SOC 2 denetimi: Nedir, nasıl ve neden yapılır?

Bu yazıda SOC 2 denetiminin ne olduğunu, neden bu denetimden geçtiğimizi ve bu sürecin nasıl işlediğini anlatacağız.

Eugene Kaspersky blog sayfasından veya resmi basın açıklamamızdan duymuş olabileceğiniz üzere, yakın zamanda SOC 2 denetiminden başarıyla geçtik. Eğer bu denetimin ne demek olduğunu ve neden tamamlanması gerektiğini bilmiyorsanız, bu yazıda gerekli bilgileri bulacaksınız.

SOC 2 denetimi nedir?

Hizmet ve Kuruluş Denetimleri 2 (SOC 2), herhangi bir hizmet sunan BT kuruluşlarının idare prosedürlerinin bir tür denetimini ifade eder. Temel olarak SOC 2, siber güvenlik risk yönetimi sistemlerine yönelik uluslararası bir raporlama standardıdır. Amerikan Yeminli Mali Müşavirler Enstitüsü (AICPA) tarafından geliştirilen bu standart 2018 yılı Mart ayında güncellenmişti.

Bu yazıda, güvenlik denetim mekanizmalarının tek bir sistem altında etkin bir şekilde kurulduğunu belgeleyen SOC 2 Tür 1 denetimini anlatacağız. Bu denetim kapsamında, üçüncü taraf denetçiler risk yönetim sistemimizi inceleyerek yürürlükte ne gibi uygulamalarımızın olduğunu, belirtilen prosedürlere ne kadar uyduğumuzu ve süreç boyunca olan değişiklikleri nasıl kayıt altına aldığımızı incelediler.

Peki neden bu denetimlerden geçmemiz gerekiyor?

Herhangi bir hizmet sunan her türlü şirket, müşterilerine tehdit oluşturma potansiyeline sahiptir. Her bakımdan yasal bir şirket dahi, saldırı gerçekleştirmek için kullanılan bir tedarik zincirinde bağlantı işlevi görebilir. Ancak bilgi güvenliği alanında çalışan şirketlere çok daha büyük bir sorumluluk düşmektedir: Bu şirketlerin ürünlerinin, kullanıcı bilgi sistemlerine en yüksek düzeyde erişmesi gerekmektedir.

Bu sebeple, zaman zaman müşterilerin, özellikle de büyük kurumsal şirketlerin son derece makul olan şu soruları sormaları beklenebilir: Bu hizmetlere ne kadar güvenebiliriz? Kullandığımız bu hizmetlere yönelik ne tür şirket içi politikalar mevcut? Birisi ürünleriyle veya bunlarla ilişkili hizmetleriyle bize zarar verebilir mi?

Şaşırtıcı nokta ise şu: Vereceğimiz cevapların hiçbir önemi yok, çünkü bizim veya başka bir şirketin cevabı kulağa her zaman tatmin edici gelebilir. İşte bu yüzden, dışardan uzman görüşü için harici denetçilere başvuruyoruz. Müşterilerimizin ve iş ortaklarımızın, ürünlerimiz ve hizmetlerimizin güvenilir olduğu konusunda kafalarında hiçbir şüphe olmaması bizim için hayati önemdedir. Ayrıca şirket içi süreçlerimizin uluslararası standartlar ve en iyi yöntemlerle uyumlu olmasının da çok önemli olduğuna inanıyoruz.

Peki, denetçiler neleri inceledi?

En önemli konu her zaman, istemci bilgisayara bilgi teslim etme mekanizmasıyla ilişkili olmuştur. Çözümlerimiz çeşitli pazar segmentlerini ve sektörleri kapsamakta olup bunların büyük bir bölümü siber tehdit belirtilerine karşı nesneleri taramak için antivirüs motorunu temel savunma teknolojisi olarak kullanmaktadır. Çok sayıda teknolojiyi içinde barındıran antivirüs motorumuz süper hızlı karmalar, izole edilmiş bir ortamda emülasyon ve mutasyona son derece dirençli makine öğrenimi matematiksel modelleri kullanmaktadır. Bu teknolojiler modern siber saldırılara karşı etkili olmak için düzenli aralıklarla antivirüs veritabanı güncellemeleri gerektirmektedir.

Bağımsız denetçiler bu veritabanlarını yönetme açısından kullandığımız sistemi, Windows ve Unix sunucularına yönelik antivirüs ürün veritabanları güncellemelerinin bütünlüğünü ve doğruluğunu takip etme açısından ise yöntemlerimizi incelemişlerdir. Bu denetçiler denetim yöntemlerimizin doğru çalıştığı sonucuna vardılar ve ayrıca, her türlü yetkisiz müdahale ihtimaline karşı sunulan antivirüs veritabanlarının geliştirilme ve sunulma süreçlerini de kontrol etmişlerdir.

Bu incelemeler nasıl gerçekleştirildi?

Denetçiler, satıcı süreçlerinin beş temel güvenlik ilkesine uyup uymadığını incelediler: koruma (süreç yetkisiz erişime karşı korunmakta mıdır?), kullanılabilirlik (süreç genel olarak işlevsel midir?), süreç bütünlüğü (istemciye ulaştırılan veriler güvende tutulmakta mıdır?), gizlilik (diğer kişiler bu verilere erişebilir mi?) ve son olarak mahremiyet (kişisel veriler tarafımızdan saklanmakta mıdır, eğer saklanıyorsa bu işlem nasıl yapılıyor?)

Bizim durumumuzda ise denetçiler şunları inceledi:

• Sunduğumuz hizmetler,
• Sistemlerimizin kullanıcı ve potansiyel iş ortaklarıyla olan etkileşimi,
• Süreç denetimini yürürlüğe koyma şeklimiz ve bu denetimin sınırlamaları,
• Kullanıcıların sahip olduğu denetim araçları ve bunların, kendi denetim araçlarımızla olan etkileşimi,
• Hizmetimizin yüzleştiği riskler ve bu riskleri minimuma indirmeye yönelik denetim araçları.

Bütün bu unsurları ortaya koyabilmek adına denetçiler, kuruluş yapımızı, mekanizmalarımızı ve personelimizi incelediler. Yeni personel işe alırken sicil araştırmasını nasıl gerçekleştirdiğimizi kontrol ettiler. Değişen güvenlik gerekliliklerinin üstesinden gelmek için kullandığımız prosedürleri analiz ettiler. Ayrıca, antivirüs veritabanı güncellemelerini otomatik olarak ulaştırmak için kullandığımız mekanizmanın kaynak kodunu incelediler ve en önemlisi de, bu koda yetkisiz değişiklikler yapma olanaklarının mevcut olup olmadığını kontrol ettiler. Denetçiler daha pek çok şeyi incelediler. Eğer bu denetimin ayrıntılarıyla ilgileniyorsanız, raporun tamamını indirmek için bu yazının sonunda yer alan bağlantıyı kullanabilirsiniz.

Denetimi kim gerçekleştirdi ve denetim raporunu nereden okuyabilirim?

Denetim Big Four şirketi tarafından gerçekleştirildi. Fark etmiş olabileceğiniz üzere, denetçilerin kim olduğunu hiçbir yerde belirtmedik. Ancak bu, denetçilerin kimliklerinin gizli olduğu anlamına gelmiyor. Denetçilerin adlarının bahsinin geçmemesine dikkat etmek alışılagelmiş bir uygulamadan ibarettir. Bahsettiğimiz rapor elbette imzalanmış bir rapordur.

Sonuç olarak denetçiler, antivirüs veritabanı geliştirme ve yayımlama süreçlerimizin yetkisiz müdahalelere karşı yeterli şekilde korunduğu kararına vardılar. Daha detaylı sonuç bilgisi, araştırma sürecinin açıklanması ve diğer ayrıntılar için, raporun tam metnini okuyabilirsiniz (ücretsiz kayıt işlemi gereklidir).

İpuçları

Ekstra güvenlik katmanı olarak VLAN

Şirket dışından gelen çok sayıda e-postayla ilgilenmek zorunda olan çalışanlar, kötü amaçlı istenmeyen postaların saldırısına uğrama riski taşırlar. Bu yazımızda, bulaşma ihtimaline karşı şirket sistemlerinizi nasıl koruyabileceğinizi açıklıyoruz.