SOC 2: Dónde encaja Linux Live Patching

El SOC 2 está en todas partes y todo el mundo lo tiene; los clientes lo piden; las empresas lo necesitan. Pero, ¿qué es? ¿Y dónde encaja el parcheado en vivo del kernel de Linux?

Proporcionamos una descripción concisa de lo que es SOC 2, en qué consiste y por qué las organizaciones que utilizan servidores Linux podrían estar pensando en ello.

Introducción al SOC 2

SOC 2 es una certificación de procedimientos, sistemas y gestión de datos desarrollada por el AICPA. Es un signo de buen gobierno de los datos, y una forma de obtener una certificación de calidad bien considerada. Audita controles de sistemas y organizaciones (de ahí lo de "SOC"), y es una declaración pública de una empresa a sus clientes, diciendo que:

• sus datos están seguros (1) y privados (2),
• el sistema que lo procesa está disponible (3),
• y el sistema mantiene la integridad (4) y la confidencialidad (5) de sus datos.

Estas son las cinco categorías que organizan un mayor número de Criterios de servicio de confianzaun conjunto de principios que constituyen la columna vertebral de un informe de auditoría SOC 2. Sirven de guía a los auditores externos, ayudándoles a medir la eficacia de las políticas y los sistemas que utiliza una organización para ejecutar sus objetivos.

El resultado de una auditoría es un informe que permite a su empresa presumir del cumplimiento de la norma SOC 2, garantizando a los clientes que sus datos están bien cuidados y que los servicios que necesitan son fiables, precisos y están disponibles. Las auditorías suelen tener una validez de un año, por lo que las organizaciones que se toman en serio el cumplimiento de la norma SOC 2 demuestran su compromiso a largo plazo contratando a especialistas y aplicando cambios en el diseño del sistema, lo que facilita la realización de futuras auditorías.

SOC 2 se ha convertido en una vía popular de cumplimiento porque es pragmática: es flexible y voluntaria; elude las consideraciones legales y sus gastos asociados; se puede elegir para qué partes de una organización; se puede elegir para qué sistemas. Es este último aspecto el que atrae a las organizaciones que ofrecen SaaS, comercio electrónico, alojamiento web y servicios similares centrados en datos y orientados al público, ofreciéndoles una forma adaptable, escalable y rentable de cumplir la normativa.

Criterios del servicio de confianza (principios)

Los criterios de los servicios de confianza se agrupan en cinco categorías.

• Seguridad: La información y los sistemas están protegidos contra el acceso no autorizado que pueda amenazar la disponibilidad, integridad, confidencialidad y privacidad de los datos.
• Disponibilidad: Los sistemas y los datos son accesibles y están disponibles.
• Integridad de procesamiento: Los datos son completos, exactos y puntuales, y sólo pueden modificarse mediante procesos autorizados.
• Confidencialidad: Los datos están protegidos de accesos no autorizados y se han identificado los datos confidenciales.
• Privacidad: Los datos personales se adquieren, almacenan, utilizan y eliminan de acuerdo con los protocolos locales. (Distinta de la confidencialidad, que trata de cualquier información sensible, no específicamente personal).

No sólo describen a grandes rasgos qué aspectos de un sistema se están inspeccionando, sino que también ayudan al auditor y al sujeto de la auditoría (denominado entidad en la documentación SOC 2) a decidir cuál debe ser el alcance de la auditoría.

Cada criterio de servicio de confianza tiene uno o más puntos de atención asignados. Se trata de una ayuda memoria para el proceso de auditoría, que contribuye a llamar la atención sobre aspectos de los criterios y a definir un lenguaje común con el que evaluarlos.

Tipos de informes SOC 2

Un informe de Tipo I dice que una organización cumple los criterios seleccionados; un informe de Tipo II dice que una organización ha sido probada y se ha demostrado que cumple los criterios seleccionados. La diferencia entre ellos es que el Tipo I es ver que sus controles y procedimientos están en marcha, mientras que el Tipo II significa que estos también han sido probados, y se ha demostrado que son eficaces.

Ventajas de cumplir la norma SOC 2

SOC 2 se ha convertido en una marca que los usuarios reconocen y exigen cada vez más a sus proveedores de servicios. Se trata de un sistema de certificación abierto y respetado, con muchos seguidores en Norteamérica. Las grandes empresas de datos han optado por él, convirtiéndolo en la norma de facto para las mejores prácticas, animando a las más pequeñas a seguir su ejemplo y obtener la certificación.

Incluso sin la presión de los clientes o de sus homólogos, las organizaciones pueden beneficiarse de una perspectiva independiente de sus operaciones y de la oportunidad de descubrir descuidos en las políticas y procedimientos, o fallos en el diseño de las arquitecturas de los sistemas. Un informe SOC 2 puede ser una aportación al proceso de mejora continua de una empresa. proceso de mejora continuaUn informe SOC 2 puede ser una aportación al proceso de mejora continua de una empresa, sirviendo como punto de referencia, una línea de base mensurable con la que otras empresas, o las propias auditorías futuras de una empresa, pueden compararse.

Obtenga una prueba GRATUITA de 7 días con soporte de KernelCare 

El papel de los parches activos del núcleo Linux

Los servidores Linux alimentan una parte importante de Internet y son la base de muchas infraestructuras de servicios en línea y centros de datos. En las grandes empresas, el número de instancias únicas de Linux puede ascender a decenas de miles (o millones, si se trata de un importante motor de búsqueda). Es seguro asumir que no están empleando ejércitos de administradores de sistemas para realizar actualizaciones manuales del kernel, sino que lo están automatizando. Sin la automatización de los parches del kernel de Linux, el cumplimiento sería imposible porque cada año aparecen cientos de vulnerabilidades del kernel de Linux.

La SOC 2 ya no admite la aplicación por lotes de los parches del kernel en una ventana de mantenimiento conveniente, y como las inspecciones de la SOC 2 se repiten, el trabajo adicional de administración de sistemas no puede hacerse manualmente. Así que, en casi todos los casos, los sistemas deben cambiar para cumplir la normativa. La simplicidad y la automatización tienen que ser los principios rectores de esos cambios: no tiene sentido hacer que un sistema ya de por sí complejo lo sea aún más.

La tecnología de live patching interviene como parte de este proceso de cambio, sustituyendo una pequeña pero esencial función de administración del sistema, la instalación de parches de seguridad del kernel de Linux, por otra que la automatiza, eliminando las interrupciones del servicio normalmente asociadas a este esfuerzo. Para profundizar en el papel de los parches en vivo del núcleo Linux, estamos organizando un seminario web con AWS sobre este tema.

Cómo encaja Live Patching en los criterios de SOC 2 Trust Services

Para las organizaciones que se esfuerzan por obtener una certificación SOC 2, la experiencia puede ser desalentadora y aterradora, pero también liberadora y reveladora. Al final de todo el trabajo duro, de documentar los procesos empresariales y del sistema, de catalogar los servidores y entrevistar al personal, se obtiene una mejor comprensión de cómo funciona una empresa y una imagen más clara de los sistemas que la dirigen.

Los peldaños en el camino hacia la conformidad con SOC 2 son los elementos de los Criterios de Servicios de Confianza, los puntos de atención. De ellos, dos se oponen directamente, vistos desde la perspectiva de la administración de sistemas Linux.

• Los puntos centrales de CC5.2 buscan comprobar que existen controles para garantizar la disponibilidad de los servicios.
• Los puntos focales de CC7.4 se centran en la seguridad, obligándole a instalar los parches de seguridad críticos del kernel en cuanto estén disponibles.

Cualquiera que esté familiarizado con la administración de sistemas Linux verá el conflicto. Mantener un núcleo Linux conforme instalando los últimos parches de seguridad significa desconectarlo y hacerlo indisponible. Hay otras formas de mantener los servidores conformes sin sacrificar la disponibilidad, pero requieren servidores redundantes adicionales y planificación arquitectónica, un coste adicional para muchas empresas.

Live patching es la única solución tecnológica para servidores Linux que cuadra este círculo. Instala automáticamente los parches del núcleo Linux, manteniéndolos al nivel de parche de seguridad más reciente. Y lo hace sin tiempo de inactividad, sin necesidad de reiniciar el sistema.

Conclusión

Aunque es difícil conseguir la conformidad SOC 2, sólo aporta ventajas. Una auditoría es un proceso de autorreflexión, que obliga a una organización a examinar la forma en que su tecnología gestiona los datos e identificar los puntos débiles.

Para cumplir la normativa a largo plazo y satisfacer a los auditores año tras año, una organización debe buscar formas eficaces de automatizar las tareas que consumen muchos recursos. Una de las más fáciles de abordar con una infraestructura de información basada en Linux es la actualización rutinaria de los parches del kernel. Aquí es donde encaja KernelCare.