{"id":17818,"date":"2019-08-21T12:59:13","date_gmt":"2019-08-21T10:59:13","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=17818"},"modified":"2022-05-20T11:35:35","modified_gmt":"2022-05-20T09:35:35","slug":"soc2-audit","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/soc2-audit\/17818\/","title":{"rendered":"Audit SOC 2: cosa, come e perch\u00e9"},"content":{"rendered":"
Aggiornamento: 18 maggio 2022<\/strong>: Nel 2022, Kaspersky ha completato l\u2019audit SOC 2 (Service Organization Control for Service Organizations<\/em>) di tipo 1 a cui l\u2019azienda si era sottoposta per la prima volta nel 2019. La valutazione \u00e8 stata effettuata da una societ\u00e0 di revisione internazionali appartenente al Big Four.
\nAvviata a fine gennaio 2022, la nuova valutazione \u00e8 stata ultimata con successo a fine aprile e ha confermato che, grazie ai controlli di sicurezza, il processo di sviluppo e rilascio delle basi antivirus di Kaspersky \u00e8 protetto e non pu\u00f2 subire modifiche non autorizzate. Durante la verifica, gli esperti di Big Four hanno controllato, tra gli altri aspetti, le politiche e le procedure dell\u2019azienda relative allo sviluppo e al rilascio delle basi antivirus (AV), la sicurezza fisica e della rete relativa all\u2019infrastruttura coinvolta in questo processo e gli strumenti di monitoraggio utilizzati dal team Kaspersky.
\nLa portata dell\u2019attuale audit \u00e8 stata ampliata rispetto alla valutazione del 2019, in quanto Kaspersky ha nel frattempo introdotto nuovi strumenti e controlli di sicurezza. Qualsiasi cliente pu\u00f2 consultare il report completo su richiesta.<\/div>\n

Forse ne siete gi\u00e0 venuti a conoscenza attraverso il blog di Eugene Kaspersky<\/a> o tramite il nostro comunicato stampa ufficiale<\/a>, abbiamo recentemente superato l\u2019audit SOC 2. Nel caso in cui non sappiate cosa sia e perch\u00e9 fosse necessario, ve lo spieghiamo adesso.<\/p>\n

Cos\u2019\u00e8 un audit SOC 2?<\/h2>\n

Il Service and Organization Controls 2 (SOC 2) \u00e8 un audit delle procedure di controllo che interessa le aziende IT che forniscono servizi. In sostanza, si tratta di uno standard internazionale di reporting per i sistemi di gestione dei rischi in materia di cybersecurity . Questo standard, sviluppato Dall\u2019American Institute of Certified Public Accountants (AICPA), \u00e8 stato aggiornato nel marzo 2018.<\/p>\n

Questo post riguarda l\u2019audit SOC 2 Tipo 1 (che abbiamo superato), il quale certifica che i meccanismi di controllo di sicurezza sono stati effettivamente istituiti in un unico sistema. In altre parole, dei revisori esterni sono venuti da noi e hanno esaminato il nostro sistema di gestione dei rischi, osservando quali pratiche abbiamo messo in atto, il modo in cui seguiamo le procedure dichiarate e come registriamo i cambiamenti nel processo.<\/p>\n

Perch\u00e9 dobbiamo sottoporci a questo controllo?<\/h2>\n

Qualsiasi azienda che fornisce qualsiasi servizio potrebbe rappresentare una minaccia per i propri clienti. Anche un\u2019azienda del tutto legittima potrebbe diventare l\u2019anello debole nella supply chain<\/a> attraverso il quale condurre un attacco. Ma le aziende che operano nel campo della sicurezza informatica hanno una responsabilit\u00e0 ancora maggiore: i loro prodotti devono avere il pi\u00f9 alto livello di accesso ai sistemi di informazione degli utenti.<\/p>\n

Quindi, di tanto in tanto i clienti, in particolare le grandi imprese, possono avere domande legittime come per esempio: quanto possiamo fidarci di questi servizi? Che tipo di politiche interne abbiamo per i servizi che utilizziamo? Qualcuno potrebbe danneggiarci con i loro prodotti o servizi corrispondenti?<\/p>\n

Ecco la svolta: le risposte che forniamo non hanno importanza, perch\u00e9 le risposte che noi o qualsiasi azienda forniamo possono sempre sembrare convincenti. Per questo ci rivolgiamo a revisori esterni per un parere professionale. \u00c8 importante per noi che i nostri clienti e partner non abbiano dubbi sul fatto che i nostri prodotti e servizi siano affidabili. Riteniamo inoltre che sia importante che i nostri processi interni rispettino gli standard internazionali e le migliori pratiche del settore.<\/p>\n

Cosa hanno esaminato i revisori?<\/h2>\n

La maggiore preoccupazione \u00e8 sempre il meccanismo per fornire informazioni ai computer del cliente. Le nostre soluzioni coprono diversi segmenti di mercato e settori, e la maggior parte di loro utilizzano un sistema antivirus come tecnologia difensiva di base per proteggersi dalle minacce informatiche. Tra le tante tecnologie, questo sistema utilizza hash super veloci, l\u2019emulazione in un ambiente isolato e modelli matematici di apprendimento automatico che sono altamente resistenti alle mutazioni; e tutti richiedono aggiornamenti regolari del database antivirus per essere efficaci contro le minacce informatiche moderne.<\/p>\n

I revisori indipendenti hanno studiato il nostro sistema per la gestione di questi database e i nostri metodi per monitorare l\u2019integrit\u00e0 e l\u2019autenticit\u00e0 degli aggiornamenti per i prodotti antivirus per i server Windows e Unix. Hanno verificato che i nostri metodi di controllo funzionano correttamente e hanno anche esaminato il processo di sviluppo e rilascio di database antivirus in caso di una qualsiasi possibile manomissione non autorizzata.<\/p>\n

In che modo hanno condotto questo studio?<\/h2>\n

I revisori valutano se i processi del vendor rispettano i cinque principi fondamentali della sicurezza: la protezione (il processo \u00e8 protetto contro l\u2019accesso non autorizzato?), disponibilit\u00e0 (il processo \u00e8 funzionale nel complesso?), integrit\u00e0 del processo (i dati forniti al cliente sono al sicuro?), confidenzialit\u00e0 (qualcun altro pu\u00f2 accedere a questi dati?) e privacy (i dati personali vengono memorizzati? E in caso affermativo, come?)<\/p>\n

Nel nostro caso, i revisori hanno esaminato:<\/p>\n