La comprovata conformità al framework di cybersecurity SOC 2 è una medaglia d’onore per le organizzazioni tecnologiche.

Sviluppato dall’Association of International Certified Professional Accountants per misurare l’aderenza a determinati criteri dei servizi fiduciari, il System and Organization Controls 2 è un gold standard per aziende come Kinsta, la cui attività consiste nell’ospitare i dati di altre aziende nel cloud.

Kinsta si è impegnata a dimostrare la conformità SOC 2 nell’autunno del 2022 e nell’agosto del 2023 ha passato con successo l’audit basato sui criteri fondamentali dei servizi di sicurezza. Durante questo percorso, il team di Kinsta ha imparato un po’ di cose sulla preparazione di un audit SOC 2.

Abbiamo anche scoperto che potevamo rendere i nostri sistemi ancora più sicuri di quanto non fossero già.

Oggi siamo più che lieti di condividere con voi ciò che abbiamo imparato, soprattutto se la vostra azienda sta pensando di tentare di ottenere la conformità a SOC 2.

Cos’è il SOC 2 e cosa comporta la conformità?

Il SOC 2 è un insieme di standard di sicurezza informatica a cui le aziende possono scegliere volontariamente di conformarsi. Ciò avviene allineando il modo in cui un’azienda opera agli standard SOC 2.

“Abbiamo avuto parecchi clienti che hanno semplicemente rifiutato di prendere in considerazione Kinsta una volta appreso che non potevamo dimostrare la conformità agli standard SOC 2”

– Jon Penland, Chief Operating Officer di Kinsta

Il Chief Operating Officer Jon Penland, che ha guidato le attività SOC 2 di Kinsta, afferma che i criteri dell’AICPA sono abbastanza generali da essere applicabili alla maggior parte delle organizzazioni. Spetta a ciascuna organizzazione, assistita da una società di revisione contabile indipendente accreditata dall’AICPA, progettare e implementare controlli specifici per le proprie attività.

Il framework SOC 2 comprende cinque criteri di servizio: sicurezza, disponibilità, integrità dell’elaborazione, riservatezza e privacy. Dice Penland: “Poiché stavamo avviando un programma SOC 2 per la prima volta, ci siamo concentrati sui criteri di sicurezza fondamentali per il nostro primo audit SOC 2”

Il risultato finale è un rapporto di audit SOC 2. Le aziende possono ricevere due diversi tipi di report:

  • Tipo I: Questo report fornisce la prova che un’azienda ha progettato e implementato controlli sufficienti per conformarsi allo standard SOC 2. Si tratta di un report “istantaneo”, che conferma solo che un’azienda ha progettato e implementato controlli adeguati, ma non conferma che l’azienda sia rimasta conforme a tali controlli per un certo periodo di tempo.
  • Tipo II: questo report fa un ulteriore passo avanti, verificando che l’azienda abbia rispettato i controlli durante un periodo di osservazione definito. Mentre un rapporto di tipo I è una “fotografia” della conformità in un momento preciso, un rapporto di tipo II verifica la conformità in un periodo di tempo definito.

Penland afferma che Kinsta ha optato per un rapporto di tipo II, a partire dalla performance dell’azienda per i tre mesi a partire dal 1° aprile 2023.

I risultati sono disponibili per i clienti alla pagina Trust Report di Kinsta.

Screenshot della pagina Trust Report di Kinsta.
Elementi chiave della pagina del Trust Report di Kinsta.

La decisione di avviare il processo SOC 2

Penland afferma che la conformità era nel mirino di Kinsta molto prima che il progetto SOC 2 prendesse il via nel settembre del 2022.

“Abbiamo avuto parecchi clienti che hanno semplicemente rifiutato di prendere in considerazione Kinsta una volta appreso che non potevamo dimostrare la conformità agli standard SOC 2”, afferma Penland. “Per molte aziende, e per un numero crescente di PMI, la conformità SOC 2 è un requisito che impongono ai loro fornitori”.

“Inoltre, in assenza del SOC 2, molti clienti ci hanno chiesto di compilare questionari di sicurezza approfonditi, che possono richiedere molto tempo e risorse per essere completati. Il report SOC 2 di tipo II ridurrà drasticamente il numero di questionari sulla sicurezza a cui il nostro team deve dedicare tempo”.

Inoltre, Penland afferma: “Siamo convinti che un framework come il SOC 2 possa aiutarci a migliorare la nostra sicurezza in modo tangibile e significativo”.

La scelta di una piattaforma GRC e di un auditor per i test SOC 2

“Abbiamo capito che dovevamo identificare subito due fornitori chiave”, afferma Penland. “Si tratta del software GRC (governance, risk and compliance) che avremmo utilizzato per automatizzare il più possibile il monitoraggio della conformità e della società di revisione contabile che avremmo utilizzato per eseguire il nostro primo audit SOC 2”.

“Abbiamo deciso di iniziare identificando il software GRC che ritenevamo più adatto alle nostre esigenze. Alla fine abbiamo fatto una ricerca su più di una dozzina di soluzioni GRC concorrenti, abbiamo organizzato delle discovery call con otto fornitori e abbiamo provato quattro o cinque piattaforme diverse. Dopo settimane di lavoro, verso la fine del 2022, abbiamo scelto Vanta come piattaforma GRC”.

A gennaio del 2023, Kinsta era già in procinto di far funzionare i sistemi interni con gli strumenti automatizzati di Vanta per il monitoraggio della conformità.

“Allo stesso tempo, abbiamo iniziato a valutare i possibili auditor”, spiega Penland. “Vanta ha una serie di auditor partner e abbiamo deciso di concentrare la nostra ricerca su questi partner, perché volevamo essere sicuri che il nostro auditor conoscesse Vanta e accettasse le prove raccolte da loro. Dopo aver discusso con diversi auditor, abbiamo deciso che BARR Advisory fosse la scelta giusta per Kinsta”.

Come Kinsta ha avviato i test SOC 2

Con tutti i giocatori in campo, marzo è stato un mese intenso per il team di Kinsta.

“C’era molto da fare per i nostri team di Sicurezza, IT, Ingegneria, Sviluppo, Legale e Risorse Umane”, racconta Penland. “Abbiamo tenuto innumerevoli riunioni, aggiornato molte politiche e flussi di lavoro, lavorato quotidianamente al SOC 2 in modo asincrono su Slack e controllato regolarmente sia Vanta che BARR”.

“Quando il nostro periodo di osservazione è iniziato il 1° aprile, c’era ben poco da segnalare. L’aspetto interessante del SOC 2 è che se hai reso operative le tue attività di conformità, la conformità non richiede molto lavoro. La preparazione alla conformità richiede un po’ di sfozo, come la raccolta delle prove a sostegno dell’audit, ma l’atto di conformarsi ai controlli significa effettivamente lavorare come al solito, a patto che i controlli SOC 2 nelle operazioni siano stati incorporati.”

Dice Penland: “Nella seconda metà di giugno abbiamo tenuto una serie di riunioni con il nostro auditor, che ha esaminato le prove raccolte per assicurarsi di avere una comprensione completa del modo in cui le prove si riferivano ai nostri controlli concordati. Sebbene l’utilizzo di Vanta ci abbia fatto risparmiare molto tempo, ci siamo comunque impegnati molto per raccogliere, organizzare e chiarire le prove che abbiamo fornito a BARR”.

Il primo rapporto SOC 2 Type II di Kinsta è stato pubblicato il 15 agosto.

Uno sguardo più da vicino ai controlli SOC 2 di Kinsta

Il primo rapporto SOC 2 Type II di Kinsta comprende 38 controlli diversi, che rientrano in alcune categorie:

  1. Test automatizzati della piattaforma: Poiché Kinsta utilizza Google Cloud Platform come fornitore di infrastrutture, molti dei test sulla sicurezza di GCP sono stati automatizzati da Vanta. “Una volta che questi test sono stati impostati, si sono limitati a lavorare in background, ma impostarli non è stata un’impresa facile”, spiega Penland. “Abbiamo letteralmente migliaia di macchine virtuali GCP e il nostro team di ingegneri ha fatto i salti mortali per classificare e organizzare correttamente tutte le macchine virtuali in modo che Vanta potesse monitorarle efficacemente”.
  2. Policy: Prima del SOC 2, Kinsta disponeva già di un quadro di policy piuttosto solido. “Il problema che abbiamo incontrato è che le nostre policy non erano impostate nel modo in cui Vanta si aspettava”, spiega Penland. “Questo significa che abbiamo dovuto confrontare le nostre policy attuali con la configurazione prevista da Vanta e decidere come allinearle. Questo ha richiesto un’enorme quantità di collaborazione e di lavoro, molto più di quanto mi aspettassi, ed è stata probabilmente la fase del processo che ha richiesto più tempo”.
  3. Flussi di lavoro e procedure: “È fantastico avere una politica che dica qualcosa come: Tutti i membri del team completeranno la formazione di sensibilizzazione alla sicurezza durante l’onboarding“, afferma Penland, “ma se non si integra tale politica in un flusso di lavoro, si rischia di non rispettare la policy stessa. Abbiamo dovuto dedicare molto tempo a riflettere sui vari flussi di lavoro e ad aggiornarli con punti di controllo o passaggi aggiuntivi per garantire il rispetto degli impegni presi nell’ambito del SOC 2”.
  4. Attività ricorrenti: Ci sono diverse attività ricorrenti che Kinsta deve tenere sotto controllo per conformarsi ai controlli del SOC 2. Tra queste attività ci sono disaster recovery e riunioni sugli incidenti di sicurezza, test di penetrazione, revisioni annuali delle policy e altro ancora.

“Il SOC 2 in ultima analisi serve a descrivere e controllare il modo in cui si opera tra IT, Risorse Umane, Ingegneria, Sviluppo e Sicurezza”, spiega Penland. È quindi importante progettare controlli che siano in linea con il modo in cui si opera effettivamente o adattare le proprie operazioni, se necessario, per allinearle ai controlli SOC 2″. Il SOC 2 non può essere solo qualcosa che si fa una volta all’anno, ma deve essere il modo in cui si opera ogni giorno”.

Cosa abbiamo imparato

Penland afferma che la chiave del successo del progetto SOC 2 è stata la costante adesione dell’intero team esecutivo e, di conseguenza, del resto dell’organizzazione.

“Per completare il SOC 2, abbiamo dovuto attingere a risorse significative, in particolare nei nostri team tecnici – Sviluppo, Ingegneria, Sicurezza”, spiega. “Se il nostro CTO e la leadership del team tecnologico non avessero accettato la necessità di seguire questo processo, non ci saremmo riusciti. Quindi, un consiglio che mi sento di dare a qualsiasi organizzazione che stia pensando di adottare il SOC 2 è quello di assicurarsi di aver fatto il lavoro di vendere l’importanza del SOC 2 internamente e di ottenere il consenso dei vertici dell’azienda”.

“Credo che trovare un sistema GRC che abbia le giuste integrazioni e funzioni adatte alla propria azienda sia un ottimo modo per iniziare”, aggiunge Penland. “Penso anche che sia una buona idea individuare rapidamente il proprio auditor e iniziare a lavorare con lui, prima di pensare di essere pronti. Per noi il lavoro di preparazione alla valutazione svolto dal nostro auditor è stato prezioso per aiutarci a identificare i passi esatti da compiere per essere pronti a iniziare il periodo di osservazione.”

È stato importante anche scegliere un auditor che avesse familiarità con operazioni come quelle di Kinsta.

“Kinsta è un’azienda tecnologica moderna”, spiega Penland. “Tutta la nostra attività si svolge nel cloud, non abbiamo uffici e il nostro team è sparso in tutto il mondo. “Se avessimo optato per un auditor abituato a lavorare solo con aziende tradizionali e infrastrutture on-premise, l’esperienza sarebbe stata molto negativa sia per noi che per l’auditor”.

Riepilogo

Con un numero crescente di potenziali clienti che richiedono la conformità SOC 2 ai loro fornitori di cloud hosting, Kinsta si è impegnata a soddisfare i criteri di sicurezza del framework nell’autunno del 2022 e ha ottenuto il suo primo audit con successo nell’agosto del 2023. Durante questo percorso, l’azienda ha perfezionato numerose policy e procedure e ha adottato una piattaforma di terze parti per automatizzare il monitoraggio di governance, rischio e conformità.

Jon Penland, Chief Operating Officer di Kinsta, afferma che il processo di preparazione alla rendicontazione SOC 2 ha dato all’azienda l’opportunità di migliorare la propria posizione di sicurezza in “modi tangibili e significativi”.

L’azienda intende ampliare il numero di criteri SOC 2 da sottoporre a verifica e rendere il monitoraggio della conformità un processo continuo.

Potete controllare lo stato SOC 2 di Kinsta utilizzando la pagina Trust Report.

Se non siete ancora nostri clienti, scoprite i servizi di Hosting WordPress, Hosting di Applicazioni e Hosting di Database tutelati dalla conformità SOC 2 di Kinsta.

Steve Bonisteel Kinsta

Steve Bonisteel is a Technical Editor at Kinsta who began his writing career as a print journalist, chasing ambulances and fire trucks. He has been covering Internet-related technology since the late 1990s.