Molntjänster och ISAE 3402 | SOC 1
Efterfrågan på ISAE 3402 har ökat markant inom IT-outsourcing och molntjänster. ISAE 3402-registret innehåller en imponerande lista över SaaS- och hostingleverantörer som är ISAE 3402-certifierade. Vad är orsaken till den ökade efterfrågan inom IT-sektorn, och mer specifikt inom molntjänstbranschen, inklusive SaaS, IaaS, PaaS och datacentertjänster? ISO 27001 är en viktig internationell certifieringsstandard för informationssäkerhet. Så varför har efterfrågan på ISAE 3402-certifiering ökat inom IT-sektorn? En viktig anledning är att allt fler kritiska system i organisationer erbjuds från molnet. Men varför är ISAE 3402 så viktigt och varför räcker det inte med ISO 27001? Svaret börjar i den finansiella sektorn.
Finansiella institutioner
Finansinstitut är enligt lagar och förordningar (t.ex. pensionslagen eller lagen om finansiell tillsyn (Wft)), skyldiga att på ett påvisbart sätt hantera risker relaterade till outsourcing. Den nederländska centralbanken och den nederländska myndigheten för finansmarknaderna (AFM) anser inte att en ISO 27001-certifiering är en tillräcklig garanti. Den nederländska centralbanken erkänner ISAE 3402 som en tillräcklig garanti och kräver till och med en sådan rapport i lagar och förordningar.
Revisorer och företag
Förutom de finansiella institutionerna spelar revisorerna en avgörande roll. Organisationer som är föremål för lagstadgad revision använder i allt högre grad molntjänster. Som ett resultat måste revisorerna inkludera processer för molnsystem i sina bokslutsgranskningar. För dessa revisioner förlitar sig revisorerna ofta på assurance-rapporter som ISAE 3402 från specialiserade servicerevisorer. Dessutom är det normativa ramverket av avgörande betydelse.
Normativt ramverk för ISAE 3402 och ISO 27001
Till skillnad från ISO 27001 har ISAE 3402 ett normativt ramverk: De finansiella rapporterna eller, mer specifikt, alla processer som är relevanta för den interna organisationen i användarorganisationen, med särskilt fokus på de finansiella rapporterna. Med andra ord, alla processer som leder till finansiell behandling i de finansiella rapporterna. För många organisationer lagras data från operativa processer i molnet, eller så outsourcas operativa processer till en SaaS-leverantör eller lagras av en hosting-part. Dessa operativa processer påverkar nästan alltid direkt eller indirekt de finansiella rapporterna. Som nämnts ovan kommer revisorerna att betrakta dessa processer som viktiga när de utför revisioner av finansiella rapporter.
En revisor kan inte dra nytta av en ISO 27001-certifiering. I ett sådant fall är en ISAE 3402-certifiering igenkännbar för en extern revisor och är också (tekniskt) användbar för användarorganisationens revision av finansiella rapporter. Till skillnad från ISO 27001 innehåller ISAE 3402 inga detaljerade standarder för informationssäkerhet. I praktiken används ofta COBIT 5-ramverket eftersom detta normativa ramverk är tillräckligt för att säkerställa informationssäkerhet för finansiell rapportering. Av dessa skäl ger en ISAE 3402-rapport ofta ett större mervärde för både användarorganisationer och deras revisorer, eftersom den inte bara omfattar säkerhetskomponenterna i ISO 27001 utan även alla processer som påverkar de finansiella rapporterna.
Säkerhet i molnet
En viktig fråga för framtiden är hur säkerheten i molnet kommer att hanteras. I många fall är det oklart var information lagras i molnet och om de länder där dessa data lagras också följer regelverk som dataskyddsförordningen (GDPR). I vilken utsträckning har en molntjänstleverantör ordning och reda på sina processer, vilka säkerhetsdirektiv används och hur hanteras de operativa IT-riskerna?
I USA kräver regeringen att alla parter som tillhandahåller molntjänster till regeringen följer FedRAMP-direktivet. Motsvarande krav har ännu inte formulerats för privata aktörer, inte ens under de amerikanska Sarbanes-Oxley-kraven (SOx 404). I första hand måste SSAE 18-kraven uppfyllas när det gäller outsourcing av börsnoterade organisationer. Dessa är i stort sett förenliga med kraven i ISAE 3402. Även i detta fall erbjuder ISAE 3402-certifieringen en lösning. Om SSAE 18 uppfylls kan SSAE 18-certifiering erhållas med relativt begränsade insatser.
Baserat på ovanstående kan slutsatsen dras att ISAE 3402 kan användas för flera syften, både för att visa för en kund att outsourcade processer är väl kontrollerade och för att ge användbar information till den externa revisorn.