深入探究 Threat Stack SOC 2 流程的演变
Threat Stack 现在是F5 分布式云应用基础设施保护(AIP)。 立即开始与您的团队一起使用分布式云 AIP。
Threat Stack 云安全平台连续第三年无一例外地满足美国注册会计师协会 (AICPA) 制定的安全性和可用性标准
Threat Stack 连续第三年在安全性和可用性方面毫无例外地达到了 2 类 SOC 2 合规性。 今年的考试(由Schellman & Company进行)是我们迄今为止最严格、最全面的考试,再次强调了我们致力于并有能力在公司技术、流程和人员方面维持严格的安全标准,同时为客户提供最高级别的安全和隐私。
今年的成绩是否意味着我们只是重复了去年、前年所做的事情呢? 绝对不行! 鉴于网络安全挑战和技术的不断变化,适应能力至关重要。 在 Threat Stack,我们为不断学习和改进的能力感到自豪,这正是我们为实现今年的成果所做的。 要了解有关 Threat Stack 如何持续改进其 SOC 2 检查流程并扩大其范围以包括新的控制和功能的更多信息,让我们深入了解 Threat Stack 的 SOC 2 故事。
Threat Stack SOC 2 简史
第一年: 建立基础
第一年(2017 年),我们选择了 SOC 2,因为我们是一家帮助客户实现 SOC 2 合规的安全公司,我们认为以身作则,亲自完成考试非常重要。 我们选择了类型 2 而不是类型 1,因为它展示了更为严格的流程以及持续遵守的证明。 正如 Threat Stack 的 CSO Sam Bisbee 所说: “通过选择类型 2,我们向市场发出了一个更强烈的信号,即我们能够通过在内部执行该政策来维护我们‘持续合规’的主张。”
一旦我们致力于追求 2 型 SOC 2,我们就会利用检查前的一段时间来构建坚实的控制、流程和治理基础。 具体来说,我们实施了新的政策和技术来加强我们的基础设施并在产品开发的每个阶段灌输安全性。 此外,我们借此机会将我们的安全团队更好地融入我们的 DevOps 实践中。 最后,我们创建了工具来将 SOC 2 期望嵌入到我们的自动化流程中,以确保必要的检查融入到我们的开发流程中,而不是在最后作为障碍添加上去。
结果: 通过毫无例外地通过考试,我们证明了 Threat Stack Cloud Security Platform®、其背后的人员以及现有的流程值得信赖,能够持续遵守严格的合规标准。
第二年: 建立专门的 GRC 功能并优化流程
虽然第一年取得了巨大的成功,但很明显,我们可以在未来以更加严格和有效的方式取得相同甚至更好的结果。 考虑到这一点,我们利用第二年的时间:
- 通过在我们的安全团队内部构建专门的治理、风险和合规 (GRC) 功能,并利用工程、运营和平台安全团队,创建一种分布式、全公司范围的审计支持方法。
- 在正式的现场 SOC 2 评估之前设计并执行严格的内部审计,以评估和提高我们的控制、政策和流程的端到端有效性,并确定我们可以构建或利用哪些工具来实现更高的准确性和效率。
回报是巨大的。 我们不仅加强了治理和基础,还在正式考试之前不断改进内部流程。 我们的内部审查大约需要一个月才能完成,但正式审查仅要求审计员在现场三天。 (我们实际上减少了审计员需要在现场的时间,因为内部审计已经让我们做好了快速识别和提取审计员所需证据的准备。)
结果: 流程简化,现场访问缩短,检查成功,无任何例外!
第三年: 扩大我们的范围并纳入新的控制措施
第三年既有趣又充满挑战。 人们可能认为,两次成功的、无异常的检查将使第三次检查变得容易。 但考虑到网络安全行业普遍的不断变化,以及我们在 Threat Stack 经历的变化和增长,情况绝对不是这样。 为了应对范围变化和新控制措施引入带来的挑战,我们将工作重点放在了三个方面:
- 验证现有的监控和控制: 尽管我们在头两年已经建立并加强了坚实的政策、程序和控制基础,但这本身并不能确保持续的合规(因此需要每年重新审查)。 预见到这一点,我们确保已经建立了内部检查和审计机制,这使我们能够验证现有流程的有效性,并让我们轻松地向审查员证明合规性。 简而言之,我们采取了积极主动的方法,使我们能够在检查前测试我们的系统,从而确保端到端的有效性和合规性。 通过将这些流程整合到标准操作中,我们能够确保维持持续合规性是一项工作推动力,而不是最后的耗时附加因素。
- 扩大我们的治理范围以包括新功能: 每当组织内的功能范围发生变化时,必须确保新功能遵循管理组织其余部分的相同政策和程序。 在我们的案例中,Threat Stack 在 2019 年中期部署了一个新的统一应用安全监控解决方案,作为 Threat Stack 云安全平台的一个组成部分。 因此,必须确保对此进行适当的监控和控制,并且我们可以向审查员证明这一点并提供适当的证据来支持我们的证明。 因此,我们主动将应用安全功能纳入 SOC 2 治理活动范围,以确保负责应用程序安全的团队解决我们的所有政策和程序,包括变更管理流程。
- 提供遵守额外控制措施的证据: 作为 2019 年审查的一部分,我们被告知必须提供遵守一些额外控制措施的证据。 其中最关键的是“评估和管理与供应商和业务合作伙伴相关的风险”的能力。
企业越来越多地将业务外包给合格的供应商。 当然,这些供应商的责任并不外包。 责任仍在您的组织内,至关重要的是,您要将供应商纳入您的供应商管理计划中,并使用与公司其他部分相同的政策、程序和控制来管理他们。 再次,由于 Threat Stack 采取了积极主动的方式进行第三方供应商管理,我们能够证明我们已经制定了适当的供应商管理政策。 本质上,我们的 GRC 系统确保我们已经预见到这种可能性并考虑到供应商管理要求。
结论
构建一个坚实的框架来管理 SOC 2 合规性,同时保持灵活性,使 Threat Stack 能够积极适应其运营性质和范围的变化,并确保持续的合规性是一项有益的挑战。 随着我们继续验证我们的基础并适应变化,我们在不断加强我们的安全态势,同时优化我们的运营政策和程序。 因此,合规性已成为净业务的增强剂和推动剂,使我们能够在内部受益,同时通过 Threat Stack 云安全平台以及我们与他们分享的经验为我们的客户传递价值。
除了自己的 2 型 SOC 2 检查之外,Threat Stack 还通过我们的云安全平台通过全栈云安全可观察性、持续监控、警报、调查和云基础设施验证帮助其客户简化云合规管理。
Threat Stack 现在是F5 分布式云应用基础设施保护(AIP)。 立即开始与您的团队一起使用分布式云 AIP。