Audit SOC 2: cosa, come e perché

Forse ne siete già venuti a conoscenza attraverso il blog di Eugene Kaspersky o tramite il nostro comunicato stampa ufficiale, abbiamo recentemente superato l’audit SOC 2. Nel caso in cui non sappiate cosa sia e perché fosse necessario, ve lo spieghiamo adesso.

Cos’è un audit SOC 2?

Il Service and Organization Controls 2 (SOC 2) è un audit delle procedure di controllo che interessa le aziende IT che forniscono servizi. In sostanza, si tratta di uno standard internazionale di reporting per i sistemi di gestione dei rischi in materia di cybersecurity . Questo standard, sviluppato Dall’American Institute of Certified Public Accountants (AICPA), è stato aggiornato nel marzo 2018.

Questo post riguarda l’audit SOC 2 Tipo 1 (che abbiamo superato), il quale certifica che i meccanismi di controllo di sicurezza sono stati effettivamente istituiti in un unico sistema. In altre parole, dei revisori esterni sono venuti da noi e hanno esaminato il nostro sistema di gestione dei rischi, osservando quali pratiche abbiamo messo in atto, il modo in cui seguiamo le procedure dichiarate e come registriamo i cambiamenti nel processo.

Perché dobbiamo sottoporci a questo controllo?

Qualsiasi azienda che fornisce qualsiasi servizio potrebbe rappresentare una minaccia per i propri clienti. Anche un’azienda del tutto legittima potrebbe diventare l’anello debole nella supply chain attraverso il quale condurre un attacco. Ma le aziende che operano nel campo della sicurezza informatica hanno una responsabilità ancora maggiore: i loro prodotti devono avere il più alto livello di accesso ai sistemi di informazione degli utenti.

Quindi, di tanto in tanto i clienti, in particolare le grandi imprese, possono avere domande legittime come per esempio: quanto possiamo fidarci di questi servizi? Che tipo di politiche interne abbiamo per i servizi che utilizziamo? Qualcuno potrebbe danneggiarci con i loro prodotti o servizi corrispondenti?

Ecco la svolta: le risposte che forniamo non hanno importanza, perché le risposte che noi o qualsiasi azienda forniamo possono sempre sembrare convincenti. Per questo ci rivolgiamo a revisori esterni per un parere professionale. È importante per noi che i nostri clienti e partner non abbiano dubbi sul fatto che i nostri prodotti e servizi siano affidabili. Riteniamo inoltre che sia importante che i nostri processi interni rispettino gli standard internazionali e le migliori pratiche del settore.

Cosa hanno esaminato i revisori?

La maggiore preoccupazione è sempre il meccanismo per fornire informazioni ai computer del cliente. Le nostre soluzioni coprono diversi segmenti di mercato e settori, e la maggior parte di loro utilizzano un sistema antivirus come tecnologia difensiva di base per proteggersi dalle minacce informatiche. Tra le tante tecnologie, questo sistema utilizza hash super veloci, l’emulazione in un ambiente isolato e modelli matematici di apprendimento automatico che sono altamente resistenti alle mutazioni; e tutti richiedono aggiornamenti regolari del database antivirus per essere efficaci contro le minacce informatiche moderne.

I revisori indipendenti hanno studiato il nostro sistema per la gestione di questi database e i nostri metodi per monitorare l’integrità e l’autenticità degli aggiornamenti per i prodotti antivirus per i server Windows e Unix. Hanno verificato che i nostri metodi di controllo funzionano correttamente e hanno anche esaminato il processo di sviluppo e rilascio di database antivirus in caso di una qualsiasi possibile manomissione non autorizzata.

In che modo hanno condotto questo studio?

I revisori valutano se i processi del vendor rispettano i cinque principi fondamentali della sicurezza: la protezione (il processo è protetto contro l’accesso non autorizzato?), disponibilità (il processo è funzionale nel complesso?), integrità del processo (i dati forniti al cliente sono al sicuro?), confidenzialità (qualcun altro può accedere a questi dati?) e privacy (i dati personali vengono memorizzati? E in caso affermativo, come?)

Nel nostro caso, i revisori hanno esaminato:

• Cosa offrono i nostri servizi;
• Come interagiscono i nostri clienti con utenti e potenziali partner;
• Come implementiamo il controllo del processo e quali sono i suoi limiti;
• Quali strumenti di controllo hanno gli utenti e come interagiscono con i nostri strumenti di controllo;
• Quali rischi comporta il nostro servizio e quali strumenti di controllo minimizzano questi rischi.

Per capire tutto questo, hanno studiato la nostra struttura organizzativa, i meccanismi e il personale. Hanno esaminato in particolar modo la maniera in cui conduciamo i controlli quando assumiamo nuovi dipendenti. Hanno analizzato le nostre procedure per affrontare i cambiamenti dei requisiti di sicurezza. Hanno studiato il codice sorgente del meccanismo che usiamo per fornire aggiornamenti degli antivirus automaticamente e, soprattutto quali probabilità esistono di effettuare modifiche non autorizzate a questo codice. Hanno inoltre ispezionato tante altre cose. Se siete interessati ai dettagli dell’audit, potete utilizzare il link in fondo a questo post per scaricare il report completo.

Chi ha condotto lo studio e dove posso leggere il report?

L’audit è stato condotto da una società Big Four. Come avrete notato, non dichiariamo da nessuna parte quale sia, ma questo non significa che i revisori fossero anonimi. È consuetudine controllare qualsiasi menzione al loro nome. Il rapporto, ovviamente, è firmato.

Alla fine, i revisori sono arrivati alla conclusione che i nostri processi di sviluppo e rilascio di database antivirus sono sufficientemente protetti da manomissioni non autorizzate. Per le conclusioni più dettagliate, una descrizione del processo di ricerca e altri dettagli, potete consultare il testo completo del report (è necessario registrarsi gratuitamente).