KernelCare: Sobre el cumplimiento de la norma SOC 2

En KernelCare conocemos la SOC 2 desde hace tiempo. Nuestros clientes nos han dicho que nuestro producto de parcheado en vivo del kernel de Linux les ha ayudado con sus esfuerzos de certificación de conformidad. Aunque KernelCare no maneja datos de clientes, pensamos que debíamos seguir el buen ejemplo de nuestros clientes con certificación SOC 2 y cumplir las normas. Así conoceríamos mejor los casos de uso de nuestros clientes y mejoraríamos como empresa.

Así que estoy emocionada, y un poco nerviosa, por compartir con ustedes el comienzo de nuestro propio viaje de cumplimiento SOC 2. Compartiré más a medida que avancemos. Compartiré más información a medida que avancemos.

Introducción rápida al SOC 2

La seguridad de los datos es importante. Los clientes de servicios quieren saber que sus datos están seguros; los proveedores de servicios quieren demostrar que no hay nada que temer. Todos hemos visto distintivos de calidad en productos físicos. Los distintivos de calidad para productos y servicios virtuales son menos comunes y menos visibles. De todos ellos, el que destaca es el SOC 2.

Un informe de certificación SOC 2 procede de una auditoría de los procedimientos, sistemas y políticas y controles de gestión de datos de una empresa. Es un programa de certificación que tienen las empresas de big data con sede en Estados Unidos. Los clientes de sus ecosistemas también lo tienen, a medida que la tendencia se abre camino por la cadena alimentaria de los servicios en la nube. Un certificado SOC 2 es una declaración pública a los clientes, diciéndoles que:

• sus datos estén seguros y sean privados;
• los sistemas que lo procesan están disponibles;
• el sistema mantiene la integridad y confidencialidad de sus datos.

Las palabras resaltadas son las cinco categorías de un conjunto de Criterios de Servicios de Confianza, principios que sustentan un informe SOC 2. Estas agrupaciones permiten al cliente de un auditor elegir a qué elementos de una auditoría quiere comprometerse. Esta flexibilidad y pragmatismo son parte del éxito de SOC 2 y de su atractivo para los proveedores de servicios en línea.

Ser auditor

Cumplir la norma SOC 2 significa introducir cambios técnicos y culturales, y revisarlos y modificarlos continuamente, si es necesario, para mantener la conformidad. Para ilustrar el grado de compromiso, nuestro responsable de cumplimiento me habló de su formación y experiencia.

Dmytro Pigul comenzó su carrera como auditor interno en la oficina de Kiev de Raiffeisen, un banco internacional con sede en Viena. Pasó dos años realizando auditorías operativas antes de trasladarse a GlaxoSmithKline, con sede en el Reino Unido, donde probó por primera vez la auditoría de cumplimiento total. Desde entonces, ha trabajado en formación, análisis de macrodatos, investigaciones anticorrupción e investigación forense financiera. Ahora, en su décimo año como auditor, Dmytro utiliza su experiencia para dirigir el programa de cumplimiento SOC 2 de KernelCare. He aquí una breve entrevista que mantuve con él.

Aleksandra Mitroshkina: ¿Cuáles son los principales pasos de una auditoría SOC 2?

Dmytro Pigul: Hay muchas, así que lo mejor es que las resuma como Alcance, Exploración, Cambio y Comprobación.

El alcance implica empezar con reuniones con la alta dirección para entender por qué quieren la SOC 2 y asegurarse de que la idea es aceptada. Decidimos en qué Criterios de Servicio de Confianza centrarnos y qué departamentos y sistemas son aplicables. Como KernelCare forma parte de CloudLinux Inc, la dirección decidió incluir también otros dos productos. Parte del ejercicio de delimitación del alcance consiste en identificar a las partes interesadas: quién sabe qué y cuál es su función. Estas personas son mis puntos de contacto a lo largo de la auditoría. Al final de la fase de determinación del alcance, tengo una lista de entregables, documentos que establecen la agenda y el alcance de la auditoría y ayudan a seguir su progreso.

Lo siguiente es la exploración. Aquí es donde las listas de comprobación, como las basadas en los marcos COSO o COBIT, tienen un valor incalculable. Las listas de comprobación son una forma metódica de hacer un seguimiento de las numerosas consideraciones de una auditoría, en organización y gestión, comunicaciones y gestión de riesgos. Y está el seguimiento de los controles, para el acceso lógico y físico, las operaciones del sistema y la gestión del cambio.

La siguiente fase es el Cambio, descubrir qué cambiar y cómo hacerlo. El cambio es una consecuencia del cumplimiento. Pocas organizaciones son conformes de entrada; la mayoría debe cambiar para serlo. Por ejemplo, en KernelCare, un tercio de los controles informáticos eran ineficaces. Así que hemos introducido cambios, mejoras que de otro modo habrían pasado desapercibidas o habrían tenido poca prioridad.

Por último, la fase de comprobación. Este es el verdadero corazón de la auditoría, una verificación de los cambios, una validación de los controles, asegurándose de que todos los controles están presentes y son eficaces.

Auditoría para el cumplimiento de las normas SOC 2:

1. Definir el alcance, fijar objetivos, identificar a las partes interesadas.
2. Escanear la organización: analizarla y documentarla.
3. Cambiar o crear controles que funcionen.
4. Compruebe que los controles están presentes y son eficaces.

AM: ¿Cuánto tardaremos en tener el SOC 2?

DP: Cada empresa es diferente. En el caso de KernelCare, empezamos en mayo de este año y nuestro objetivo es obtener la certificación SOC 2 Tipo 1 a finales de octubre. Un informe de Tipo 1 es una instantánea del cumplimiento, sólo válido para un momento dado. Un informe de Tipo 2 cubre un periodo y espero que lo obtengamos dentro de un año.

AM: ¿Qué pasa después de conseguirlo?

DP: Obtener un informe SOC 2 Tipo 2 es sólo el principio de las revisiones anuales periódicas. Obtener la certificación no es una actividad puntual. Para mantener la certificación, hay que someterse a auditorías periódicas.

AM: Para terminar, ¿qué rasgo de su personalidad es el más importante en su trabajo?

DP: Sin duda, la diplomacia. Como auditor, soy un invasor del mundo de la gente y de sus arraigadas formas de hacer las cosas. Eso hace que el personal se ponga a la defensiva y se resista al cambio. Hago todo lo posible por mostrar cómo el cumplimiento puede ser un medio de superación personal, y que no sólo beneficia a las empresas y a sus clientes. En segundo lugar está la capacidad de organización. La auditoría es complicada. Hay varios aspectos que considerar, distintos niveles que comprender. Yo trabajo con todas las partes de la empresa, desde la primera línea hasta la C-suite.

El servicio automatizado de aplicación de parches al kernel de Linux de KernelCare ayuda a las empresas en sus esfuerzos por cumplir la norma SOC 2, resolviendo la tensión inherente entre los Criterios de Servicio de Confianza de seguridad y disponibilidad.

Emprender nuestro propio programa de cumplimiento nos ayuda a comprender que incluso las pequeñas contribuciones pueden disminuir significativamente la carga del cumplimiento.