Một kế toán viên và một chuyên gia bảo mật bước vào quán bar… SOC2 không phải là trò đùa.
Cho dù bạn là công ty được tổ chức công khai hay tư nhân, bạn có thể đang cân nhắc việc thực hiện kiểm tra Kiểm soát Tổ chức Dịch vụ (SOC). Đối với các công ty được tổ chức công khai, các báo cáo này được yêu cầu bởi Ủy ban Chứng khoán và Giao dịch (SEC) và được thực hiện bởi Kế toán viên Công chứng (CPA). Tuy nhiên, khách hàng thường yêu cầu báo cáo SOC2 như một phần của quy trình thẩm định nhà cung cấp của họ.
Trong số ba loại báo cáo SOC, SOC2 là tiêu chuẩn để vượt qua thành công các yêu cầu quy định và báo hiệu khả năng phục hồi và bảo mật cao trong tổ chức – và dựa trên các yêu cầu chứng thực của Viện Kế toán Công chứng Hoa Kỳ (AICPA). Mục đích của báo cáo này là đánh giá hệ thống thông tin của một tổ chức liên quan đến bảo mật, tính khả dụng, tính toàn vẹn của quá trình xử lý, tính bảo mật và quyền riêng tư – trong một khoảng thời gian (khoảng từ sáu đến mười hai tháng).
Là một phần của kiểm tra SOC2, cần phải tiến hành kiểm tra bảo mật trên hệ thống SaaS của công ty để tìm kiếm các cài đặt được định cấu hình sai, chẳng hạn như phát hiện và giám sát để đảm bảo tính hiệu quả liên tục của các biện pháp kiểm soát an ninh thông tin và ngăn chặn truy cập trái phép / không phù hợp vào tài sản vật lý và kỹ thuật số và các địa điểm.
Nếu bạn đang bắt đầu hoặc đang trong hành trình kiểm tra SOC2, thì giải pháp SSPM (Quản lý tư thế bảo mật SaaS) có thể hợp lý hóa quy trình và rút ngắn thời gian để vượt qua kiểm tra SOC2 thành công, bao gồm đầy đủ tư thế Bảo mật SaaS của bạn.
Tìm hiểu cách hợp lý hóa việc tuân thủ SOC2 của tổ chức bạn
Tiêu chí Dịch vụ Tin cậy AICPA (TSC) là gì?
Khi đánh giá viên bên ngoài tham gia vào cuộc đánh giá SOC 2, họ cần so sánh những gì bạn đang làm với một danh sách dài các yêu cầu được thiết lập từ AICPA TSC. “Các biện pháp kiểm soát chung” được chia thành năm nhóm:
Bảo vệ – Bao gồm các điều khiển phụ của Truy cập logic và Vật lý (CC6) khả dụng – Bao gồm các điều khiển phụ của Hoạt động Hệ thống (CC7)
Xử lý toàn vẹn: Bao gồm các kiểm soát phụ của Hoạt động Hệ thống (CC7)Bảo mật: Bao gồm các điều khiển phụ của Truy cập logic và Vật lý (CC6)Sự riêng tư – Bao gồm các kiểm soát phụ đối với các Hoạt động Giám sát (CC4)
Trong mỗi điều khiển chung là một tập hợp các điều khiển phụ biến tiêu chuẩn bao quát thành các nhiệm vụ có thể thực hiện được.
Để vượt qua cuộc đánh giá SOC 2 mất rất nhiều thời gian, công sức và tài liệu. Trong quá trình đánh giá SOC2, bạn không chỉ cần chứng tỏ rằng các biện pháp kiểm soát của mình hoạt động trong suốt thời gian đánh giá mà bạn còn phải chứng tỏ rằng bạn có khả năng liên tục giám sát bảo mật của mình.
Xem qua toàn bộ khung TSC là quá dài cho một bài đăng trên blog. Tuy nhiên, việc xem xét nhanh một số kiểm soát của Quyền truy cập logic và vật lý (CC6) và Hoạt động hệ thống (CC7) cho bạn ý tưởng về một số kiểm soát trông như thế nào và cách bạn có thể sử dụng SSPM để dễ dàng kiểm tra SOC2.
Nhận bản demo 15 phút về cách SSPM có thể giúp kiểm tra SOC 2 TSC của bạn
Kiểm soát truy cập vật lý và logic
Phần này đưa ra các loại kiểm soát cần thiết để ngăn chặn truy cập trái phép hoặc không phù hợp vào các tài sản và vị trí vật lý và kỹ thuật số. Quản lý quyền truy cập của người dùng, xác thực và ủy quyền trên vùng SaaS đặt ra nhiều thách thức. Trên thực tế, khi bạn tìm cách bảo mật các ứng dụng đám mây của mình, bản chất phân tán của người dùng và quản lý các chính sách truy cập khác nhau ngày càng trở nên thách thức.
Dưới sự kiểm soát của CC6.1, các thực thể cần phải:
Xác định, phân loại và quản lý nội dung thông tin Hạn chế & quản lý quyền truy cập của người dùng Xem xét việc phân đoạn mạng Đăng ký, cấp quyền và lập tài liệu cho cơ sở hạ tầng mới Bổ sung bảo mật bằng cách mã hóa dữ liệu ở chế độ nghỉ Bảo vệ khóa mã hóa Ví dụ
Bộ phận sử dụng ứng dụng SaaS thường là bộ phận mua và triển khai ứng dụng đó. Tiếp thị có thể triển khai giải pháp SaaS để theo dõi khách hàng tiềm năng trong khi bán hàng triển khai CRM. Trong khi đó, mỗi ứng dụng có bộ cấu hình và khả năng truy cập riêng. Tuy nhiên, những chủ sở hữu SaaS này có thể không được đào tạo về bảo mật hoặc không thể giám sát liên tục cài đặt bảo mật của ứng dụng, do đó nhóm bảo mật sẽ mất khả năng hiển thị. Đồng thời, đội bảo mật có thể không biết hoạt động bên trong của SaaS như chủ sở hữu, do đó họ có thể không hiểu các trường hợp phức tạp hơn có thể dẫn đến vi phạm bảo mật.
Một giải pháp SSPM, vạch ra tất cả các quyền của người dùng, mã hóa, chứng chỉ và tất cả các cấu hình bảo mật có sẵn cho mỗi ứng dụng SaaS. Ngoài khả năng hiển thị, giải pháp SSPM giúp sửa bất kỳ cấu hình sai nào trong các khu vực này, có tính đến khả năng sử dụng và tính năng độc đáo của từng ứng dụng SaaS.
Trong kiểm soát CC.6.2, các thực thể cần:
Tạo thông tin xác thực quyền truy cập nội dung dựa trên ủy quyền từ chủ sở hữu tài sản của hệ thống hoặc người quản lý được ủy quyền Thiết lập các quy trình để xóa quyền truy cập thông tin xác thực khi người dùng không còn yêu cầu quyền truy cập Định kỳ xem xét quyền truy cập cho các cá nhân không cần thiết và không phù hợp với thông tin đăng nhập Ví dụ
Sự chênh lệch quyền xảy ra khi người dùng có một số quyền nhất định như một phần của tư cách thành viên nhóm, nhưng sau đó được chỉ định một quyền cụ thể có nhiều đặc quyền hơn những gì nhóm có. Theo thời gian, nhiều người dùng nhận được thêm quyền. Điều này làm suy yếu ý tưởng cấp phép bằng cách sử dụng nhóm.
Sự cố hủy cấp phép cổ điển, giải pháp SSPM có thể phát hiện người dùng không hoạt động và giúp các tổ chức nhanh chóng khắc phục hoặc ít nhất, cảnh báo cho nhóm bảo mật về vấn đề này.
Dưới sự kiểm soát của CC.6.3, các thực thể cần:
Thiết lập các quy trình để tạo, sửa đổi hoặc xóa quyền truy cập vào thông tin và nội dung được bảo vệ Sử dụng các biện pháp kiểm soát truy cập dựa trên vai trò (RBAC) Định kỳ xem xét các vai trò truy cập và quy tắc truy cập Ví dụ
Bạn có thể đang quản lý 50.000 người dùng trên năm ứng dụng SaaS, có nghĩa là nhóm bảo mật cần quản lý tổng số 250.000 danh tính. Trong khi đó, mỗi SaaS có một cách khác nhau để xác định danh tính, xem chúng và bảo mật danh tính. Thêm vào rủi ro, các ứng dụng SaaS không phải lúc nào cũng tích hợp với nhau, điều đó có nghĩa là người dùng có thể tìm thấy mình với các đặc quyền khác nhau trên các hệ thống khác nhau. Sau đó, điều này dẫn đến các đặc quyền không cần thiết có thể tạo ra nguy cơ bảo mật tiềm ẩn.
Giải pháp SSPM cho phép hiển thị các đặc quyền của người dùng và quyền nhạy cảm trên tất cả các ứng dụng SaaS được kết nối, làm nổi bật sự sai lệch so với các nhóm quyền và hồ sơ.
Hoạt động hệ thống
Phần này tập trung vào việc phát hiện và giám sát để đảm bảo tính hiệu quả liên tục của các biện pháp kiểm soát an ninh thông tin trên các hệ thống và mạng, bao gồm cả các ứng dụng SaaS. Sự đa dạng của các ứng dụng SaaS và khả năng bị định cấu hình sai khiến việc đáp ứng những yêu cầu này trở nên khó khăn.
Trong điều khiển CC7.1, các thực thể cần:
Xác định tiêu chuẩn cấu hình Giám sát cơ sở hạ tầng và phần mềm xem có không tuân thủ tiêu chuẩn Thiết lập cơ chế phát hiện thay đổi để cảnh báo nhân viên về việc sửa đổi trái phép đối với các tệp hệ thống, cấu hình hoặc nội dung quan trọng Thiết lập các thủ tục để phát hiện việc đưa các thành phần đã biết hoặc chưa biết Tiến hành quét lỗ hổng định kỳ để phát hiện lỗ hổng tiềm ẩn hoặc cấu hình sai
Không thực tế khi mong đợi từ nhóm bảo mật xác định “tiêu chuẩn cấu hình” tuân thủ SOC2 mà không so sánh với cơ sở kiến thức tích hợp sẵn về tất cả các cấu hình sai SaaS có liên quan và liên tục tuân thủ SOC2 mà không sử dụng giải pháp SSPM.
Nhận bản demo 15 phút để xem cách giải pháp SSPM tự động hóa tư thế bảo mật SaaS của bạn cho SOC2 và các tiêu chuẩn khác.
.
