A validação de controles de dados por terceiros é importante para qualquer organização envolvida em serviços que requerem compartilhamento de informações
James Kupernik (*)
O atual conhecimento do padrão global para o manuseio seguro de dados conhecido como System and Organization Controls (SOC) é relativamente baixo em alguns países, mas essa situação deve mudar no próximo ano. Com a segurança de dados agora uma prioridade principal em todo o mundo, todas as empresas que coletam e compartilham informações devem ter SOC 2 em seu radar.
Porém, primeiro, é fundamental estabelecer os diferentes níveis dos relatórios disponíveis. Existem três relatórios de auditoria SOC diferentes – SOC 1, SOC 2 e SOC 3 – e dentro deles existem diferentes ‘Tipos’.
O SOC 1 examina os protocolos de relatórios financeiros de uma empresa; SOC 2 investiga como uma empresa se compromete e implementa controles internos em torno de um ou mais dos Critérios de Serviços de Confiança do Instituto Americano de Contadores Públicos Certificados (AICPA) em relação à disponibilidade, segurança, integridade de processamento, confidencialidade e privacidade; SOC 3 usa os mesmos critérios que SOC 2, mas o relatório é preparado para fins de ampla distribuição, por exemplo, no site de uma empresa para fins de marketing.
Os relatórios de auditoria SOC 1 e SOC 2 podem ser do Tipo I ou do Tipo II. A diferença é que o Tipo I é uma avaliação pontual dos controles e o Tipo II é uma avaliação da eficácia dos controles ao longo de um período de tempo, normalmente seis meses ou mais. O relatório de auditoria SOC 3 é sempre baseado nos resultados de uma avaliação SOC 2 Tipo II.
Das três opções, o relatório SOC 2 Tipo II é o mais aprofundado e rigoroso. Por isso, eu gostaria de oferecer alguns conselhos a outras organizações que estão iniciando a jornada do SOC, analisando mais profundamente o que é SOC 2, quem precisa e o que é preciso para alcançá-lo.
Uma auditoria SOC 2 fornece aos clientes e partes interessadas de uma organização uma garantia sobre a adequação e eficácia de seus controles de dados, com base em sua conformidade com os critérios de serviços de confiança estabelecidos pelo AICPA. Esses critérios são divididos em quatro categorias: controles de acesso lógico e físico, operações do sistema, gerenciamento de mudanças e mitigação de riscos. O SOC 2 não é uma certificação, mas sim um exame dos controles de dados de uma organização e a opinião de um terceiro credenciado sobre a adequação desses controles.
Quem precisa de uma auditoria SOC 2?
A validação de controles de dados por terceiros é importante para qualquer organização envolvida em serviços que requerem compartilhamento de dados. Uma auditoria SOC 2 pode tornar um fornecedor muito mais atraente para os clientes que antes gastavam muito tempo avaliando as práticas de dados do fornecedor para garantir que eles estivessem em dia. O relatório SOC 2 pode ser usado para entender rapidamente como o fornecedor opera e reduz a carga sobre o grupo de operações de segurança do cliente. Essa validação de terceiros pode ser uma aposta na conquista de novos negócios.
Os tipos de clientes que exigem que fornecedores ou parceiros provem controles de dados eficazes e apropriados por meio do SOC 2 variam muito. No passado, era mais provável que fossem grandes empresas americanas, mas empresas menores em todo o mundo estão começando a perceber o valor da auditoria terceirizada de controles de dados.
Não é necessariamente o tamanho da empresa que dita seus requisitos para controles de dados robustos e apropriados, mas sim outros fatores, como o impacto que a exposição da propriedade intelectual de uma empresa aos concorrentes no mercado pode ter.
As auditorias SOC 2 podem abranger cinco categorias de serviços de confiança. A única categoria obrigatória é a segurança, mas as organizações
também podem escolher ser auditadas quanto à disponibilidade, integridade de processamento, confidencialidade e privacidade.
Atender aos critérios para a categoria de serviços de confiança de segurança significa que “informações e sistemas são protegidos contra acesso não autorizado, divulgação não autorizada de informações e danos aos sistemas que podem comprometer a disponibilidade, integridade, confidencialidade e privacidade de informações ou sistemas e afetar a capacidade de cumprir seus objetivos.
Ao decidir quais categorias de serviços confiáveis serão auditadas, as organizações devem observar o tipo de dados que coletam e compartilham e determinar quais categorias são necessárias para mitigar os riscos para o serviço específico que fornecem. Se estiverem compartilhando informações pessoais identificáveis (PII) muito profundas sobre os usuários – funcionários e clientes, por exemplo – eles precisarão considerar a categoria de privacidade.
Para a maioria das organizações que trabalham com dados menos confidenciais – como um nome e endereço de e-mail que é usado apenas para criar uma conta – a categoria de segurança é uma primeira etapa ideal que os ajudará a garantir que tenham os sistemas e controles corretos em vigor.
Considerações antes de uma auditoria
É fácil para as organizações presumir que o processo de exame SOC 2 é puramente técnico, mas isso está longe de ser o caso. Enquanto os controles de segurança, desenvolvimento de software e gerenciamento de mudanças são avaliados, o escopo da estrutura em torno do SOC 2 se expandiu nos últimos anos, tornando o risco organizacional a base para o restante dos critérios e tornando a auditoria mais orientada para os negócios e processos.
Há todo um componente que avalia a organização, desde o conselho até a diretoria executiva, para entender como eles discutem e documentam os riscos, bem como sua estratégia e expectativas. Esse componente significa que é vital contar com a adesão total da empresa no início do processo SOC 2. O conselho e a equipe executiva devem ser capazes de demonstrar os controles que possuem para vários critérios por meio de documentos, como atas do conselho e avaliações de riscos organizacionais, tanto externos quanto internos.
De um ponto de vista mais técnico, uma das coisas mais importantes para entender o SOC 2 é que não há um único caminho para fazê-lo. As organizações precisam definir o que acreditam ser os controles e processos apropriados para garantir a segurança dos dados de seus negócios e, em seguida, apresentá-los aos auditores nos quais possam basear sua opinião. As organizações podem ir tão fundo ou superficial quanto quiserem em torno dos controles que implementam, já que a avaliação é baseada puramente na eficácia desses controles.
Há um risco de que as organizações tenham processos de engenharia excessiva para se adequar ao que elas acham que precisa ser feito, em vez de criar uma estrutura que seja certa para sua organização individual e atinja seus objetivos exclusivos de segurança de dados. Eles precisam entender quais dados possuem, determinar quais riscos representam para seus negócios e seus clientes, implementar controles apropriados para mitigar esses riscos e encontrar uma maneira de demonstrar eficácia. A mensagem para as organizações é ser você mesmo, assumindo, é claro, que você se preocupa com a segurança de dados.
Uma consideração final para aqueles que estão se preparando para realizar uma auditoria SOC 2 é a importância da documentação. A eficácia dos processos organizacionais só pode ser avaliada se eles forem devidamente documentados. Muitas organizações já estarão fazendo a maioria das coisas certas, mas se não estiverem escritas, não podem ser compartilhadas com auditores ou com a empresa em geral para aumentar o entendimento.
As organizações precisam documentar até mesmo os menores processos, portanto, uma das etapas iniciais na preparação para o SOC 2 é identificar a documentação que a empresa já possui e quaisquer lacunas potenciais que existem. Dependendo do tamanho da organização, a documentação pode ser manual para começar, mas a automação deve ser considerada para reduzir o atrito no processo e torná-lo o mais eficiente possível.
Melhores práticas
- Políticas e procedimentos da empresa em relação ao ciclo de vida de desenvolvimento de software;
- É importante demonstrar a segregação de funções;
- A mesma pessoa não pode fazer mudanças no código e empurrar essas mudanças para a produção unilateralmente;
- Use o recurso de proteção de ramificação do GitHub para impor aprovações de revisão de código;
- Rastreie todas as mudanças de código e infraestrutura com tickets de alteração em um software como o JIRA;
- Segurança de rede;
- Grupos de segurança, firewalls, etc. devem ser configurados para negar todos por padrão. Tenha um processo em que você precise explicitamente solicitar e revisar as portas que precisam ser abertas na rede;
- Acesso lógico;
- Clareza na política de controles de acesso em torno de privilégios mínimos;
- Padrões de criptografia;
- TLS 1.2 como o protocolo mínimo para comunicação criptografada;
- Backup e recuperação de desastres;
- Documente seus serviços essenciais e atribua um líder técnico para restaurar cada serviço no caso de um evento de DR,
- Teste esses controles pelo menos uma vez por ano.
O conhecimento do SOC 2 pode ser baixo no momento, mas isso está mudando à medida que os clientes priorizam cada vez mais a segurança de dados. Concluir um exame SOC 2 inevitavelmente ajudará as organizações a comprovar a eficácia de seus controles de dados e, por fim, ganhar mais negócios, portanto, agora é a hora de começar a se preparar.
(*) CTO da VidMob
Prezado James Kupernik,
Gostaria de parabenizá-lo pelo excelente artigo sobre o Sistema de Controle Organizacional, nos critérios e conceitos SOC. Diferenciação bem esclarecida entre um e outro, mas o ápice do seu artigo, na minha opinião, foi destacar que o sistema de controle de uma organização, é aquele que se julga adequado, dentro de uma métrica estabelecida, que esteja documentado, pois, essa é a evidência de avaliar se o que está no papel é o que de fato se pratica. Antes de me tornar um Consultor em Gestão Empresarial, fui executivo corporativo, de Finanças e Controladoria, por mais de 25 anos, e os temas como; controles, compliance, regulamentações, auditorias, etc, sempre estiveram no meu dia-dia, e sempre dizia que sistema de controle é como uma roupa confeccionada para o manequim específico. Não se pode aplicar um pacote de procedimentos ou sistema de controle internos/organizacional (pronto), em qualquer empresa. Muito obrigado pelo seu comentário, suas instruções, orientações e sobretudo, o compartilhamento de sua experiência neste tema.
Cordialmente,
Roberto C Sá