SOC 2 Test di sicurezza e gestione delle vulnerabilità
Gli auditor SOC 2 Tipo II esaminano attentamente il programma di gestione delle vulnerabilità durante l'intero periodo di audit. Sono finiti i giorni delle scansioni puntuali che soddisfacevano gli auditor. KENSAI fornisce la traccia continua delle prove richiesta dai moderni audit SOC 2.
Avvia la valutazione SOC 2 → Prenota una dimostrazioneSOC 2 Criteri comuni per la gestione delle vulnerabilità
SOC 2 si basa sui Trust Services Criteria (TSC) dell'AICPA. Le prove sulla gestione delle vulnerabilità sono richieste principalmente ai sensi delCriteri comuni (CC)relativi alle operazioni di sistema e alla gestione delle modifiche:
L'entità utilizza procedure di rilevamento e monitoraggio per identificare modifiche alle configurazioni, nuove vulnerabilità e anomalie. I revisori vogliono vedere: scansione continua delle vulnerabilità, processi documentati e prove che il monitoraggio sia continuo, non solo trimestrale.
Gli incidenti di sicurezza (incluso lo sfruttamento delle vulnerabilità) vengono identificati e risolti. La gestione delle vulnerabilità alimenta direttamente il processo di risposta agli incidenti.
Le modifiche all'infrastruttura, ai dati, al software e ai processi vengono autorizzate, progettate, sviluppate, documentate, testate, riviste e implementate. La scansione delle vulnerabilità dopo le modifiche è una prova prevista.
L'entità seleziona e sviluppa attività di mitigazione del rischio, inclusa l'identificazione e la risoluzione delle vulnerabilità. Qui è dove vengono valutati gli SLA relativi alla priorità delle vulnerabilità e alla correzione.
💡 Tipo I vs Tipo II:SOC 2 Tipo I è una valutazione puntuale. Il tipo II copre un periodo (tipicamente 6-12 mesi). Per il Tipo II, gli auditor campioneranno le prove della scansione di vulnerabilità durante tutto il periodo di audit e cercheranno un'esecuzione coerente e ripetibile. Una singola scansione nell'undicesimo mese non passerà.
Cosa chiedono realmente i revisori SOC 2
Sulla base delle richieste comuni dei revisori negli incarichi SOC 2, ecco cosa dovrai fornire:
| Tipo di prova | Frequenza | Cosa vogliono i revisori dei conti |
|---|---|---|
| Risultati della scansione delle vulnerabilità | Mensile o continuativo | Timestamp, ambito, conteggio dei risultati, suddivisione della gravità |
| Rapporto sul test di penetrazione | Annuale | Metodologia, ambito, risultati, stato della riparazione |
| Monitoraggio della riparazione | Continuo | Percorso di ticketing dalla scoperta alla correzione fino al nuovo test |
| Record di gestione delle patch | Continuo | Patch critiche applicate entro lo SLA (in genere 30 giorni) |
| Politica di gestione delle vulnerabilità | Alla verifica | Politica scritta con definizioni di gravità e SLA di riparazione |
| Documentazione sull'accettazione del rischio | Per eccezione | Accettazione del rischio firmata per vulnerabilità note senza patch |
Test di penetrazione per SOC 2
Anche se SOC 2 non impone esplicitamente la frequenza dei test di penetrazione, praticamente tutti i report SOC 2 credibili includono prove annuali dei test di penetrazione. I revisori considerano questo come la prova di un programma maturo di gestione delle vulnerabilità.
Requisiti chiave per le prove pentest SOC 2:
- Eseguito da una terza parte qualificata (non solo dal team di sicurezza interno)
- L'ambito copre i sistemi che rientrano nell'ambito di SOC 2 (non solo un sottoinsieme)
- Il rapporto include risultati con valutazioni di gravità e raccomandazioni di risoluzione
- Correzione dei risultati elevati/critici documentata con conferma del nuovo test
- Riepilogo esecutivo idoneo ad essere incluso nel rapporto SOC 2 stesso
In che modo KENSAI supporta la conformità SOC 2
✓ Prove di scansione continua
Le scansioni giornaliere o settimanali con report con timestamp forniscono la traccia continua delle prove richiesta dagli auditor SOC 2 Tipo II durante l'intero periodo di audit.
✓ Monitoraggio dello SLA di riparazione
Definire e tenere traccia degli SLA di correzione in base alla gravità. KENSAI genera report che mostrano la conformità con le tempistiche documentate di risoluzione delle vulnerabilità.
✓ Scansione attivata da modifiche
Attiva automaticamente le scansioni dopo le modifiche all'infrastruttura per soddisfare i requisiti CC8.1 per i test di sicurezza delle modifiche.
✓ Rapporti pronti per il revisore
Esporta la cronologia delle scansioni, le metriche di correzione e l'analisi delle tendenze in formati progettati per la revisione del revisore. Riduci significativamente i tempi di preparazione dell'audit.
✓ Flusso di lavoro di accettazione del rischio
Documenta le decisioni di accettazione del rischio per le vulnerabilità che non possono essere risolte immediatamente, con le firme degli approvatori e le date di revisione.
✓ Rapporti sulla copertura delle risorse
Dimostrare agli auditor che tutti i sistemi nell'ambito sono coperti dal programma di gestione delle vulnerabilità con un inventario completo delle risorse.
Creazione di un programma di gestione delle vulnerabilità SOC 2-Ready
- Definisci la tua politica di gestione delle vulnerabilità— Definizioni di gravità del documento, SLA di riparazione (ad esempio, Critico: 7 giorni, Alto: 30 giorni, Medio: 90 giorni)
- Inventariare tutte le risorse che rientrano nell'ambito— Il fondamento è l’inventario completo delle risorse; non puoi scansionare ciò che non conosci
- Implementare la scansione continua— Al minimo scansioni settimanali; quotidiano preferito per i sistemi collegati a Internet
- Stabilire flussi di lavoro di riparazione— Ticket, proprietari, scadenze e criteri di chiusura con prove
- Test di penetrazione annuale— Coinvolgere una terza parte qualificata almeno una volta all'anno
- Eccezioni del documento— Per le vulnerabilità che non possono essere risolte immediatamente, documentare l'accettazione del rischio con giustificazione aziendale
- Dimostrare il miglioramento della tendenza— I revisori vogliono vedere un programma che migliora nel tempo, non un programma statico
Supera la verifica SOC 2 con sicurezza
KENSAI fornisce la scansione continua delle vulnerabilità, il monitoraggio delle soluzioni correttive e il reporting pronto per il revisore richiesto da SOC 2 Tipo II. Inizia oggi stesso a costruire il tuo percorso di prove.
Avvia conformità SOC 2 → Parla con un esperto di conformità