Cómo cumplir la norma SOC 2 cuando todo el mundo trabaja desde casa

La pandemia de coronavirus está afectando a empresas de todos los tamaños en todo el mundo y repercute significativamente en la forma en que muchas empresas de servicios prestan sus servicios. La recomendación de distanciamiento social está llevando a muchos empresarios a indicar a sus empleados que trabajen desde casa, lo que puede representar una desviación material de la forma en que realizan sus tareas diarias. Pero las actividades de cumplimiento no tienen por qué quedar en suspenso en estos tiempos difíciles. A continuación puede leer sobre algunas de las herramientas que utilizamos para lograr y mantener el cumplimiento siendo una empresa completamente remota.
El año pasado KernelCare ha logrado SOC2 Compliant Status sin una sola reunión fuera de línea debido a las dos razones simples:

• KernelCare es una empresa completamente remota, por lo que teníamos nuestros procedimientos de cumplimiento establecidos mucho antes de la pandemia;
• Estamos utilizando nuestros propios productos para lograr y mantener la conformidad SOC2. Puede leerlo en nuestro último artículo para InfosecurityMagazine.

Cualquiera que trabaje en DevOps se habrá encontrado con un SLA, un Acuerdo de Nivel de Servicio. Un SLA es un contrato que describe el servicio que una parte presta a otra. En nuestro caso, somos proveedor y consumidor. Los SLA se expresan en términos mensurables. Un ejemplo de una métrica común popular es tiempo de actividad del sistema, o menos formalmente, como cierto número de nueves. Un SLA es un acuerdo que utiliza estas cifras como base para documentar cómo deben funcionar un departamento de TI y sus sistemas: es una visión objetiva del rendimiento.

Herramientas que utilizamos en KernelCare para mantener la conformidad de nuestra infraestructura de forma remota

He aquí nuestras propias experiencias a la hora de hacer que nuestros servidores Linux sean compatibles de forma remota.

Nadie sabe cuándo llegará el próximo informe de vulnerabilidad del núcleo de Linux. Si intentáramos medir y supervisar los KPI manualmente, con cada nuevo lote de informes de vulnerabilidad mi personal se vería desbordado y peligraría la continuidad de nuestro estado de cumplimiento de la norma SOC 2".

Naturalmente, como ingenieros de sistemas, no hacemos las cosas manualmente cuando podemos automatizarlas, ya sea inventando herramientas nosotros mismos o comprándolas. En KernelCare, ya sabemos que la detección y gestión de vulnerabilidades del kernel de Linux puede automatizarse fácilmente. Estas son algunas de las herramientas que utilizamos:

• Tenable Nessus es un popular escáner de vulnerabilidades. Lo utilizamos para inspeccionar regularmente el inventario de software de nuestro sistema e informarnos cuando algún componente tiene un parche disponible
• Para reducir la brecha de vulnerabilidad a su mínimo absoluto, automatizamos el proceso de instalación utilizando Spacewalk
• Para resolver el problema de los KPI contradictorios antes mencionado, recurrimos naturalmente a nuestra propia solución KernelCare para parchear en vivo los núcleos de nuestros servidores Linux sin detenerlos ni interrumpirlos: KernelCare parchea los núcleos Linux sin reiniciar.

La tercera razón por la que KernelCare cumple la normativa es nuestro equipo interno de expertos en cumplimiento de la normativa, al que puede plantear cualquier pregunta sobre las mejores prácticas de cumplimiento de la normativa SOC2 para empresas remotas en los comentarios de esta entrada del blog.