Idag väljer många företag att köpa in tjänster från externa leverantörer. Det har därför uppstått krav på att få en pålitlig, periodisk och transparent granskning av leverantörers processer, tillhörande kontroller och deras förmåga att fullgöra informationssäkerhetskrav. Ofta förekommer det att en kund i sin förfrågan till en leverantör efterfrågar en tredjepartsrapport enligt International Standard on Assurance Engagements. En bra rapport medför att kunden blir försäkrad om att tjänsteleverantören har förmåga att hantera kundens information utan att den förstörs, ändras eller sprids utom kontroll.
International Standard on Assurance Engagements, eller ISAE 3402-standarden, är en utökning av finansiell rapportering som även omfattar områden utanför det finansiella, exempelvis hantering av information. Ett viktigt skäl till att standarden skapades var att det i bland annat USA ställs höga krav på riskminimering. Sedan 2011 har användningen av den internationella standarden ISAE 3402 SOC 2 typ II vuxit för att numera vara ett vanligt förekommande krav i offertförfrågningar även i Sverige. Det har även pågått en kontinuerlig ökning i kraven på att leverantörers ISAE 3402 SOC 2 typ II-rapport ska inkluderas i avtalet mellan tjänsteleverantörer och deras kunder.
Standarden ISAE 3402 beskriver flera former av rapporter, men i detta inlägg kommer jag främst beskriva rapportering av ”Service Organization Control” (SOC)", där SOC 2-rapporteringen är fokuserad på att ge en tydlig beskrivning av egenkontroller för IT. Där ställs det krav på att de fem domänerna säkerhet, integritet, tillgänglighet, sekretess och bearbetning av personuppgifter ska rapporteras avseende policy, kommunikation, procedurer och övervakning. I denna rapport ska en beskrivning av leverantörens tjänster och deras styrande kontroller inkluderas, och en rapport innehåller ofta:
Den externa revisorns säkerhetsutlåtande
En förpliktelse skriven av ledningen för serviceorganisationen
Beskrivningen av organisations system för tjänsten
Beskrivning av gjorda tester på styrning och testresultat:
Logisk åtkomst över infrastruktur, system, applikationer och data
Ändringshantering av applikationer, middleware och OS
Fysiska säkerhetskontroller, exempelvis där data hanteras och lagras
Dataintegritet; säkerhetskopiering och återställning av data
Drift och underhåll av applikationer och system
Övrig information som är viktigt för rapportens förståelse
Standarden tillåter att leverantören själv definierar nivån på säkerhetsaktiviteterna – ingående kontroller måste vara av tillräcklig hög kvalitet för att uppfylla relevanta lagar. Rapporten ska också övertyga kunden att leverantören har tillräckligt hög säkerhet när det är upphandling i konkurrens. För att få till en bestyrkande rapport behövs utomstående hjälp. Eftersom ISAE 3402 SOC 2 typ II-rapporten är en utökning av den finansiella rapporteringen, signeras normalt rapporten av leverantörens auktoriserade revisor. Erfarenhetsmässigt behöver många gånger policy, processbeskrivningar och instruktioner som ska refereras i rapporten bli dokumenterade. Därefter behövs bevis för överenstämmelse med styrande dokument samlas in av organisationens medarbetare. Materialet ska sedan överlämnas till leverantörens auktoriserade revisors granskning och sammanställning av ISAE 3402 SOC 2 typ II-rapporten.
ISAE 3401 SOC 2 har två olika förväntningar på historik från den granskade organisationen. Typ I ställer enbart krav på att redovisa nuläget. En sådan rapport är lämplig när verksamheten är nystartad och det saknas längre historik. Men utan denna historik är det svårt att som kund bedöma om leverantörens informationssäkerhetsaktiviteter fungerar i praktiken och naturligt ställer det frågan om det är mindre risk att använda en leverantör med mer erfarenhet. Typ II ställer krav på att även redovisa hur väl resultatet från säkerhetsaktiviteterna har varit inom de uppräknade domänerna, ett historikkrav. Typ II-kravet kan introducera ett redovisningsproblem när kunden ställer krav på att leverera en rapport innan avtal kan tecknas, när den efterfrågade tjänsten är en exklusiv leverans till kunden.
Utmaningen för nya eller förändrade tjänster inför en offert är att typ II sätter ett minimikrav på 6 månaders rapportering av historik på hur väl kontrollerna har fungerat. Revisorns uppgift för typ II är att i sin rapport inkludera en beskrivning av leverantörens egenkontrollers effekt och resultatet av informationssäkerhetsaktiviteterna under minst 6 månader. Ett exempel på historik innehåll är att inkludera beskrivning på inträffade allvarliga informationssäkerhetsincidenter. Där ska beskrivas hur dessa incidenter har påverkat leverantören och kunden, vilka åtgärder som har vidtagits för att informera och korrigera samt vad som har gjorts för att denna incident inte ska inträffa på nytt. Det är mycket vanligt att kunden ställer ett förlängt krav på 12 månaders historik för ISAE 3402 SOC 2 typ II-rapporter som periodiskt ska levereras under kontraktets livstid.
För att få till leverantörens egenkontroller som behövs för att kunna bestyrka efterlevnad så är det erfarenhetsmässigt bäst att arbeta med styrning som innebär riskminimering inom de fem domänerna som inkluderas i ISAE 3402 SOC 2. Eftersom standarden saknar tydliga styrande krav på de områden som ska rapporteras behöver leverantören först se vad som redan finns på plats. Har organisationen byggt upp sitt ledningssystem med hjälp av internationella guider och standarder som PCI DSS, ISO 27xxx eller NIST, är det ännu bättre eftersom leverantören då kan visa på att verksamheten har kunskap om vad som är bäst praxis i deras bransch. Är organisationens ledningssystem även certifierat mot någon kravstandard, exempelvis PCI DSS eller ISO 27001, så finns mycket av efterfrågat underlag på plats. Då blir det enklare för leverantörens revisor som kan varje gång snabbt sammanställa den bestyrkande rapporten vars innehåll intygas av ett oberoende utfärdat certifikat.
När leverantören har ett dokumenterat ledningssystem på plats, som styrks av deras riskanalys, så är det möjligt att redan efter 6 månaders användning sammanställa den första ISAE 3402 SOC 2 typ II-rapporten. Rekommendationen är att kvalitetssäkra organisationens risk och konsekvensanalys eftersom den är grunden för att kunna bedöma vilken startnivå leverantörens informationssäkerhet måste ligga på och den nivå som behöver upprätthållas. Här kan en GAP-analys leverera stor nytta till leverantörens bedömning på vad som måste genomföras och i vilken ordning. Har leverantören ett formaliserat ledningssystem för informationssäkerhet baserat på riskminimering med policy, procedurer, instruktioner och kontroller så har organisation en bra stomme på plats. Genom att periodiskt utföra ledningssystemrevisioner, sårbarhetsskanningar och penetrationstester så kan leverantören visa sin revisor att genomförda tester bekräftar att organisationens kontroller fungerar och är effektiva. Dessa beskrivna aktiviteter medför att leverantören kan bygga upp sitt ledningssystem i steg, verifiera effektiviteten, avrapportera och kontinuerligt införa förbättringar när leverantören har krav på att periodiskt leverera ISAE 3402 SOC 2 typ II rapporter.
Max Korkkinen är seniorkonsult inom säkerhet på Knowit och har mer än 30 års erfarenhet som revisor av IT-organisationer. Max tog civilingenjörsexamen 1981 och har därefter kompletterat sin examen med en MBA samt certifieringar inom informationssäkerhetsrevision, CISA och ISO 27001 Lead Auditor, IT-säkerhet, CISSP, och säkerhet för betalkortsdata, QSA. Idag är han engagerad i utbildningar och granskningar för att visa överensstämmelse med lagar, avtal och standarder inom informationssäkerhet, främst PCI DSS, ISO 27001 och GDPR.