Compte-rendu des heures de bureau de Secureframe : réponses à vos questions sur la collecte de preuves, la formation à la sécurité et les audits annuels
Vous ne savez pas quels cadres de sécurité et de confidentialité vous devez respecter pour votre secteur et vos clients ? Vous vous demandez comment délimiter votre audit ? Vous cherchez des meilleures pratiques pour mettre en place de nouvelles politiques ou processus de sécurité ? Notre série Heures de Bureau de Secureframe | Demandez à un Expert est conçue pour vous.
Heures de Bureau de Secureframe | Demandez à un Expert est un forum ouvert permettant aux participants de poser leurs questions spécifiques sur la sécurité, la confidentialité et la conformité à l'un de nos experts internes en conformité et anciens auditeurs.
La première session, qui s'est tenue le jeudi 20 octobre, présentait Rob Gutierrez, CISA, CSSK. Rob est un ancien auditeur avec une vaste expérience en FedRAMP, audits des états financiers et FISMA. Aujourd'hui, Rob partage ses connaissances en audit et en sécurité de l'information avec les clients de Secureframe pour les aider à atteindre la conformité et à développer des postures robustes en matière de sécurité et de confidentialité.
Lors de la séance de questions-réponses en direct de 30 minutes, Rob a répondu à plus d'une douzaine de questions sur des sujets allant de la formation à la sécurité des employés à l'avenir des normes mondiales de cybersécurité. Si vous l'avez manqué, nous résumons ci-dessous certaines de ses réponses.
1. Quels types de preuves devrais-je collecter à l'avance ou tout au long de la période d'observation de l'audit ? Je n'ai pas de bon processus en place et j'aimerais comprendre les meilleures pratiques.
Rob : Le type de preuve le plus important à collecter pendant la période d'audit est celui qui va être « échantillonné » par l'auditeur. Cela inclut des éléments comme les tickets d'embauche/termination des employés, les demandes de changement, les évaluations de performance — essentiellement tout ce qui est un processus répétable. Ce sont les éléments dont l'auditeur demandera des exemples à la fin de la période d'observation. Secureframe vous aide à traverser votre parcours de préparation à l'audit en termes de savoir ce dont vous avez besoin et en le collectant pour vous.
2. Nous devons faire suivre à nos employés une formation annuelle à la sécurité pour notre certification de conformité. La plupart de notre équipe a déjà suivi sa formation — comment savons-nous quand cette formation expire ?
Rob : Si vous utilisez Secureframe, vous pouvez vérifier dans la plateforme car c'est une fonctionnalité que nous avons intégrée. Mais de manière générale, vous voudrez vous assurer que la formation de vos employés est faite pendant votre période d'audit. Si vous avez une période d'audit de 12 mois, assurez-vous que la formation des employés a été faite au cours de cette période de 12 mois. Si vous utilisez un outil de formation, il devrait vous indiquer la date de réalisation de la formation et offrir la possibilité d'envoyer des rappels aux employés qui n'ont pas complété leur formation.
Il est certainement une bonne pratique de faire suivre une formation à la sécurité aux employés chaque année et de s'assurer que le contenu de la formation est à jour, pertinent et applicable à vos employés.
3. Existe-t-il des ressources que vous recommandez pour aider à créer un plan de continuité des activités ?
Rob : La plateforme Secureframe offre un bon modèle pour un plan de continuité des activités. De plus, je conseillerais de créer un groupe de travail au sein de votre organisation composé des personnes qui seraient impliquées et de travailler sur certains des différents détails et procédures importants pour le PCA.
Réaliser un exercice de simulation de récupération après sinistre peut également aider votre organisation à déterminer ce qui devrait figurer dans le PCA. Toutes les leçons apprises de cet exercice devraient ensuite être ajoutées au PCA à suivre.
4. Prévoyez-vous une norme harmonisée pour la cybersécurité qui sera reconnue par tous les pays ?
Rob : Potentiellement, oui. Actuellement, beaucoup de pays établissent leur propre législation, mais étant donné qu'il existe une législation unique pour l'UE (RGPD), je serais surpris si d'autres continents ou alliés (par exemple l'OTAN, l'ALENA, etc.) ne proposaient pas leur propre législation supplémentaire pour être unis dans leurs efforts cybernétiques.
5. Quelle est la meilleure façon de gérer les audits annuels ?
Rob : Il est facile pour moi de recommander Secureframe comme une excellente façon de gérer les audits annuels. Je recommanderais également de tenir des réunions trimestrielles entre les parties prenantes concernées, y compris le personnel de sécurité et de conformité, juste pour s'assurer que tout votre personnel et vos processus ont été en conformité tout au long de la période de 12 mois.
6. Quels ajustements peuvent être apportés aux tests de conformité lorsqu'ils sont prohibitivement coûteux pour une startup (comme les logiciels de prévention des pertes de données, la surveillance des menaces, les tests de pénétration, etc.) ?
Rob : Cela dépend des tests, mais il existe généralement des solutions ou des implémentations alternatives qui peuvent être plus rentables pour les startups. Le SOC 2 peut être un cadre assez malléable ou flexible par rapport à d'autres cadres, nous travaillons donc avec des clients de toutes tailles et environnements informatiques pour déterminer les meilleures solutions conformes pour leurs startups. Par exemple, il existe des outils gratuits de balayage de vulnérabilités externes (comme OWASP ZAP) qui peuvent être utilisés.
Spécifiquement pour les éléments que vous avez mentionnés :
- Le DLP est agréable à avoir, mais ce n'est pas une exigence stricte.
- Certains fournisseurs de services de configuration (CSP) disposent d'outils de détection de menaces inhérents et/ou il existe des options économiques comme Wazuh.
- Les tests de pénétration, s'ils sont effectués via votre auditeur, peuvent parfois être inclus dans votre tarification, et/ou vous avez au moins un processus plus rationalisé et plus efficace en obtenant le test de pénétration de votre auditeur au lieu d'un autre fournisseur externe.
7. Quelles stratégies ou meilleures pratiques pouvez-vous partager pour les petites entreprises (moins de 15 employés) ?
Rob : Comme il y a souvent tellement de priorités concurrentes dans les startups, et que la conformité n'est généralement pas une priorité [par rapport à l'adéquation produit/marché et à la croissance des clients et des revenus], je recommanderais d'établir des politiques qu'une petite entreprise peut facilement mettre en œuvre et suivre.
De plus, pour les petites entreprises qui débutent avec SOC 2, nous leur conseillons d'abord d'obtenir leur SOC 2 Type I, car c'est un bon moyen de « tremper vos orteils » et de se familiariser avec la conformité.
Une chose agréable à propos de travailler avec Secureframe est que nos équipes de succès client et de conformité travaillent en étroite collaboration avec nos clients pour les aider à rationaliser efficacement leur processus de conformité et de préparation à l'audit. Nous aidons des entreprises aussi petites qu'une seule personne, donc notre support consultatif et de conseil va vraiment loin pour aider les petites startups à se préparer à l'audit et à être conformes.
De plus, il est important de noter que certains auditeurs peuvent ne pas exiger de test de pénétration pour votre SOC 2 Type I. Cela dépend généralement de votre environnement. Si vous avez beaucoup de vecteurs web ouverts, l'auditeur est plus susceptible d'exiger un test de pénétration.
8. Quelles étapes les startups en phase de démarrage doivent-elles suivre pour poser les bases d'une sécurité et d'une conformité de classe mondiale ?
Rob : La première chose que je dirais est d'établir et de mettre en œuvre des politiques qui peuvent être facilement suivies et respectées par les employés.
Ensuite, configurez votre pile technologique pour supporter vos fonctions commerciales critiques, tout en répondant aux exigences de contrôle SOC 2. Pour de nombreux contrôles, il existe différentes façons de répondre à l'intention du contrôle. Les équipes de succès client et de conformité de Secureframe travaillent fréquemment avec les clients pour déterminer comment les configurations et les implémentations de contrôle peuvent répondre aux exigences et à l'intention d'un contrôle donné.
Il est également utile d'utiliser des outils qui ont des fonctionnalités intégrées qui peuvent aider à la conformité, comme AWS, GitHub ou Azure. Ils ont tous des fonctionnalités et des services qui peuvent rendre la conformité beaucoup plus facile pour votre entreprise.
Rejoignez nos prochaines Heures de Bureau Secureframe | Demandez à un Expert
Nous organisons régulièrement des Heures de Bureau Secureframe tout au long des prochains mois. Rejoignez notre prochaine session le jeudi 3 novembre de 10h30 à 11h00 PST/13h30 à 14h00 EST avec l'expert en sécurité, confidentialité et conformité Jonathan Leach CISSP, CCSFP, CCSK, pour obtenir des réponses immédiates à vos questions spécifiques. Inscrivez-vous aujourd'hui pour réserver votre place.