TL;DR
- Sejarah SOC 2 dilakukan oleh American Institute of Certified Public Accountants (AICPA) pada tahun 2010
- Dibuat sebagai pengganti SAS 70
- Kami berharap dapat melihat evolusi dan penyempurnaan lebih lanjut dari SOC 2 dalam waktu dekat
Banyak orang membicarakan tentang SOC 2 akhir-akhir ini. Sebaliknya, sebagai sebuah inovasi teknologi, jarang sekali yang mengetahui tentang sejarahnya, padahal hal ini penting untuk membantu seseorang memahami mengapa inovasi ini diciptakan dan bagaimana inovasi ini berevolusi dari waktu ke waktu. Hal ini juga dapat membantu untuk mengapresiasi kekuatan dan kelemahan kerangka kerja dan tetap up-to-date dengan praktik terbaik terbaru dalam keamanan dan kontrol. Memiliki pemahaman yang baik tentang sejarah SOC 2 juga dapat membuat orang mengambil keputusan yang lebih baik tentang keamanan siber dan privasi data di organisasi Anda, karena ini memberikan konteks untuk keadaan industri saat ini dan tantangan yang dihadapi organisasi layanan dalam melindungi data dan sistem sensitif.
Jadi, bagaimana kisah SOC 2?
Sejarah SOC 2: Siapa yang menciptakan SOC 2?
SOC 2 dibuat pada tahun 2010 oleh American Institute of Certified Public Accountants (AICPA) sebagai tanggapan atas kebutuhan akan kerangka kerja yang lebih komprehensif dan terkini untuk menilai kontrol keamanan dan privasi organisasi layanan. AICPA mengakui bahwa standar sebelumnya, SAS 70, tidak lagi memadai untuk memenuhi tuntutan era digital yang terus berkembang, dan bahwa pendekatan baru diperlukan untuk memberikan jaminan kepada para pemangku kepentingan bahwa organisasi jasa beroperasi dengan aman dan berintegritas.
Untuk menciptakan SOC 2, AICPA bekerja sama dengan para pakar industri, pemangku kepentingan, dan organisasi lain, seperti Canadian Institute of Chartered Accountants (CICA), untuk mengembangkan Kriteria Jasa Kepercayaan (TSP) yang menjadi dasar SOC 2. AICPA juga bekerja sama dengan Cloud Security Alliance (CSA), sebuah organisasi nirlaba yang didedikasikan untuk mempromosikan praktik terbaik untuk keamanan dalam komputasi awan, untuk mengembangkan Cloud Controls Matrix (CCM). CCM adalah seperangkat kontrol keamanan yang dirancang khusus untuk lingkungan komputasi awan, dan sangat selaras dengan kerangka kerja TSP dan SOC 2. AICPA dan CSA terus berkolaborasi dalam pengembangan panduan baru dan praktik terbaik untuk keamanan dan jaminan cloud.
SOC 2 Sejarah: Apa yang sebelumnya?
Sebelum SOC 2, standar yang paling banyak digunakan untuk melaporkan pengendalian pada organisasi jasa adalah Statement on Auditing Standards (SAS) No. 70, yang dikembangkan oleh American Institute of Certified Public Accountants (AICPA) pada tahun 1992. SAS 70 pada awalnya dirancang untuk memberikan panduan kepada auditor tentang cara mengevaluasi pengendalian pada organisasi jasa yang memproses data keuangan, seperti pusat data, pemroses pembayaran, dan penyedia jasa lainnya.
SAS 70 menjadi standar yang populer bagi organisasi layanan untuk menunjukkan komitmen mereka terhadap keamanan dan kontrol, namun seiring berjalannya waktu, semakin jelas bahwa SAS 70 memiliki keterbatasan. Laporan SAS 70 hanya mencakup kontrol pelaporan keuangan dan tidak membahas area lain seperti privasi, kerahasiaan, dan ketersediaan. Selain itu, laporan SAS 70 sering kali sulit dipahami oleh non-auditor, dan tidak ada panduan standar tentang bagaimana laporan tersebut harus disajikan atau disusun.
Untuk mengatasi keterbatasan ini, AICPA mengembangkan kerangka kerja SOC (Service Organization Controls), yang meliputi SOC 1, SOC 2, dan SOC 3. Laporan SOC 1 ditujukan untuk organisasi jasa yang memproses data keuangan, dan laporan ini dirancang sebagai penerus SAS 70. Laporan SOC 2 memiliki cakupan yang lebih luas dan mencakup kontrol yang terkait dengan keamanan, ketersediaan, integritas pemrosesan, kerahasiaan, dan privasi, sehingga lebih relevan untuk berbagai organisasi layanan. Laporan SOC 3 memberikan gambaran umum tentang kontrol organisasi layanan dan dapat dibagikan secara publik.
Baca Juga : Apa Itu SOC 2?
SOC 2 Periodisasi Sejarah
Tidak ada cara lain untuk memiliki pemahaman yang lebih baik tentang sejarah SOC 2 selain dengan mengetahui periodisasinya. Periodisasi sejarah SOC 2 dapat dibagi menjadi 5 periode:
| Garis waktu | Era Pra-SOC 2 (Sebelum tahun 2010) | Kerangka Kerja SOC 2(2010-2011) | (Era Komputasi Awan) 2014 | Perampingan SOC 2 (2016-2018) | Suplemen Keamanan Siber (2020) |
| Perkembangan Utama | Audit SAS 70 | Pengembangan SOC 2 | Panduan untuk cloud | Perampingan SOC 2 | Suplemen SOC 2 untuk |
| terbatas pada keuangan | kerangka kerja dan baru | komputasi dan berbagi | kriteria dan panduan | melaporkan tentang keamanan siber | |
| kontrol pelaporan | kriteria ditambahkan | tanggung jawab | untuk auditor dan pengguna | manajemen risiko |
Era Pra-SOC 2 (Sebelum tahun 2010)
Sebelum pengembangan SOC 2, organisasi jasa diaudit dengan menggunakan Statement on Auditing Standards (SAS) No. 70. Namun, kriteria dalam SAS 70 terbatas pada pengendalian yang relevan dengan pelaporan keuangan. Hal ini berarti bahwa pengguna tidak mendapatkan informasi yang cukup mengenai efektivitas pengendalian organisasi layanan terkait dengan area penting lainnya. Akibatnya, laporan SAS 70 tidak cukup komprehensif untuk memberikan pemahaman yang menyeluruh mengenai pengendalian organisasi jasa.
Pengembangan Kerangka Kerja SOC 2 (2010-2011)
Menanggapi kekurangan SAS 70, American Institute of Certified Public Accountants (AICPA) mengembangkan kerangka kerja pelaporan SOC, yang mencakup laporan SOC 1, SOC 2, dan SOC 3. Laporan SOC 2 dirancang untuk memberikan evaluasi menyeluruh terhadap kontrol organisasi layanan yang terkait dengan keamanan, ketersediaan, integritas pemrosesan, kerahasiaan, dan privasi. AICPA memperbarui kerangka kerja SOC 2 pada tahun 2011, dengan menambahkan kriteria baru untuk melaporkan keamanan, ketersediaan, integritas pemrosesan, kerahasiaan, dan privasi informasi yang diproses oleh organisasi layanan. Kriteria ini didasarkan pada standar dan kerangka kerja yang diterima oleh industri seperti standar ISO/IEC 27001.
Era Komputasi Awan (2014)
Dengan munculnya komputasi awan, AICPA mengeluarkan panduan tentang penggunaan laporan SOC 2 untuk penyedia layanan awan. Panduan ini memberikan pertimbangan tambahan untuk organisasi layanan yang menggunakan komputasi awan dan menekankan pentingnya transparansi dalam pelaporan. Selain itu, juga dibahas bagaimana mengevaluasi kontrol yang terkait dengan tanggung jawab bersama antara penyedia layanan cloud dan organisasi pengguna.
Perampingan Kriteria SOC 2 (2016-2018)
AICPA memperbarui kerangka kerja SOC 2 lagi pada tahun 2016, merampingkan kriteria dan memperkenalkan konsep “kriteria yang sesuai” untuk digunakan oleh organisasi pengguna dalam mengevaluasi organisasi jasa. Kriteria yang sesuai memungkinkan organisasi pengguna untuk memilih kriteria yang relevan dengan kebutuhan dan tujuan spesifik mereka. Pada tahun 2018, AICPA memperbarui standar pelaporan SOC 2 untuk memasukkan panduan tambahan bagi auditor dan memperjelas persyaratan bagi organisasi pengguna. Pembaruan ini memperjelas ekspektasi untuk organisasi layanan dan membuat proses pelaporan SOC 2 menjadi lebih efisien.
Suplemen Keamanan Siber (2020)
Pada tahun 2020, AICPA mengeluarkan suplemen SOC 2 untuk pelaporan manajemen risiko keamanan siber. Suplemen ini memperluas kriteria untuk mengevaluasi kontrol keamanan siber organisasi layanan dan menekankan perlunya organisasi layanan untuk terus memantau dan memperbarui kontrol mereka untuk mengatasi ancaman yang terus berkembang. Suplemen ini memberikan evaluasi komprehensif kepada organisasi pengguna tentang praktik manajemen risiko keamanan siber organisasi layanan dan memberi mereka keyakinan bahwa data mereka dilindungi dengan baik. Hal ini sangat penting karena ancaman siber terus berkembang, dan sangat penting bagi organisasi layanan untuk memiliki kontrol keamanan siber yang kuat untuk melindungi data klien mereka.
Masa Depan SOC 2
Karena privasi data dan keamanan siber terus menjadi perhatian utama bagi bisnis dan konsumen, SOC 2 kemungkinan besar akan tetap menjadi kerangka kerja penting untuk menilai keamanan, ketersediaan, integritas pemrosesan, kerahasiaan, dan privasi organisasi layanan. Di tahun-tahun mendatang, kita bisa berharap untuk melihat evolusi lebih lanjut dan penyempurnaan kerangka kerja SOC 2 untuk mencerminkan risiko dan ancaman keamanan yang baru dan yang muncul. Beberapa area potensial untuk pengembangan di masa depan meliputi:
- Peningkatan fokus pada privasi: Dengan munculnya peraturan privasi data seperti GDPR dan CCPA, kita dapat melihat penekanan yang lebih besar pada kontrol privasi dalam penilaian SOC 2. Hal ini dapat mencakup kriteria yang lebih spesifik untuk privasi data, seperti persyaratan untuk kontrol akses data, kebijakan penyimpanan data, dan prosedur pemberitahuan pelanggaran data.
- Penekanan pada manajemen risiko pihak ketiga: Dengan semakin banyaknya perusahaan yang mengalihdayakan layanan penting ke vendor pihak ketiga, akan ada kebutuhan yang semakin besar akan penilaian SOC 2 untuk mengevaluasi kontrol keamanan vendor tersebut. Penilaian SOC 2 dapat memasukkan persyaratan yang lebih ketat untuk manajemen risiko pihak ketiga, seperti proses uji tuntas, bahasa kontrak, dan pemantauan berkelanjutan.
- Integrasi dengan kerangka kerja keamanan siber lainnya: SOC 2 sudah selaras dengan kerangka kerja keamanan siber lainnya seperti NIST dan ISO 27001. Karena kerangka kerja ini terus berkembang, kita dapat berharap untuk melihat integrasi yang lebih besar antara mereka dan SOC 2. Hal ini dapat mencakup adopsi bahasa dan terminologi umum, serta penggabungan praktik terbaik keamanan siber baru ke dalam penilaian SOC 2.
Kesimpulan
Sejarah SOC 2 berawal dari kebutuhan akan standar baru yang dapat mengatasi keterbatasan standar audit tradisional SAS 70. SOC 2 dibuat sebagai tanggapan atas kebutuhan yang semakin meningkat akan pendekatan yang komprehensif dan fleksibel dalam mengaudit dan melaporkan kontrol di organisasi layanan, terutama yang menangani data dan sistem yang sensitif.
Memahami sejarah SOC 2 sangat penting bagi siapa pun yang terlibat dalam mengelola atau mengaudit penyedia layanan. Hal ini memberikan konteks yang berharga untuk memahami kondisi industri saat ini dan pentingnya keamanan siber dan privasi data di era digital. Dengan memahami tantangan yang mengarah pada pengembangan SOC 2 serta kekuatan dan kelemahan kerangka kerja ini, organisasi dapat membuat keputusan yang lebih baik tentang strategi keamanan siber dan privasi data mereka.