A conformidade comprovada com a estrutura de segurança cibernética SOC 2 é um distintivo de honra para as organizações de tecnologia.
Desenvolvida pela Association of International Certified Professional Accountants para medir a adesão a determinados critérios de serviços de confiança, a System and Organization Controls 2 é um padrão de ouro para empresas como a Kinsta, cujo negócio é hospedar dados de outras empresas na nuvem.
A Kinsta embarcou em um esforço para demonstrar a conformidade com o SOC 2 no outono de 2022 e recebeu uma auditoria bem-sucedida de acordo com os principais critérios de serviço de segurança do padrão em agosto de 2023. Ao longo do caminho, a equipe da Kinsta aprendeu um pouco sobre a preparação para uma auditoria SOC 2.
Também descobrimos que poderíamos tornar nossos sistemas ainda mais seguros do que já eram.
Se a sua organização estiver pensando em tentar obter a designação SOC 2, teremos prazer em compartilhar o que sabemos com você.
O que significa estar em conformidade com o SOC 2 e quais são suas implicações?
O SOC 2 é um conjunto de padrões de segurança da informação com os quais as empresas podem optar voluntariamente por estar em conformidade. Para isso, você deve alinhar a maneira como a empresa opera com os padrões SOC 2.
“Tivemos bastante clientes em potencial que simplesmente recusaram considerar a Kinsta quando souberam que não poderíamos demonstrar conformidade com os padrões SOC 2.”
– Jon Penland, Diretor de Operações da Kinsta
O diretor de operações Jon Penland, que liderou o esforço do SOC 2 na Kinsta, diz que os critérios do AICPA são gerais o suficiente para serem aplicáveis à maioria das organizações. Cabe a cada organização – auxiliada por uma empresa de CPA independente credenciada pela AICPA — projetar e implementar controles específicos para suas operações.
A estrutura SOC 2 inclui cinco critérios de serviço: segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade. Diz Penland: “Como estávamos implantando e executando um programa SOC 2 pela primeira vez, nos concentramos nos principais critérios de segurança para nossa primeira auditoria SOC 2.”
O resultado final é um relatório de auditoria SOC 2. As empresas podem receber dois tipos diferentes de relatórios:
- Tipo I: Esse relatório fornece evidências de que a empresa projetou e implementou controles suficientes para estar em conformidade com o padrão SOC 2. Pense nele como um relatório “instantâneo”, que confirma apenas que uma empresa projetou e implementou controles adequados, mas não confirma que a empresa permaneceu em conformidade com esses controles por qualquer período de tempo.
- Tipo II: esse relatório vai um pouco além, verificando se a empresa cumpriu os controles durante um período de observação definido. Enquanto um relatório do Tipo I é um “instantâneo” da conformidade em um determinado momento, um relatório do Tipo II verifica a conformidade durante um período de tempo definido.
Penland diz que a Kinsta optou por um relatório do Tipo II, começando com o desempenho da empresa nos três meses a partir de 1º de abril de 2023.
Os resultados estão disponíveis para os clientes na página Relatório de Confiança da Kinsta.
Tomando a decisão de iniciar o processo SOC 2
Penland diz que a conformidade estava no radar da Kinsta muito antes do início do projeto SOC 2, em setembro de 2022.
“Tivemos muitos clientes que simplesmente se recusaram a considerar a Kinsta quando souberam que não podíamos demonstrar conformidade com os padrões SOC 2”, diz ele. “Para muitos clientes corporativos – e um número crescente de Pequenas e Médias Empresas (PME) – a conformidade com o SOC 2 é um requisito que eles impõem aos seus fornecedores.”
“Além disso, na ausência do SOC 2, muitos clientes potenciais nos pediram para preencher questionários de segurança abrangentes, que podem exigir muito tempo e recursos para serem concluídos. O relatório SOC 2 Tipo II reduzirá drasticamente o número de questionários de segurança com os quais nossa equipe precisa gastar tempo.”
Além disso, diz Penland, “acreditávamos que uma estrutura como a SOC 2 poderia nos ajudar a melhorar nossa segurança de forma tangível e significativa.”
Escolhendo uma plataforma GRC e um auditor para os testes SOC 2
“Reconhecemos que precisávamos identificar dois fornecedores importantes logo no início”, diz Penland. “Trata-se do software de GRC (governança, risco e conformidade) que usaríamos para automatizar ao máximo o monitoramento da conformidade e a empresa de CPA que usaríamos para realizar nossa primeira auditoria SOC 2.”
“Decidimos começar identificando o software de GRC que achávamos que atendia melhor às nossas necessidades. Acabamos pesquisando mais de uma dúzia de soluções de GRC concorrentes, realizando chamadas de descoberta com oito fornecedores e fazendo demonstrações em quatro ou cinco plataformas diferentes. Após semanas de trabalho, no final de 2022, escolhemos a Vanta como nossa plataforma de GRC.”
Em janeiro de 2023, a Kinsta estava no processo de fazer com que os sistemas internos trabalhassem com as ferramentas automatizadas da Vanta para monitoramento de conformidade.
“Ao mesmo tempo, começamos a procurar possíveis auditores”, diz Penland. “Vanta tem vários parceiros auditores e decidimos concentrar nossa busca nesses parceiros – o motivo é que queríamos ter certeza de que nosso auditor estava familiarizado com Vanta e aceitaria as evidências coletadas por eles. Após conversar com alguns auditores diferentes, decidimos que a BARR Advisory era a escolha certa para a Kinsta.”
Como a Kinsta lançou os testes SOC 2
Com todos os participantes no lugar, março foi um mês movimentado para a equipe da Kinsta.
“Havia muito o que fazer para nossas equipes de Segurança, TI, Engenharia, Desenvolvimento, Jurídico e RH”, diz Penland. “Realizamos inúmeras reuniões, atualizamos muitas políticas e fluxos de trabalho, trabalhamos diariamente no SOC 2 de forma assíncrona no Slack e nos comunicamos regularmente com Vanta e BARR.”
“Quando nosso período de observação começou em 1º de abril, havia pouco a observar e nenhum destaque. O interessante sobre o SOC 2 é que, se você operacionalizou suas atividades de conformidade, a conformidade em si não requer tanto esforço. Preparar-se para estar em conformidade dá trabalho, assim como reunir evidências para apoiar a auditoria, mas o ato de estar em conformidade com os controles efetivamente significa negócios como de costume, desde que você tenha assimilado esses controles do SOC 2 nas operações.”
Diz Penland: “Na segunda quinzena de junho, realizamos uma série de reuniões com nosso auditor, durante as quais ele analisou as evidências coletadas para garantir que tivesse um entendimento completo de como as evidências se relacionavam com nossos controles acordados. Embora o uso da Vanta certamente tenha nos poupado muito tempo, ainda nos esforçamos bastante para coletar, organizar e esclarecer as evidências que fornecemos à BARR.”
O primeiro relatório SOC 2 Tipo II da Kinsta foi publicado em 15 de agosto.
Uma análise detalhada dos controles SOC 2 na Kinsta
O primeiro relatório SOC 2 Tipo II da Kinsta inclui 38 controles diferentes, que se enquadram em algumas categorias diferentes:
- Testes automatizados de plataforma: Como a Kinsta usa o Google Cloud Platform como seu provedor de infraestrutura, muitos dos testes relacionados à segurança do GCP foram automatizados pela Vanta. “Uma vez que esses testes foram configurados, eles praticamente ficaram em segundo plano, mas configurá-los não foi uma tarefa fácil”, diz Penland. “Temos literalmente milhares de Máquinas Virtuais do GCP, e nossa equipe de engenharia moveu montanhas para conseguir categorizar e organizar adequadamente todas essas Máquinas Virtuais para que a Vanta pudesse monitorá-las com eficiência.”
- Políticas: Antes do SOC 2, a Kinsta já tinha uma estrutura de políticas bastante robusta. “O desafio que encontramos é que nossas políticas não estavam configuradas da maneira que a Vanta esperava”, diz Penland. “Isso significava que tínhamos que comparar nossas políticas atuais com a configuração esperada pela Vanta e decidir como alinhar as duas. Isso exigiu uma enorme quantidade de coordenação e trabalho – muito mais do que eu esperava – e foi provavelmente a etapa mais demorada do processo.”
- Fluxos de trabalho e procedimentos: “É ótimo ter uma política que diga algo como ‘todos os membros da equipe concluirão o treinamento de conscientização de segurança durante a integração'”, diz Penland, “mas se você não integrar essa política para um fluxo de trabalho, correrá o risco de não cumprir a política. Tivemos que gastar muito tempo pensando em vários fluxos de trabalho e atualizando com pontos de verificação ou etapas adicionais para garantir que estávamos cumprindo os compromissos que assumimos como parte do SOC 2.”
- Tarefas recorrentes: Há várias tarefas recorrentes que a Kinsta precisou realizar para estar em conformidade com os controles do SOC 2. Essas tarefas incluem coisas como reuniões de simulação de recuperação de desastres e incidentes de segurança, testes de penetração, revisões anuais de políticas, entre outros.
“O SOC 2, em última análise, contribui muito para descrever e controlar como você opera em TI, RH, engenharia, desenvolvimento e segurança”, diz Penland. “Portanto, é importante projetar controles que se alinhem com a forma como você realmente opera ou ajustar suas operações conforme necessário para se alinhar com seus controles SOC 2. O SOC 2 não pode ser apenas algo que você faz uma vez por ano – tem que ser como você opera todos os dias.”
Relembrando as principais lições aprendidas
Penland diz que a chave para o sucesso do projeto SOC 2 foi a adesão consistente de toda a equipe executiva e, por sua vez, do restante da organização.
“Para concluir o SOC 2, tivemos que utilizar recursos significativos, especialmente em nossas equipes técnicas – Desenvolvimento, Engenharia e Segurança”, diz ele. “Se o CTO e a liderança da equipe de tecnologia não tivessem aceitado a necessidade de passar por esse processo, estaríamos perdidos. Portanto, um conselho que eu daria a qualquer organização que esteja pensando em adotar o SOC 2 é garantir que você tenha feito o trabalho de vender a importância do SOC 2 internamente e obter a adesão da alta liderança da empresa.”
“Eu realmente acho que encontrar um sistema GRC que tenha as integrações e recursos certos para o seu negócio é um ótimo ponto de partida,” Penland acrescenta. “Também acho que agir rapidamente para identificar seu auditor e começar a trabalhar com ele, antes de você achar que está realmente pronto, também é uma boa ideia. Achamos que o trabalho de prontidão para a pré-avaliação concluído pelo nosso auditor foi inestimável para nos ajudar a identificar os passos exatos que precisávamos seguir para estar prontos para começar nosso período de observação.”
Também foi importante escolher um auditor familiarizado com operações como as da Kinsta.
“A Kinsta é uma empresa de tecnologia moderna”, explica Penland. “Todo o nosso negócio é executado na nuvem, não temos escritórios e nossa equipe está espalhada por todo o mundo. “Se tivéssemos optado por um auditor, que estava acostumado a trabalhar apenas com empresas tradicionais e infraestrutura local, poderia ter sido uma experiência muito ruim tanto para nós quanto para o auditor.”
Resumo
Com um número crescente de clientes em potencial exigindo conformidade com o SOC 2 de seus provedores de hospedagem na nuvem, a Kinsta se comprometeu a atender aos critérios de segurança da estrutura no outono de 2022 e realizou sua primeira auditoria bem-sucedida em agosto de 2023. Ao longo do caminho, a empresa ajustou várias políticas e procedimentos e adotou uma plataforma de terceiros para automatizar alguns monitoramentos de governança, risco e conformidade.
O diretor de operações da Kinsta, Jon Penland, diz que o processo de trabalhar para obter o relatório SOC 2 também deu à empresa a oportunidade de aprimorar sua postura de segurança de “maneiras tangíveis e significativas”
A empresa pretende expandir o número de critérios SOC 2 a serem auditados e tornar o monitoramento da conformidade um processo contínuo.
Lembre-se de verificar o status do SOC 2 da Kinsta usando a página Relatório de Confiança.
Se você ainda não é um cliente, descubra os serviços de Hospedagem de WordPress, Hospedagem de Aplicativos e Hospedagem de Banco de Dados protegidos pela conformidade SOC 2 da Kinsta.
Deixe um comentário