Vi serve il cloud computing? Iniziate subito

Che cos'è lo standard SOC 2?

Un approccio alla sicurezza solido e positivo risulta vitale in un'epoca in cui proliferano gli attacchi informatici. Le minacce informatiche, come gli attacchi di ransomware e phishing, continuano a mettere alla prova le aziende di tutte le dimensioni e in tutti i settori. Inoltre, gli attacchi alla supply chain sono diventati un problema seria, come dimostrano i sondaggi condotti dal World Economic Forum da cui è risultato come il 90% degli intervistati siano preoccupati della resilienza informatica di terze parti. Per aiutare a guidare le aziende nel processo di implementazione di un solido sistema di sicurezza, sono state progettate apposite strutture, come la SOC 2 (System and Organization Controls 2), che mira a stabilire il livello di rischio e a migliorare l'efficacia operativa di un'azienda.

Che cos'è la conformità allo standard SOC 2?

Lo standard SOC 2 è stato creato dall' American Institute of Certified Public Accountants (AICPA) nell'ambito dei suoi criteri dei servizi fiduciari per facilitare il controllo e la generazione di rapporti sui controlli utilizzati da una società di servizi per proteggere le sue informazioni. I rapporti SOC 2 registrano i livelli di sicurezza, disponibilità, integrità del trattamento, riservatezza e privacy dei dati, oltre a garantire che i controlli utilizzati dalla società di servizi esaminata riescano a soddisfare alcuni o tutti i cinque criteri SOC 2.

La gestione dei rischi deve estendersi a terze parti. Lo standard SOC 2 offre una struttura che controlla se una società di servizi ha implementato e riesce a mantenere un solido sistema di sicurezza delle informazioni e se è in grado di mitigare eventuali incidenti di sicurezza. Il SOC 2 viene utilizzato per controllare il sistema di sicurezza dei vendor di terze parti per garantire che sia conforme al livello di protezione previsto dalla vostra organizzazione.

In che modo Akamai aiuta le organizzazione a soddisfare la conformità al SOC 2

Le soluzioni per la sicurezza di Akamai forniscono intelligence e protezione end-to-end per proteggere i dati da eventuali violazioni ed esposizione accidentale e per prevenire accessi non autorizzati tramite l'applicazione di solide policy per il controllo degli accessi. Akamai aiuta i vostri team addetti alla sicurezza a massimizzare l'efficacia e il ROI dei vostri investimenti nella sicurezza andando oltre il tradizionale rilevamento degli endpoint per fornire una potente soluzione Zero Trust per la protezione e la privacy dei dati. 

Akamai offre:

  • Una piattaforma di sicurezza globale che applica la sicurezza Zero Trust con una copertura completa del vostro ambiente IT
  • Una profonda visibilità su risorse, accessi e flussi di rete
  • Applicazione granulare della policy di sicurezza e protezione delle informazioni di identificazione personale (PII)

Quali sono i cinque criteri dei servizi fiduciari del SOC 2?

Diagramma che illustra i termini disposti in un cerchio per descrivere i cinque criteri dei servizi fiduciari della certificazione SOC 2: sicurezza, disponibilità, integrità del trattamento, riservatezza e privacy dei dati,

Il controllo SOC 2 copre i cinque aspetti correlati al trattamento dei dati, che, se correttamente implementati, formano un sistema di cybersicurezza coerente e solido. L'ASEC Trust Information Integrity Task Force è responsabile dell'accuratezza tecnica dei criteri dei servizi fiduciari (TSC). L' Assurance Services Executive Committee dell'AICPA è responsabile dei TSC e descrive i cinque criteri dei servizi fiduciari del SOC 2 come riportato di seguito.

  1. Sicurezza: protezione dei dati e sicurezza dei sistemi da accessi non autorizzati ed esposizione dei dati. La sicurezza, inoltre, include la protezione da danni ai sistemi che potrebbero determinare la perdita di disponibilità, integrità e riservatezza dei dati.
  2. Disponibilità: l'affidabilità dei sistemi necessaria all'entità interessata per gestire le sue operazioni.
  3. Integrità del trattamento: il trattamento dei sistemi deve essere completo, valido, accurato, tempestivo e autorizzato.
  4. Riservatezza: i dati classificati come "confidenziali" devono essere protetti in modo da soddisfare gli obiettivi dell'entità interessata.
  5. Privacy: le informazioni richieste devono essere raccolte, utilizzate, conservate, divulgate ed eliminate in modo da soddisfare gli obiettivi dell'entità interessata in materia di privacy dei dati.

Un fornitore di servizi in grado di garantire la sua conformità ad alcuni o a tutti i cinque principi dei servizi fiduciari (a seconda dei casi) dimostra il suo impegno nei confronti della sicurezza delle informazioni.

Quanto è importante il SOC 2 per la vostra organizzazione?

Lo standard SOC 2 si applica ai fornitori di servizi tecnologici o alle aziende SaaS che si occupano di archiviare, elaborare o gestire i dati dei clienti. Il SOC 2 si estende ad altri vendor di terze parti che si occupano di gestire/fornire dati e app, oltre ad essere usato per mostrare i sistemi e le misure di protezione in atto per garantire l'integrità dei dati. La conformità al SOC 2 può aiutare a prendere le decisioni di acquisto più appropriate ed è parte dei rischi associati alla gestione dei vendor.

Provider di servizi cloud e IT

Secondo Thales e 451 Research, il 66% delle aziende archivia fino al 60% dei loro dati sensibili nel cloud. Inoltre, il numero di aziende che hanno subito una violazione di dati riguardante un'applicazione nel cloud è aumentato dal 35% nel 2021 al 45% nel 2022. Garantire la sua conformità al SOC 2 consente ad un vendor di servizi tecnologici di dimostrare il suo effettivo uso di controlli di sicurezza, come l'autenticazione a due fattori. Questo aspetto è un importante elemento di differenziazione concorrenziale in un'epoca in cui la sicurezza dell'IT e del cloud riguarda aree con servizi potenzialmente ad alto rischio. Le violazioni della sicurezza nel cloud che influiscono sull'intera catena sono sempre più comuni, pertanto un provider di servizi cloud e IT che riesce a garantire la sua conformità al SOC 2 darà prova di considerare la sicurezza delle informazioni come un aspetto di importanza cruciale.

I clienti dei provider di servizi cloud e IT

Scegliendo un vendor che ha acquisito la certificazione SOC 2, la vostra organizzazione potrà usufruire di un processo di controllo trasparente con la generazione di rapporti SOC che definiscono i rischi e i controlli utilizzati dal vendor di terze parti. Questi standard e queste misure per la sicurezza delle informazioni si diffonderanno all'interno della vostra organizzazione, garantendo il livello di protezione necessario per adempiere agli standard interni e ai requisiti normativi.

Altri vendor della supply chain collegati

Gli attacchi alla supply chain sono aumentati di oltre il 600% nel periodo 2021/2022. Lo sfruttamento della vulnerabilità zero-day nel software MOVEit Transfer è solo un esempio dell'enorme impatto e della vastità degli attacchi di questo tipo. La ricerca sulla sicurezza di Akamai relativamente all'attacco MOVEit ha rilevato un numero allarmante di server vulnerabili connessi a Internet. Queste vulnerabilità vengono prese di mira dai criminali informatici che utilizzano i vendor della supply chain per accedere a reti che fanno parte della catena e che si rilevano per loro redditizie. I vendor della supply chain in grado di garantire la conformità al SOC 2 possono dimostrare il loro impegno nei confronti della sicurezza dei dati.

Le soluzioni di Akamai per la conformità al SOC 2

Akamai fornisce una famiglia completa di soluzioni per la sicurezza Zero Trust che aiutano a garantire la conformità al SOC 2 offrendo gli strumenti necessari per soddisfare i criteri dei servizi fiduciari SOC 2. Le nostre innovative soluzioni per la sicurezza sono riconosciute come le migliori del settore dai nostri clienti, che utilizzano Akamai per proteggere i dati sensibili nei moderni ambienti IT estesi. La gamma di soluzioni per la sicurezza di Akamai si è evoluta passando da una serie di singoli prodotti ad una piattaforma Zero Trust completa e potente. Le eccellenti soluzioni dell'azienda forniscono i controlli di sicurezza necessari per soddisfare i requisiti del SOC 2 in termini di sicurezza, disponibilità, integrità, riservatezza e privacy dei dati. Akamai offre una visibilità approfondita sull'ambiente IT, sulle risorse critiche, sui requisiti di accesso e sui flussi di rete della vostra infrastruttura estesa, inclusi i vostri fornitori.

Conformità al SOC 2 e sicurezza Zero Trust

Il controllo degli accessi e l'autorizzazione all'utilizzo dei dati sono un aspetto fondamentale della sicurezza delle informazioni nell'ambito del SOC 2. Lo sviluppo di un approccio Zero Trust alla sicurezza dei dati è un modo per associare tutti i cinque criteri dei servizi fiduciari a solide misure di sicurezza.

Tra le misure di sicurezza del SOC 2 che vengono utilizzate nella creazione di un approccio Zero Trust, figurano:

  • Gestione degli accessi e delle identità di utenti e dispositivi
  • Protezione delle API all'interno di ecosistemi e flussi di dati
  • MFA (Multi-Factor Authentication)
  • Rilevamento delle intrusioni
  • Livello di visibilità e monitoraggio richiesto per applicare l'autorizzazione proporzionale
  • Diritti basati sul privilegio minimo per minimizzare l'accesso ai dati
  • Crittografia dei dati

Domande frequenti (FAQ)

Il SOC 2 è un rapporto di controllo che attesta l'efficacia dei controlli messi in atto da una società di servizi relativamente ai suoi livelli di sicurezza, disponibilità, integrità del trattamento, riservatezza e privacy dei dati.

Il SOC1 e il SOC 2 sono diversi nello scopo e nell'ambito. Il SOC 1 si focalizza sull'integrità dei controlli finanziari del clienti e sull'accuratezza dei dati finanziari. Il SOC 2 si incentra sui controlli interni che proteggono i dati tramite i cinque criteri dei servizi fiduciari e il suo scopo è più ampio poiché copre tutti i fornitori di servizi, inclusi i servizi cloud.

Un rapporto SOC 2 serve ai fornitori di servizi che si occupano dell'archiviazione dei dati dei clienti nel cloud. Questo tipo di rapporto è fondamentale per le società tecnologiche e le aziende che forniscono servizi di cloud computing. La certificazione SOC 2 viene condotta da un revisore SOC 2 certificato, un contabile pubblico certificato (CPA) indipendente e affiliato all'AICPA . Il controllo viene condotto su alcuni o tutti i criteri dei servizi fiduciari (TSC). I criteri TSC controllati dipendono dal tipo di azienda, ad esempio, un vendor SaaS viene probabilmente sottoposto a controllo per i criteri di sicurezza, disponibilità e riservatezza dei dati.

Anche l'ambito del controllo dipende dal tipo di organizzazione. Le società di grandi dimensioni possono scegliere di sottoporre a controllo specifiche sezioni o prodotti aziendali. Il revisore richiede di presentare la documentazione completa e le policy necessarie per dare prova dei modelli di sicurezza implementati. Disporre della documentazione relativa al modello Zero Trust implementato aiuterà ad agevolare il processo.

La conformità al SOC 2 richiede controlli annuali per confermare che vengono rispettati i cinque criteri dei servizi fiduciari.

Perché i clienti scelgono Akamai

Akamai è l'azienda di cybersecurity e cloud computing che abilita e protegge il business online. Le nostre soluzioni di sicurezza leader del settore, la nostra innovativa intelligence sulle minacce e il nostro team operativo su scala globale forniscono una difesa approfondita in grado di proteggere i dati e le applicazioni aziendali ovunque. Le soluzioni complete di cloud computing offerte da Akamai assicurano performance elevate e notevoli risparmi, grazie alla piattaforma più distribuita al mondo. Le maggiori aziende internazionali si affidano ad Akamai per ottenere la protezione, la scalabilità e le competenze leader del settore di cui hanno bisogno per far crescere la loro attività senza rischi.

Scoprite tutte le soluzioni per la sicurezza di Akamai