Ako poslužujete klijente u Sjedinjenim Državama i kupci vas tijekom nabave stalno traže sigurnosni izvještaj, počnite sa SOC 2. Ako prodajete u Europi, na Bliskom istoku ili u Aziji, ili trebate dokaz koji se čisto mapira na propise poput NIS2 i DORA-e, počnite s ISO 27001. To je kratki odgovor i za većinu tvrtki vrijedi. U Hrvatskoj i širem EU-u ISO 27001 je uvriježeni standard koji kupci i javni naručitelji prepoznaju, dok je SOC 2 prije svega zahtjev američkog tržišta.
Ovaj posao radimo za regulirane tvrtke srednje veličine i velike tvrtke, a pitanje koje najčešće čujemo nije koji je okvir bolji. Oba su vjerodostojna. Pravo pitanje je redoslijed. U prvoj godini obično ne možete jednom gnati oba i ne biste trebali. Pogrešan prvi izbor troši tromjesečje inženjerskog vremena, a posao i dalje ostaje blokiran. Cijeli rad usklađenosti vodimo kroz sigurnosni program i rizik.
SOC 2 je atestacijski izvještaj izrađen prema standardima američkog instituta ovlaštenih računovođa. Licencirana CPA tvrtka ispituje vaše kontrole u odnosu na kriterije pouzdanih usluga i izdaje mišljenje. SOC 2 se ne certificira. Dobivate izvještaj koji revizor potpisuje i koji dijelite s kupcima pod ugovorom o tajnosti. Ta razlika je važna jer kupci traže sam izvještaj, ne logotip ni broj certifikata.
Kriteriji pouzdanih usluga pokrivaju pet kategorija: sigurnost, dostupnost, integritet obrade, povjerljivost i privatnost. Sigurnost je obvezna i često se naziva zajedničkim kriterijem. Ostale četiri su neobavezne i uključujete ih samo ako odgovaraju onome što obećavate kupcima. Opseg izvještaja prilagođavate svojim uslužnim obvezama, što SOC 2 daje korisnu fleksibilnost, ali znači i da su dva SOC 2 izvještaja rijetko istovjetna. Izvještaj Type I opisuje jesu li kontrole dobro oblikovane u jednom trenutku, dok Type II provjerava jesu li djelovale učinkovito kroz razdoblje, obično tri do dvanaest mjeseci. Type II je izvještaj koji ozbiljna nabava očekuje.
ISO/IEC 27001 je međunarodna norma za sustav upravljanja informacijskom sigurnošću, koji norma naziva ISMS. Certificirate se prema njoj kod akreditiranog certifikacijskog tijela, a taj certifikat priznat je globalno. Dok SOC 2 daje izvještaj koji opisuje kontrole, ISO 27001 certificira sustav upravljanja: dokumentiran i ponovljiv način prepoznavanja rizika, postupanja s njim, mjerenja je li postupanje uspjelo i poboljšavanja kroz vrijeme. Certifikat je javan i možete ga navoditi u prodaji.
Aktualna verzija je ISO/IEC 27001:2022. Dodatak A navodi 93 kontrole razvrstane u četiri teme: organizacijske, ljudske, fizičke i tehnološke. Ne morate primijeniti svih 93. Procijenite rizik, odlučite koje kontrole vrijede, a ostale dokumentirate kao neprimjenjive uz obrazloženje u Izjavi o primjenjivosti. Taj dokument je srce certifikacije, što razrađujemo u tekstovima o Izjavi o primjenjivosti i Dodatku A. Kako certifikacija izgleda u hrvatskom kontekstu, pišemo u tekstu o ISO 27001 u Hrvatskoj.
Dva okvira uvelike se preklapaju u tehničkim kontrolama, što je dobra vijest. Kontrola pristupa, upravljanje promjenama, upravljanje ranjivostima, enkripcija, evidentiranje i odgovor na incidente pojavljuju se u oba. Razlike su u obliku, publici i geografiji. SOC 2 je izvještaj, ISO 27001 je certifikat. SOC 2 je nastao za sjevernoameričko tržište, ISO 27001 za svijet. SOC 2 dopušta da opseg svedete na svoje uslužne obveze, ISO 27001 traži formalan sustav upravljanja oko rizika.
SOC 2 dokazuje da su vaše kontrole radile. ISO 27001 dokazuje da vodite sustav koji ih održava ispravnima. Kupci na različitim tržištima traže različit dokaz.
Upravo zato geografija obično određuje redoslijed. Tvrtka koja prodaje američkim velikim klijentima naletjet će na zahtjev za SOC 2 u gotovo svakom poslu. Tvrtka koja prodaje u EU ili posluje u reguliranim sektorima ustanovit će da ISO 27001 nosi veću težinu i izravnije se mapira na regulatorna očekivanja. Nijedan okvir sam po sebi nije jamstvo sigurnosti.
Odluku donesite prema svom prodajnom lijevku, ne prema sklonosti. Okvir koji prvi trebate steći jest onaj koji u sljedećih dvanaest mjeseci otključava najviše prihoda. Izvucite sigurnosne upitnike i ugovorne primjedbe na kojima vaš prodajni tim sjedi i pročitajte što kupci stvarno traže. Dokument na koji se pozivaju daje odgovor brže od bilo koje opće smjernice.
Koji god okvir odaberete, put do prve revizije ima isti oblik. Nazivi se razlikuju, posao ne. Definirate opseg sustava, pronađete nedostatke, popravite ih, generirate dokaze da kontrole rade i tek onda dovodite ocjenjivača. Preskakanje faze nedostataka i otklanjanja najčešći je razlog zašto prva revizija završi s primjedbama ili nesukladnošću.
Da, i mnoge regulirane tvrtke unutar dvije godine drže oba. Pametan potez je prvo izgraditi ISO 27001 sustav upravljanja, a zatim SOC 2 kontrole mapirati na istu bazu dokaza. Velik dio tehničkih kontrola zadovoljava oba okvira odjednom, pa drugi certifikat stoji znatno manje od prvog. Obrnut redoslijed također radi, ali je nešto manje čist jer SOC 2 ne nameće formalnu procjenu rizika koju vam ISO 27001 daje sam po sebi.
Ako uz potražnju kupaca očekujete i regulatorni pritisak, sustav upravljanja isplati se dodatno. Radni ISMS daje upravljačke dokaze koje revizori i regulatori očekuju, što je bitno pod DORA-om za financijske subjekte i pod NIS2 za operatore ključnih i važnih usluga. Nijedan propis ne traži ISO 27001 imenom, ali certifikacija proizvodi velik dio dokaza koje ti režimi traže.
Propusti koje viđamo rijetko su tehnički. Obično su o opsegu, vlasništvu i tretiranju certifikata kao papirologije. Čist izvještaj nad šupljim programom nikoga dugo ne zavarava, a prvi stvarni incident otkrije prazninu.
Oba okvira očekuju da testirate svoju obranu, a nijedan to testiranje ne radi umjesto vas. Revizor provjerava imate li proces upravljanja ranjivostima i postupate li po nalazima. Revizor ne provaljuje u vaše sustave da potvrdi jesu li nalazi potpuni. To je posao penetracijskog testa, a vjerodostojan izvještaj neovisnih testera istovremeno jača i vaše revizijske dokaze i prodajne razgovore. Naša ofenzivna sigurnost i sigurnost aplikacija daju dokaze koji stoje ispod jezika kontrola i u SOC 2 i u ISO 27001. Ako vam je razlika između skeniranja i stvarnog testa nova, objašnjavamo je u tekstu o procjeni ranjivosti i penetracijskom testiranju.
Pomažemo reguliranim tvrtkama da prvo odaberu pravi okvir, zatvore kontrolne nedostatke koji blokiraju reviziju i izrade tehničke dokaze koji izvještaj ili certifikat čine otpornim na provjeru. Odluka o okviru treba slijediti vaš prodajni lijevak i regulatornu izloženost, a ne predložak, pa angažman dimenzioniramo prema certifikatu koji najprije otključava prihod. Više o pristupu pišemo na stranici sigurnosni program i rizik. Kad budete spremni mapirati svoju situaciju u redoslijed, dogovorite uvodni razgovor i proći ćemo vašu bazu kupaca, rokove i najbrži put do prvog certifikata koji je važan. Trošak i trajanje razrađujemo i u tekstu o cijeni penetracijskog testiranja, koji nabava često uključuje u isti sigurnosni program.