Подтвержденное соответствие требованиям системы кибербезопасности SOC 2 является почетным знаком для технологических организаций.
Система System and Organization Controls 2, разработанная Ассоциацией международных сертифицированных профессиональных бухгалтеров для измерения соблюдения определенных критериев трастовых услуг, является золотым стандартом для таких компаний, как Kinsta, чей бизнес размещает данные других компаний в облаке.
Осенью 2022 года Kinsta предприняла попытку продемонстрировать соответствие SOC 2 и в августе 2023 года прошла успешный аудит в соответствии с основными критериями службы безопасности стандарта. Попутно команда Kinsta узнала немного о подготовке к аудиту SOC 2.
Мы также обнаружили, что можем сделать наши системы еще более безопасными, чем они были раньше.
Если ваша организация рассматривает возможность получения статуса SOC 2, мы будем рады поделиться с вами тем, что знаем.
Что такое SOC 2 и что влечет за собой его соответствие?
SOC 2 — это набор стандартов информационной безопасности, которым компании могут добровольно следовать. Это достигается путем приведения методов работы компании в соответствие со стандартами SOC 2.
«У нас было довольно много потенциальных клиентов, которые просто отказались рассматривать Kinsta, как только узнали, что мы не можем продемонстрировать соответствие стандартам SOC 2».
— Джон Пенланд, главный операционный директор Kinsta
Главный операционный директор Джон Пенланд, который возглавлял усилия SOC 2 в Kinsta, говорит, что критерии AICPA достаточно общие, чтобы быть применимыми к большинству организаций. Каждая организация – при содействии независимой фирмы CPA, аккредитованной AICPA – должна разработать и внедрить средства контроля, специфичные для их деятельности.
Структура SOC 2 включает пять критериев обслуживания: безопасность, доступность, целостность обработки, конфиденциальность и конфиденциальность. Пенланд говорит: «Поскольку мы впервые запускали программу SOC 2, мы сосредоточились на основных критериях безопасности для нашего первого аудита SOC 2».
Конечным результатом является аудиторский отчет SOC 2. Компании могут получать два разных типа отчетов:
- Тип I: В этом отчете представлены доказательства того, что компания разработала и внедрила средства контроля, достаточные для соответствия стандарту SOC 2. Думайте об этом как о «мгновенном» отчете, который подтверждает только то, что компания разработала и внедрила соответствующие меры контроля, но не подтверждает, что компания соблюдала эти меры контроля в течение какого-либо периода времени.
- Тип II: Этот отчет идет еще дальше, проверяя, соблюдает ли компания меры контроля в течение определенного периода наблюдения. Если отчет типа I представляет собой «моментальный снимок» соответствия на определенный момент времени, отчет типа II проверяет соответствие в течение определенного периода времени.
Пенланд говорит, что Kinsta выбрала отчет типа II, начиная с результатов деятельности компании за три месяца, начиная с 1 апреля 2023 года.
Результаты доступны клиентам на странице отчета о доверии Kinsta.
Принятие решения о начале процесса SOC 2
Пенланд говорит, что соблюдение требований было на радаре Kinsta задолго до запуска проекта SOC 2 в сентябре 2022 года.
«У нас было довольно много потенциальных клиентов, которые просто отказывались рассматривать Kinsta, когда узнали, что мы не можем продемонстрировать соответствие стандартам SOC 2», — говорит он. «Для многих корпоративных клиентов — и для растущего числа малых и средних предприятий — соответствие требованиям SOC 2 является требованием, которое они предъявляют к своим поставщикам».
«Кроме того, в отсутствие SOC 2 многие клиенты просили нас заполнить обширные анкеты по безопасности, заполнение которых может занять много времени и ресурсов. Отчет SOC 2 Type II значительно сократит количество анкет по безопасности, на которые нашей команде приходится тратить время».
Более того, говорит Пенланд: «Мы верили, что такая структура, как SOC 2, может помочь нам улучшить нашу безопасность ощутимым и значимым образом».
Выбор платформы GRC и аудитора для тестирования SOC 2
«Мы осознали, что нам необходимо заранее определить двух ключевых поставщиков», — говорит Пенланд. «Это программное обеспечение GRC (управление, риски и соответствие требованиям), которое мы будем использовать для максимально возможной автоматизации мониторинга соответствия, и фирму CPA, которую мы будем использовать для проведения нашего первого аудита SOC 2».
«Мы решили начать с определения программного обеспечения GRC, которое, по нашему мнению, лучше всего отвечает нашим потребностям. В итоге мы исследовали более дюжины конкурирующих решений GRC, провели переговоры с восемью поставщиками и продемонстрировали четыре или пять различных платформ. После нескольких недель работы, ближе к концу 2022 года, мы выбрали Vanta в качестве нашей платформы GRC».
К январю 2023 года Kinsta находилась в процессе налаживания работы внутренних систем с автоматизированными инструментами Vanta для мониторинга соответствия.
«В то же время мы начали искать возможных аудиторов», — говорит Пенланд. «У Vanta есть несколько партнеров-аудиторов, и мы решили сосредоточить поиск на этих партнерах — причина в том, что мы хотели убедиться, что наш аудитор знаком с Vanta и примет собранные ими доказательства. Проведя обсуждения с несколькими разными аудиторами, мы решили, что BARR Advisory — правильный выбор для Kinsta».
Как Kinsta запустила тестирование SOC 2
Поскольку все игроки были на месте, март выдался напряженным месяцем для команды Кинста.
«Нашим командам безопасности, ИТ, проектирования, разработки, права и управления персоналом предстояло многое сделать», — говорит Пенланд. «Мы провели бесчисленное количество встреч, обновили множество политик и рабочих процессов, ежедневно работали над SOC 2 асинхронно в Slack и регулярно проверяли данные как в Vanta, так и в BARR».
«Когда 1 апреля начался период нашего наблюдения, особо нечего было замечать и не было никакой помпы. Интересная особенность SOC 2 заключается в том, что если вы ввели в действие свою деятельность по обеспечению соответствия, то соблюдение требований не потребует от вас особых усилий. Подготовка к соблюдению требований требует работы, а сбор доказательств в поддержку аудита требует работы, но соблюдение мер контроля фактически означает работу в обычном режиме, при условии, что вы ассимилировали средства контроля SOC 2 в операции».
Говорит Пенланд: «Во второй половине июня мы провели серию встреч с нашим аудитором, в ходе которых они рассмотрели собранные доказательства, чтобы убедиться, что у них есть полное понимание того, как доказательства связаны с нашими согласованными средствами контроля. Хотя использование Vanta, безусловно, сэкономило нам много времени, мы все же приложили немало усилий для сбора, систематизации и уточнения доказательств, которые мы предоставили BARR».
Первый отчет Kinsta по SOC 2 Type II был опубликован 15 августа.
Более пристальный взгляд на элементы управления SOC 2 от Kinsta
Первый отчет Kinsta SOC 2 Type II включает 38 различных элементов управления, которые делятся на несколько категорий:
- Автоматизированные тесты платформы: Поскольку Kinsta использует облачную платформу Google в качестве поставщика инфраструктуры, многие тесты безопасности GCP были автоматизированы Vanta. «После того, как эти тесты были настроены, они практически просто гудели в фоновом режиме, но настроить их было непросто», — говорит Пенланд. «У нас есть буквально тысячи виртуальных машин GCP, и наша команда инженеров сдвинула горы, правильно классифицировав и организовав все эти виртуальные машины, чтобы Vanta могла эффективно их контролировать».
- Политика: До SOC 2 у Кинсты уже была довольно прочная политическая основа. «Проблема, с которой мы столкнулись, заключается в том, что наша политика не была разработана так, как ожидал Ванта», — говорит Пенланд. «Это означало, что нам пришлось сравнить нашу текущую политику с ожидаемой конфигурацией Vanta и решить, как их согласовать. Это потребовало огромной координации и работы — гораздо больше, чем я ожидал — и, вероятно, было самым трудоемким шагом в этом процессе».
- Рабочие процессы и процедуры: «Здорово иметь политику, которая гласит что-то вроде: «Все члены команды пройдут обучение по вопросам безопасности во время адаптации», — говорит Пенланд, — «но если вы не интегрируете эту политику в рабочий процесс, вы рискуете потерпеть неудачу». соблюдать вашу политику. Нам пришлось потратить много времени на обдумывание различных рабочих процессов и их обновление с помощью контрольных точек или дополнительных шагов, чтобы убедиться, что мы выполняем обязательства, взятые на себя в рамках SOC 2».
- Повторяющиеся задачи: Есть несколько повторяющихся задач, которые Kinsta должна выполнять, чтобы соответствовать требованиям SOC 2. Эти задачи включают в себя такие вещи, как аварийное восстановление и настольные встречи по инцидентам безопасности, тестирование на проникновение, ежегодные обзоры политики и многое другое.
«SOC 2 в конечном итоге имеет большое значение для описания и контроля того, как вы работаете в сфере ИТ, управления персоналом, проектирования, разработки и безопасности», — говорит Пенланд. «Поэтому важно разрабатывать элементы управления, которые соответствуют тому, как вы на самом деле работаете, или корректировать свои операции по мере необходимости, чтобы они соответствовали вашим элементам управления SOC 2. SOC 2 не может быть чем-то, что вы делаете раз в год — это должно быть то, как вы работаете каждый день».
Оглядываясь назад на ключевые извлеченные уроки
Пенланд говорит, что ключом к успеху проекта SOC 2 была последовательная поддержка со стороны всего руководства и, в свою очередь, остальной части организации.
«Для завершения SOC 2 нам пришлось задействовать значительные ресурсы, в частности, наши технические команды — разработку, проектирование и безопасность», — говорит он. «Если бы руководство нашего технического директора и технологической команды не смирилось с необходимостью прохождения этого процесса, мы бы потерпели крах. Итак, один совет, который я бы дал любой организации, планирующей внедрение SOC 2, — убедиться, что вы проделали работу по продвижению важности SOC 2 внутри компании и получили поддержку со стороны высшего руководства компании».
«Я думаю, что найти систему GRC, которая имеет необходимые интеграции и функции, подходящие для вашего бизнеса, — это отличный способ начать», — добавляет Пенланд. «Я также считаю хорошей идеей быстро определить своего одитора и начать работать с ним до того, как вы почувствуете, что действительно готовы. Мы обнаружили, что работа по подготовке к предварительной оценке, выполненная нашим аудитором, оказалась неоценимой, поскольку она помогла нам определить точные шаги, которые нам необходимо предпринять, чтобы быть готовыми к началу периода наблюдения».
Также важным был выбор аудитора, знакомого с такими операциями, как операция Кинсты.
«Kinsta — современная технологическая компания», — объясняет Пенланд. «Весь наш бизнес работает в облаке, у нас нет офисов, а наша команда разбросана по всему миру. «Если бы мы выбрали аудитора, который привык работать только с традиционными физическими предприятиями и локальной инфраструктурой, это могло бы стать очень плохим опытом как для нас, так и для аудитора».
Краткое содержание
В связи с растущим числом потенциальных клиентов, требующих от своих провайдеров облачного хостинга соответствия требованиям SOC 2, Kinsta взяла на себя обязательство обеспечить соответствие критериям безопасности системы осенью 2022 года и провела свой первый успешный аудит в августе 2023 года. Попутно компания доработала многочисленные политики и процедуры, а также внедрила стороннюю платформу для автоматизации некоторого мониторинга управления, рисков и соблюдения требований.
Главный операционный директор Kinsta Джон Пенланд говорит, что процесс работы над отчетностью SOC 2 также дал компании возможность улучшить свою безопасность «осязаемыми и значимыми способами».
Компания стремится расширить количество проверяемых критериев SOC 2 и сделать мониторинг соответствия непрерывным процессом.
Не забудьте проверить статус SOC 2 Kinsta на странице отчета о доверии.
Если вы еще не являетесь клиентом, откройте для себя услуги хостинга WordPress, хостинга приложений и хостинга баз данных, защищенные соответствием Kinsta SOC 2.
