Uma visão interna da evolução dos processos SOC 2 da Threat Stack

Ano 1: Construindo a Fundação

No Ano 1 (2017), escolhemos o SOC 2 porque somos uma empresa de segurança que ajuda os clientes com a conformidade com o SOC 2 e acreditamos que é importante dar o exemplo concluindo o exame nós mesmos. Escolhemos o Tipo 2 em vez do Tipo 1 porque ele demonstra um processo muito mais rigoroso, além de ser uma prova de adesão contínua. Como Sam Bisbee, CSO da Threat Stack, afirmou: “Ao escolher o Tipo 2, enviamos ao mercado um sinal muito mais forte de que somos capazes de manter nossas próprias reivindicações de ‘conformidade contínua’ ao operar com essa política internamente.”

Depois de nos comprometermos a buscar o SOC 2 do Tipo 2, usamos o período anterior ao exame para construir uma base sólida de controles, processos e governança. Especificamente, implementamos novas políticas e tecnologias para fortalecer nossa infraestrutura e incutir segurança em todas as fases do desenvolvimento do produto. Além disso, aproveitamos a oportunidade para integrar melhor nossa equipe de Segurança às nossas práticas de DevOps. Por fim, criamos ferramentas para incorporar as expectativas do SOC 2 em nossos processos automatizados para garantir que as verificações necessárias fossem incorporadas ao nosso processo de desenvolvimento em vez de adicionadas como um obstáculo no final. 

Os resultados: Ao passar no exame sem exceções, demonstramos que a Threat Stack Cloud Security Platform®, as pessoas por trás dela e os processos em vigor eram confiáveis para aderir continuamente a rigorosos padrões de conformidade. 

Ano 2: Estabelecendo uma função GRC dedicada e otimizando processos 

Embora o Ano 1 tenha sido um grande sucesso, ficou claro que poderíamos alcançar os mesmos resultados ou melhores de uma maneira ainda mais rigorosa e eficiente no futuro. Com isso em mente, usamos o Ano 2 para:

• Crie uma abordagem distribuída em toda a empresa para dar suporte a auditorias, criando uma função dedicada de governança, risco e conformidade (GRC) dentro de nossa equipe de segurança, aproveitando as equipes de engenharia, operações e segurança de plataforma.
• Projetar e executar uma auditoria interna rigorosa antes da avaliação formal do SOC 2 no local para avaliar e melhorar a eficácia de ponta a ponta de nossos controles, políticas e processos, e para determinar quais ferramentas poderíamos construir ou alavancar para alcançar maior precisão e eficiência. 

A recompensa foi significativa. Não apenas fortalecemos nossa governança e base, mas também continuamos a melhorar nossos processos internos antes do exame oficial. Enquanto nosso exame interno levou aproximadamente um mês para ser concluído, o exame oficial exigiu apenas que os auditores estivessem presentes no local por três dias. (Na verdade, reduzimos o tempo que os auditores precisavam estar no local porque a auditoria interna nos preparou para identificar e extrair rapidamente as evidências que os auditores exigiam.)

Os resultados: Processos simplificados, uma visita no local mais curta e um exame bem-sucedido, sem exceções!

Ano 3: Expandindo nosso escopo e incorporando novos controles

O terceiro ano foi interessante e desafiador. Poderíamos supor que dois exames bem-sucedidos e sem exceções tornariam fácil a obtenção de um terceiro. Mas, dada a mudança constante que caracteriza o setor de segurança cibernética em geral, e a mudança e o crescimento que vivenciamos na Threat Stack, esse definitivamente não foi o caso. Para enfrentar os desafios trazidos pelas mudanças de escopo e pela introdução de novos controles, concentramos nossos esforços em três áreas:

• Validando o monitoramento e os controles existentes: Embora tenhamos construído e aprimorado uma base sólida de políticas, procedimentos e controles em nossos dois primeiros anos, isso por si só não garante conformidade contínua (e, portanto, há a exigência de um reexame anual). Prevendo isso, garantimos que tínhamos verificações e auditorias internas que nos permitiriam validar a eficácia dos nossos processos existentes e também nos permitiriam demonstrar facilmente a conformidade aos examinadores. Resumindo, adotamos uma abordagem proativa que nos permitiu testar nossos sistemas antes do exame, garantindo assim eficácia e conformidade de ponta a ponta. Ao integrar esses processos às operações padrão, conseguimos garantir que manter a conformidade contínua fosse um facilitador de trabalho, não um acréscimo demorado no final.
• Expandindo o escopo da nossa governança para incluir novas funcionalidades: Sempre que o escopo da funcionalidade muda em uma organização, é essencial garantir que a nova funcionalidade esteja obedecendo às mesmas políticas e procedimentos que regem o restante da organização. No nosso caso, a Threat Stack implantou uma nova solução unificada de monitoramento de segurança de aplicativos em meados de 2019, como parte integrante da Threat Stack Cloud Security Platform. Consequentemente, era essencial garantir que isso estivesse sendo monitorado e controlado adequadamente e que pudéssemos demonstrar isso aos examinadores e fornecer evidências adequadas para apoiar nossa demonstração. Portanto, incluímos proativamente a funcionalidade de segurança de aplicativos no escopo de nossas atividades de governança SOC 2 para garantir que a equipe responsável por appsec estivesse abordando todas as nossas políticas e procedimentos, incluindo nosso Processo de Gerenciamento de Mudanças.
• Fornecimento de evidências de conformidade com controles adicionais: Como parte do nosso exame de 2019, fomos informados de que teríamos que fornecer evidências de conformidade com uma série de controles adicionais. A principal delas era a capacidade de “Avaliar e Gerenciar Riscos Relacionados a Fornecedores e Parceiros de Negócios”.
  
  As organizações estão cada vez mais terceirizando para fornecedores qualificados. A responsabilidade por esses fornecedores, é claro, não é terceirizada. A responsabilidade permanece dentro da sua organização, e é essencial que você inclua fornecedores no seu programa de gerenciamento de fornecedores e os governe com as mesmas políticas, procedimentos e controles que você usa no resto da sua empresa. Novamente, como a Threat Stack adotou uma abordagem proativa para o gerenciamento de fornecedores terceirizados, conseguimos demonstrar que já tínhamos uma política de gerenciamento de fornecedores apropriada em vigor. Basicamente, nosso sistema GRC garantiu que tínhamos previsto essa eventualidade e levado em consideração os requisitos de gerenciamento de fornecedores.

Construir uma estrutura sólida para governar a conformidade com o SOC 2, permanecendo flexível, permitiu que a Threat Stack se adaptasse positivamente às mudanças na natureza e no escopo de suas operações e garantisse que a conformidade contínua fosse um desafio gratificante. À medida que continuamos a validar nossa base e nos adaptar às mudanças, reforçamos continuamente nossa postura de segurança e otimizamos nossas políticas e procedimentos operacionais. Dessa forma, a conformidade se tornou um potencializador e facilitador de negócios que nos permite obter benefícios internos ao mesmo tempo em que repassamos valor aos nossos clientes por meio da Threat Stack Cloud Security Platform, bem como por meio dos aprendizados que compartilhamos com eles.

Além de seu próprio exame SOC 2 Tipo 2, o Threat Stack ajuda seus clientes a simplificar o gerenciamento de conformidade na nuvem com observabilidade de segurança em nuvem de pilha completa, monitoramento contínuo, alerta, investigação e verificação de infraestrutura em nuvem por meio de nossa Plataforma de Segurança em Nuvem.