Conformidade com SSAE

Conformidade com SSAE, também conhecida como Declaração sobre Padrões para Compromissos de Atestado e Conformidade, é uma coleção de padrões e orientações de auditoria que utiliza padrões publicados pelo Conselho de Padrões de Auditoria (ASB) do Instituto Americano de Contadores Públicos Certificados (AICPA).

Essas normas definem como as empresas de serviços relatam seus controles e processos de conformidade. SSAE 16 (SOC 1) foi publicado em abril de 2010 como o padrão de relatórios para todos os registros de auditores de serviço e foi emitido para substituir a Declaração sobre Padrões de Auditoria nº 70. Se você estiver familiarizado com SOC 1 auditorias, você provavelmente está familiarizado com o SSAE 16. Infelizmente, o SSAE 16 teve uma série de pontos de falha e foi substituído em 1º de maio de 2017 pelo SSAE 18, que foi projetado para resolver essas lacunas.

O SSAE 18 é o padrão em uso atualmente. Os auditores seguem as prescrições do SSAE 18 ao realizar avaliações SOC 1 a 3, independentemente do Tipo I (uma avaliação pontual dos controles) ou do Tipo II (um período de 9 a 12 meses de revisão dos controles).

A SSAE 18 introduziu mudanças importantes na forma como as organizações subcontratadas eram tratadas. Anteriormente, os controles e testes de organizações subcontratadas (terceirizadas ou subcontratadas) estavam fora do escopo da auditoria, deixando lacunas críticas nos testes.

Fontes: TechTarget, Otava

Termos relacionados: SOC 1, SOC 2, SOC 3

O que isso significa para uma PME?

As PMEs devem desenvolver um programa de segurança cibernética auditável com controles em torno de gerenciamento de acesso, privilégios mínimos, responsabilização, treinamento, governança e tecnologia. Cada uma dessas áreas precisa de controles e processos que produzam artefatos disponíveis para inspeção. Ao fazer isso, qualquer PME se prepararia para inspeção externa por meio de uma avaliação SSAE 18. Inicialmente, as organizações devem realizar uma inspeção SOC 1, ou Point in Time, de seus controles. Isso permite tempo para correção de lacunas e remediação com um menor investimento de tempo e dinheiro. Uma vez obtida uma avaliação SOC 1 SSAE 18 bem-sucedida, a PME deve migrar rapidamente para uma SOC 2 para validar o funcionamento dos processos ao longo do tempo.

Uma PME que pode passar com sucesso em uma avaliação SSAE 18 SOC 2 Tipo II deve estar bem posicionada para passar por outros tipos de auditorias, embora possa haver prescrições exclusivas do HIPAA e PCI que vão além dos controles existentes.

A mensagem mais importante deste artigo sobre auditorias SSAE é que o ato de inspecionar os processos e controles de negócios é altamente valioso. O NIST e a CyberHoot recomendam o estabelecimento de uma Estrutura de Gestão de Riscos em qualquer organização. Fazer isso garante que você esteja investindo seu tempo e dinheiro finitos e valiosos nas atividades mais importantes de mitigação de riscos. Tempo e dinheiro bem gastos.

A CyberHoot pode desempenhar um papel fundamental na preparação de empresas para essa auditoria por meio de sua gestão de políticas e processos, programas de treinamento, testes de phishing e até mesmo avaliações que você pode usar para se autoavaliar antes de uma avaliação externa. E-mail vendas@cyberhoot.com para obter mais informações!  

Para saber mais sobre o SSAE e as auditorias do SOC, assista a este breve vídeo:

Você está fazendo o suficiente para proteger seu negócio?

Cadastre-se no CyberHoot hoje e durma melhor sabendo que seu

Os funcionários são treinados cibernéticos e estão em alerta!

Inscreva-se hoje!