais assumira responsabilidade pelo teor, exatidao ou veracidade do conteudo do material divulgado. pois trata-se de uma opiniao exclusiva do autor ou fonte mencionada. - Em caso de controversia, as partes elegem o Foro da Comarca de Santos-SP-Brasil, local oficial da empresa proprietaria do Segs e desde ja renunciam expressamente qualquer outro Foro, por mais privilegiado que seja. O Segs trata-se de uma Ferramenta automatizada e controlada por IP. - "Leia e use esta ferramenta, somente se concordar com todos os TERMOS E CONDICOES DE USO".
<::::::::::::::::::::>

Adicionar comentário

Aja com responsabilidade, aos SEUS COMENTÁRIOS em Caso de Reclamação, nos reservamos o Direito, a qualquer momento de Mudar, Modificar, Adicionar, ou mesmo Suprimir os comentarios de qualquer um, a qualquer hora, sem aviso ou comunicado previo, leia todos os termos... CLIQUE AQUI E CONHEÇA TODOS OS TERMOS E CONDIÇÕES DE USO. - O Nosso muito obrigado - Ferramenta Automatizada...IMPORTANTE: COMENTÁRIOS com LINK são bloqueados automaticamente (COMMENTS with LINKS are automatically blocked.)...Sucesso!


voltar ao topo