Opinia CISA se bazează pe probe/dovezi iar asigurarea este oferită managementului sau terţilor. Despre acest subiect am mai scris.

Ce te faci însă cînd sistemele/informaţiile auditatului sînt în “nor”/cloud?

Mărturia sau demonstrația unui fapt stă la baza dovezii juridice: o amprentă, o pată de sânge sau ceea ce în literatura de americană de specialitate se numește „smoking gun” (en: armă cu care abia s-a tras). Lucrurile devin mult mai complicate cînd avem în vedere “norul”/cloud, indiferent dacă este vorba de cloud hibrid sau public. Spun asta deoarece este foarte dificil, de exemplu, să ai probe admisibile în instanţă în lipsa unor loguri atît la nivelul companiei cît şi a al furnizorului de servicii.

La nivel european încă nu avem reglementări de tipul “Reporting on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality, or Privacy – SOC 2”, dezvoltat de AICPA. Este adevărat că AICPA a avut în vedere, iniţial, doar partea financiară (SOC 1). Dar la bază, de ce ne interesează securitatea informaţiilor dacă nu din cauza posibilelor pierderi financiare?

Rapoartele SOC 2 oferă informații detaliate cu privire la controalele unui furnizor de servicii, controale ce afectează securitatea, disponibilitatea sau integritatea prelucrărilor  din sistemele furnizorului de servicii, sau confidențialitate şi caracterul privat al informațiilor clientului, stocate pe aceste sisteme.

Rapoartele SOC 2 vizează controalele operaţionale şi au în vedere criterii şi nu obiectivele controlului deoarece furnizorul de servicii este cel care selectează principiile – Trust Service Principles:

• Security: The system is protected, both logically and physically, against unauthorized access.
• Availability: The system is available for operation and use as committed or agreed to.
• Processing Integrity:  System processing is complete, accurate, timely, and authorized.
• Confidentiality:  Information that is designated “confidential” is protected as committed or agreed.
• Privacy:  Personal information is collected, used, retained, and disclosed in conformity with the commitments in the entity’s privacy notice and with the privacy principles put forth by the American Institute of Certified Public Accountants (AICPA) and the Canadian Institute of Chartered Accountants (CICA).

Furnizorul de servicii va fi obligat să prezinte o “declaraţie”/aserţiune (management assertion) scrisă cu privire la:

• că descrierea sistemului prezintă în mod fidel sistemul care a fost proiectat şi implementat la data precizată
• că obiectivele controalelor enunţate în descrierea sistemului au fost proiectate corespunzător astfel încît obiectivele să fie atinse şi să opereze eficient în perioada specificată
• criteriile utilizate pentru a face afirmaţiile anterioare eficiente

În raport auditorul nu va mai folosi limbajul obişnuit (“controalele oferă asigurări rezonabile cu privire la…”) ci va enumera criteriile şi descrierea controalelor puse în practică pentru a respecta fiecare din criteriile aplicabile şi asumate de management conform Trust Services Principles.

A se vedea şi documentul  Cloud Security Alliance  care abordează rapoartele AICPA SOC 1, 2 şi 3.  CSA afirmă că pentru majoritatea furnizorilor de servicii cloud raportul  SOC 2 corespunde nevoilor de asigurare şi raportare ale utilizatorilor atunci cînd criteriile angajamentului sunt suplimentate cu criteriile din matricea controalelor ( Cloud Controls Matrix -CCM).