Lecciones Aprendidas de Kinsta a lo Largo del Camino Hacia el Cumplimiento de SOC 2

El cumplimiento demostrado del framework de ciberseguridad SOC 2  es una insignia de honor para las organizaciones tecnológicas.

Desarrollado por la Asociación Internacional de Contables Profesionales Certificados para medir el cumplimiento de determinados criterios de los servicios de confianza, el Sistema y Organización de Controles 2 es una estándar de oro para empresas como Kinsta, cuya actividad consiste en alojar datos de otras empresas en la nube.

Kinsta se embarcó en un esfuerzo por demostrar el cumplimiento de la norma SOC 2  en otoño de 2022 y recibió una auditoría satisfactoria según los criterios de servicios de seguridad básicos de la norma en agosto de 2023. Por el camino, el equipo de Kinsta aprendió un poco sobre cómo prepararse para una auditoría SOC 2.

También descubrimos que podíamos hacer que nuestros sistemas fueran aún más seguros de lo que ya eran.

Si tu organización está pensando en conseguir el cumplimiento de SOC 2, estaremos encantados de compartir lo que sabemos contigo.

¿Qué es SOC 2 y Qué Implica Su Cumplimiento?

SOC 2 es un conjunto de normas de seguridad de la información que las empresas pueden cumplir voluntariamente. Eso se hace alineando la forma de operar de una empresa con las normas SOC 2.

«Tuvimos bastantes clientes potenciales que simplemente declinaron considerar a Kinsta cuando se enteraron de que no podíamos demostrar el cumplimiento de las normas SOC 2»

– Jon Penland, Chief Operating Officer de Kinsta

El Chief Operating Officer, Jon Penland, que encabezó la iniciativa SOC 2 en Kinsta, afirma que los criterios del AICPA son lo bastante generales como para ser aplicables a la mayoría de las organizaciones. Corresponde a cada organización – asistida por una empresa independiente de CPA acreditada por el AICPA – diseñar e implantar controles específicos para sus operaciones.

El framework SOC 2 incluye cinco criterios de servicio: seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad. Dice Penland: «Como era la primera vez que poníamos en marcha un programa SOC 2, nos centramos en los criterios básicos de seguridad para nuestra primera auditoría SOC 2»

El resultado final es un informe de auditoría SOC 2. Las empresas pueden recibir dos tipos distintos de informes:

• Tipo I: Este informe proporciona pruebas de que una empresa ha diseñado e implantado controles suficientes para cumplir la norma SOC 2. Piensa en él como un informe «instantáneo», que sólo confirma que una empresa ha diseñado e implantado controles adecuados, pero no confirma que la empresa haya seguido cumpliendo esos controles durante ningún periodo de tiempo.
• Tipo II: Este informe va un paso más allá al verificar que una empresa ha cumplido los controles durante un periodo de observación definido. Mientras que un informe de Tipo I es una «instantánea» del cumplimiento en un momento dado, un informe de Tipo II verifica el cumplimiento durante un periodo de tiempo definido.

Penland dice que Kinsta optó por un informe de Tipo II, a partir del cumplimiento de la empresa durante los tres meses que comienzan el 1 de abril de 2023.

Los resultados están a disposición de los clientes en la página del Informe de Confianza de Kinsta.

La Decisión de Iniciar el Proceso SOC 2

Penland afirma que la conformidad estaba en el radar de Kinsta mucho antes de que se iniciara el proyecto SOC 2 en septiembre de 2022.

«Tuvimos bastantes clientes potenciales que simplemente declinaron tener en cuenta a Kinsta cuando se enteraron de que no podíamos demostrar el cumplimiento de las normas SOC 2», afirma. «Para muchos clientes empresariales – y un número cada vez mayor de PYMES – el cumplimiento de la norma SOC 2 es un requisito que imponen a sus proveedores»

«Además, sin SOC 2, muchos clientes nos pedían que completáramos extensos cuestionarios de seguridad, cuya realización puede llevar mucho tiempo y recursos. El informe SOC 2 Tipo II reducirá drásticamente el número de cuestionarios de seguridad a los que nuestro equipo tiene que hacer frente.»

Es más, Penland afirma: «Creíamos que un framework como el SOC 2 podría ayudarnos a mejorar nuestra seguridad de forma tangible y significativa.»

Elegir una Plataforma GRC y un Auditor para las Pruebas SOC 2

«Reconocimos que necesitábamos identificar pronto a dos proveedores clave», dice Penland. «Se trata del software GRC (gobierno, riesgo y conformidad) que utilizaríamos para automatizar al máximo la supervisión del cumplimiento, y de la empresa de auditoría que utilizaríamos para realizar nuestra primera auditoría SOC 2»

«Decidimos empezar por identificar el software GRC que considerábamos que mejor se ajustaba a nuestras necesidades. Acabamos investigando más de una docena de soluciones GRC de la competencia, haciendo llamadas de descubrimiento con ocho proveedores y haciendo demostraciones de cuatro o cinco plataformas diferentes. Tras semanas de trabajo, hacia finales de 2022, nos decidimos por Vanta como nuestra plataforma GRC»

En enero de 2023, Kinsta estaba en proceso de conseguir que los sistemas internos funcionaran con las herramientas automatizadas de Vanta para la supervisión del cumplimiento.

«Al mismo tiempo, empezamos a buscar posibles auditores», dice Penland. «Vanta tiene una serie de socios auditores, y decidimos centrar nuestra búsqueda en ellos; la razón era que queríamos asegurarnos de que nuestro auditor estaba familiarizado con Vanta y aceptaría las pruebas recogidas por ellos. Tras mantener conversaciones con unos cuantos auditores diferentes, decidimos que BARR Advisory era la opción adecuada para Kinsta.»

Cómo Kinsta Puso en Marcha las Pruebas SOC 2

Con todos los participantes en su sitio, marzo fue un mes ajetreado para el equipo de Kinsta.

«Había mucho que hacer para nuestros equipos de Seguridad, IT Ingeniería, Desarrollo, Jurídico y RRHH», dice Penland. «Celebramos innumerables reuniones, actualizamos muchas políticas y flujos de trabajo, trabajamos en la SOC 2 de forma asíncrona en Slack a diario, y nos reuníamos regularmente tanto con Vanta como con BARR.»

«Cuando nuestro periodo de observación comenzó el 1 de abril, había poco que destacar y ninguna fanfarria. Lo interesante de la SOC 2 es que, si has hecho operativas tus actividades de cumplimiento, el cumplimiento no requiere tanto trabajo. Prepararse para el cumplimiento lleva trabajo, y reunir pruebas que soportan la auditoría lleva trabajo, pero el acto de cumplir los controles de forma efectiva significa seguir trabajando como siempre, siempre que hayas asimilado esos controles SOC 2 en las operaciones.»

Dice Penland: «En la segunda quincena de junio celebramos una serie de reuniones con nuestro auditor, durante las cuales repasaron las pruebas recopiladas para asegurarse de que comprendían perfectamente cómo se relacionaban con nuestros controles acordados. Aunque sin duda el uso de Vanta nos ahorró mucho tiempo, seguimos dedicando bastante esfuerzo a recopilar, organizar y aclarar las pruebas que proporcionamos a BARR.»

El primer informe SOC 2 Tipo II de Kinsta se publicó el 15 de agosto.

Una Mirada Más de Cerca a los Controles SOC 2 de Kinsta

El primer informe SOC 2 Tipo II de Kinsta incluye 38 controles diferentes, que se dividen en varias categorías:

1. Pruebas automatizadas de la plataforma: Dado que Kinsta utiliza Google Cloud Platform como proveedor de infraestructura, Vanta automatizó muchas de las pruebas relacionadas con la seguridad de GCP. «Una vez configuradas estas pruebas, se limitan a funcionar en segundo plano, pero configurarlas no fue tarea fácil», dice Penland. «Tenemos literalmente miles de máquinas virtuales de GCP, y nuestro equipo de ingeniería movió montañas para clasificar y organizar adecuadamente todas esas máquinas virtuales de modo que Vanta pudiera supervisarlas eficazmente»
2. Políticas: Antes de la SOC 2, Kinsta ya tenía un marco de políticas bastante sólido. «El reto con el que nos encontramos es que nuestras políticas no estaban configuradas como Vanta esperaba», afirma Penland. «Eso significaba que teníamos que comparar nuestras políticas actuales con la configuración esperada de Vanta y decidir cómo alinear ambas. Esto requirió una enorme cantidad de coordinación y trabajo – mucho más de lo que esperaba – y fue probablemente el paso del proceso que más tiempo nos llevó.»
3. Flujos de trabajo y procedimientos: «Está muy bien tener una política que diga algo así como ‘todos los miembros del equipo completarán la formación de concienciación sobre seguridad durante la incorporación'», dice Penland, «pero si no integras esa política en un flujo de trabajo, corres el riesgo de incumplir tu política. Tuvimos que dedicar mucho tiempo a pensar en varios flujos de trabajo y actualizarlos con puntos de control o pasos adicionales para asegurarnos de que cumplíamos los compromisos que habíamos adquirido como parte de la SOC 2.»
4. Tareas recurrentes: Hay varias tareas recurrentes de las que Kinsta tiene que estar al tanto para cumplir los controles SOC 2. Estas tareas incluyen cosas como la recuperación de desastres y reuniones de mesa sobre incidentes de seguridad, pruebas de penetración, revisiones anuales de políticas, etc.

«En última instancia, la SOC 2 contribuye en gran medida a describir y controlar cómo operas en IT, RRHH, Ingeniería, Desarrollo y Seguridad», afirma Penland. «Por eso es importante diseñar controles que se ajusten a cómo operas realmente o ajustar tus operaciones según sea necesario para que se ajusten a tus controles SOC 2. SOC 2 no puede ser sólo algo que hagas una vez al año, tiene que ser tu forma de operar todos los días.»

Una Mirada Retrospectiva a las Principales Lecciones Aprendidas

Penland afirma que una de las claves del éxito del proyecto SOC 2 fue la implicación constante de todo el equipo ejecutivo y, a su vez, del resto de la organización.

«Para completar el SOC 2, tuvimos que utilizar importantes recursos, en particular de nuestros equipos técnicos: Desarrollo, Ingeniería, Seguridad», afirma. «Si nuestro CTO y la dirección del equipo de tecnología no se hubieran convencido de la necesidad de pasar por este proceso, nos habríamos hundido. Por tanto, un consejo que daría a cualquier organización que esté pensando en pasar por el SOC 2 es que se asegure de que ha hecho el trabajo de vender la importancia del SOC 2 internamente y de conseguir la aceptación de los máximos dirigentes de la empresa.»

«Creo que encontrar un sistema GRC que tenga las integraciones y funciones adecuadas que se ajusten a tu negocio es una forma estupenda de empezar», añade Penland. «También creo que moverse rápidamente para identificar a tu auditor y empezar a trabajar con él, antes de que creas que estás realmente preparado, también es una buena idea. Para nosotros, el trabajo de preparación previo a la evaluación realizado por nuestro auditor fue de un valor incalculable, ya que nos ayudó a identificar los pasos exactos que debíamos dar para estar listos para iniciar nuestro periodo de observación.»

También fue importante elegir a un auditor familiarizado con operaciones como las de Kinsta.

«Kinsta es una empresa de tecnología moderna», explica Penland. «Todo nuestro negocio funciona en la nube, no tenemos oficinas y nuestro equipo está repartido por todo el mundo. «Si hubiéramos optado por un auditor acostumbrado a trabajar sólo con empresas tradicionales y con infraestructuras locales, podría haber sido una experiencia muy mala tanto para nosotros como para el auditor.»

Resumen

Con un número creciente de clientes potenciales que exigen el cumplimiento de la norma SOC 2 a sus proveedores de alojamiento en la nube, Kinsta se comprometió a cumplir los criterios de seguridad del framework en otoño de 2022 y logró su primera auditoría con éxito en agosto de 2023. Por el camino, la empresa afinó numerosas políticas y procedimientos, y adoptó una plataforma de terceros para automatizar parte de la supervisión de la gobernanza, el riesgo y el cumplimiento.

El Chief Operating Officer de Kinsta, Jon Penland, afirma que el proceso de elaboración de informes SOC 2 también dio a la empresa la oportunidad de mejorar su postura de seguridad de «formas tangibles y significativas.»

La empresa pretende ampliar el número de criterios SOC 2 a auditar y hacer de la supervisión del cumplimiento un proceso continuo.

Recuerda comprobar el estado SOC 2 de Kinsta en la página de Trust Report.

Si aún no eres cliente, descubre los servicios de alojamiento de WordPress, alojamiento de aplicaciones y alojamiento de bases de datos salvaguardados por el cumplimiento de SOC 2 de Kinsta.

Steve Bonisteel Kinsta

Steve Bonisteel is a Technical Editor at Kinsta who began his writing career as a print journalist, chasing ambulances and fire trucks. He has been covering Internet-related technology since the late 1990s.