Ano ang SOC 2 at kailangan ko ba ito?

Ang SOC 2 ay nangangahulugang System and Organization Controls 2. Ito ay isang balangkas ng pag-uulat na ginagamit ng maraming software, cloud, at mga negosyong pang-serbisyo para ipakita na ang kanilang mga kontrol para sa seguridad at mga kaugnay na bahagi ay maayos na dinisenyo at, sa ilang kaso, gumagana nang tuloy-tuloy sa paglipas ng panahon.

Karaniwan, hindi ito isang bagay na kailangan lang ng isang lokal na panaderya, tindahan, restaurant, o maliit na opisina para makapagpatakbo. Mas nagiging mahalaga ito kapag ang iyong negosyo ay nag-iimbak ng data ng customer, nagho-host ng software, sumusuporta sa mga system ng ibang kumpanya, o kapag hiniling sa sales o vendor review ang isang ulat ng SOC 2.

Kailangan mo ba ng IT para sa SOC 2. Kadalasan, oo—kahit papaano. Kahit pa gumamit ka ng external auditor at consultant, karamihan sa mga negosyo ay kailangan pa rin ng day-to-day na teknikal na setup at suporta, gaya ng seguridad ng account, pamamahala ng device, mga pagsusuri sa backup, at mga dokumentadong proseso. Kung sinusubukan mong unawain kung anong klase ng suporta ang bagay sa negosyo mo, simulan sa aming mga sagot o mga serbisyo.

Ang SOC 2 ay hindi lisensya sa negosyo, at hindi rin ito sertipikasyon ng gobyerno. Ito ay isang independiyenteng ulat sa pag-audit batay sa mga kontrol na kaugnay sa Trust Services Criteria—karaniwan ay seguridad, at minsan availability, processing integrity, confidentiality, at privacy.

Sa plain English, ito ay isang sistematikong paraan para ipakita na may mga patakaran, kasangkapan, at gawain ang iyong negosyo para protektahan ang mga system at pangasiwaan ang data nang responsable. Kasama rito ang kung sino ang may access, paano nai-se-secure ang mga laptop, paano inaaprubahan ang mga pagbabago, paano sinusuri ang mga backup, at paano tinutugunan ang mga insidente.

Maaari mong marinig ang usapan tungkol sa Type I at Type II. Ang Type I na ulat ay tumitingin kung ang mga kontrol ay maayos ang disenyo sa isang partikular na oras. Ang Type II na ulat ay tumitingin kung ang mga kontrol na iyon ay gumana sa loob ng isang panahon. Madalas mas gusto ng mga customer ang Type II dahil ipinapakita nito ang pagkakapare-pareho, hindi lang isang snapshot.

Para sa maraming maliliit at katamtamang laki ng negosyo, nagiging mahalaga ang SOC 2 dahil hinihingi ito ng mga customer. Karaniwan ito sa mga kumpanya ng software, mga serbisyong nakabatay sa cloud, mga outsourced na business services, suporta sa healthcare, suporta sa financial services, at anumang kumpanyang humahawak ng sensitibong impormasyon ng kliyente.

Kung nagtitiwala ang mas malaking customer sa negosyo mo para sa data, maaari nilang gusto ng patunay na may mga pangunahing proteksyon ka. Tinutulungan ng SOC 2 ang pagbuo ng tiwala, mga usapan sa pagbebenta, pag-apruba ng vendor, at pag-renew ng kontrata. Sa ilang kaso, ang kawalan nito ay puwedeng makapagpatagal o makadagdag ng hadlang sa mga deal.

Pero hindi lahat ng negosyo ay nangangailangan ng ulat ng SOC 2. Ang iba ay kailangan lang ng mas mahuhusay na basic na kontrol sa IT. Ang iba ay kailangang sagutin ang isang security questionnaire. Ang iba naman ay kailangang matugunan muna ang ibang kinakailangan, depende sa industriya at mga alituntunin ng estado. Ang HIPAA, na nangangahulugang Health Insurance Portability and Accountability Act, ay nalalapat sa ilang sitwasyon sa healthcare. Ang PCI, na karaniwang tumutukoy sa Payment Card Industry Data Security Standard, ay nalalapat sa mga negosyong humahawak ng mga pagbabayad sa card. Magkaiba ang SOC 2 sa mga iyon.

Ang isang mahusay na managed IT provider, madalas na tinatawag na MSP—managed services provider—ay makakatulong sa pag-unawa sa praktikal na aspeto ng readiness. Ang NodeBridge IT ay hindi gumagawa ng trabahong iyon mismo. Nagbibigay kami ng pangkalahatang edukasyon at, kung makatutulong, matutulungan ka naming makahanap ng isang independiyenteng managed IT provider sa pamamagitan ng aming libreng proseso na magkakabagay.

Sa karamihan ng mga kaso, oo. Ang SOC 2 ay tumatama sa maraming pang-araw-araw na gawain sa IT. Hindi lang ito dokumento ng patakaran. Karaniwang gusto ng mga auditor na makita na may mga kontrol ang iyong negosyo na aktwal na nasa lugar at sinusunod.

Kadalasan kasama rito ang Multi-Factor Authentication, o MFA—ibig sabihin, kailangan ng user ng pangalawang hakbang para makapag-sign in, hindi lang password. Maaari rin itong magsama ng patching—ibig sabihin, panatilihing updated ang software at mga device. Maaari rin itong magsama ng endpoint protection, kung saan ang endpoint ay anumang laptop, desktop, phone, o server na konektado sa negosyo mo, at mga tool tulad ng EDR—ibig sabihin, Endpoint Detection and Response—para makatulong sa pagtuklas ng kahina-hinalang aktibidad sa mga device na iyon.

Maaaring kailanganin mo rin ang device inventory, access reviews, mga pamamaraan sa backup, employee onboarding at offboarding, at basic na dokumentasyon. Kung nagtatrabaho ka sa isang managed IT provider, maaari rin silang gumamit ng RMM—Remote Monitoring and Management—para subaybayan ang kalusugan ng mga device at regular na maintenance. May ilang negosyo rin na nakikipagtrabaho sa isang vCIO—virtual Chief Information Officer—para sa pagpaplano, pagbabadyet, at gabay sa patakaran.

Hindi lahat ng kumpanya ay kailangang magkaroon ng lahat ng ito nang sabay-sabay, at ang tamang setup ay nakadepende sa laki mo, mga system, inaasahan ng customer, at antas ng risk. Walang tapat na provider ang dapat nangangakong hindi magagamit o hindi mahahack ang network o zero downtime. Ang layunin ay bawasan ang risk, pagandahin ang pagkakapare-pareho, at tulungan kang matugunan ang makatwirang inaasahan ng mga customer at auditor.

Ang magandang paghahanda para sa SOC 2 ay madalas boring—pero sa magandang paraan. Alam ng mga tao kung paano nililikha at inaalis ang mga account. Nasusubaybayan ang mga device. May nakatakdang iskedyul ang mga update. Ang mahahalagang file ay ini-back up at sinusubok. Nililimitahan ang access sa mga taong kailangan. Ang mga patakaran ay nakasulat sa plain language at talagang ginagamit.

Maganda rin ito kapag kaya ng iyong negosyo na magpakita ng ebidensya. Halimbawa, maaaring maipakita mong naka-enable ang MFA, naganap ang security training, limitado lang ang admin access, tumatakbo ang mga backup, at kung may mga insidente man, made-dokument o maipapakita ang mga ito. Para sa backup, maaari mong marinig ang terminong 3-2-1 backup. Ibig sabihin nito ay panatilihin ang 3 kopya ng data, sa 2 magkakaibang uri ng storage, at 1 kopya ay naka-imbak sa offsite.

Kung may mga customer na nagtatanong tungkol sa SOC 2, magandang magsimula nang maaga. Maraming negosyo ang naghihintay hanggang may malaking deal na, saka nila napagtantong kailangan pa nila ng ilang buwan para sa paglilinis, dokumentasyon, at mga pagbabago sa proseso. Karaniwang mas madali at hindi gaanong nakakagambala ang tuloy-tuloy na paglapit.

Malawak ang puwedeng saklaw ng bahagi ng IT sa pagiging handa para sa SOC 2. Ang isang maliit na negosyo ay maaaring gumastos ng ilang daang dolyar hanggang ilang libong dolyar kada buwan para sa patuloy na managed IT support, depende sa headcount, mga device, pangangailangan sa seguridad, at saklaw ng trabaho. Bukod pa rito, puwedeng madagdag ang hiwalay na gastos sa audit, consulting, compliance software, at legal. Mga hanay ito, hindi mga quote.

Kung naririnig ng negosyo mo ang tanong na "Mayroon ba kayong SOC 2" mula sa mga customer, ang susunod na hakbang ay kadalasang hindi mag-panic. Una, tukuyin kung anong data ang hinahawakan mo, kung ano ang hinihingi ng mga customer, at kung anong mga kontrol ang mayroon ka na. Pagkatapos, magpasya kung kailangan mo ng basic na paglilinis sa IT, gabay sa compliance, pormal na landas para sa audit, o kombinasyon ng mga iyon.

Ang NodeBridge IT ay hindi MSP, auditor, o security firm. Hindi namin pinamamahalaan ang mga system o ina-access ang mga account mo. Nag-aalok kami ng pangkalahatang tulong sa edukasyon at puwede kaming ikonekta ka sa isang independiyenteng managed IT provider kung gusto mo ng suporta sa paghahambing ng mga opsyon. Maaari mong tuklasin pa ang iba sa aming pahina ng mga serbisyo o magsimula sa magkakabagay.