Konstruktiv hozzáállású külső auditor cég SOC2 audithoz?

Fórumok

(nem biztos, hogy ez az alkalmas fórum erre a kérdésre, de a hup.hu fórumai közül ide passzolt leginkább)

Sziasztok!

Tudtok ajánlani konstruktív hozzáállású auditor céget, amelyik SOC2 (ill. ISO27001, bár egyelőre inkább SOC2 a terv) auditot tud csinálni?

Eddigi tapasztalatom szerint compliance témakörben (mint pl. SOC2 ill. ISO 27001 audit) az általános feltételezés az, hogy nagy szervezet akar ilyesmi tanusitványt megszerezni, ahol pl. van lehetőség mindenféle szerepkört külön emberre osztani, stb. Mi viszont egy kicsi cég vagyunk (pl. az IT részleg lényegében 2 fő), de mivel sok nagyvállalatnak dolgozunk (akinek SaaS terméket fejlesztünk), ezért kéne szerezni ilyen tanusitványt. (És a valóban értelmes követelményeket szerintem tudjuk teljesíteni.) Az audit-ot még önmagában jó ötletnek is tartom, de félek attól hogy ha nagyon rugalmatlan az auditor cég, akkor értelmetlen dolgokat akar majd megkövetelni, amit mind megcsinálni még jó drága is lesz (ha egyáltalán lehetséges).

Tudtok olyan auditor céget ajánlani, ami ilyen nagyon kicsi cégnél is értelmes megközelítést tud alkalmazni, és az általa kiadott tanúsítványt nemzetközi piacon elfogadják?

Hozzászólások

Amikor ilyenen dolgoztam, a felkeszito emberke javasolta, hogy melyik auditorral szerzodjunk.

Egyelőre nincs felkészítő emberkénk sem, úgyhogy arra is szívesen fogadunk javaslatokat :)

Eddig ~10 ügyfél compliance kérdőívét kellett kitöltenünk, és ez alapján szerintem jó képünk van arról, hogy milyen elvárásokat kellene teljesíteni, és azokat hogyan tudjuk értelmes módon teljesíteni. Az ügyfeleket eddig meg tudtuk győzni, hogy elég biztonságosak vagyunk (illetve on premise deployment, stb. módon csináltunk nekik egy még biztonságosabb verziót, ha tényleges elvárásaik szigorúbbak voltak). Azt szeretném elkerülni, hogy ez a tanúsítvány-megszerzés úgy nézzen ki, hogy egy "felkészítő ember" írogat nekünk policy-kat, meg hasonló doksikat, amiket az auditor elfogad, de amúgy senki nem olvas el és senki nem használ. Ehhez viszont szerintem az lesz a legfontosabb, hogy az auditor ne fölösleges papír-gyártást várjon el, hanem ténylegesen működő rendszert, amit minimál erőforrással tudunk üzemeltetni.

Szóval bárkinek javaslata?

Jöhet email-ben is: hup_forum@danielabel.hu :)

Hát, az elvárásaid tényleg reálisak, azonban én ilyet a gyakorlatban még nem láttam.

 

Amit láttam,  az viszont kiábrándító: Az auditor cég a profitra hajt, a kliens meg tanúsítványra. minimális befektetés, maximális hozam. win-win.

 

Security szakemberként elég sok ilyet (SOC2 mondjuk épp nem) láttam már közelről, egyetlen egy esetben sem volt cél az "értelmes" ellenőrzés, vagy a valós security elérése.

Kizárólag (elavult, és értelmetlen) előírásoknak kellett "megfelelni", és ezért kapsz egy plecsnit, ami a gyakorlatban semmit nem jelent - legalábbis hozzáértőknek biztosan nem. Legtöbbször maga az auditor sem szakmabeli, hiszen csak előre megbeszélt fiktív "ellenőrzéseket" kell neki levezetni.

Az is "szabály", hogy mindig kell legyen hiányosság vagy észrevétel, amit aztán a kliens 'kijavít' - így így fiktív, de felmutatható "haszna" is van a dolgonak, nem lehet ráfogni hogy csak lepapírozták a dolgot egymás közt. :D

 

Biztos vannak kivételek is, csak én még nem láttam vagy hallottam olyanról.

 

 

De volt olyan is, ahol én magam csináltam valós szempontok alapján az auditot, na annak volt értelme... csak ott meg a kliens lett nagyon szomorú a végén, mert az eredmény nem egyezett az elvárásaival ;)

Ha esetleg be kell húznotok a common criteria-t, akkor írj rám, mert mi is azzal küzdünk most.

ISO27001-ben tudok segíteni. Szerintem az ISO jól alkalmazható kis cégeknél is. Most csináltam végig ilyet egy 8 fős cégnél, bár ők tanúsítványért nem mentek. (Svájci pénzügyi csapat, szóval méret ide vagy oda, kellett, hogy fejlődjenek a témában.)

Az ISO keretrendszer alfája és omegája a "management system", tehát elsősorban azt kell demonstrálnia a cégnek, hogy megfelelő metódussal foglalkoznak az információbiztonsággal és ezt integrálták a cég életében. Ez attitűd függvényében lehet egy nagy cégnek is "túl sok", ha nincs meg ez elköteleződés (láttam cégeket elvérezni rajta), de némi energiabefektetéssel kis cég is tudja működtetni. Az ISO keretrendszer (és jó esetben a minősítő auditor is) figyelembe veszi, hogy nem mindenkinek kell minden és nem ugyanazon a szinten kell implementálni mindent.

A SOC2 és az ISO27001 szerintem szignifikánsan különböző. Ha nem tudjátok melyiket szeretnétek, akkor érdemes egy ismerkedő session-t egy-egy szakértővel összehozni. Azok a cégek szokták ezt sikeresen implementálni, akik nem abból az irányból gondolják át, hogy melyik plecsnit mutassák be a megrendelőknek, hanem hogy melyik rendszer az, amelyik hasznos a cég számára. 

Köszi! Esetleg majd ISO27001 kapcsán megkereslek -- amit eddig olvastam az SOC2 és ISO27001 összehasonlításáról, az alapján nekünk az SOC2 alkalmasabbnak tűnik (rugalmassabb, kitér availability-re és privacy-ra is; ugyan másodlagos szempont, de olyasmit olvastam, hogy valamivel olcsóbb / egyszerűbb is)

Jól értem, hogy a Ti esetetekben lényegében megcsináltatok mindent ami az ISO27001 megfeleléshez kell, de a külső audit és a tényleges tanúsítvány megszerzése nem is volt terv? (Ez azért tűnik furcsának, mert gondolom ISO 27001 folyamatnak akkor érdemes tekinteni a dolgot, ha ténylegesen kell a tanúsítvány is -- ha szimplán "fejlődni kell IT security-ben" az igény, akkor nem biztos hogy kell minden ami az ISO 27001-ben van, és esélyes hogy kell olyan, ami nincs benne)

Sorjában :)
Az ISO27001-ben is bent van a privacy és az availability. (A18 compliance része a privacy megfelelés, A17 business continuity.) Vannak auditorok akiknél ez részletkérdés, én ki szoktam emelni, mert én nem a cert, hanem az üzleti érdekeket veszem mindig előre. A SOC2 költségekről nem tudok nyilatkozni, az ISO biztos hogy nem olcsó, leginkább a belső erőforrások használata miatt. (A konzultáns vagy cert költség elenyésző ahhoz képest hogy mennyi munkaóra megy el, amíg minden a helyére kerül.)
Az eset amit vázoltam arra volt példa, hogy akár ISO menedzsment is létrehozható egy 8 fős cégnél, ha értelmesen van megközelítve. Ez volt az egyik alapkérdésed, hogy kis cégnél érdemes-e nekilátni. De ők csak az egyik ügyfelem a sok közül, máshol természetesen elmennek a minősítésig.
ITSEC != INFOSEC! Csak mert írtad, hogy "IT security fejlődés". Az ISO27001 az információbiztonság, ami nagyobb merítés. Bent vannak például olyanok is, hogy a fizikai dokumentumokat hogyna kezeli cég vagy pl hogy a HR hogyan világítja át a jelentkezőket. Ez nem egy technikai tanúsítvány, hanem inkább szervezeti, aminek folyománya az, hogy megvan a megfelelő metódus és prioritás ITSEC területén is...
Ha esetleg kifejezetten privacy érzékeny területen vagytok akkor lehet ISO27001, majd ISO27701 vonalon mozogni. A 27701 már egész komolynak mondható privacy oldalon. Mindkét témában auditorkodom (plusz CIPP/E tanácsadó vagyok).
Amit zrubi kolléga írt feljebb az egyébként valóság, ha csak tanúsítvány kell, akkor keresztül lehet verni a folyamatot az általa vázolt módon. Én ilyet nem igazán csinálok, mert szerintem ebben nincs business value. (Természetesen a menedzserek 50+ százaléka csak certet akar.) Én olyan projekteket szoktam vállalni, ahol a megrendelő ráérez arra, hogy mi az amit hozhat neki ez az egész és ki tudunk alakítani valami olyat, amiből tényleg profitál a cég, nem csak egy pecsétet kapnak a végén.