Bir muhasebeci ve bir güvenlik uzmanı bir bara girerler… SOC2 şakaya gelmez.

İster halka açık ister özel bir şirket olun, muhtemelen bir Hizmet Organizasyonu Kontrolleri (SOC) denetiminden geçmeyi düşünüyorsunuz. Halka açık şirketler için bu raporlar Menkul Kıymetler ve Borsa Komisyonu (SEC) tarafından istenir ve Yeminli Mali Müşavir (CPA) tarafından yürütülür. Ancak, müşteriler genellikle satıcı durum tespiti sürecinin bir parçası olarak SOC2 raporları ister.

Üç tür SOC raporundan SOC2, düzenleyici gereksinimleri başarıyla geçmek için standarttır ve kuruluş içinde yüksek güvenlik ve esnekliğe işaret eder – ve Amerikan Yeminli Mali Müşavirler Enstitüsü (AICPA) tasdik gereksinimlerine dayanır. Bu raporun amacı, bir kuruluşun güvenlik, kullanılabilirlik, işlem bütünlüğü, gizlilik ve mahremiyetle ilgili bilgi sistemlerini belirli bir süre boyunca (yaklaşık altı ila on iki ay) değerlendirmektir.

SOC2 denetiminin bir parçası olarak, bilgi güvenliği kontrollerinin sürekli etkinliğini sağlamak ve fiziksel ve dijital varlıklara yetkisiz/uygunsuz erişimi önlemek için algılama ve izleme gibi yanlış yapılandırılmış ayarları arayacak şirketin SaaS yığını genelinde güvenlik kontrolleri yapmak gerekir. konumlar.

Bir SOC2 denetim yolculuğuna başlıyorsanız veya bu yolculuğundaysanız, o zaman bir SSPM (SaaS Güvenlik Duruş Yönetimi) çözümü süreci kolaylaştırabilir ve SaaS Güvenlik duruşunuzu tamamen kapsayarak bir SOC2 denetiminden başarılı bir şekilde geçmek için gereken süreyi kısaltabilir.

Kuruluşunuzun SOC2 uyumluluğunu nasıl kolaylaştıracağınızı öğrenin

AICPA Güven Hizmetleri Kriterleri (TSC) nelerdir?

Dış denetçiler bir SOC 2 denetimine katıldığında, yaptığınız şeyi, aşağıdakilerden oluşan uzun bir yerleşik gereksinimler listesiyle karşılaştırmaları gerekir. AICPA TSC. “Ortak Kontroller” beş gruba ayrılır:

  • Güvenlik – Mantıksal ve Fiziksel Erişimin (CC6) alt kontrollerini içerir
  • kullanılabilirlik – Sistem İşlemlerinin (CC7) alt kontrollerini içerir
  • İşleme bütünlüğü: Sistem İşlemlerinin (CC7) alt kontrollerini içerir
  • Gizlilik: Mantıksal ve Fiziksel Erişimin (CC6) alt kontrollerini içerir
  • Mahremiyet – İzleme Faaliyetlerinin (CC4) alt kontrollerini içerir

Her ortak denetimin içinde, kapsayıcı standardı eyleme geçirilebilir görevlere dönüştüren bir dizi alt denetim bulunur.

Bir SOC 2 denetiminden geçmek çok fazla zaman, çaba ve dokümantasyon gerektirir. Bir SOC2 denetimi sırasında, denetim süresi boyunca yalnızca denetimlerinizin çalıştığını göstermeniz değil, aynı zamanda güvenliğinizi sürekli olarak izleme yeteneğine sahip olduğunuzu da göstermeniz gerekir.

Tüm TSC çerçevesini gözden geçirmek bir blog yazısı için çok uzun. Bununla birlikte, birkaç Mantıksal ve Fiziksel Erişim (CC6) ve Sistem İşlemleri (CC7) kontrolüne hızlı bir bakış, size bazı kontrollerin neye benzediği ve SOC2 denetimini kolaylaştırmak için bir SSPM’yi nasıl kullanabileceğiniz hakkında bir fikir verir.

Bir SSPM’nin SOC 2 TSC denetiminize nasıl yardımcı olabileceğine dair 15 dakikalık bir demo alın

Mantıksal ve Fiziksel Erişim Kontrolleri

Bu bölüm, fiziksel ve dijital varlıklara ve konumlara yetkisiz veya uygunsuz erişimi önlemek için gereken kontrol türlerini ortaya koymaktadır. SaaS mülkü genelinde kullanıcı erişim izinlerini, kimlik doğrulamasını ve yetkilendirmeyi yönetmek birçok zorluğu beraberinde getirir. Aslında, bulut uygulamalarınızın güvenliğini sağlamaya çalışırken, kullanıcıların dağınık yapısı ve farklı erişim ilkelerini yönetmek giderek daha zor hale geliyor.

CC6.1 kontrolü kapsamında, kuruluşların şunları yapması gerekir:

  • Bilgi varlıklarını tanımlayın, sınıflandırın ve yönetin
  • Kullanıcı erişimini kısıtlayın ve yönetin
  • Ağ segmentasyonunu düşünün
  • Yeni altyapıyı kaydedin, yetkilendirin ve belgeleyin
  • Bekleyen verileri şifreleyerek güvenliği tamamlayın
  • Şifreleme anahtarlarını koruyun

Örnek

Bir SaaS uygulamasını kullanan departman genellikle onu satın alan ve uygulayan departmandır. Pazarlama, satışlar CRM’yi uygularken müşteri adaylarını izlemek için bir SaaS çözümü uygulayabilir. Bu arada, her uygulamanın kendi erişim yetenekleri ve yapılandırmaları vardır. Ancak, bu SaaS sahipleri güvenlik konusunda eğitimli olmayabilir veya güvenlik ekibinin görünürlüğünü kaybetmesi için uygulamanın güvenlik ayarlarını sürekli olarak izleyemeyebilir. Aynı zamanda, güvenlik ekibi SaaS’ın iç işleyişini sahibi gibi bilemeyebilir ve bu nedenle güvenlik ihlaline yol açabilecek daha karmaşık durumları anlayamayabilir.

Bir SSPM çözümü, her SaaS uygulaması için mevcut olan tüm kullanıcı izinlerini, şifrelemeyi, sertifikaları ve tüm güvenlik yapılandırmalarını haritalandırır. Görünürlüğe ek olarak, SSPM çözümü, her bir SaaS uygulamasının benzersiz özelliklerini ve kullanılabilirliğini dikkate alarak bu alanlardaki herhangi bir yanlış yapılandırmayı düzeltmeye yardımcı olur.

CC.6.2 kontrolünde, kuruluşların şunları yapması gerekir:

  • Sistemin varlık sahibinden veya yetkili saklama görevlisinden alınan yetkiye dayalı olarak varlık erişim kimlikleri oluşturun
  • Kullanıcı artık erişime ihtiyaç duymadığında kimlik bilgileri erişimini kaldırmak için işlemler oluşturun
  • Kimlik bilgilerine sahip gereksiz ve uygunsuz kişiler için erişimi periyodik olarak gözden geçirin

Örnek

Bir kullanıcı bir grup üyeliğinin parçası olarak belirli izinlere sahip olduğunda, ancak daha sonra grubun sahip olduğundan daha ayrıcalıklı olan belirli bir izin atandığında, izin kaymaları meydana gelir. Zamanla birçok kullanıcı ek izinler alır. Bu, grupları kullanarak sağlama fikrini baltalar.

Klasik yetkilendirme kaldırma sorunları olan bir SSPM çözümü, etkin olmayan kullanıcıları tespit edebilir ve kuruluşların hızlı bir şekilde düzeltme yapmasına veya en azından güvenlik ekibini sorun konusunda uyarmasına yardımcı olabilir.

CC.6.3 kontrolü kapsamında, kuruluşların şunları yapması gerekir:

  • Korunan bilgi ve varlıklara erişimi oluşturmak, değiştirmek veya kaldırmak için süreçler oluşturun
  • Rol tabanlı erişim denetimlerini (RBAC) kullanın
  • Erişim rollerini ve erişim kurallarını periyodik olarak gözden geçirin

Örnek

Beş SaaS uygulamasında 50.000 kullanıcıyı yönetiyor olabilirsiniz, bu da güvenlik ekibinin toplam 250.000 kimliği yönetmesi gerektiği anlamına gelir. Bu arada, her SaaS’ın kimlikleri tanımlamanın, görüntülemenin ve kimlikleri güvence altına almanın farklı bir yolu vardır. Riske ek olarak, SaaS uygulamaları her zaman birbiriyle entegre olmaz, bu da kullanıcıların kendilerini farklı sistemlerde farklı ayrıcalıklarla bulabileceği anlamına gelir. Bu daha sonra potansiyel bir güvenlik riski oluşturabilecek gereksiz ayrıcalıklara yol açar.

Bir SSPM çözümü, izin gruplarından ve profillerden sapmayı vurgulayarak, tüm bağlı SaaS uygulamalarında kullanıcı ayrıcalıklarına ve hassas izinlere ilişkin görünürlük sağlar.

Sistem İşlemleri

Bu bölüm, SaaS uygulamaları da dahil olmak üzere sistemler ve ağlar genelinde bilgi güvenliği kontrollerinin sürekli etkinliğini sağlamak için algılama ve izlemeye odaklanır. SaaS uygulamalarının çeşitliliği ve yanlış yapılandırma potansiyeli, bu gereksinimleri karşılamayı zorlaştırıyor.

CC7.1 kontrolünde, kuruluşların şunları yapması gerekir:

  • Yapılandırma standartlarını tanımlayın
  • Standartlara uyumsuzluk için altyapı ve yazılımı izleyin
  • Personeli kritik sistem, yapılandırma veya içerik dosyaları için yetkisiz değişiklikler konusunda uyarmak için değişiklik algılama mekanizmaları oluşturun
  • Bilinen veya bilinmeyen bileşenlerin girişini tespit etmek için prosedürler oluşturun
  • Potansiyel güvenlik açıklarını veya yanlış yapılandırmaları tespit etmek için periyodik güvenlik açığı taramaları gerçekleştirin

Güvenlik ekibinden, ilgili tüm SaaS yanlış yapılandırmalarının yerleşik bir bilgi tabanıyla karşılaştırmadan SOC2 ile uyumlu bir “yapılandırma standardı” tanımlamasını ve bir SSPM çözümü kullanmadan sürekli olarak SOC2 ile uyumlu olmasını beklemek gerçekçi değildir.

Bir SSPM çözümünün SOC2 ve diğer standartlar için SaaS güvenlik duruşunuzu nasıl otomatikleştirdiğini görmek için 15 dakikalık bir demo alın.



siber-2

Bir yanıt yazın