Algunas de las preguntas más comunes que escuchamos de nuestros clientes involucran el alcance de la auditoría. Preguntas como: “¿Qué Criterios de Servicios de Confianza necesito incluir en mi informe SOC 2?”

“¿Cuánto tiempo debe durar mi ventana de auditoría?”

“¿Los contratistas y freelancers están dentro del alcance de mi auditoría?”

A continuación, responderemos preguntas comunes sobre empleados y el alcance de la auditoría para marcos específicos, incluyendo SOC 2, ISO 27001, PCI DSS, y HIPAA, junto con otras preguntas frecuentes sobre el alcance de la auditoría.

Cómo definir el alcance de la auditoría para el personal

A medida que el trabajo remoto, los contratistas externos y los freelancers se vuelven más comunes, entender qué empleados están dentro del alcance de una auditoría de seguridad de la información es cada vez más complejo. Saber qué empleados incluir o excluir tiene un impacto significativo en el éxito de su auditoría y en sus prácticas de seguridad de la información en general.

Examinemos los criterios para determinar qué empleados están dentro del alcance de los principales marcos de seguridad de la información.

SOC 2

En general, todos los empleados que tienen acceso a los sistemas o datos bajo auditoría deben considerarse dentro del alcance.

Comience identificando los sistemas, procesos y datos que son relevantes para sus Criterios de Servicios de Confianza seleccionados. Luego considere qué empleados tienen acceso. Esto puede incluir al personal de TI, administradores de red, analistas de datos, ingenieros, diseñadores de productos, cualquier empleado que juegue un papel en el desarrollo, implementación o gestión de los sistemas o procesos que se están auditando.

¿Qué pasa con los contratistas?

Nuestro experto en cumplimiento, Rob Gutierrez, lo explicó bien durante una reciente sesión de preguntas y respuestas de Secureframe | Office Hours: “El alcance de un SOC 2 se relaciona con los datos del cliente, por lo que la pregunta clave es: ¿el contratista tiene acceso a los datos del cliente? Si la respuesta es sí, deben adherirse a esos requisitos. Si la respuesta es no, entonces están fuera del alcance y no necesita preocuparse por ello.”

Para determinar si los trabajadores contratados o freelancers están dentro del alcance de su auditoría, debe considerar la naturaleza de su trabajo y el nivel de acceso que tienen a los sistemas y datos de su organización. Por ejemplo, un contratista de DevOps que tiene acceso a datos del cliente o de la empresa se consideraría dentro del alcance de la auditoría. Un diseñador freelance que proporciona servicios de sitio web o marca y que no tiene acceso a información confidencial se consideraría fuera del alcance.

ISO 27001

Todos los empleados que tienen acceso a la información o sistemas dentro del Sistema de Gestión de Seguridad de la Información (SGSI) que se audita deben considerarse dentro del alcance de la auditoría.

Comience definiendo el alcance de su SGSI: ¿qué información necesita ser protegida y qué sistemas se utilizan para procesar esa información? ¿Qué empleados tienen acceso a estos sistemas o datos? Cualquier empleado que tenga acceso al correo electrónico de la empresa, servicios en la nube o unidades de red compartidas debe ser considerado.

Cualquier empleado que tenga un papel en el desarrollo, implementación o gestión del SGSI también puede estar dentro del alcance. Piense en los miembros del equipo de seguridad de la información, oficiales de cumplimiento y ejecutivos responsables de mantener la postura de seguridad de la organización.

Trabajadores por contrato o freelance pueden necesitar ser incluidos en su auditoría ISO 27001 si tienen acceso a información o sistemas relevantes para el SGSI que se audita. En muchos casos, los trabajadores por contrato o freelance se consideran parte de la fuerza laboral extendida de una organización y pueden tener acceso a los mismos sistemas, procesos y datos que los empleados regulares.

HIPAA

Las regulaciones de HIPAA se aplican tanto a las entidades cubiertas (proveedores de servicios de salud, planes de salud y cámaras de compensación de servicios de salud) como a sus asociados comerciales (organizaciones que manejan información de salud protegida en nombre de las entidades cubiertas, como procesadores de reclamaciones y pagos, analistas de datos y firmas de contadores y CPA).

Para identificar qué personal está dentro del alcance de la cumplimiento de HIPAA, considere lo siguiente:

• Proveedores de servicios de salud: Todo el personal involucrado en la prestación de servicios de salud, incluidos médicos, enfermeras, terapeutas, personal administrativo, personal de apoyo y cualquier otro personal que tenga acceso a la información de salud protegida (PHI) está dentro del alcance.
• Planes de salud: El personal involucrado en la administración de planes de salud, procesamiento de reclamaciones, manejo de inscripciones, servicio al cliente o gestión de PHI/ePHI está dentro del alcance.
• Cámaras de compensación de servicios de salud: El personal responsable de procesar o transmitir transacciones relacionadas con la salud o de manejar PHI/ePHI está dentro del alcance.
• Asociados comerciales: Cualquier empleado o contratista de los asociados comerciales que maneje o tenga acceso a PHI está dentro del alcance para el cumplimiento de HIPAA.

En general, el personal dentro del alcance incluye a cualquier persona que:

• Maneja PHI/ePHI
• Tiene acceso a sistemas o aplicaciones que almacenan o transmiten PHI/ePHI
• Desempeña un papel en el desarrollo, implementación o gestión de políticas y procedimientos de HIPAA

Es crucial realizar un análisis exhaustivo de las operaciones y flujos de trabajo específicos de su organización para identificar a todo el personal que maneja o tiene acceso a PHI/ePHI. Este análisis debe implicar la revisión de roles laborales, privilegios de acceso y responsabilidades dentro de su organización.

Una vez que haya determinado qué empleados están dentro del alcance, puede desarrollar políticas apropiadas, programas de capacitación y controles de seguridad para garantizar el cumplimiento de las normas y requisitos de HIPAA.

PCI DSS

¿Qué empleados tienen acceso a su entorno de datos de titulares de tarjetas (CDE)? Estos son los empleados que están en el alcance para el cumplimiento PCI.

Puede determinar el alcance de su CDE documentando cómo fluyen los datos de los titulares de tarjetas y la información de pago a través de su entorno y de cualquier sistema conectado. Cualquier sistema que almacene, procese o transmita datos de titulares de tarjetas o datos de autenticación, así como cualquier sistema dentro de la misma red física o lógica, forman parte de su CDE y están sujetos a los requisitos PCI. Cualquier empleado, contratista o freelancer que tenga acceso a estos sistemas está dentro del alcance.

Además, el PCI SAQ-D 9.2 requiere que las organizaciones establezcan procedimientos para “distinguir al personal y visitantes en el sitio”, por ejemplo, con insignias de identificación. (Según el PCI SSC, el personal en el sitio incluye a todos los empleados a tiempo completo y parcial, empleados temporales, contratistas y consultores). Por lo tanto, un freelancer de marketing o diseño que no interactúe con su CDE generalmente se consideraría fuera del alcance, a menos que tenga una ubicación física. En ese caso, el contratista necesitará una insignia de identificación y estaría dentro del alcance.

Preguntas frecuentes del alcance de la auditoría

La fase de definición del alcance sienta las bases para toda la auditoría de seguridad de la información, definiendo los límites, objetivos y áreas de enfoque. Al responder algunas de las preguntas más frecuentes sobre el alcance de la auditoría, esperamos desmitificar el proceso y arrojar luz sobre las mejores prácticas.

¿Por qué es importante definir correctamente el alcance de una auditoría?

Si define un alcance demasiado amplio, perderá tiempo y recursos implementando controles para abordar riesgos que no existen para su organización. La auditoría también tardará más y costará más completarse.

Por otro lado, si define un alcance demasiado estrecho, podría estar pasando por alto riesgos críticos de seguridad. Además, es probable que los clientes no tengan el nivel de garantía que necesitan para hacer negocios con usted.

¿Puede cambiar el alcance de la auditoría durante el proceso de auditoría?

Sí, es posible que el alcance de la auditoría se ajuste durante el proceso de auditoría. Por ejemplo, si surgen nuevos riesgos o si ocurren cambios significativos dentro del entorno de la organización.

¿Puede el alcance de la auditoría incluir proveedores o socios externos?

Los proveedores o socios externos que tengan un impacto directo en la seguridad de la información de la organización o en los procesos de manejo de datos generalmente se incluyen en el alcance de la auditoría. Esto ayuda a garantizar que la postura de seguridad completa de la organización se evalúe adecuadamente y que se haya tenido en cuenta el riesgo de terceros.

¿Cómo determino mi ventana de auditoría?

La mayoría de los estándares de seguridad de la información recomiendan una ventana de auditoría de 6 a 12 meses. Algunos marcos como SOC 2 ofrecen mayor flexibilidad y permiten ventanas de auditoría más cortas de 3 meses.

Nuestros expertos en cumplimiento recomiendan a las empresas que necesitan urgentemente un informe SOC 2 Tipo II seleccionar un período de auditoría de 3 meses para su informe inicial, y luego pasar a un período de 12 meses con auditorías anuales.

¿Necesito informes de auditoría separados para diferentes líneas de productos o ubicaciones comerciales?

Algunas organizaciones eligen limitar el alcance de la auditoría a una sola línea de productos o ubicación de centro de datos. Por ejemplo, Alphabet tiene informes SOC 2 separados para Google Workspace, Google Cloud, Apigee, AppSheet, Looker y Payment Gateway. Buscar informes SOC 2 para múltiples productos y ubicaciones dependerá en última instancia de qué clientes y prospectos requieran un informe de auditoría.

Simplifique sus auditorías de cumplimiento con Secureframe

Cuando se trata de delimitar una auditoría de seguridad de la información, céntrate en la información. ¿Qué datos necesitan ser protegidos? ¿De qué necesitan ser protegidos y cómo? ¿Quién tiene acceso a ellos?

Ya sea que estés delimitando tu primera auditoría o la quincuagésima, Secureframe simplifica y refuerza todo tu programa de cumplimiento. Nuestra plataforma facilita delimitar el alcance de tu auditoría a personal específico, recursos, dispositivos, activos, etc., según sea necesario para acelerar el tiempo de cumplimiento y ofrecer una auditoría eficiente.

Diseñada por expertos en cumplimiento y exauditores, nuestra plataforma agiliza la preparación de auditorías y ayuda a miles de empresas a mantener un cumplimiento continuo con los estándares de seguridad y privacidad más rigurosos del mundo. Para saber más, reserva una demostración con un experto en productos hoy mismo.