%20(7).jpg?width=300&name=Blog%20CTAs%20(560%20%C3%97%20360%20px)%20(7).jpg)
Daly City, CA - miércoles, 10 de mayo de 2023 - AKTEK Inc. anuncia hoy que ha obtenido la certificación SOC2 Tipo II de acuerdo con los estándares del American Institute of Certified Public Accountants (AICPA) para Controles de Organización de Servicios (SOC por sus siglas en inglés) para organizaciones de servicios, también conocido como SSAE 18.
AKTEK Inc. fue auditado por Prescient Assurance, líder en garantía de seguridad y cumplimiento para empresas de SAAS B2B en todo el mundo.
Prescient Assurance es una firma de contabilidad pública registrada en los Estados Unidos y Canadá. Proporciona servicios de gestión de riesgos y garantía, incluyendo SOC2, PCI, ISO, NIST, GDPR, CCPA, HIPAA y CSA STAR.
La confianza ha sido una parte fundamental de la misión de AKTEK desde la creación de su producto estrella AKTEK iO.
El año pasado, iniciamos un programa en busca de Controles de Organización de Servicios (SOC), lo que resultó ser evidencia para comunicar esta confianza a nuestros clientes y socios.
¿Qué es una Certificación de Cumplimiento SOC2 Tipo II?
El SOC2 Tipo II es un informe sobre los controles en una organización de servicios relevantes para la seguridad, disponibilidad, integridad de procesamiento, confidencialidad o privacidad.
Los informes SOC2 están destinados a satisfacer las necesidades de una amplia gama de usuarios que necesitan información detallada y garantía sobre los controles en una organización de servicios relevantes para la seguridad, disponibilidad e integridad de procesamiento de los sistemas que la organización de servicios utiliza para procesar los datos de los usuarios y la confidencialidad y privacidad de la información procesada por estos sistemas.
¿Qué significa la certificación SOC2 Tipo II para nuestros clientes?
El cumplimiento del SOC2 Tipo II se está volviendo cada vez más importante para clientes en diversas industrias, especialmente aquellos que dependen de software y servicios que operan en la nube.
cumplir con el SOC2 Tipo II, nuestros clientes pueden estar tranquilos de que estamos tomando las medidas necesarias para proteger la confidencialidad de sus datos a través de un plan robusto de seguridad.
El Camino hacia la Certificación
Los controles requeridos por los criterios de servicios de confianza establecidos por AICPA para el informe SOC2 no son ajenos a las operaciones cotidianas de AKTEK.
Implementamos la mayoría de estos controles por diseño, especialmente en áreas de seguridad del producto.
Lo que necesitaba hacerse entonces era organizar y recopilar evidencia de las medidas implementadas.
Por ejemplo, AKTEK mantenía un registro activo de riesgos antes del inicio de nuestro proceso de cumplimiento.
Por lo tanto, tal requisito no apareció en nuestro análisis de brechas, y cumplimos con los requisitos para este control migrando nuestros datos a nuestra plataforma de automatización de cumplimiento para que los auditores pudieran inspeccionarlos.
Adicionalmente, garantizar la seguridad de los dispositivos en un entorno de trabajo remoto es un desafío.
Se deben implementar medidas de seguridad cuidadosas para evitar convertir la computadora personal de un empleado en una posible puerta de entrada para atacantes.
Además, las estaciones de trabajo con las que trabajan los empleados y contratistas suelen ser móviles, lo que da lugar a la posibilidad de que cualquier lugar lo suficientemente cómodo para trabajar, privado o público, pueda constituir un espacio temporal de oficina.
Aquí en AKTEK, redactamos un conjunto de medidas que pueden abordar las preocupaciones mencionadas anteriormente y recopilamos evidencia relevante para presentar a nuestros auditores, ya sea manualmente o a través de nuestro panel de gestión de dispositivos móviles (MDM). Estas medidas incluyen:
- Definir los requisitos de seguridad e incluirlos en nuestras políticas: Se han actualizado políticas como nuestra política de trabajo remoto para reflejar los requisitos de seguridad recomendados para las estaciones de trabajo remotas. Luego, se comunican estas políticas a los empleados y contratistas para su reconocimiento y firma. Se requiere que todos los miembros del personal divulguen su ubicación de trabajo inicialmente y siempre que cambien esta ubicación y la razón detrás de este cambio. Además, no deben esperar a tener privacidad en los dispositivos o cuentas para acceder a los recursos de la empresa.
- Se utiliza una solución de gestión de dispositivos móviles (MDM) y se instala un agente en cada dispositivo remoto para comprobar que el entorno del usuario esté implementando los requisitos de seguridad, como la encriptación del disco duro.
- El principio de "menor privilegio" está en vigor para todo el acceso concedido a los recursos de AKTEK, y se mantiene un registro de quién tiene acceso a qué recurso, el cual se revisa mensualmente. Esto reducirá la probabilidad de encontrar intentos de movimiento lateral, escalada de privilegios o exfiltración de datos.
- AKTEK ofrece a sus empleados un conjunto de alternativas para cumplir cada requisito de seguridad. Todos los inconvenientes o deficiencias de una solución en particular se comunican al ingeniero de seguridad de AKTEK, responsable de encontrar una solución alterna, compatible con el entorno del usuario y con los estándares de seguridad y los procedimientos de auditoría.
- El monitoreo no intrusivo de los dispositivos de los usuarios fue fundamental para llegar al cumplimiento de las políticas de seguridad de la información de AKTEK. Se adoptó esta medida para evitar obstaculizar la productividad del personal mediante la realización de verificaciones periódicas en los usuarios con un solo conjunto de preguntas en lugar de una interrogación y solicitud de evidencia continua. Los agentes instalados en cada dispositivo informan sus hallazgos a un panel supervisado por el ingeniero de seguridad de AKTEK.
- Se alienta a los empleados a detener sus actividades relacionadas con el trabajo y tomar un descanso si su ubicación de trabajo principal se ve afectada por circunstancias ambientales. Si se interrumpe el acceso a Internet en la ubicación de trabajo principal, se puede ir a una cafetería pública para acceder a Internet, pero generalmente se desaconseja llevar a cabo actividades laborales, especialmente reuniones y eventos en lugares públicos. Los puntos de acceso no autorizados, las redes Wi-Fi inseguras y el espionaje visual son algunas de las amenazas que surgen en los espacios públicos. Un empleado o contratista puede tomar un descanso y compensar el tiempo cuando sea posible y hasta que se resuelvan los problemas. Para circunstancias graves, se puede cambiar a una ubicación de trabajo secundaria y comunicar el cambio directamente con el equipo.
Políticas y Procedimientos de AKTEK
El informe SOC2 Tipo II se centra en las políticas de una empresa y verifica que los controles estén en su lugar para abordar los compromisos hechos de acuerdo a esas políticas.
Estas políticas actúan como la fuente de verificación para la seguridad de la información, la gestión de recursos humanos y la gestión de riesgos, por nombrar algunos.
En AKTEK, hemos creado nuestra plataforma de gestión de políticas para redactar, revisar y realizar un seguimiento de los cambios y el historial.
Las políticas de AKTEK se centran en implementar medidas realistas en lugar de proporcionar literatura sobre lo que se debe hacer.
Cada política tiene un propietario responsable de su contenido, quien realiza un seguimiento de su aplicación y realiza revisiones anuales con las partes interesadas.
Conclusiones
Aunque las implementaciones técnicas, la recolección de evidencia y la revisión de políticas ocupan la mayor parte del tiempo en la certificación SOC2, la comunicación sigue siendo el factor más crítico.
Los miembros del equipo de todos los departamentos, especialmente aquellos que trabajan en ingeniería y tienen poco o ningún tiempo para hacer "papeleo", deben estar al tanto del proceso y tener visibilidad del mismo para garantizar la aceptación y la colaboración proactiva.
El equipo de confianza e implementación debe evitar distribuir tareas arbitrariamente y hacer todo lo posible para organizar la recolección de evidencia.
Las reuniones aleatorias y los correos electrónicos innecesarios pueden obstaculizar la productividad del equipo y rara vez contribuyen a la misión.
Dicho esto, el equipo de implementación de AKTEK se centró en reuniones informativas semanales, compactas y directas, y entregó los requisitos a través de la jerarquía de equipo establecida.
En AKTEK, realizamos auditorías internas sobre estándares que consideramos capaces de mejorar nuestro sistema y fomentar la confianza con nuestros clientes, ya que esa es la base de cualquier buena asociación.
El resultado de este proceso, además de la certificación en sí, es un compromiso renovado para toda la empresa con la seguridad, la organización y el cumplimiento.
