2 posty z tagiem "soc2"

Jeśli kierujesz inżynierią lub bezpieczeństwem w firmie z CEE, prawdopodobnie słyszałeś tę samą rozmowę dwukrotnie w ciągu ostatnich sześciu miesięcy — raz od prawników („potrzebujemy ISO 27001") i raz od potencjalnego klienta korporacyjnego z USA („potrzebujemy SOC 2 Type II"). Oba mają rację. Oba mają realne konsekwencje. I oba mają zarządzanie dostępem uprzywilejowanym jako podstawowe wymaganie dotyczące mechanizmów kontrolnych. Pytanie brzmi: które z nich wdrożysz najpierw i czy praca się pokrywa?

Gotowość do SOC 2 Type II to maraton. Większość organizacji przechodzi przez dokumentację polityk, kwestionariusze ryzyka dostawców i diagramy segmentacji sieci bez większych problemów. Potem trafiają na CC6 — Logiczne i Fizyczne Mechanizmy Kontroli Dostępu — i audyt staje się trudny.

CC6 to miejsce, w którym audytorzy spędzają najwięcej czasu i gdzie firmy najczęściej otrzymują wyjątki. Obejmuje kto ma dostęp do Twoich systemów, jak ten dostęp jest kontrolowany, jak jest monitorowany i jak jest przeglądany. Jeśli Twoja odpowiedź w zakresie zarządzania dostępem uprzywilejowanym brzmi „używamy VPN plus RDP ze współdzielonymi poświadczeniami administratora", nie przejdziesz audytu.

Oto dokładnie to, czego wymaga CC6, o co pytają audytorzy i jak dostarczyć dowody.