Una mirada al interior de la evolución de los procesos SOC 2 de Threat Stack

Año 1: Construyendo la Fundación

En el año 1 (2017), elegimos SOC 2 porque somos una empresa de seguridad que ayuda a los clientes con el cumplimiento de SOC 2 y creemos que es importante dar el ejemplo completando el examen nosotros mismos. Elegimos el Tipo 2 en lugar del Tipo 1 porque demuestra un proceso mucho más riguroso, así como una prueba de adherencia continua. Como afirmó Sam Bisbee, director de seguridad de Threat Stack: Al elegir el Tipo 2, enviamos al mercado una señal mucho más contundente de que podemos mantener nuestras propias afirmaciones de 'cumplimiento continuo' al operar con esa política internamente.

Una vez que nos comprometimos a obtener el certificado SOC 2 Tipo 2, utilizamos el período anterior al examen para construir una base sólida de controles, procesos y gobernanza. En concreto, implementamos nuevas políticas y tecnologías para fortalecer nuestra infraestructura e inculcar seguridad en cada fase del desarrollo de productos. Además, aprovechamos la oportunidad para integrar mejor a nuestro equipo de Seguridad dentro de nuestras prácticas de DevOps. Por último, creamos herramientas para integrar las expectativas SOC 2 en nuestros procesos automatizados para garantizar que los controles necesarios se incorporaran a nuestro proceso de desarrollo en lugar de agregarse como un obstáculo al final. 

Los resultados: Al aprobar el examen sin excepciones, demostramos que se podía confiar en que Threat Stack Cloud Security Platform®, las personas detrás de ella y los procesos implementados cumplirían continuamente con estrictos estándares de cumplimiento. 

Año 2: Establecer una función de GRC dedicada y optimizar procesos 

Si bien el primer año fue todo un éxito, quedó claro que podríamos lograr los mismos resultados o mejores de una manera aún más rigurosa y eficiente en el futuro. Con esto en mente, utilizamos el Año 2 para:

• Cree un enfoque distribuido a nivel de toda la empresa para respaldar las auditorías mediante la creación de una función dedicada a la gobernanza, el riesgo y el cumplimiento (GRC) dentro de nuestro equipo de Seguridad, aprovechando los equipos de Ingeniería, Operaciones y Seguridad de la plataforma.
• Diseñar y ejecutar una auditoría interna rigurosa antes de la evaluación formal SOC 2 en el sitio para evaluar y mejorar la efectividad de extremo a extremo de nuestros controles, políticas y procesos, y para determinar qué herramientas podríamos construir o aprovechar para lograr una mayor precisión y eficiencia. 

La recompensa fue significativa. No sólo fortalecimos nuestra gobernanza y base subyacente, sino que también continuamos mejorando nuestros procesos internos antes del examen oficial. Si bien nuestro examen interno tardó aproximadamente un mes en completarse, el examen oficial sólo requirió que los auditores estuvieran presentes en el lugar durante tres días. (De hecho, redujimos el tiempo que los auditores necesitaban estar en el sitio porque la auditoría interna nos había preparado para identificar y extraer rápidamente la evidencia que los auditores necesitaban).

Los resultados: ¡Procesos optimizados, una visita in situ más corta y un examen exitoso sin excepciones!

Año 3: Ampliando nuestro alcance e incorporando nuevos controles

El tercer año fue interesante y desafiante. Se podría suponer que dos exámenes exitosos y sin excepciones facilitarían la obtención de un tercero. Pero dado el cambio constante que caracteriza a la industria de la ciberseguridad en general, y el cambio y crecimiento que hemos experimentado en Threat Stack, este definitivamente no fue el caso. Para abordar los desafíos que plantearon los cambios en el alcance y la introducción de nuevos controles, centramos nuestros esfuerzos en tres áreas:

• Validación de los controles y monitoreo existentes: Si bien hemos construido y mejorado una base sólida de políticas, procedimientos y controles en nuestros primeros dos años, eso por sí solo no garantiza el cumplimiento continuo (y por lo tanto existe un requisito de reexaminación anual). Anticipándonos a esto, nos aseguramos de incorporar controles y auditorías internas que nos permitieran validar la eficacia de nuestros procesos existentes y también demostrar fácilmente el cumplimiento a los examinadores. En resumen, adoptamos un enfoque proactivo que nos permitió probar nuestros sistemas antes del examen, garantizando así la eficacia y el cumplimiento de principio a fin. Al integrar estos procesos en operaciones estándar, pudimos garantizar que mantener el cumplimiento continuo fuera un facilitador del trabajo y no un complemento que consumiera mucho tiempo al final.
• Ampliando el alcance de nuestra gobernanza para incluir nuevas funcionalidades: Siempre que cambia el alcance de la funcionalidad de una organización, es esencial garantizar que la nueva funcionalidad cumpla con las mismas políticas y procedimientos que rigen el resto de la organización. En nuestro caso, Threat Stack implementó una nueva solución unificada de monitoreo de seguridad de aplicação a mediados de 2019, como parte integral de la plataforma de seguridad en la nube Threat Stack. En consecuencia, era esencial garantizar que esto se estuviera supervisando y controlando adecuadamente y que pudiéramos demostrarlo a los examinadores y proporcionar evidencia apropiada para respaldar nuestra demostración. Por lo tanto, incluimos de forma proactiva la funcionalidad de seguridad de la aplicação dentro del alcance de nuestras actividades de gobernanza SOC 2 para garantizar que el equipo responsable de la seguridad de las aplicaciones abordara todas nuestras políticas y procedimientos, incluido nuestro proceso de gestión de cambios.
• Proporcionar evidencia de cumplimiento con controles adicionales: Como parte de nuestra inspección de 2019, se nos informó que tendríamos que proporcionar evidencia de cumplimiento con una serie de controles adicionales. Una de ellas era la capacidad de “evaluar y gestionar los riesgos relacionados con proveedores y socios comerciales”.
  
  Las organizaciones recurren cada vez más a proveedores calificados. La responsabilidad de estos proveedores, por supuesto, no se externaliza. La responsabilidad permanece dentro de su organización, y es esencial que incluya a los proveedores dentro de su programa de gestión de proveedores y los gobierne con las mismas políticas, procedimientos y controles que utiliza en el resto de su empresa. Una vez más, debido a que Threat Stack había adoptado un enfoque proactivo para la gestión de proveedores externos, pudimos demostrar que ya teníamos implementada una política de gestión de proveedores adecuada. Básicamente, nuestro sistema GRC garantizó que hubiéramos anticipado esta eventualidad y tenido en cuenta los requisitos de gestión de proveedores.

La creación de un marco sólido para gobernar el cumplimiento de SOC 2 y al mismo tiempo mantener la flexibilidad ha permitido a Threat Stack adaptarse positivamente a los cambios en la naturaleza y el alcance de sus operaciones, y garantizar que el cumplimiento continuo haya sido un desafío gratificante. A medida que continuamos validando nuestra base y nos adaptamos al cambio, reforzamos continuamente nuestra postura de seguridad mientras optimizamos nuestras políticas y procedimientos operativos. Como tal, el cumplimiento se ha convertido en un potenciador y facilitador de negocios netos que nos permite beneficiarnos internamente mientras transmitimos valor a nuestros clientes a través de la Plataforma de Seguridad en la Nube Threat Stack, así como a través de los aprendizajes que compartimos con ellos.

Además de su propio examen Tipo 2 SOC 2, Threat Stack ayuda a sus clientes a simplificar la gestión del cumplimiento de la nube con observabilidad de seguridad de nube de pila completa, monitoreo continuo, alertas, investigación y verificación de la infraestructura de nube a través de nuestra Plataforma de seguridad en la nube.