Vai al contenuto principale

2 post etichettati con "soc2"

Visualizza tutti i tag

ISO 27001 vs SOC 2 per PAM: Quale framework dovrebbero perseguire per prime le aziende CEE?

· 8 minuti di lettura
VaultPAM Team
Security Engineering

Se dirigete l'engineering o la sicurezza presso un'azienda CEE, avrete probabilmente sentito la stessa conversazione due volte negli ultimi sei mesi — una volta dal dipartimento legale ("abbiamo bisogno di ISO 27001") e una volta da un prospect enterprise statunitense ("abbiamo bisogno di SOC 2 Type II"). Entrambi hanno ragione. Entrambi hanno conseguenze reali. E entrambi hanno la gestione degli accessi privilegiati come requisito di controllo principale. La domanda è: quale affrontate per prima, e il lavoro si sovrappone?

Come superare SOC 2 CC6 Privileged Access Controls — Una Guida Pratica

· 7 minuti di lettura
VaultPAM Team
Security Engineering

La preparazione a SOC 2 Type II è una maratona. La maggior parte delle organizzazioni supera la documentazione delle policy, i questionari di valutazione dei vendor e i diagrammi di segmentazione della rete senza troppi problemi. Poi affrontano CC6 — Controlli di Accesso Logico e Fisico — e l'audit diventa difficile.

CC6 è dove gli auditor spendono la maggior parte del tempo ed è dove le aziende ricevono più frequentemente eccezioni. Copre chi ha accesso ai vostri sistemi, come quell'accesso è controllato, come viene monitorato e come viene sottoposto a revisione. Se la vostra risposta riguardante il privileged access management è "usiamo VPN più RDP con credenziali admin condivise", non supererete l'audit.

Ecco esattamente cosa richiede CC6, cosa chiedono gli auditor e come produrre l'evidenza.