Bewezen naleving van het SOC 2 cyberbeveiligingsframework is een onderscheidingsteken voor tech-organisaties.
System and Organization Controls 2, ontwikkeld door de Association of International Certified Professional Accountants om de naleving van bepaalde criteria voor diensten, waarbij vertrouwelijkheid cruciaal is, te meten, is een gouden standaard voor bedrijven zoals Kinsta, die gegevens van andere bedrijven in de cloud hosten.
Kinsta begon in de herfst van 2022 aan een poging om SOC 2 compliance te verkrijgen en ontving in augustus 2023 een succesvolle audit op basis van de kerncriteria voor beveiligingsdiensten van deze standaard. Onderweg leerde het Kinsta team het een en ander tijdens de voorbereiding op een SOC 2 audit.
We ontdekten daarnaast dat we onze systemen nóg veiliger konden maken dan ze al waren.
Als jouw organisatie ook een poging overweegt om een SOC 2 predicaat te behalen, delen we graag onze kennis met je.
Wat is SOC 2 en wat houdt naleving ervan in?
SOC 2 is een verzameling informatiebeveiligingsstandaarden waaraan bedrijven vrijwillig kunnen voldoen. Dat gebeurt door de manier waarop een bedrijf werkt af te stemmen op de SOC 2 standaarden.
“We hadden nogal wat klanten die simpelweg weigerden om Kinsta in overweging te nemen toen ze hoorden dat we niet konden aantonen dat we voldeden aan de SOC 2 normen.”
– Jon Penland, Chief Operating Officer van Kinsta
Chief Operating Officer Jon Penland, die de SOC 2 inspanningen bij Kinsta leidde, zegt dat de criteria van de AICPA algemeen genoeg zijn om van toepassing te zijn op de meeste organisaties. Het is aan elke organisatie – bijgestaan door een onafhankelijk, door de AICPA geaccrediteerd CPA kantoor – om controles te ontwerpen en te implementeren die specifiek zijn voor hun activiteiten.
Het SOC 2 framework bevat vijf service criteria: beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy. Zegt Penland: “Omdat we voor het eerst een SOC 2-programma aan het opzetten waren, hebben we ons voor onze eerste SOC 2-audit gericht op de belangrijkste beveiligingscriteria.”
Het uiteindelijke resultaat is een SOC 2 auditrapport. Bedrijven kunnen twee verschillende soorten rapporten ontvangen:
- Type I: Dit rapport levert bewijs dat een bedrijf voldoende controles heeft ontworpen en geïmplementeerd om aan de SOC 2 standaard te voldoen. Zie het als een “momentopname” rapport, dat alleen bevestigt dat een bedrijf de juiste controles heeft ontworpen en geïmplementeerd, maar niet dat het bedrijf gedurende een bepaalde periode aan deze controles heeft voldaan.
- Type II: Dit rapport gaat een stap verder door te verifiëren of een bedrijf gedurende een bepaalde observatieperiode aan de controles heeft voldaan. Waar een Type I rapport een “momentopname” is van de naleving op een bepaald moment, verifieert een Type II rapport de naleving over een bepaalde periode.
Penland zegt dat Kinsta heeft gekozen voor een Type II rapport, te beginnen met de prestaties van het bedrijf voor de drie maanden vanaf 1 april 2023.
De resultaten zijn beschikbaar voor klanten op de Trust Report pagina van Kinsta.
De beslissing om het SOC 2 proces te starten
Penland zegt dat compliance al lang op de radar van Kinsta stond voordat het SOC 2 project in september 2022 van start ging.
“We hadden nogal wat klanten die simpelweg weigerden om Kinsta te overwegen zodra ze hoorden dat we niet konden aantonen dat we voldeden aan de SOC 2 standaarden,” zegt hij. “Voor veel zakelijke klanten – en een toenemend aantal MKB-bedrijven – is SOC 2 compliance een eis die ze stellen aan hun leveranciers.”
“Ook hadden we bij het ontbreken van SOC 2 veel leads die ons vroegen om uitgebreide beveiligingsvragenlijsten in te vullen, wat veel tijd en middelen kan kosten om in te vullen. Het SOC 2 Type II rapport zal het aantal beveiligingsvragenlijsten waar ons team tijd aan moet besteden drastisch verminderen.”
Bovendien, zegt Penland, “geloofden we dat een framework als SOC 2 ons kon helpen onze beveiliging op tastbare en zinvolle manieren te verbeteren.”
Het kiezen van een GRC platform en een auditor voor SOC 2 tests
“We zagen in dat we al vroeg twee belangrijke leveranciers moesten vinden,” zegt Penland. “Dat is de GRC software (governance, risk en compliance) die we zouden gaan gebruiken om de controle op naleving zo veel mogelijk te automatiseren en het CPA bedrijf dat we zouden gebruiken om onze eerste SOC 2 audit uit te voeren.”
“We besloten te beginnen met het identificeren van de GRC software die volgens ons het beste aan onze behoeften voldeed. Uiteindelijk onderzochten we meer dan een dozijn concurrerende GRC oplossingen, voerden we gesprekken met acht leveranciers en demonstreerden we vier of vijf verschillende platforms. Na weken werk, tegen het einde van 2022, kozen we voor Vanta als ons GRC platform.”
In januari 2023 was Kinsta bezig om interne systemen te laten werken met de geautomatiseerde tools van Vanta voor monitoring van de compliance.
“Tegelijkertijd begonnen we te kijken naar mogelijke auditors,” zegt Penland. “Vanta heeft een aantal auditpartners en we besloten onze zoektocht op deze partners te richten – de reden hiervoor was dat we er zeker van wilden zijn dat onze auditor bekend was met Vanta en door hen verzameld bewijs zou accepteren. Na gesprekken met een paar verschillende auditors besloten we dat BARR Advisory de juiste keuze was voor Kinsta.”
Hoe Kinsta SOC 2 tests lanceerde
Met alle spelers op hun plek was maart een drukke maand voor het Kinsta team.
“Er was veel te doen voor onze Security, IT, Engineering, Development, Legal en HR teams,” zegt Penland. “We hebben talloze vergaderingen gehouden, veel beleidsregels en workflows bijgewerkt, dagelijks asynchroon in Slack aan SOC 2 gewerkt en regelmatig contact gehad met zowel Vanta als BARR.”
“Toen onze observatieperiode 1 april begon, was er weinig op te merken en geen fanfare. Het interessante van SOC 2 is dat zodra je je compliance-activiteiten hebt geoperationaliseerd, compliance niet zoveel werk kost. Voorbereiding kost werk, en het verzamelen van bewijs ter ondersteuning van de audit kost werk, maar het effectief naleven van de controles betekent business as usual, mits je die SOC 2 controles hebt geïntegreerd in je bedrijfsvoering.”
Zegt Penland: “In de tweede helft van juni hielden we een reeks vergaderingen met onze auditor, waarin ze het verzamelde bewijsmateriaal doornamen om er zeker van te zijn dat ze een volledig begrip hadden van hoe het bewijsmateriaal gerelateerd was aan onze overeengekomen controles. Hoewel het gebruik van Vanta ons zeker veel tijd heeft bespaard, hebben we nog steeds veel energie gestoken in het verzamelen, organiseren en verduidelijken van het bewijsmateriaal dat we aan BARR hebben geleverd.”
Kinsta’s eerste SOC 2 Type II rapport werd op 15 augustus gepubliceerd.
Kinsta’s SOC 2 controles nader bekeken
Kinsta’s eerste SOC 2 Type II rapport bevat 38 verschillende controles, die in een paar verschillende categorieën vallen:
- Geautomatiseerde platformtests: Omdat Kinsta Google’s Cloud Platform (GCP) als infrastructuurleverancier gebruikt, zijn veel van de tests rond de beveiliging van GCP geautomatiseerd door Vanta. “Zodra deze tests waren ingesteld, zoemden ze gewoon mee op de achtergrond, maar het was niet eenvoudig om ze op te zetten,” zegt Penland. “We beschikken letterlijk over duizenden VM’s van GCP en ons Engineering team heeft bergen verzet om al die VM’s goed te categoriseren en organiseren zodat Vanta ze effectief kon monitoren.”
- Beleid: Voorafgaand aan SOC 2 had Kinsta al een redelijk robuust beleidsframework. “De uitdaging waar we tegenaan liepen was dat onze beleidsregels niet waren ingesteld zoals Vanta verwachtte,” zegt Penland. “Dat betekende dat we ons huidige beleid moesten vergelijken met de verwachte configuratie van Vanta en moesten beslissen hoe we de twee op elkaar moesten afstemmen. Dit vergde enorm veel coördinatie en werk – veel meer dan ik had verwacht – en was waarschijnlijk de meest tijdrovende stap in het proces.”
- Workflows en procedures: “Het is geweldig om een beleid te hebben dat zoiets zegt als ‘alle teamleden zullen een beveiligingsbewustzijnstraining volgen tijdens het inwerken’,” zegt Penland, “maar als je dat beleid niet in een workflow integreert, loop je het risico dat je je niet aan je beleid houdt. We hebben veel tijd moeten besteden aan het doordenken van verschillende workflows en deze moeten bijwerken met controlepunten of extra stappen om ervoor te zorgen dat we ons hielden aan de toezeggingen die we hadden gedaan als onderdeel van SOC 2.”
- Terugkerende taken: Er zijn verschillende terugkerende taken waar Kinsta bovenop moet blijven zitten om te voldoen aan de SOC 2 controles. Deze taken bevatten zaken als disaster recovery en security incident tabletop meetings, penetratietesten, jaarlijkse beleidsherzieningen en meer.
“SOC 2 beschrijft en controleert uiteindelijk voor een groot deel hoe je te werk gaat op het gebied van IT, HR, Engineering, Ontwikkeling en Beveiliging”, zegt Penland. “Het is dus belangrijk om controles te ontwerpen die aansluiten bij hoe je feitelijk te werk gaat of je activiteiten aan te passen als dat nodig is om ze af te stemmen op je SOC 2 controles. SOC 2 kan niet iets zijn dat je één keer per jaar doet – het moet de manier zijn waarop je elke dag werkt.”
Terugblik op de belangrijkste geleerde lessen
Penland zegt dat de sleutel tot het succes van het SOC 2 project lag in de consistente betrokkenheid van het hele Executive team en, op zijn beurt, de rest van de organisatie.
“Om SOC 2 te voltooien, moesten we aanzienlijke middelen aanwenden, met name in onze technische teams – Ontwikkeling, Engineering, Beveiliging,” zegt hij. “Als onze CTO en de leiding van het Technology team niet hadden ingestemd met de noodzaak om dit proces te doorlopen, was het nooit van de grond gekomen. Dus, een advies dat ik zou willen geven aan elke organisatie die overweegt om voor SOC 2 te gaan, is om ervoor te zorgen dat je het belang van SOC 2 intern verkoopt en dat de top van het bedrijf erin meegaat.”
“Ik denk dat het vinden van een GRC systeem dat de juiste integraties en functies heeft die bij je bedrijf passen een goede manier is om te beginnen,” voegt Penland toe. “Ik denk ook dat het een goed idee is om snel je auditor te identificeren en met hem te gaan samenwerken, voordat je denkt dat je er echt klaar voor bent. Wij vonden het voorbereidende werk van onze auditor van onschatbare waarde om ons te helpen de exacte stappen te identificeren die we moesten nemen om klaar te zijn voor onze observatieperiode.”
Het was ook belangrijk om een auditor te kiezen die bekend was met activiteiten zoals die van Kinsta.
“Kinsta is een modern technologiebedrijf,” legt Penland uit. “Ons hele bedrijf draait in de cloud, we hebben geen kantoren en ons team is verspreid over de hele wereld. “Als we hadden gekozen voor een auditor die alleen gewend was om te werken met traditionele brick-and-mortar bedrijven en on-premise infrastructuur, dan had dat zowel voor ons als voor de auditor een heel slechte ervaring kunnen zijn.”
Samenvatting
Met een groeiend aantal potentiële klanten die SOC 2 compliance eisen van hun cloudhostingproviders, verplichtte Kinsta zich om in de herfst van 2022 te voldoen aan de beveiligingscriteria van dit framework en behaalde de eerste succesvolle audit in augustus 2023. Gaandeweg heeft het bedrijf een groot aantal beleidsregels en procedures verfijnd en een extern platform in gebruik genomen om een deel van de monitoring van governance, risico’s en compliance te automatiseren.
Kinsta Chief Operating Officer Jon Penland zegt dat het proces van toewerken naar SOC 2 compliance het bedrijf ook de kans heeft gegeven om de beveiliging op “tastbare en zinvolle manieren” te verbeteren
Het bedrijf streeft ernaar om het aantal SOC 2 criteria dat moet worden gecontroleerd uit te breiden en om van compliancemonitoring een continu proces te maken.
Vergeet niet om de SOC 2 status van Kinsta te checken via de Trust Report pagina!
Als je nog geen klant bent, ontdek dan de WordPress Hosting, Applicatie Hosting en Database Hosting diensten die worden beschermd door Kinsta’s SOC 2 compliance.
Laat een reactie achter