کسپرسکی از ممیزی SOC 2 سربلند بیرون آمد

03 شهریور 1398 کسپرسکی از ممیزی SOC 2 سربلند بیرون آمد

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ شاید قبلاً توسط بلاگ یوجین کسپرسکی یا خبرگزاری رسمی این شرکت مطلع شده باشید که ما اخیراً ممیزیِSOC 2 خود را رد کردیم. اگر هم هنوز چیزی از این ماجرا نمی‌دانید در این خبر همراهمان باشید تا بگوییم اساساً این ممیزی چیست و چرا الزام دارد.

ممیزی SOC 2 چیست؟

SOC 2[1] ممیزیِ روندهای نظارتی روی سازمان‌های آی‌تی است که کارش ارائه‌ی خدمات است. در اصل این ممیزی یک استاندارد بین‌المللیِ گزارش‌دهی برای سیستم‌های مدیریت خطرهای سایبری می‌باشد. این استاندارد را مؤسسه‌ی AICPA[2] ساخته است که در ماه مارس سال 2018 نیز بروزرسانی شد.

مقاله‌ی حاضر در خصوص ممیزی نوع 1 SOC 2 (که البته آن را رد کردیم) است که تأیید می‌کند مکانیزم‌های نظارت امنیت به طور مؤثری در تک تکِ سیستم‌ها راه‌اندازی شده‌اند. این بدان معناست که ممیزهای طرف‌سوم پیش ما آمدند و سیستم مدیریت خطر ما را مورد رسیدگی و بررسی قرار دادند. همچنین رویکردها و عملکردهایی که اتخاذ کرده بودیم را نیز موشکافانه تحلیل کردند؛ تا مطمئن شوند چقدر به سیاست‌های قیدشده‌ی خود پایبندیم و چطور تغییرات را در این فرآیند ثبت و ضبط می‌کنیم.

چرا باید پیِ این ممیزی‌ها را به تن مالید؟ 

هر شرکتی که به نوعی خدمات ارائه می‌دهد این پتانسیل را دارد تا برای مشتریان خود خطری نیز به همراه داشته باشد. حتی شرکتی که تماماً قانونی است هم می‌تواند لینکی باشد در زنجیره‌ی تأمین که بواسطه‌ی آن، حمله‌ای شکل گیرد. اما شرکت‌هایی که در حوزه‌ی اطلاعات فعالیت می‌کنند مسئولیتشان سنگین‌تر است: محصولاتشان باید بالاترین سطح دسترسی را به سیستم‌های اطلاعاتی کاربر داشته باشند.

بنابراین، گهگاهی مشتریان (خصوصاً شرکت‌های بزرگ) ممکن است سوالاتی در این خصوص برایشان پیش آید. مثل اینکه: تا چد می‌توانیم به چنین سرویس‌های اعتماد کنیم؟ برای سرویس‌هایی که استفاده می‌کنیم چه نوع خطمشی‌های داخلی در اختیار داریم؟ آیا کسی می‌تواند با محصولاتش یا خدمات مربوطه‌ای که ارائه می‌دهد به ما آسیبی برساند؟

پیچیدگی امر اینجاست که: جواب‌های ما به این سؤالات مهم نیست زیرا پاسخ‌هایی که شرکت ما یا هر شرکت دیگر می‌دهد همیشه می‌تواند معقول و متقاعدکننده به نظر برسد. برای همین هم هست که از ممیزهای خارجی می‌خواهیم تا نظرات تخصصی خود را خارج از گود به سمع و نظر ما برسانند. برایمان خیلی اهمیت دارد که مشتریان و شرکای ما ذره‌ای شک نسبت به محصولات و خدمات ما نداشته باشند و در نهایت اطمینان از آن‌ها استفاده کنند. همچنین بر این باوریم که باید فرآیندهای داخلی‌مان با استاندارد بین‌المللی و بهترین رویکردها تطابق کامل داشته باشد.

کار ممیزها، بررسی و رسیدگی به چیست؟

همیشه بزرگ‌ترین دغدغه مکانیزمِ تحویل اطلاعات به کامپیوتر کلاینت‌هاست. راه‌حل‌های ما بخش‌های مختلف بازار و صنعت را پوشش‌دهی کرده و بیشتر آن‌ها از موتور آنتی‌ویروس به عنوان فناوری تدافعیِ مرکزی -برای پاکسازی هر چیزی از خطرهای سایبری- استفاده می‌کنند. این موتور -از بین کلی فناوری که در اختیار دارد- از هش‌های بسیار سریع، امولاسیون در محیطی ایزوله و مدل‌های ریاضیاتیِ یادگیری ماشین –که به شدت در برابر جهش و تغییرات ناگهانی مقاوم‌اند- استفاده می‌کند. همه‌ی این فناوری‌ها نیازمند این هستند که پایگاه‌های اطلاعاتی برای مؤثر عمل کردن در مقابل تهدیدهای سایبریِ مدرن به طور منظم آپدیت شوند.

ممیزهای مستقل سیستم ما را برای مدیریت این پایگاه‌های اطلاعاتی مورد بررسی قرار دادند و همچنین متودهای ما را در بخش نظارت یکپارچگی و اعتبار بروزرسانی‌ها (برای پایگاه‌های اطلاعاتی محصولات آنتی‌ویروس مخصوص ویندوز و سرورهای یونیکس) رسیدگی کردند. آن‌ها دریافتند که شیوه‌های نظارتی ما دارند بدرستی عمل می‌کنند. همچنین روند ساخت و عرضه‌ی پایگاه‌های اطلاعاتی آنتی‌ویروس را نیز برای هر نوع احتمالِ دستکاری مورد بررسی قرار دادند.

چطور بررسی‌های خود را انجام می‌دهند؟

ممیزها به نحوه‌ی تطابق‌پذیریِ فرآیندهای فروشنده با هر یک از 5 اصل امنیت نگاه می‌کنند: محفاظت (آیا فرآیند در برابر دسترسی غیرقانونی محافظت می‌شود؟)، دسترسی (آیا فرآیند به طور کلی کارکردی است؟)، یکپارچگی پروسه (آیا اطلاعات در نهایت اطمینان به دست مشتری می‌رسد؟)، محرمانه بودن (کس دیگری می‌تواند به چنین اطلاعاتی دسترسی داشته باشد؟) و حریم‌خصوصی (آیا داده‌های شخصی تنها از جانب ما ذخیره می‌شود  و اگر چنین است چطور؟).

در مورد ما، ممیزها موارد زیر را مورد رسیدگی قرار دادند:

  • سرویس‌های ما چه چیزهایی ارائه می‌دهند
  • چطور سیستم‌های ما با کاربران و شرکای احتمالی تعامل می‌کند
  • چطور نظارت روی پروسه‌ها را عملیاتی می‌کنیم و در این راستا با چه محدودیت‌هایی روبرو هستیم
  • چه ابزار نظارتی در اختیار کاربران قرار می‌دهیم و آن ها چطور با این ابزارهای ما ارتباط برقرار می‌کنند
  • سرویس ما با چه خطراتی مواجه است و چه ابزارهای نظارتی می‌تواند از شدت این خطرها بکاهد؟

برای درک تمام اینها، ممیزها ساختار سازمانی، مکانیزم‌ها و پرسنل ما را مورد بررسی قرار دادند. آن‌ها مایل بودند بدانند ما چطور بررسی‌های پس‌زمینه‌ای را وقتی نیروهای جدید استخدام می‌کنیم انجام می‌دهیم. سپس روندهایی را که ما بواسطه‌ی آن‌ها با الزامات امنیتیِ همیشه در حال تغییر دست و پنجه نرم می‌کنیم تحلیل کردند. همچنین کد منبع مکانیزمی را که برای ارائه‌ی آپدیت‌های خودکار پایگاه اطلاعاتی آنتی‌ویروس استفاده می‌کنیم بررسی کردند و از همه مهمتر اینکه برایشان جالب بود بدانند برای تغییرات غیرقانونی به این کد چه فرصت‌هایی می‌تواند وجود داشته باشد. البته مؤلفه‌های دیگری را نیز لحاظ کردند که پرداختن به آن‌ها از حوصله‌ی این مقاله خارج است.

چه کسی این بررسی را انجام داد و از کجا می‌توانم این گزارش را بخوانم؟ 

این ممیزی توسط شرکت  Big Four صورت گرفت. شاید تا به حال متوجه شده باشید که ما در این بخش‌ها از آوردن اسامی پرهیز می‌کنیم اما این بدان‌معنا نیست که بگوییم ممیزهای ما گمنامند. فقط ترجیح می‌دهیم برای مقاصد امنیتی و نظارتی اسم افراد را قید نکنیم. البته این گزارش امضا شده است. در نهایت اینکه ممیزها به این نتیجه رسیدند که فرآیندهای ساخت پایگاه اطلاعاتی آنتی‌ویروس و عرضه‌ی آن‌ها به حد کافی در مقابل دستکاری‌های غیرقانونی حافظت می‌شود. برای خواندن این گزارش به صورت کامل به این بخش مراجعه کنید. 

 

[1] The Service and Organization Controls 2

[2] American Institute of Certified Public Accountants

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security

    هنگام خرید آنلاین و یا انجام تراکنش‌های بانکی از طریق اینترنت، از اطلاعات حساب بانکی و پولتان مراقبت می‌کنیم. وقتی در فضای سایبری مشغول معاشرت هستید از هویت‌تان حراست می‌کنیم... وقتی در اینترنت ...

    3,522,000 ریال
    خرید
  • Kaspersky Internet Security for Android

    تلفن هوشمند و تبلت شما نیز به اندازه ی کامپیوترتان در برابر حمله های دیجیتالی آسیب پذیرند. به همین خاطر هنگام وب گردی یا استفاده از شبکه های اجتماعی، باید از آنها مراقبت کنید. ...

    1,254,000 ریال
    خرید
  • Kaspersky Total Security

    خانواده، نهادی ارزشمند است؛ پس بالاترین سطح امنیتی خود را به آن اختصاص داده‌ایم. توتال سکیوریتی کسپرسکی به خانواده‌ی شما کمک می‌کند: وقتی دارند در اینترنت گشت می‌زنند، خرید ...

    5,034,000 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    1,888,800 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    1,888,800 ریال
    خرید
  • Kaspersky Antivirus

    ایجاد فضای امن سایبری ابتدا با محافظت از دستگاه پی‌سی‌تان شروع می‌شود. از همین رو آنتی‌ویروس کسپرسکی دستگاه پی‌سی شما را در برابر ویروس‌ها، باج‌افزارها، عملیات‌های فیشینگ، جاسوس‌افزار، وبسایت‌ها ...

    2,514,000 ریال
    خرید
  • Kaspersky Small Office Security 6

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 25 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    3,402,000 ریال4,536,000 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد