Doorgaan naar de hoofdinhoud
Splashtop20 years of trust
AanmeldenTest Gratis
+31 (0) 20 888 5115AanmeldenTest Gratis
Two people at their office workstations using their computers.

Hoe je SOC 2-compliance ondersteunt met externe toegang

Robert Pleasant
10 minuten leestijd
Bijgewerkt
Ga aan de slag met Splashtop
Hoogwaardige oplossingen voor remote access, remote support en endpointmanagement.
Gratis proefperiode

Nu werken op afstand bij bedrijven gebruikelijk is geworden, is remote access uitgegroeid tot een normaal onderdeel van IT-activiteiten. Deze verandering heeft echter nieuwe uitdagingen met zich meegebracht, vooral wanneer organisaties moeten voldoen aan eisen op het gebied van beveiliging en IT compliance.

Organisaties die zich voorbereiden op SOC 2 hebben gedocumenteerde controles, consistente handhaving en bewijs nodig dat de controles in de loop van de tijd werken. Daarom kan het toevoegen van externe toegang zonder de juiste voorbereiding leiden tot uitdagingen op het gebied van toegang, endpoints, monitoring en bewijs.

Dus, hoe past externe toegang binnen de SOC 2-vereisten? Laten we bekijken welke controles belangrijk zijn, naar welk bewijsmateriaal auditors kijken en hoe IT workflows voor externe toegang efficiënt en veilig kan houden.

Wat SOC 2 betekent voor remote access

SOC 2 (Systems and Organization Controls 2) is een raamwerk dat wordt gebruikt om te beoordelen hoe organisaties klantgegevens beschermen, waaronder gegevens die in de cloud zijn opgeslagen. Het is gebaseerd op vijf Trust Services Criteria (TSC): beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy.

Met remote access kunnen gebruikers en technici verbinding maken met computers, servers, applicaties en systemen die mogelijk gevoelige klantgegevens bevatten, waardoor het van invloed kan zijn op de SOC 2-gereedheid. Remote access raakt aan verschillende gebieden die onder SOC 2 vallen, waaronder logische toegang, authenticatie, endpointbeveiliging, monitoring en incidentrespons, maar dat betekent niet dat remote access onverenigbaar is met SOC 2. Het moet juist worden beheerd, gedocumenteerd en gemonitord.

Waarom externe toegang hiaten in de SOC 2-naleving kan veroorzaken

Om te begrijpen hoe je de SOC N2-gereedheid kunt ondersteunen bij het gebruik van remote access, moeten we eerst de risico's en uitdagingen in kaart brengen. Hoewel remote access compliancerisico's kan creëren wanneer het te breed of zonder de juiste beveiliging wordt verleend, kunnen deze uitdagingen worden overwonnen.

Hiaten in SOC 2-naleving kunnen zijn:

  • Te ruime beheerderstoegang, waardoor onbevoegde gebruikers mogelijk toegang krijgen tot gevoelige informatie.

  • Gedeelde accounts of onduidelijke gebruikerstoewijzing, wat de verantwoordelijkheid en het toezicht vermindert.

  • Zwakke authenticatie voor externe sessies.

  • Niet-beheerde of verouderde endpointapparaten, die beveiligingsrisico's kunnen veroorzaken.

  • Ontbrekende sessielogs of audittrails.

  • Inconsistente deprovisioning na rolwijzigingen of wanneer medewerkers uit dienst gaan, waardoor accounts langer toegankelijk blijven dan zou moeten.

  • Onduidelijke beleidsregels voor attended en unattended access.

  • Beperkt inzicht in wie wat wanneer en waarom heeft geopend.

Deze beveiligingslacunes zijn meestal operationele problemen, die kunnen worden aangepakt met het juiste beleid en best practices. Wanneer externe toegang herhaalbaar, zichtbaar en gekoppeld aan duidelijke toegangsbeleidsregels is, wordt het veel eenvoudiger om SOC 2-gereedheid te ondersteunen.

Belangrijke remote access-controls die SOC 2-gereedheid ondersteunen

Laten we vervolgens kijken wat software voor externe toegang nodig heeft om SOC 2-naleving te ondersteunen. Dit zijn de onmisbare functies en controles die kunnen helpen de beveiliging te waarborgen en de paraatheid tijdens SOC 2-audits te ondersteunen:

1. Toegang op basis van identiteit

Een van de belangrijkste manieren om externe toegang te beveiligen, is door elke sessie aan een gebruiker te koppelen en machtigingen te beperken met rolgebaseerde toegangscontrole. Iedereen moet een eigen account en inloggegevens hebben met rechten die relevant zijn voor het werk, zodat toegang wordt verleend op basis van functie en zakelijke noodzaak. Zorg ervoor dat je gedeelde inloggegevens vermijdt, want die verminderen de verantwoordelijkheid en vergroten het risico op ongeautoriseerde toegang.

2. Multi-factor-authenticatie en SSO

Het handhaven van accountbeveiliging is ook belangrijk, en dat kan met multifactorauthenticatie (MFA) en Single Sign-On (SSO). Deze tools versterken de identiteitsverificatie voor externe toegang door aanvullende gebruikersverificatie te vereisen, zonder al te veel extra drempels op te werpen. Daarnaast kan SSO het beheer van de gebruikerslevenscyclus vereenvoudigen door machtigingen te koppelen aan gecentraliseerde identiteitssystemen, zodat het provisionen en deprovisionen van gebruikers een veel betrouwbaarder en gestroomlijnder proces wordt.

3. Minst noodzakelijke machtigingen

Technici moeten toegang hebben tot alle gegevens en netwerksegmenten die ze nodig hebben, maar niet meer dan dat. Dit kan worden gedaan door de principes van minimale bevoegdheden te volgen, waarbij standaard alleen de meest basale machtigingen worden verleend, met aparte machtigingen voor toegang door eindgebruikers, remote support, beheeracties, unattended access, enzovoort.

Zorg ervoor dat je machtigingen regelmatig controleert, vooral wanneer rollen veranderen, zodat gebruikers alleen toegang hebben tot wat ze nodig hebben.

4. Sessielogging en audittrails

Het bijhouden van duidelijke logboeken helpt ook om aan te tonen dat de controles werken zoals bedoeld. Deze logbestanden moeten duidelijk vastleggen wie verbinding heeft gemaakt, welk apparaat is benaderd, wanneer de sessie is gestart en beëindigd, en relevante sessieactiviteit waar beschikbaar. Hoewel deze logbestanden op zichzelf niet voldoende zijn voor een audit, bieden ze nuttig bewijs om naleving en beveiliging aan te tonen.

5. Endpointbeveiliging en patchbeheer

Veilige externe toegang vereist goede endpointbeveiliging. Dit betekent dat de apparaten waartoe medewerkers toegang hebben goed gepatcht en up-to-date moeten zijn, dus effectief endpointbeheer is essentieel. Als apparaten beveiligingsupdates of andere essentiële patches missen, of als de software erop niet wordt beheerd, kan dit onnodige compliance- en beveiligingsrisico's veroorzaken. Goed patchbeheer, inzicht in de inventaris en updateworkflows zijn essentieel.

6. Beleidsafdwinging en toegangscontroles

De beste beveiligingsbeleidsregels ter wereld betekenen niets als ze niet kunnen worden afgedwongen. IT-teams moeten beleidsregels opstellen die bepalen wie externe toegang mag gebruiken, tot welke apparaten ze toegang hebben, wanneer onbeheerde toegang is toegestaan en hoe machtigingen worden beoordeeld, en vervolgens processen invoeren om ervoor te zorgen dat die beleidsregels worden nageleefd.

Dit vereist ook regelmatige toegangsbeoordelingen om te bevestigen dat machtigingen actueel zijn en aansluiten op de huidige behoeften en verantwoordelijkheden.

Hoe je SOC 2-naleving met remote access waarborgt

Gezien deze controles en vereisten: hoe kunnen IT-teams de SOC 2-gereedheid ondersteunen bij de implementatie van tools voor externe toegang? Hoewel het in het begin lastig kan lijken, kunnen IT-teams een praktische workflow volgen om controles te versterken, de zichtbaarheid te verbeteren en auditgereedheid te ondersteunen.

  1. Definieer je remote access-beleid: Eerst moet je een beleid hebben. Dit moet beschrijven wie remote access mag gebruiken, tot welke systemen ze toegang hebben, eventuele goedkeuringsvereisten en regels voor attended of unattended access.

  2. Vereis sterke authenticatie: Zorg er vervolgens voor dat je robuuste authenticatie hebt ingesteld. Het gebruik van MFA en SSO kan helpen de accountbeveiliging te waarborgen, maar het is ook belangrijk dat elke gebruiker een uniek account heeft - deel dus geen inloggegevens, hoe handig dat ook lijkt.

  3. Pas toegangscontroles met minimale bevoegdheden toe: Zorg ervoor dat je de principes van minimale bevoegdheden volgt bij het verlenen van externe toegang. Toegang moet worden beperkt op basis van de gebruikersrol, technicigroep, apparaatsgroep en zakelijke noodzaak, zodat gebruikers alleen toegang hebben tot de segmenten en tools die ze nodig hebben.

  4. Beveilig en monitor endpoints: Elk endpoint moet ook beveiligd zijn. Dit betekent dat je beschikt over een actuele inventaris en duidelijk inzicht in elk apparaat, samen met geautomatiseerd patchbeheer en sterke endpointbeveiliging.

  5. Activiteit van externe toegang loggen: Zorg ervoor dat externe sessies correct worden gelogd. Deze logs moeten vastleggen wie toegang had tot welk apparaat, wanneer de sessie begon en eindigde, en relevante sessieactiviteit waar beschikbaar, om verantwoording en auditbeoordeling te ondersteunen.

  6. Controleer toegang regelmatig: Wanneer rollen veranderen, moeten machtigingen mee veranderen. Zorg ervoor dat je toegangsrechten regelmatig controleert en beleid hebt voor het intrekken van toegang of het aanpassen van machtigingen wanneer rollen veranderen.

  7. Bewijsmateriaal continu documenteren: Het bijhouden van bewijsmateriaal is essentieel om audits te doorstaan. Dit moet beleidsregels, toegangsbeoordelingen, logs, patchgegevens, incidentregistraties en configuratierapporten omvatten, die allemaal kunnen helpen om beveiliging en naleving aan te tonen.

  8. Test en verbeter het proces: Je beleid is waarschijnlijk niet meteen perfect, en ook niet de tweede of derde keer. Door beleid in de loop van de tijd te testen, beoordelen en aan te passen, verbeter je de cybersecurity en behoud je de SOC 2-gereedheid, zelfs als behoeften en technologie veranderen.

Welk bewijs voor remote access kan een SOC 2-audit ondersteunen

We hebben veel gesproken over het belang van het verzamelen van bewijs voor controles en beveiliging, maar wat houdt dat eigenlijk in? Auditors kijken doorgaans naar bewijs dat controles bestaan, consistent worden uitgevoerd en werken zoals bedoeld, dus het bewijs moet dat allemaal duidelijk maken.

Hoewel de vereisten voor bewijs verschillen per auditor, scope en ontwerpcontrole, omvatten ze meestal:

  • Het remote access-beleid zelf

  • Lijsten met gebruikerstoegang

  • Toewijzingen van rollen en machtigingen

  • Configuratieregistraties voor MFA en SSO

  • Toegangscontrolegegevens

  • Records van gebruikersprovisioning en -deprovisioning

  • Logboeken van externe sessies

  • Rapporten over endpointinventaris

  • Rapporten over patchstatus

  • Beveiligingsmeldingen en records van herstelmaatregelen

  • Documentatie van incidentrespons

  • Toegangsregistraties van leveranciers en derden (indien van toepassing)

In alle gevallen is het sterkste bewijs actueel, overzichtelijk georganiseerd en direct gekoppeld aan je beheersmaatregelen. Door duidelijke documentatie bij te houden, kun je je auditvoorbereiding efficiënter maken en teams helpen te laten zien hoe hun beheersmaatregelen in de loop van de tijd hebben gewerkt.

Veelvoorkomende fouten bij externe toegang die SOC 2 lastiger maken

IT-teams kunnen echter fouten maken bij het instellen van externe toegang, wat SOC 2-compliance lastiger kan maken. Hoewel deze misstappen op dat moment logisch kunnen lijken, kunnen ze complicaties of beveiligingsrisico's veroorzaken. Teams moeten zich hiervan dus bewust zijn wanneer ze beginnen met hun remote access-traject.

Veelgemaakte fouten zijn onder andere:

  • Externe toegang behandelen als een uitzondering, in plaats van als een beheerde workflow die ze moeten managen.

  • Standaard brede beheerderstoegang toestaan in plaats van het principe van minimale rechten en zero-trust security te gebruiken.

  • Het niet scheiden van toegang voor ondersteuning op afstand van doorlopende onbeheerde toegang.

  • Vertrouwen op handmatige toegangsregistratie in plaats van geautomatiseerde trackingtools te gebruiken.

  • Wachten tot de audit om logs en rapporten te verzamelen.

  • Voormalige medewerkers of leveranciers in toegangsgroepen laten staan nadat ze zijn vertrokken.

  • Gebrekkig inzicht in endpointpatching en software, waardoor kwetsbaarheden onbeschermd kunnen blijven.

  • Beleidsregels hebben die niet overeenkomen met de feitelijke IT-praktijken.

Een van de belangrijkste dingen om te onthouden is dat SOC 2-gereedheid eenvoudiger is wanneer controles voor externe toegang zijn ingebouwd in de dagelijkse werkzaamheden, in plaats van dit te behandelen als iets dat je pas controleert wanneer audits eraan komen.

Hoe Splashtop helpt bij veilige externe toegang en auditgereedheid

Als je op zoek bent naar veilige externe toegang en tegelijk SOC 2-compliance wilt behouden, heb je een robuust, betrouwbaar platform nodig dat is ontwikkeld met beveiliging en IT-compliance in gedachten. Splashtop is ontworpen om IT-teams te helpen externe toegang in gedistribueerde omgevingen te beveiligen, beheren en monitoren, zodat bedrijven kunnen voldoen aan hun SOC 2-compliancevereisten.

Splashtop helpt teams externe toegang te centraliseren, veilige toegangscontroles af te dwingen en zicht te behouden op externe endpoints en externe sessies. Plus, met Splashtop AEM krijgen IT-teams inzicht in endpoints en patchautomatisering om consistente beveiligingscontroles te helpen handhaven en handmatig werk op hun beheerde apparaten te verminderen.

Splashtop biedt:

  • Beveilig externe toegang met gebruikersgebaseerde machtigingen en authenticatie.

  • Ondersteuning voor MFA en SSO/SAML om de accountbeveiliging te verbeteren.

  • Gedetailleerde toegangscontroles voor gebruikers, technici en apparaatgroepen.

  • Logregistratie van externe sessies ter ondersteuning van audittrails.

  • Opties voor sessieopname (waar van toepassing) om duidelijke registraties en verantwoording te behouden.

  • Gecentraliseerd beheer voor zowel begeleide als onbeheerde toegang.

  • Splashtop AEM voor endpointzichtbaarheid, geautomatiseerd patchen, inventaris, waarschuwingen en herstelworkflows.

Versterk SOC 2-gereedheid met veilige externe toegang

Externe toegang hoeft geen onnodige uitdagingen voor SOC 2-gereedheid te veroorzaken. Met de juiste toegangscontroles, endpointbeveiliging, monitoring en documentatie kunnen IT-teams veilig werken op afstand ondersteunen en tegelijk beter voorbereid blijven op audits.

Wanneer externe toegang wordt beheerd met duidelijke beleidsregels, sterke authenticatie, minimale rechten en betrouwbaar bewijsmateriaal, kan het een krachtig hulpmiddel worden om veilige IT-activiteiten te ondersteunen en security compliance te behouden. Met een oplossing voor externe toegang zoals Splashtop kunnen medewerkers overal en op elk apparaat werken, terwijl accounts, netwerken en gegevens veilig blijven.

Klaar om veilige externe toegang te versterken en SOC 2-gereedheid te ondersteunen? Ga vandaag nog aan de slag met een gratis proefversie van Splashtop.

Begin nu!
Start uw GRATIS proefperiode van Splashtop
Gratis proefperiode


Delen
RSS FeedAbonneren

Veelgestelde vragen

Heeft remote access invloed op AVG-compliance?
Welke remote access-controls zijn belangrijk voor SOC 2?
Welke bewijzen moeten IT-teams verzamelen voor externe toegang?
Hoe ondersteunt Splashtop SOC 2-readiness?

Verwante content

A person using a computer.
Veiligheid

Wat Betekent Actieve Exploitatie in Cyberbeveiliging?

Meer informatie
Computer virus
Veiligheid

Hoe je een computervirus kunt voorkomen

Meer informatie
Logs being tracked while a remote IT support agent works.
Veiligheid

Auditlogboeken voor Externe Ondersteuning voor Naleving

Meer informatie
An IT administrator and a remote worker side by side.
Veiligheid

Naleving voor Remote Access in sterk gereguleerde industrieën

Meer informatie
Bekijk alle blogs