{"id":6348,"date":"2019-08-26T11:22:45","date_gmt":"2019-08-26T08:22:45","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=6348"},"modified":"2019-11-15T14:25:14","modified_gmt":"2019-11-15T11:25:14","slug":"slug-soc2-audit","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/slug-soc2-audit\/6348\/","title":{"rendered":"SOC 2 denetimi: Nedir, nas\u0131l ve neden yap\u0131l\u0131r?"},"content":{"rendered":"<p><a href=\"https:\/\/eugene.kaspersky.com\/2019\/07\/18\/we-socked-it-2-em-and-passed-the-soc-2-audit\/\" target=\"_blank\" rel=\"noopener\">Eugene Kaspersky blog sayfas\u0131ndan<\/a> veya <a href=\"https:\/\/www.kaspersky.com\/about\/press-releases\/2019_global-transparent-trusted-kaspersky-successfully-passes-independent-soc-2-audit\" target=\"_blank\" rel=\"noopener nofollow\">resmi bas\u0131n a\u00e7\u0131klamam\u0131zdan<\/a> duymu\u015f olabilece\u011finiz \u00fczere, yak\u0131n zamanda SOC 2 denetiminden ba\u015far\u0131yla ge\u00e7tik. E\u011fer bu denetimin ne demek oldu\u011funu ve neden tamamlanmas\u0131 gerekti\u011fini bilmiyorsan\u0131z, bu yaz\u0131da gerekli bilgileri bulacaks\u0131n\u0131z.<\/p>\n<h2>SOC 2 denetimi nedir?<\/h2>\n<p>Hizmet ve Kurulu\u015f Denetimleri 2 (SOC 2), herhangi bir hizmet sunan BT kurulu\u015flar\u0131n\u0131n idare prosed\u00fcrlerinin bir t\u00fcr denetimini ifade eder. Temel olarak SOC 2, siber g\u00fcvenlik risk y\u00f6netimi sistemlerine y\u00f6nelik uluslararas\u0131 bir raporlama standard\u0131d\u0131r. Amerikan Yeminli Mali M\u00fc\u015favirler Enstit\u00fcs\u00fc (AICPA) taraf\u0131ndan geli\u015ftirilen bu standart 2018 y\u0131l\u0131 Mart ay\u0131nda g\u00fcncellenmi\u015fti.<\/p>\n<p>Bu yaz\u0131da, g\u00fcvenlik denetim mekanizmalar\u0131n\u0131n tek bir sistem alt\u0131nda etkin bir \u015fekilde kuruldu\u011funu belgeleyen SOC 2 T\u00fcr 1 denetimini anlataca\u011f\u0131z. Bu denetim kapsam\u0131nda, \u00fc\u00e7\u00fcnc\u00fc taraf denet\u00e7iler risk y\u00f6netim sistemimizi inceleyerek y\u00fcr\u00fcrl\u00fckte ne gibi uygulamalar\u0131m\u0131z\u0131n oldu\u011funu, belirtilen prosed\u00fcrlere ne kadar uydu\u011fumuzu ve s\u00fcre\u00e7 boyunca olan de\u011fi\u015fiklikleri nas\u0131l kay\u0131t alt\u0131na ald\u0131\u011f\u0131m\u0131z\u0131 incelediler.<\/p>\n<h2>Peki neden bu denetimlerden ge\u00e7memiz gerekiyor?<\/h2>\n<p>Herhangi bir hizmet sunan her t\u00fcrl\u00fc \u015firket, m\u00fc\u015fterilerine tehdit olu\u015fturma potansiyeline sahiptir. Her bak\u0131mdan yasal bir \u015firket dahi, sald\u0131r\u0131 ger\u00e7ekle\u015ftirmek i\u00e7in kullan\u0131lan bir tedarik zincirinde ba\u011flant\u0131 i\u015flevi g\u00f6rebilir. Ancak bilgi g\u00fcvenli\u011fi alan\u0131nda \u00e7al\u0131\u015fan \u015firketlere \u00e7ok daha b\u00fcy\u00fck bir sorumluluk d\u00fc\u015fmektedir: Bu \u015firketlerin \u00fcr\u00fcnlerinin, kullan\u0131c\u0131 bilgi sistemlerine en y\u00fcksek d\u00fczeyde eri\u015fmesi gerekmektedir.<\/p>\n<p>Bu sebeple, zaman zaman m\u00fc\u015fterilerin, \u00f6zellikle de b\u00fcy\u00fck kurumsal \u015firketlerin son derece makul olan \u015fu sorular\u0131 sormalar\u0131 beklenebilir: Bu hizmetlere ne kadar g\u00fcvenebiliriz? Kulland\u0131\u011f\u0131m\u0131z bu hizmetlere y\u00f6nelik ne t\u00fcr \u015firket i\u00e7i politikalar mevcut? Birisi \u00fcr\u00fcnleriyle veya bunlarla ili\u015fkili hizmetleriyle bize zarar verebilir mi?<\/p>\n<p>\u015ea\u015f\u0131rt\u0131c\u0131 nokta ise \u015fu: Verece\u011fimiz cevaplar\u0131n hi\u00e7bir \u00f6nemi yok, \u00e7\u00fcnk\u00fc bizim veya ba\u015fka bir \u015firketin cevab\u0131 kula\u011fa her zaman tatmin edici gelebilir. \u0130\u015fte bu y\u00fczden, d\u0131\u015fardan uzman g\u00f6r\u00fc\u015f\u00fc i\u00e7in harici denet\u00e7ilere ba\u015fvuruyoruz. M\u00fc\u015fterilerimizin ve i\u015f ortaklar\u0131m\u0131z\u0131n, \u00fcr\u00fcnlerimiz ve hizmetlerimizin g\u00fcvenilir oldu\u011fu konusunda kafalar\u0131nda hi\u00e7bir \u015f\u00fcphe olmamas\u0131 bizim i\u00e7in hayati \u00f6nemdedir. Ayr\u0131ca \u015firket i\u00e7i s\u00fcre\u00e7lerimizin uluslararas\u0131 standartlar ve en iyi y\u00f6ntemlerle uyumlu olmas\u0131n\u0131n da \u00e7ok \u00f6nemli oldu\u011funa inan\u0131yoruz.<\/p>\n<h2>Peki, denet\u00e7iler neleri inceledi?<\/h2>\n<p>En \u00f6nemli konu her zaman, istemci bilgisayara bilgi teslim etme mekanizmas\u0131yla ili\u015fkili olmu\u015ftur. \u00c7\u00f6z\u00fcmlerimiz \u00e7e\u015fitli pazar segmentlerini ve sekt\u00f6rleri kapsamakta olup bunlar\u0131n b\u00fcy\u00fck bir b\u00f6l\u00fcm\u00fc siber tehdit belirtilerine kar\u015f\u0131 nesneleri taramak i\u00e7in antivir\u00fcs motorunu temel savunma teknolojisi olarak kullanmaktad\u0131r. \u00c7ok say\u0131da teknolojiyi i\u00e7inde bar\u0131nd\u0131ran antivir\u00fcs motorumuz s\u00fcper h\u0131zl\u0131 karmalar, izole edilmi\u015f bir ortamda em\u00fclasyon ve mutasyona son derece diren\u00e7li makine \u00f6\u011frenimi matematiksel modelleri kullanmaktad\u0131r. Bu teknolojiler modern siber sald\u0131r\u0131lara kar\u015f\u0131 etkili olmak i\u00e7in d\u00fczenli aral\u0131klarla antivir\u00fcs veritaban\u0131 g\u00fcncellemeleri gerektirmektedir.<\/p>\n<p>Ba\u011f\u0131ms\u0131z denet\u00e7iler bu veritabanlar\u0131n\u0131 y\u00f6netme a\u00e7\u0131s\u0131ndan kulland\u0131\u011f\u0131m\u0131z sistemi, Windows ve Unix sunucular\u0131na y\u00f6nelik antivir\u00fcs \u00fcr\u00fcn veritabanlar\u0131 g\u00fcncellemelerinin b\u00fct\u00fcnl\u00fc\u011f\u00fcn\u00fc ve do\u011frulu\u011funu takip etme a\u00e7\u0131s\u0131ndan ise y\u00f6ntemlerimizi incelemi\u015flerdir. Bu denet\u00e7iler denetim y\u00f6ntemlerimizin do\u011fru \u00e7al\u0131\u015ft\u0131\u011f\u0131 sonucuna vard\u0131lar ve ayr\u0131ca, her t\u00fcrl\u00fc yetkisiz m\u00fcdahale ihtimaline kar\u015f\u0131 sunulan antivir\u00fcs veritabanlar\u0131n\u0131n geli\u015ftirilme ve sunulma s\u00fcre\u00e7lerini de kontrol etmi\u015flerdir.<\/p>\n<h2>Bu incelemeler nas\u0131l ger\u00e7ekle\u015ftirildi?<\/h2>\n<p>Denet\u00e7iler, sat\u0131c\u0131 s\u00fcre\u00e7lerinin be\u015f temel g\u00fcvenlik ilkesine uyup uymad\u0131\u011f\u0131n\u0131 incelediler: koruma (s\u00fcre\u00e7 yetkisiz eri\u015fime kar\u015f\u0131 korunmakta m\u0131d\u0131r?), kullan\u0131labilirlik (s\u00fcre\u00e7 genel olarak i\u015flevsel midir?), s\u00fcre\u00e7 b\u00fct\u00fcnl\u00fc\u011f\u00fc (istemciye ula\u015ft\u0131r\u0131lan veriler g\u00fcvende tutulmakta m\u0131d\u0131r?), gizlilik (di\u011fer ki\u015filer bu verilere eri\u015febilir mi?) ve son olarak mahremiyet (ki\u015fisel veriler taraf\u0131m\u0131zdan saklanmakta m\u0131d\u0131r, e\u011fer saklan\u0131yorsa bu i\u015flem nas\u0131l yap\u0131l\u0131yor?)<\/p>\n<h2>Bizim durumumuzda ise denet\u00e7iler \u015funlar\u0131 inceledi:<\/h2>\n<p>\u2022 Sundu\u011fumuz hizmetler,<br>\n\u2022 Sistemlerimizin kullan\u0131c\u0131 ve potansiyel i\u015f ortaklar\u0131yla olan etkile\u015fimi,<br>\n\u2022 S\u00fcre\u00e7 denetimini y\u00fcr\u00fcrl\u00fc\u011fe koyma \u015feklimiz ve bu denetimin s\u0131n\u0131rlamalar\u0131,<br>\n\u2022 Kullan\u0131c\u0131lar\u0131n sahip oldu\u011fu denetim ara\u00e7lar\u0131 ve bunlar\u0131n, kendi denetim ara\u00e7lar\u0131m\u0131zla olan etkile\u015fimi,<br>\n\u2022 Hizmetimizin y\u00fczle\u015fti\u011fi riskler ve bu riskleri minimuma indirmeye y\u00f6nelik denetim ara\u00e7lar\u0131.<\/p>\n<p>B\u00fct\u00fcn bu unsurlar\u0131 ortaya koyabilmek ad\u0131na denet\u00e7iler, kurulu\u015f yap\u0131m\u0131z\u0131, mekanizmalar\u0131m\u0131z\u0131 ve personelimizi incelediler. Yeni personel i\u015fe al\u0131rken sicil ara\u015ft\u0131rmas\u0131n\u0131 nas\u0131l ger\u00e7ekle\u015ftirdi\u011fimizi kontrol ettiler. De\u011fi\u015fen g\u00fcvenlik gerekliliklerinin \u00fcstesinden gelmek i\u00e7in kulland\u0131\u011f\u0131m\u0131z prosed\u00fcrleri analiz ettiler. Ayr\u0131ca, antivir\u00fcs veritaban\u0131 g\u00fcncellemelerini otomatik olarak ula\u015ft\u0131rmak i\u00e7in kulland\u0131\u011f\u0131m\u0131z mekanizman\u0131n kaynak kodunu incelediler ve en \u00f6nemlisi de, bu koda yetkisiz de\u011fi\u015fiklikler yapma olanaklar\u0131n\u0131n mevcut olup olmad\u0131\u011f\u0131n\u0131 kontrol ettiler. Denet\u00e7iler daha pek \u00e7ok \u015feyi incelediler. E\u011fer bu denetimin ayr\u0131nt\u0131lar\u0131yla ilgileniyorsan\u0131z, raporun tamam\u0131n\u0131 indirmek i\u00e7in bu yaz\u0131n\u0131n sonunda yer alan ba\u011flant\u0131y\u0131 kullanabilirsiniz.<\/p>\n<h2>Denetimi kim ger\u00e7ekle\u015ftirdi ve denetim raporunu nereden okuyabilirim?<\/h2>\n<p>Denetim <a href=\"https:\/\/en.wikipedia.org\/wiki\/Big_Four_accounting_firms\" target=\"_blank\" rel=\"noopener nofollow\">Big Four<\/a> \u015firketi taraf\u0131ndan ger\u00e7ekle\u015ftirildi. Fark etmi\u015f olabilece\u011finiz \u00fczere, denet\u00e7ilerin kim oldu\u011funu hi\u00e7bir yerde belirtmedik. Ancak bu, denet\u00e7ilerin kimliklerinin gizli oldu\u011fu anlam\u0131na gelmiyor. Denet\u00e7ilerin adlar\u0131n\u0131n bahsinin ge\u00e7memesine dikkat etmek al\u0131\u015f\u0131lagelmi\u015f bir uygulamadan ibarettir. Bahsetti\u011fimiz rapor elbette imzalanm\u0131\u015f bir rapordur.<\/p>\n<p>Sonu\u00e7 olarak denet\u00e7iler, antivir\u00fcs veritaban\u0131 geli\u015ftirme ve yay\u0131mlama s\u00fcre\u00e7lerimizin yetkisiz m\u00fcdahalelere kar\u015f\u0131 yeterli \u015fekilde korundu\u011fu karar\u0131na vard\u0131lar. Daha detayl\u0131 sonu\u00e7 bilgisi, ara\u015ft\u0131rma s\u00fcrecinin a\u00e7\u0131klanmas\u0131 ve di\u011fer ayr\u0131nt\u0131lar i\u00e7in, <a href=\"https:\/\/www.kaspersky.com\/about\/compliance-soc2\" target=\"_blank\" rel=\"noopener nofollow\">raporun tam metnini okuyabilirsiniz<\/a> (\u00fccretsiz kay\u0131t i\u015flemi gereklidir).<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Bu yaz\u0131da SOC 2 denetiminin ne oldu\u011funu, neden bu denetimden ge\u00e7ti\u011fimizi ve bu s\u00fcrecin nas\u0131l i\u015fledi\u011fini anlataca\u011f\u0131z. <\/p>\n","protected":false},"author":2399,"featured_media":6349,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1726,1194],"tags":[1407,1991],"class_list":{"0":"post-6348","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-enterprise","8":"category-business","9":"tag-seffaflik","10":"tag-soc2"},"hreflang":[{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/slug-soc2-audit\/6348\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.tr\/blog\/tag\/seffaflik\/","name":"\u015feffafl\u0131k"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/posts\/6348","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/users\/2399"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/comments?post=6348"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/posts\/6348\/revisions"}],"predecessor-version":[{"id":6740,"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/posts\/6348\/revisions\/6740"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/media\/6349"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/media?parent=6348"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/categories?post=6348"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/tags?post=6348"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}