L’impegno di Kaspersky nell’offrire prodotti di sicurezza di alto livello viene ulteriormente riconfermato dal superamento, con successo, dell’audit Service Organization Control (SOC 2) Type II per le aziende di servizi. Nella valutazione sono state analizzate la sicurezza dei processi di sviluppo e rilascio dei database antivirus di Kaspersky nonché la protezione contro le modifiche non autorizzate.
Dal 2019, l’azienda sottopone le proprie soluzioni a valutazioni periodiche di terze parti, tra cui gli audit SOC 2, per garantirne l’integrità. Il framework SOC (Service Organization Controls), sviluppato dall’American Institute of Certified Public Accountants (AICPA), è uno standard internazionale di riferimento per i sistemi di gestione del rischio di cybersecurity e valuta i processi di controllo della protezione sulla base di cinque principi fondamentali: sicurezza, disponibilità, integrità dei processi, riservatezza e privacy.
Gli aspetti considerati per la valutazione
Per la prima volta, l’audit SOC 2 ha preso in considerazione i risultati di un anno intero, da agosto 2023 a luglio 2024, mentre precedentemente si limitavano a periodi di 3-6 mesi. Condotta da un service auditor indipendente, la valutazione ha esaminato il sistema di sviluppo e implementazione dei database antivirus di Kaspersky per i sistemi operativi Windows e Unix, secondo i criteri di sicurezza e disponibilità, considerando i seguenti aspetti:
- servizi di sviluppo e compilazione dei database antivirus, utilizzati per la creazione e la compilazione del suo codice sorgente.
- sistemi di archiviazione e revisione del codice dei database antivirus Kaspersky, utilizzati per l’archiviazione e revisione del codice sorgente.
- sistema di test e rilascio dei database antivirus Kaspersky, utilizzati per l’implementazione del database.
- sistema di test dei database antivirus Kaspersky, utilizzati per la verifica.
- sistemi informativi a supporto dei processi sopra citati.
L’audit prevedeva interviste con il management, i responsabili della supervisione e i dipendenti. Inoltre, è stata effettuata un’analisi delle attività e delle operazioni di Kaspersky così come l’ispezione dei documenti e delle policy aziendali. Al termine della verifica, i revisori hanno stabilito che i controlli di Kaspersky, volti a garantire gli aggiornamenti automatici dei database antivirus, sono conformi ai criteri applicabili in materia di servizi fiduciari, mentre il processo di sviluppo e implementazione dei database antivirus è protetto da modifiche non autorizzate. Il rapporto completo dell’audit è disponibile su richiesta.
Si rafforza la fiducia dei clienti nei confronti di Kaspersky
Gli audit periodici dei processi interni sono una parte fondamentale della Global Transparency Initiative (GTI) di Kaspersky, il cui obiettivo è rafforzare la fiducia degli stakeholder dell’azienda e dimostrare l’impegno di Kaspersky per la trasparenza e la responsabilità. Oltre all’audit SOC 2, Kaspersky ha certificato il proprio sistema di gestione della sicurezza delle informazioni secondo lo standard internazionale ISO/IEC 27001:2013 e ha ottenuto le certificazioni Common Criteria per i prodotti enterprise di punta dell’azienda, Kaspersky Endpoint Security e Kaspersky Security Center, una console di controllo per tutti i prodotti enterprise.
Dichiarazioni
“Kaspersky si impegna costantemente per garantire ai propri clienti e partner l’affidabilità e l’integrità dei propri prodotti e servizi. Oltre all’implementazione di rigorosi controlli di sicurezza è fondamentale per noi ottenere il parere di esperti esterni per confermare che le misure in atto siano sufficienti e conformi agli standard del settore. Questo nuovo audit SOC 2 ha confermato ancora una volta che i nostri metodi di controllo funzionano correttamente e che il processo di sviluppo e rilascio dei database antivirus è protetto da modifiche non autorizzate”, ha dichiarato Alexander Liskin, Head of Threat Research di Kaspersky.
