Cómo SSPM simplifica su auditoría de postura de seguridad SOC2 SaaS

SaaS Security Noticias

Un contador y un experto en seguridad entran en un bar… SOC2 no es broma.

Ya sea que sea una empresa pública o privada, probablemente esté considerando someterse a una auditoría de Controles de organización de servicios (SOC). Para las empresas que cotizan en bolsa, estos informes son requeridos por la Comisión de Bolsa y Valores (SEC) y ejecutados por un Contador Público Certificado (CPA). Sin embargo, los clientes a menudo solicitan informes SOC2 como parte de su proceso de diligencia debida del proveedor.

De los tres tipos de informes SOC, SOC2 es el estándar para aprobar con éxito los requisitos reglamentarios e indica una alta seguridad y resiliencia dentro de la organización, y se basa en los requisitos de certificación del Instituto Estadounidense de Contadores Públicos Certificados (AICPA). El propósito de este informe es evaluar los sistemas de información de una organización relacionados con la seguridad, la disponibilidad, la integridad del procesamiento, la confidencialidad y la privacidad, durante un período de tiempo (aproximadamente de seis a doce meses).

Como parte de una auditoría SOC2, es necesario realizar comprobaciones de seguridad en la pila de SaaS de la empresa que buscarán configuraciones mal configuradas, como detección y monitoreo, para garantizar la efectividad continua de los controles de seguridad de la información y evitar el acceso no autorizado/inapropiado a activos físicos y digitales y ubicaciones.

Si está comenzando o en un viaje de auditoría SOC2, entonces una solución SSPM (SaaS Security Posture Management) puede optimizar el proceso y acortar el tiempo que lleva pasar una auditoría SOC2 con éxito, cubriendo completamente su postura de seguridad SaaS.

Aprenda a optimizar el cumplimiento de SOC2 de su organización

¿Qué son los Criterios de servicios de confianza (TSC) de AICPA?

Cuando los auditores externos participan en una auditoría SOC 2, necesitan comparar lo que está haciendo con una larga lista de requisitos establecidos de AICPA TSC. Los «controles comunes» se dividen en cinco grupos:

  • Seguridad – Incluye sub controles de Acceso Lógico y Físico (CC6)
  • Disponibilidad – Incluye subcontroles de las Operaciones del Sistema (CC7)
    • Integridad del procesamiento: Incluye subcontroles de las Operaciones del Sistema (CC7)
    • Confidencialidad: Incluye subcontroles del Acceso Lógico y Físico (CC6)
    • Intimidad – Incluye subcontroles de las Actividades de Monitoreo (CC4)

      Dentro de cada control común hay un conjunto de controles secundarios que convierten el estándar general en tareas procesables.

      Pasar una auditoría SOC 2 requiere mucho tiempo, esfuerzo y documentación. Durante una auditoría SOC2, no solo debe demostrar que sus controles funcionan durante el período de auditoría, sino que también debe demostrar que tiene la capacidad de monitorear continuamente su seguridad.

      Pasar por todo el marco de TSC es demasiado largo para una publicación de blog. Sin embargo, una mirada rápida a un par de controles de acceso lógico y físico (CC6) y operaciones del sistema (CC7) le da una idea de cómo se ven algunos de los controles y cómo puede utilizar un SSPM para facilitar la auditoría SOC2.

      Obtenga una demostración de 15 minutos de cómo un SSPM puede ayudarlo en su auditoría de TSC SOC 2

      Controles de acceso lógico y físico

      Esta sección establece los tipos de controles necesarios para evitar el acceso no autorizado o inapropiado a ubicaciones y activos físicos y digitales. Administrar los permisos de acceso, la autenticación y la autorización de los usuarios en todo el estado de SaaS plantea muchos desafíos. De hecho, a medida que busca proteger sus aplicaciones en la nube, la naturaleza distribuida de los usuarios y la administración de las diferentes políticas de acceso se vuelven cada vez más desafiantes.

      Bajo el control CC6.1, las entidades deben:

      • Identificar, clasificar y administrar los activos de información
      • Restringir y administrar el acceso de los usuarios
      • Considere la segmentación de la red
      • Registrar, autorizar y documentar nueva infraestructura
      • Complemente la seguridad mediante el cifrado de datos en reposo
      • Proteger las claves de cifrado

      Ejemplo

      El departamento que utiliza una aplicación SaaS suele ser el que la compra y la implementa. Marketing podría implementar una solución SaaS para monitorear clientes potenciales mientras que ventas implementa CRM. Mientras tanto, cada aplicación tiene su propio conjunto de capacidades y configuraciones de acceso. Sin embargo, es posible que estos propietarios de SaaS no estén capacitados en seguridad o no puedan monitorear continuamente la configuración de seguridad de la aplicación, por lo que el equipo de seguridad pierde visibilidad. Al mismo tiempo, es posible que el equipo de seguridad no conozca el funcionamiento interno del SaaS como el propietario, por lo que es posible que no comprenda casos más complejos que podrían conducir a una brecha de seguridad.

      Una solución SSPM, mapea todos los permisos de usuario, encriptación, certificados y todas las configuraciones de seguridad disponibles para cada aplicación SaaS. Además de la visibilidad, la solución SSPM ayuda a corregir cualquier error de configuración en estas áreas, teniendo en cuenta las funciones y la facilidad de uso únicas de cada aplicación SaaS.

      En el control CC.6.2, las entidades deben:

      • Cree credenciales de acceso a activos basadas en la autorización del propietario del activo del sistema o del custodio autorizado
      • Establezca procesos para eliminar el acceso de credenciales cuando el usuario ya no requiera acceso
      • Revisar periódicamente el acceso de personas innecesarias e inapropiadas con credenciales

      Ejemplo

      Las variaciones de permisos ocurren cuando un usuario tiene ciertos permisos como parte de la membresía de un grupo, pero luego se le asigna un permiso específico que tiene más privilegios que los que tiene el grupo. Con el tiempo, muchos usuarios obtienen permisos adicionales. Esto socava la idea de aprovisionamiento mediante grupos.

      Problemas clásicos de desaprovisionamiento, una solución SSPM puede detectar usuarios inactivos y ayudar a las organizaciones a remediar rápidamente o, al menos, alertar al equipo de seguridad sobre el problema.

      Bajo el control CC.6.3, las entidades deben:

      • Establecer procesos para crear, modificar o eliminar el acceso a la información y los activos protegidos
      • Usar controles de acceso basados ​​en roles (RBAC)
      • Revise periódicamente los roles de acceso y las reglas de acceso

      Ejemplo

      Es posible que esté administrando 50 000 usuarios en cinco aplicaciones SaaS, lo que significa que el equipo de seguridad necesita administrar un total de 250 000 identidades. Mientras tanto, cada SaaS tiene una forma diferente de definir identidades, verlas y asegurar identidades. Además del riesgo, las aplicaciones SaaS no siempre se integran entre sí, lo que significa que los usuarios pueden encontrarse con diferentes privilegios en diferentes sistemas. Esto conduce a privilegios innecesarios que pueden crear un riesgo de seguridad potencial.

      Una solución SSPM permite la visibilidad de los privilegios de los usuarios y los permisos confidenciales en todas las aplicaciones SaaS conectadas, destacando la desviación de los grupos y perfiles de permisos.

      Operaciones del sistema

      Esta sección se enfoca en la detección y el monitoreo para garantizar la efectividad continua de los controles de seguridad de la información en todos los sistemas y redes, incluidas las aplicaciones SaaS. La diversidad de aplicaciones SaaS y el potencial de configuraciones incorrectas hace que cumplir con estos requisitos sea un desafío.

      En el control CC7.1, las entidades deben:

      • Definir estándares de configuración
      • Supervisar la infraestructura y el software en busca de incumplimiento de los estándares.
      • Establezca mecanismos de detección de cambios para alertar al personal sobre modificaciones no autorizadas para sistemas críticos, configuración o archivos de contenido.
      • Establecer procedimientos para detectar la introducción de componentes conocidos o desconocidos
      • Realice exploraciones periódicas de vulnerabilidades para detectar posibles vulnerabilidades o configuraciones incorrectas

      No es realista esperar que el equipo de seguridad defina un «estándar de configuración» que cumpla con SOC2 sin compararlo con una base de conocimiento integrada de todas las configuraciones incorrectas de SaaS relevantes y que cumpla continuamente con SOC2 sin utilizar una solución SSPM.

      Obtenga una demostración de 15 minutos para ver cómo una solución SSPM automatiza su postura de seguridad SaaS para SOC2 y otros estándares.

      David
      Rate author
      Hackarizona