3 điều CTO nên biết về việc tuân thủ SOC 2

Mike DeKock , Người sáng lập và Giám đốc điều hành tại cố vấn MJD

Khi bảo mật dữ liệu tăng lên cùng với nhu cầu niêm phong hệ thống trước làn sóng tấn công mạng tràn lan, ngày càng có nhiều công ty khởi nghiệp xem báo cáo SOC 2 để chứng minh tình trạng vệ sinh mạng của họ với khách hàng. Nhiều người thậm chí còn làm điều đó để nâng cao khả năng của họ cơ hội kinh doanh . Tuy nhiên, bạn vẫn có thể gặp khó khăn về quy trình kiểm tra vì nó được mô tả là một yêu cầu khó khăn mà bạn muốn tránh.

Sự thật là lĩnh vực tuân thủ đã trải qua những thay đổi lớn trong những năm gần đây để điều chỉnh theo nhu cầu kinh doanh, thay đổi hoàn toàn cách các công ty có thể chứng minh tính bảo mật dữ liệu của mình. Ví dụ: việc thu thập bằng chứng không còn được thực hiện thủ công nữa, việc này trước đây đòi hỏi rất nhiều công sức và thời gian của những người liên quan. Phần mềm quản trị, rủi ro và tuân thủ (GRC) hiện tự động hóa các tác vụ đó để chạy ở phía sau hoạt động của bạn — đây cũng là một thị trường đang bùng nổ được ước tính sẽ tạo ra 37,63 tỷ USD trong vòng bốn năm tới.

Tuy nhiên, những quan niệm sai lầm vẫn tăng cao, thậm chí các công ty còn phải dùng đến việc thay đổi hình thức hoạt động chỉ sau một đêm để làm hài lòng các kiểm toán viên thay vì làm điều đó vì lợi ích kinh doanh của họ. Mặc dù tạm thời hữu ích nhưng đây không phải là điều mà việc tuân thủ tốt sẽ mang lại cho bạn. Thay vào đó, nó sẽ giống như một công cụ tăng tốc tăng trưởng thể hiện các phương pháp hay của bạn và tạo ra sự thay đổi tích cực trong tổ chức của bạn.

Vì vậy, nếu bạn là CTO, kỹ sư cấp cao hoặc bất kỳ lãnh đạo doanh nghiệp nào khác chịu trách nhiệm tuân thủ dữ liệu, đã đến lúc chúng tôi vạch trần và làm rõ ba điều để bạn tự tin thực hiện bài kiểm tra SOC 2.

Những gì bạn biết về SOC 2 đã là quá khứ

Trong khi lịch sử của SOC 2 kéo dài trở lại những năm 1970 , đây là một tiêu chuẩn tuân thủ tương đối mới được thiết lập vào năm 2010. Đã gần 15 năm trôi qua nhưng quy trình này chỉ có sự thay đổi đáng kể trong vài năm gần đây. Nó không chứa đầy những màn hình in vô tận và hết mẫu câu hỏi bảo mật này đến mẫu khác. Tuy nhiên, đây là cách mà đa số mọi người vẫn cảm nhận được sự tuân thủ.

Hầu hết các quan niệm sai lầm đều thiếu bối cảnh hoặc đã lỗi thời. Ngày nay, nhờ các công cụ quản lý tuân thủ, quá trình này trở nên dễ dàng và suôn sẻ hơn nhiều. Các chương trình này chuyên tự động hóa các tác vụ thủ công và tốn thời gian để các tác vụ được tự động hóa và thực hiện không đồng bộ, loại bỏ nhu cầu tổ chức các cuộc họp kéo dài và tình trạng kinh doanh chậm lại để đáp ứng các yêu cầu SOC 2.

Ví dụ: một số nền tảng GRC kết nối với các công cụ dành cho nhà phát triển phổ biến như GitHub để giám sát hoạt động hàng ngày của họ nhằm mục đích tuân thủ mà không liên tục làm gián đoạn quy trình làm việc của họ. Những công cụ này đã giảm đáng kể thời gian cần thiết để thực hiện các hoạt động kiểm toán phức tạp, thay vào đó mang lại giá trị và hiệu quả cho chúng.

Nhiệm vụ tự động hóa cũng giúp giảm bớt gánh nặng cho kiểm toán viên, cho phép họ dành nhiều thời gian hơn cho nhiệm vụ phân tích. Cách tiếp cận tuân thủ mang tính kỹ thuật cao của họ cũng đã giúp họ hiểu nội dung của chương trình họ đang kiểm tra. Do đó, họ đã phát triển thành những chuyên gia có thể hỗ trợ các doanh nghiệp áp dụng các biện pháp bảo mật dữ liệu tốt hơn và các công cụ GRC để luôn tuân thủ ngoài SOC 2.

SOC 2 không đòi hỏi nhiều yêu cầu như bạn nghĩ

Giữa tất cả các yêu cầu tuân thủ mà các công ty công nghệ phải hoàn thành, có điều gì đó về SOC 2 đã bị hiểu sai. Trái ngược với các cuộc kiểm toán cứng nhắc hơn khác, báo cáo SOC 2 được định hình dựa trên nhu cầu của công ty mà ngành và cơ sở khách hàng của họ phải đối mặt, chứ không phải là danh sách kiểm tra các điều kiện tiêu chuẩn mà bạn phải đáp ứng. Nói tóm lại, chính các doanh nghiệp là người đưa ra các quy tắc để thể hiện những cam kết bảo mật mà họ đã đưa ra với khách hàng của mình.

Mặc dù điều này nghe có vẻ trái ngược với ý nghĩa của việc tuân thủ - trong đó mọi người cần tuân thủ các thực tiễn rất cụ thể do cơ quan quản lý ủy quyền - nhưng sự tự do này thực sự là điều khiến SOC 2 trở thành một báo cáo tuân thủ thành công. Đó cũng là điều khiến các công ty Bắc Mỹ trong các ngành như SaaS ưa thích nó hơn các câu hỏi bảo mật.

Cách tiếp cận này có lợi vì, với tư cách là một khuôn khổ bảo mật, SOC 2 nhận ra tất cả các công ty hoạt động khác nhau, phục vụ các khách hàng đa dạng và cung cấp nhiều loại sản phẩm hoặc dịch vụ. Sẽ không thể mong đợi mọi người đều tuân theo những yêu cầu giống nhau. Ví dụ: một công ty công nghệ giáo dục có thể tập trung vào kiểm soát quyền truy cập vào dữ liệu của sinh viên, trong khi một công ty dịch vụ tài chính có thể ưu tiên mã hóa dữ liệu cho các giao dịch tiền tệ.

Sự thật là SOC 2 sử dụng năm tiêu chí dịch vụ tin cậy , trong đó chỉ có một điều là bắt buộc (kiểm soát bảo mật). Khi gặp kiểm toán viên, bạn sẽ thảo luận về sản phẩm của mình và đánh giá những tiêu chí nào bạn phải đáp ứng và những tiêu chí nào bạn muốn loại bỏ. Hãy nhớ rằng, SOC 2 không bắt buộc mà là một quyết định kinh doanh sẽ mang lại lợi ích cho công ty của bạn, do đó, bạn phải hiểu nhu cầu của mình và lựa chọn một cách khôn ngoan những tiêu chí nào cần tuân thủ.

Đừng nâng cấp chỉ để làm hài lòng kiểm toán viên

Là một người đã làm việc trong lĩnh vực kiểm toán hàng chục năm, tôi đã chứng kiến tất cả. Một trong những điều tôi chứng kiến quá thường xuyên và các công ty chắc chắn nên hạn chế, đó là trang bị các công cụ bảo mật ngay trước kỳ thi chỉ để làm hài lòng kiểm toán viên. Cho dù bạn có giữ lại những công cụ đó sau khi hoàn thành báo cáo của mình hay không, bạn cũng không nên coi chúng như một miếng băng dán tạm thời để vượt qua bài kiểm tra.

SOC 2 kiểm kê các phương pháp và quy trình bạn đã thực hiện để cung cấp cho khách hàng và những người tiềm năng cái nhìn sâu sắc về tình hình bảo mật của bạn. Nếu bạn tạm thời sử dụng các chương trình như phát hiện xâm nhập, phân tích mã tĩnh và các công cụ quản lý lỗ hổng khác chỉ để kiểm tra, thì bạn sẽ khiến khách hàng thất vọng và thậm chí gây hiểu lầm cho khách hàng với báo cáo SOC 2 của mình. Cuối cùng, bạn có thể gây tổn hại cho công ty của mình bằng những hành vi lừa dối.

Thay vào đó, các CTO nên được khuyến khích ngồi lại với kiểm toán viên và minh bạch nhất có thể - họ ở đó để nêu bật những công việc tốt mà bạn đã làm chứ không chỉ ra những điểm yếu của bạn. Nếu bạn nhận được ngoại lệ, điều này có nghĩa là kiểm toán viên đã thực hiện tốt công việc của họ và cung cấp cho bạn giải pháp để cải thiện hoạt động của bạn và tuân thủ bảo mật dữ liệu tốt hơn.

Nếu có bất cứ điều gì, hãy cho phép kiểm toán là lý do bạn thực hiện các biện pháp bảo mật tốt, cho phép công ty của bạn đạt được các giao dịch tốt hơn và đạt được thành công lớn hơn trong tương lai. Ai sẽ không muốn điều đó?

Mặc dù chúng tôi hiểu rằng sự thay đổi nhận thức về SOC 2 sẽ không xảy ra trong một sớm một chiều, nhưng điều quan trọng là phải ủng hộ cách tiếp cận đổi mới của nó, giúp nhiều công ty hơn tham gia vào nó với sự tự tin hơn và sẵn sàng thể hiện các biện pháp bảo mật của họ. Các công ty kiểm toán đang nhanh chóng thích ứng với tốc độ của ngành công nghiệp khởi nghiệp và công nghệ, khiến việc tuân thủ trở thành một yêu cầu hợp lý gần như không giống như trước đây.