Συμμόρφωση με το SSAE

Συμμόρφωση με το SSAE, Γνωστή και ως Δήλωση σχετικά με τα Πρότυπα για τις Δέσμες Βεβαίωσης και τη Συμμόρφωση, είναι μια συλλογή προτύπων ελέγχου και οδηγιών που χρησιμοποιούν πρότυπα που έχουν δημοσιευτεί από το Συμβούλιο Προτύπων Ελέγχου (ASB) του Αμερικανικού Ινστιτούτου Πιστοποιημένων Λογιστών (AICPA).

Αυτά τα πρότυπα καθορίζουν τον τρόπο με τον οποίο οι εταιρείες παροχής υπηρεσιών αναφέρουν τους ελέγχους και τις διαδικασίες συμμόρφωσής τους. SSAE 16 (SOC 1) δημοσιεύθηκε τον Απρίλιο του 2010 ως το πρότυπο αναφοράς για όλα τα αρχεία των ελεγκτών υπηρεσιών και εκδόθηκε για να αντικαταστήσει τη Δήλωση Ελεγκτικών Προτύπων Αρ. 70. Εάν είστε εξοικειωμένοι με SOC 1 ελέγχων, πιθανότατα είστε εξοικειωμένοι με το SSAE 16. Δυστυχώς, το SSAE 16 είχε ορισμένα σημεία αστοχίας και αντικαταστάθηκε την 1η Μαΐου 2017 από το SSAE 18, το οποίο σχεδιάστηκε για να αντιμετωπίσει αυτά τα κενά.

Το SSAE 18 είναι το τρέχον πρότυπο που χρησιμοποιείται σήμερα. Οι ελεγκτές ακολουθούν τις οδηγίες του SSAE 18 κατά την εκτέλεση αξιολογήσεων SOC 1 έως 3, ανεξάρτητα από τον Τύπο Ι (αξιολόγηση των ελέγχων σε συγκεκριμένη χρονική στιγμή) ή τον Τύπο II (αναθεώρηση των ελέγχων σε περίοδο 9 έως 12 μηνών).

Το SSAE 18 εισήγαγε σημαντικές αλλαγές στον τρόπο αντιμετώπισης των οργανισμών δευτερογενών υπηρεσιών. Προηγουμένως, οι έλεγχοι και οι δοκιμές των οργανισμών δευτερογενών υπηρεσιών (εξωτερικών αναθέσεων ή υπεργολάβων) ήταν εκτός πεδίου εφαρμογής του ελέγχου, αφήνοντας κρίσιμα κενά στις δοκιμές.

Πηγές: TechTarget, Otava

Σχετικοί Όροι: SOC 1, SOC 2, SOC 3

Τι σημαίνει αυτό για μια ΜΜΕ;

Οι ΜΜΕ θα πρέπει να δημιουργήσουν ένα ελεγχόμενο πρόγραμμα κυβερνοασφάλειας με ελέγχους γύρω από τη διαχείριση πρόσβασης, τα ελάχιστα προνόμια, τη λογοδοσία, την εκπαίδευση, τη διακυβέρνηση και την τεχνολογία. Κάθε ένας από αυτούς τους τομείς χρειάζεται ελέγχους και διαδικασίες που παράγουν αντικείμενα διαθέσιμα για επιθεώρηση. Με αυτόν τον τρόπο, κάθε ΜΜΕ θα προετοιμάζεται για εξωτερική επιθεώρηση μέσω αξιολόγησης SSAE 18. Αρχικά, οι οργανισμοί θα πρέπει να διεξάγουν μια επιθεώρηση SOC 1 ή Point in Time (Σημείο σε Χρόνο) των ελέγχων τους. Αυτό δίνει χρόνο για διόρθωση κενών και αποκατάσταση με μικρότερη επένδυση σε χρόνο και χρήμα. Μόλις διασφαλιστεί μια επιτυχημένη αξιολόγηση SOC 1 SSAE 18, μια ΜΜΕ θα πρέπει να στραφεί γρήγορα σε ένα SOC2 για να επικυρώσει ότι οι διαδικασίες λειτουργούν με την πάροδο του χρόνου.

Μια ΜΜΕ που μπορεί να περάσει με επιτυχία μια αξιολόγηση SSAE 18 SOC 2 Τύπου II θα πρέπει να είναι σε θέση να περάσει με επιτυχία και άλλους τύπους ελέγχων, αν και μπορεί να υπάρχουν συνταγές μοναδικές για το HIPAA, το PCI, που υπερβαίνουν τους υπάρχοντες ελέγχους.

Το πιο σημαντικό μήνυμα από αυτό το άρθρο σχετικά με τους ελέγχους SSAE είναι ότι η πράξη της επιθεώρησης των επιχειρηματικών διαδικασιών και ελέγχων είναι εξαιρετικά πολύτιμη. Το NIST και το CyberHoot συνιστούν και τα δύο τη δημιουργία ενός Πλαισίου Διαχείρισης Κινδύνων στο κάθε οργάνωση. Με αυτόν τον τρόπο διασφαλίζετε ότι ξοδεύετε τον περιορισμένο και πολύτιμο χρόνο και τα χρήματά σας στις πιο σημαντικές δραστηριότητες μετριασμού του κινδύνου. Αυτός είναι ένας χρόνος και χρήματα που δαπανώνται σωστά.

Η CyberHoot μπορεί να διαδραματίσει σημαντικό ρόλο στην προετοιμασία των εταιρειών για τέτοιους ελέγχους μέσω της διαχείρισης πολιτικών και διαδικασιών, των προγραμμάτων κατάρτισης, των δοκιμών ηλεκτρονικού "ψαρέματος" (phishing), ακόμη και των αξιολογήσεων που μπορείτε να χρησιμοποιήσετε για αυτοαξιολόγηση πριν από την εξωτερική αξιολόγηση. Email sales@cyberhoot.com για να πάρετε περισσότερες πληροφορίες!  

Για να μάθετε περισσότερα σχετικά με τους ελέγχους SSAE και SOC, παρακολουθήστε αυτό το σύντομο βίντεο:

Κάνετε αρκετά για να προστατεύσετε την επιχείρησή σας;

Εγγραφείτε στο CyberHoot σήμερα και κοιμηθείτε καλύτερα γνωρίζοντας το δικό σας

Οι εργαζόμενοι είναι εκπαιδευμένοι στον κυβερνοχώρο και σε εγρήγορση!

Εγγραφείτε σήμερα!