Навіщо компаніям отримувати сертифікат SOC? Досвід MacPaw

Переклад авторської колонки CISO MacPaw, Миколи Срібнюка, на The Entrepreneur.

Безпека даних завжди була важливою, а в часи стрімкого розвитку діджитал світу, стала життєво необхідною. Для підвищення кібербезпеки, скорочення циклу продажів і збільшення кількості користувачів, компаніям варто розглянути отримання SOC сертифікації. 

У 2021 році середньостатистична компанія користується приблизно 110 SaaS (software as a service) застосунками для щоденних задач. З кожним роком ця цифра зростає, тому практики кібербезпеки вендорів-посередників стають пріоритетними. Для компаній-користувачів критично важливо розуміти у кого є доступ до їх даних та як вони захищені.

Проте оцінювати безпеку кожного окремого вендора непрактично. Тому аудиторська індустрія створила види акредитацій від SOC 2 до ISO 27001. Такі сертифікати можна називати шорткатами для замовників, адже їх наявність доводить, що вендор дотримується найкращих практик із гарантування безпеки даних.

Запитайте ваших sales-менеджерів скільки разів вони отримували відповіді: «Вибачте, ми працюємо лише з SOC-акредитованими вендорами». 

MacPaw отримувала SOC-сертифікацію для продукту Setapp. Setapp – платформа за підпискою, яка дає доступ до додатків на macOS та iOS, і обслуговує B2C й B2B-напрямки. Ми витрачали години, щоб вручну верифікувати кожного розробника, який долучається до екосистеми Setapp і одночасно відповідали на запити від потенційних B2B-користувачів щодо безпеки продукту. На щастя, після того, як ми отримали сертифікат SOC-2 Type 1, процеси стали набагато простішими. 

Що ж таке SOC,чому сертифікат важливий для безпеки даних і ваша компанія повинна отримати його просто зараз?

Що таке SOC? 

SOC (system and organization controls) – це структура звітності, створена для оцінки рівня управління та захисту даних у сервісних продуктах.

Структура була створена American Institute of Certified Public Accountants (AICPA). Кожна SOC сертифікація має проводитись незалежним аудитором, який перевіряє усі можливі загрози безпеці.

Існує три категорії SOC, які можна отримати: 

• SOC 1 – тестує дотримання вимог безпеки фінансових процесів;
• SOC 2 – верифікує системи управління даними SaaS-компаній;
• SOC 3 – спрощена версія SOC 2, яка доступна не лише для великих компаній, а й для більш широкої аудиторії.

SOC 2 поділяється на два типи:

• Type 1 – оцінює системи гарантування безпеки у конкретний момент часу;
• Type 2 – тестує всі системи безпеки на проміжку часу (зазвичай від 3 до 12 місяців).

На відміну від аудитів в інших індустріях, SOC добровільний і гнучкий за обсягом – компанії самостійно обирають категорії для аудиту. Усього передбачено 5 категорій:

1. Security (основна і єдина обов’язкова категорія);
2. Availability;
3. Confidentiality;
4. Processing integrity;
5. Privacy.

SaaS-компанії зазвичай починають аудит із SOC 2 Type 1 в категорії Security і вже пізніше доповнюють сертифікацію рештою. 

Які переваги має SOC 2 Type 1?

Незважаючи на те, що SOC 2 Type 1 вимагає нетривіальну кількість зусиль та часу, інвестиції окупаються багаторазово. Найважливіший результат – компанія може довести користувачам і партнерам, що має найкращі політики управління та безпеки даних.

А ось ще п’ять переваг проходження аудиту SOC 2 Type 1:

1. Розширення бази клієнтів. Оскільки безпека даних викликає все більше занепокоєння і враховуючи, що порушення доступу до даних можуть вплинути на сотні мільйонів користувачів, більшість великих і цінних B2B компаній мають сувору політику щодо систем безпеки даних для вендорів-посередників і вимагають, щоб вендори мали акредитацію SOC 2.
2. Скорочення циклу продажів. З SOC команда sales-менеджерів зможе укладати угоди швидше, оскільки вже не потрібно буде писати спеціальні відповіді з поясненням корпоративної політики безпеки для кожного потенційного клієнта.
3. Підвищення продуктивності команди. Хоча отримання SOC 2 Type 1 може бути суворим і трудомістким процесом, команді потрібно зробити це лише раз (якщо з першого разу пройти аудит). Після отримання сертифікату кожен учасник зможе зосередитися на інших продуктивних аспектах своєї роботи, відколи вимоги до практики безпеки чіткі та зрозумілі.
4. Оновлення практик безпеки. Процес збору доказів для SOC 2 Type 1 систематично висвітлює будь-які “діри” в безпеці даних, що дає можливість викорінити загрози вже під час підготовки до аудиту.
5. Використовуйте SOC 2 для інших сертифікатів. SOC — це відома міжнародна атестація, тому як тільки ви отримаєте перевірений аудитором звіт SOC 2 Type 1, компанія зможе використовувати його для підтвердження відповідності іншим міжнародним стандартам безпеки.

Як успішно пройти аудит SOC 2 Type 1?

Аудит SOC 2 Type 1 не має обмежень у часі для підготовки. У нашому випадку це зайняло більшу частину 2021 року, оскільки були вимоги які потребували формалізації та покращенню наявних процесів.

Для швидкого та простого проходження SOC 2, спираючись на досвід MacPaw ділимось п’ятьма корисними порадами:

1. Знайдіть підтримуючого аудитора. Шукайте аудитора, який дійсно розуміє вимоги SOC і може давати порадити протягом усього процесу. Співпраця з аудитором від самого початку збільшує шанси на успіх, тоді як просте надсилання остаточної документації призведе до майже гарантованого відхилення.
2. Визначіть обсяг аудиту. Оскільки кожен звіт SOC 2  Type 1 є унікальним, ви можете скласти список необхідних засобів контролю безпеки, які потрібно перевірити чи впровадити для вашого бізнесу.
3. Використовуйте автоматизоване рішення щодо відповідності. Щоб відстежувати сотні завдань – від облікових записів доступу до результатів перевірки коду — рекомендуємо використовувати програмне забезпечення, яке автоматично відстежує прогрес підготовки до SOC 2.
4. Призначте керівників команди для кожного результату. Звичайно, у компанії має бути чіткий план, але також переконайтеся, що ви заздалегідь знаєте, хто несе відповідальність за кожен проміжний результат. А ще зверніться до головного технічного райтера, який допоможе структурувати всю необхідну документацію, від ІТ-процесів до підтримки клієнтів.
5. Заплануйте більше часу на процес, ніж вам потрібно. Плануйте, щоб процес тривав довше, ніж ви очікуєте, щоб позбавити всіх від тривожних ночей у (домашньому) офісі. Обробка файлів аудитором може зайняти місяць або два.

Зрештою, ви отримаєте офіційний звіт, який свідчить, що ви пройшли SOC 2 Type 1 сертифікацію і є підтвердженням високого рівня безпеки процесів компанії, а це безперечно варте всіх зусиль.