Conformità SSAE

Conformità SSAE, noto anche come Statement on Standards for Attestation Engagements and Compliance, è una raccolta di standard e linee guida di revisione che utilizzano gli standard pubblicati dall'Auditing Standards Board (ASB) dell'American Institute of Certified Public Accountants (AICPA).

Questi standard definiscono il modo in cui le aziende di servizi riferiscono sui loro controlli e processi di conformità. SSAE 16 (SOC 1) è stato pubblicato nell'aprile 2010 come standard di rendicontazione per tutti i record dei revisori dei servizi ed è stato emesso per sostituire la Dichiarazione sugli standard di revisione n. 70. Se hai familiarità con SOC 1 audit, molto probabilmente conoscete lo standard SSAE 16. Sfortunatamente, lo standard SSAE 16 presentava diverse lacune ed è stato sostituito il 1° maggio 2017 dallo standard SSAE 18, progettato per colmare tali lacune.

SSAE 18 è lo standard attualmente in uso. I revisori seguono le prescrizioni di SSAE 18 quando eseguono le valutazioni SOC da 1 a 3, indipendentemente dal Tipo I (valutazione puntuale dei controlli) o dal Tipo II (revisione dei controlli su un periodo di 9-12 mesi).

Lo standard SSAE 18 ha introdotto importanti cambiamenti nel trattamento riservato alle organizzazioni di sub-servizi. In precedenza, i controlli e le verifiche delle organizzazioni di sub-servizi (appaltate o subappaltate) non rientravano nell'ambito di applicazione dell'audit, lasciando lacune critiche nei test.

Fonti: TechTarget, Otava

Termini correlati: SOC 1, SOC 2, SOC 3

Cosa significa questo per una PMI?

Le PMI dovrebbero sviluppare un programma di sicurezza informatica verificabile con controlli sulla gestione degli accessi, sui privilegi minimi, sulla responsabilità, sulla formazione, sulla governance e sulla tecnologia. Ciascuna di queste aree necessita di controlli e processi che producano artefatti disponibili per l'ispezione. In tal modo, qualsiasi PMI si preparerebbe a un'ispezione esterna tramite una valutazione SSAE 18. Inizialmente, le organizzazioni dovrebbero effettuare un'ispezione SOC 1, o Point in Time, dei propri controlli. Questo consente di correggere eventuali lacune e di apportare miglioramenti con un investimento minore in termini di tempo e denaro. Una volta ottenuta una valutazione SOC 1 SSAE 18 con esito positivo, una PMI dovrebbe passare rapidamente a una SOC 2 per convalidare il funzionamento dei processi nel tempo.

Una PMI che riesce a superare con successo una valutazione SSAE 18 SOC 2 Tipo II dovrebbe essere ben posizionata per superare altri tipi di audit, anche se potrebbero esserci prescrizioni specifiche per HIPAA, PCI, che vanno oltre i controlli esistenti.

Il messaggio più importante di questo articolo sugli audit SSAE è che l'atto di ispezionare i propri processi e controlli aziendali è di grande valore. NIST e CyberHoot raccomandano entrambi di stabilire un quadro di gestione del rischio a in qualsiasi Organizzazione. In questo modo, si garantisce di dedicare il proprio tempo e denaro, limitato e prezioso, alle attività di mitigazione del rischio più importanti. Tempo e denaro ben spesi.

CyberHoot può svolgere un ruolo importante nella preparazione delle aziende a tali audit attraverso la gestione delle politiche e dei processi, programmi di formazione, test anti-phishing e persino le valutazioni che è possibile utilizzare per l'autovalutazione prima della valutazione esterna. E-mail sales@cyberhoot.com per avere più informazioni!  

Per saperne di più sugli audit SSAE e SOC, guarda questo breve video:

Stai facendo abbastanza per proteggere la tua attività?

Iscriviti oggi a CyberHoot e dormi meglio sapendo il tuo

i dipendenti sono formati in materia informatica e sono sempre in guardia!

Iscriviti Oggi!