SOC for CIBER SECURITY REPORT

SOC FOR CYBERSECURITY DI AICPA

La sicurezza informatica è una priorità assoluta per molte organizzazioni e ciò dipende dall’elevato numero di  attacchi informatici che esse devono affrontare ogni giorno. In risposta a tali rischi, le organizzazioni stanno aumentando i budget per la sicurezza informatica mediante l’assunzione di personale IT o mediante la formazione specifica, in tale ambito, da fornire al personale esistente.

Una soluzione per la sicurezza informatica è rappresentata dall’esame SOC ad essa dedicata e che fornisce una valutazione da parte di un auditor indipendente (o revisore del servizio) circa gli sforzi relativi alla gestione dei rischi per la sicurezza informatica sostenuti dall’organizzazione riguardo al proprio sistema di controllo interno.

IL SOC for Cybersecurity di AICPA fu introdotto nel 2017 e, a differenza di altri standard di audit (SOC 1, SOC 2 e SOC 3) progettati per specifiche organizzazioni di servizi, il framework di reporting per la gestione del rischio di sicurezza informatica è indirizzato alle aziende operanti nei settori di tutto il mondo, senza alcuna distinzione. L’approccio è dinamico, proattivo e agile alla gestione del rischio di cybersecurity.

  1. I criteri di descrizione (Description criteria)
  2. I criteri di controllo (Control criteria)

 I Criteri di descrizione sono rappresentati da una relazione fornita dalla Direzione e descrivono il programma adottato dall’organizzazione per la gestione dei rischi di cyber security e dai CPA per la valutazione come documento facente parte del report da questi rilasciato.

I Criteri di controllo adottati dai CPA, ai fini della valutazione dell’efficacia del programma di sicurezza informatica, sono quelli descritti dai Trust Services Criteria e implementati quali strumenti di mitigazione dei rischi di sicurezza informatica.

Come per gli altri SOC, il SOC for cybersecurity aiuta a identificare i gap esistenti a livello di sicurezza dell’organizzazione, individua i rischi potenziali e riduce, tramite azioni di mitigazione appropriate, il rischio di minacce che potrebbero portare alla violazione dei dati con conseguente danno reputazionale.

Tuttavia, i benefici indiretti che un’organizzazione può trarne, sono anche quelli rappresentati da

  • una maggiore efficienza organizzativa scaturente dall’implementazione di policy e procedure che tendono a standardizzare le azioni che il personale deve eseguire al fine del raggiungimento degli obiettivi aziendali volti alla sicurezza informatica;
  • un miglioramento della propria immagine sul mercato mediante l’attrazione di stakeholder rassicurati dalla presenza di un report che attesti l’effettività e l’efficacia del proprio sistema di controllo interno;
  • l’ottenimento di un vantaggio competitivo rispetto ai propri competitor;
  • l’acquisizione di clientela che mira ad acquistare servizi in outsourcing da organizzazioni il cui sistema di controllo interno è stato valutato e attestato come conforme al SOC for cybersecurity.

Differenza tra SOC 2 e SOC for cybersecurity

La differenza sostanziale tra il SOC 2 e il SOC for cybersecurity è rappresentata dal fatto che, mentre il primo può basarsi anche su di uno solo dei cinque principi fiduciari (Security, Availability, Processing Integrity, Confidentiality and Privacy), mediante l’applicazione del principio della security, ritenuto obbligatorio e aggiungere, a seconda delle richieste del cliente uno o più principi complementari, il secondo si basa su tre principi definiti e ritenuti obbligatori: Security, Availability e Confidentiality.

Altra differenza è rappresentata dall’applicazione dei Criteri descrittivi da parte della Direzione circa il programma di gestione dei rischi di cyber sicurezza in aggiunta alle sue affermazioni, fornite tramite la c.d. assertion letter circa i soddisfacimento dei criteri di descrizione e l‘efficacia dei controlli interni per il raggiungimento degli obiettivi di sicurezza informatica.