Prepararse para una auditoría de seguridad conlleva una gran carga mental. Hay mucho en qué pensar: ¿Estableciste el alcance adecuado? ¿Implementaste los controles correctamente? ¿Tus políticas son conformes?

Seleccionar una firma de auditoría puede parecer solo una decisión más a tomar. Puede ser tentador encontrar la firma de auditoría más económica en tu área o la que tenga la lista de espera más corta. Pero encontrar una firma que entienda el panorama de amenazas de tu industria, las obligaciones de privacidad y las necesidades de seguridad de la información es una inversión que da frutos durante la auditoría y más allá.

Seleccionar una firma de auditoría para tu esfuerzo de cumplimiento es una elección importante que tendrá un gran impacto en tu experiencia de auditoría y en tu informe o certificación final. Para ayudarte a encontrar el auditor adecuado para tus necesidades, hemos recopilado más de 15 consejos para evaluar firmas de auditoría de nuestros socios de auditoría de confianza.

¿Qué hace un auditor?

Muchos esfuerzos de cumplimiento de seguridad y privacidad como SOC 2 e ISO 27001 requieren una auditoría externa realizada por un auditor de seguridad de la información. Estos son expertos en cumplimiento que pueden evaluar cuán efectivo es tu programa de seguridad y determinar si cumple con los estándares y requisitos específicos del marco que has elegido.

Después de la evaluación, el auditor crea un informe detallado que resume sus hallazgos, incluyendo una descripción del sistema evaluado, un resumen de cualquier problema que descubrieron durante la auditoría y sus recomendaciones para mejoras.

Cómo elegir un auditor

Los mejores auditores son tus socios en el proceso de cumplimiento. Aquí están nuestros consejos para ayudarte a seleccionar un auditor que sea adecuado para las necesidades de tu organización.

1. Verificar la acreditación

Sea cual sea la certificación de seguridad que hayas elegido obtener, es importante verificar que tu auditor tenga las credenciales adecuadas para evaluar la postura y los controles de seguridad de tu organización.

Por ejemplo, las auditorías SOC 2 solo pueden ser realizadas por un CPA o una firma de CPA calificada, acreditada por el Instituto Americano de Contadores Públicos Certificados (AICPA). Una auditoría ISO 27001 Etapa 2 solo puede ser realizada por un auditor certificado, y una certificación solo puede ser emitida por un organismo de certificación acreditado.

En algunos casos, puedes decidir trabajar con una firma que aún no está acreditada en uno de los marcos que te interesan. La clave es analizar si la experiencia de la firma de auditoría se alinea con los objetivos de tu organización, dice Steve Ryan, gerente de servicios de atestación en Barr Advisory. “Por ejemplo, si tu organización está interesada en una certificación ISO 27001 y la firma de auditoría está iniciando una práctica ISO y aún no está acreditada, determina si te sientes cómodo pasando por un nuevo proceso con ellos o si prefieres una firma más experimentada,” dice.

2. Evaluar experiencia

A continuación, desea evaluar la experiencia de las firmas de auditoría que está considerando en términos de industria, tamaño del cliente, herramientas, capacitación y otros factores.

Las firmas de auditoría que tienen experiencia trabajando con organizaciones similares a la suya tendrán una comprensión más profunda de las mejores prácticas y requisitos de la industria, lo que generalmente significa un proceso de auditoría más rápido y conocimientos más significativos sobre su postura de seguridad en general.

La profundidad de la experiencia en la industria que tiene una firma puede hacerla más capacitada para comprender la complejidad de su entorno, según Chris Roe, un gerente de Sensiba San Filippo. “Es esencial asegurarse de que su auditor tenga experiencia con una variedad de diferentes entornos para determinar que está obteniendo los controles que mejor se adapten a sus sistemas dentro del alcance y no están causando complicaciones innecesarias”, dice.

Ryan dice que también debe considerar el tamaño de los clientes anteriores de una firma de auditoría. “Cuando evalúe la experiencia de un auditor, desea averiguar cuál es su especialidad. Por ejemplo, si solo tienen experiencia con startups y está buscando un auditor para su organización empresarial, es posible que no tengan la experiencia que está buscando”.

También es importante asegurarse de que los auditores tengan experiencia con la herramienta de automatización de cumplimiento que utiliza, si utiliza una, para que puedan aprovechar mejor su potencial, dice Roe.

Cuando comience a evaluar la experiencia de diferentes firmas de auditoría, mire sus sitios web y revise los perfiles de los auditores para medir los años promedio de experiencia y las certificaciones de seguridad de la información que tienen sus auditores.

“También puede ser útil ver si tienen experiencia en una de las Cuatro Grandes firmas de contabilidad pública (PwC, Deloitte, EY, KPMG) ya que es ampliamente aceptado como el mejor entorno para capacitarse como auditor”, dice Matthew A. Drewyor, director gerente de Sentry Assurance.

Luego, durante las entrevistas, puede preguntar sobre su experiencia con su industria, diferentes entornos y herramientas de automatización de cumplimiento.

3. Confirme quién realizará la evaluación

Al evaluar las firmas de auditoría, Richard Rieben, socio de Linford & Company, LLP, también recomienda preguntar sobre su enfoque de personal.

“Las personas que evalúan las firmas de auditoría deben entender cuánta experiencia tiene su recurso asignado en la realización del tipo específico de auditoría o evaluación que se está realizando”, dice. “No es inusual que el personal senior venda compromisos y luego asigne recursos de nivel junior para realizar la entrega real del compromiso. Esto puede crear una brecha entre las expectativas y la realidad en la experiencia que enfrenta un cliente”.

Para evitar sorpresas, es importante entablar una conversación con el personal real que realizará su auditoría, dice Rieben.

Nirav Shah, director de Servicios de Asesoría y Seguridad de TI en Hancock Askew & Co, LLP, también recomienda preguntar quién realizará realmente la evaluación y si los socios o gerentes de la firma serán parte del compromiso. También es importante entender si la firma tiene un equipo de ventas o de servicio y cuál es su papel en el proceso, dice.

Hacer estas preguntas le ayudará a entender quién será parte de todo el proceso de auditoría y si habrá transferencias a otros equipos o profesionales.

4. Verifique múltiples marcos de certificación.

La mayoría de las organizaciones necesitarán más de un marco de cumplimiento de seguridad para satisfacer a los clientes, incluyendo SOC 2, ISO 27001, PCI DSS, HIPAA, GDPR, CCPA, NIST 800-53, CMMC, o alguna combinación de estos. Trabajar con la misma firma para múltiples certificaciones hace que el proceso de auditoría en general sea más eficiente y a menudo ahorra tanto tiempo como dinero.

Rieben también enfatiza la importancia de preguntarle a una firma de auditoría sobre su proceso para entregar múltiples certificaciones. “Si su organización planea llevar a cabo múltiples auditorías o certificaciones (por ejemplo, SOC 2 así como ISO 27001), entonces debería considerar si la firma que está evaluando tiene la capacidad para entregar esos servicios como parte de un único compromiso con un solo equipo de entrega. Muchas firmar tendrán equipos diferentes y cronogramas diferentes para evaluaciones separadas, mientras que algunas firmas son capaces de entregar múltiples informes como parte de un solo compromiso de auditoría.”

Incluso si solo está buscando un solo marco de cumplimiento para comenzar, es muy probable que se encuentre necesitando múltiples certificaciones a medida que su negocio crezca en nuevos mercados, industrias y geografías. Por eso, necesita un socio de auditoría que pueda crecer con usted, dice Drewyor.

“Cuanto más crezca, más probable es que sus necesidades de cumplimiento evolucionen”, dice. “A medida que esas necesidades evolucionen, querrá el conocimiento y la historia con su socio de auditoría, no querrá la carga adicional de un nuevo equipo y una curva de aprendizaje. Entonces, necesita un socio de auditoría que pueda escalar con usted.”

Eso no necesariamente significa que deba elegir la firma de auditoría que soporte la mayor cantidad de marcos de certificación, sin embargo. Ryan Johanson, socio en Johanson Group, dice, “El cliente necesita preguntarse a sí mismo cómo se ve su propia hoja de ruta. Si el cliente nunca va a hacer una CMMC o una auditoría PCI, entonces una firma que ofrezca esos servicios no agrega valor al cliente. Busque una firma que ofrezca los servicios que actualmente necesita o que están en su horizonte cercano.”

5. Verifique los servicios de evaluación de preparación y/o análisis de brechas

A menos que ya tenga un experto en seguridad de la información en el personal, es probable que necesite completar un análisis de brechas y/o una evaluación de preparación como parte del proceso de preparación de la auditoría. Muchas firmas de auditoría ofrecen estos servicios para brindar a sus clientes una imagen completa de cualquier problema en su entorno actual que pueda impedirles cumplir con los requisitos de cumplimiento.

Un auditor experimentado trabajará con usted para identificar todos los problemas potenciales con sus sistemas, políticas, procesos y controles para que pueda remediar cualquier brecha y evitar perder tiempo con múltiples auditorías.

Según Roe, el objetivo es encontrar una empresa que aspire a ser un asesor de confianza y no solo una firma de auditoría. “Quieres confirmar que tu auditor estará allí para brindarte orientación sobre mejoras de seguridad y mejores prácticas estándar de la industria para apoyar el panorama cambiante de la tecnología y la seguridad”, dice.

6. Entender su proceso de auditoría

Es esencial que entiendas cómo se llevará a cabo la auditoría. Para tener una idea clara del proceso de un auditor, David English, director de ventas y marketing en British Assessment Bureau, recomienda revisar los informes anteriores del auditor o pedirle ejemplos de cómo analiza datos e información durante la auditoría. “Busca evidencia de su capacidad para identificar tendencias, patrones y causas raíz de los problemas”, dice. 

También es una buena idea tener una idea de cómo prefiere comunicarse el auditor con los clientes. ¿Qué herramientas usarás para compartir de manera segura información sensible? ¿Necesitarás subir evidencia de auditoría a una unidad compartida o tu auditor puede agilizar el proceso accediendo a tu Secureframe Data Room? ¿Discutirás el progreso de la auditoría y las solicitudes de evidencia adicional por correo electrónico o por teléfono? 

“Un gran punto de dolor que nos encontramos con clientes que están descontentos con auditores anteriores es la falta de comunicación y transparencia”, dice Drewyor. Para evitar esto, dice que hay que preguntar sobre el estilo de comunicación durante el proceso de evaluación: “Pregúntales cuáles son sus métodos de comunicación, informes y gestión de proyectos, y cómo van a asegurarse de que te mantengas actualizado sobre el progreso y el estado de tu auditoría”.

Ryan dice que preguntar sobre el proceso de auditoría también debería ayudarte a evaluar los valores de la firma. “Estas preguntas deberían iluminar si un auditor solo está realizando un ejercicio de marcar casillas o si realmente se tomará el tiempo para entender tu entorno, identificar oportunidades de mejora de procesos y ayudarte a alcanzar tus objetivos finales para mejorar tu postura de seguridad general”.

En general, asegúrate de que el proceso de cómo se llevará a cabo la auditoría coincida con las expectativas y objetivos de tu organización.

7. Discutir los plazos

Es esencial que un auditor pueda trabajar con tu cronograma esperado.

Al entrevistar a posibles auditores, pregunta cuál es el tiempo promedio de entrega entre la finalización de una auditoría y la entrega del informe final. Luego, antes de avanzar con uno, asegúrate de estar de acuerdo con la logística de la auditoría, incluido el período en que se completará y cuándo esperar a tu auditor en el sitio.

“La prioridad número uno para cualquier organización que evalúe firmas de auditoría debería ser establecer un nivel de comodidad”, dice Rieben. “Saber con quién estarás trabajando, qué proceso seguirás, qué herramientas usarás y cuál será el cronograma es muy importante, y debería discutirse y comunicarse claramente como parte del proceso de evaluación”.

8. Trata de tener una idea de su personalidad

No solo estás seleccionando un auditor basado en sus calificaciones en papel, también estás eligiendo a una persona con la que trabajarás durante un período que puede ir de unas pocas semanas a un año o más. Asegúrate de que sus personalidades sean compatibles.

Para hacerlo, Ryan recomienda hablar directamente con la persona con la que trabajarás durante tu compromiso. “Dedica algo de tiempo a hablar con la persona con la que trabajarás día a día para asegurarte de que puedes soportar trabajar con ellos”, dice. “Este paso puede marcar la diferencia entre un compromiso difícil o uno emocionante”. 

Michael O. Bayere, oficial principal en CAS Assurance, también recomienda preguntar a un auditor potencial cómo maneja a los clientes de auditoría difíciles. Esta pregunta ayudará a dilucidar la personalidad del auditor y cómo podrían trabajar contigo para resolver los desafíos que surjan durante tu compromiso. 

9. Evaluar su reputación

Los clientes potenciales también deberían evaluar de cerca la reputación de los auditores que están considerando, según Jeffrey Filler, socio en Boulay. “Los factores a considerar incluyen cuánto tiempo ha estado en el negocio la firma y los resultados de las revisiones de pares del AICPA u otras evaluaciones de terceros”, dice. 

También puedes pedirle a un auditor testimonios de clientes anteriores o contactarlos directamente para ayudar a entender su reputación. 

“También recomiendo realizar una búsqueda rápida en la web para asegurarse de que la firma de auditoría no esté vinculada a nada que pueda causar preocupación, como fraude o graves violaciones de datos,” dice Ryan.

Preguntas para entrevistadores

Para ayudar a guiar sus entrevistas con auditores y firmas potenciales, descargue nuestra lista de preguntas recomendadas por auditores reales. Muchas de estas preguntas son las que escuchan en llamadas con sus propios prospectos y le ayudarán a tener una mejor idea de la experiencia, personalidad, reputación y más de un auditor.

Firmas de Auditoría Confiables

Para ayudarle a comenzar su búsqueda de un auditor adecuado para su negocio, hemos compilado algunos de los socios de auditoría preseleccionados dentro de la Red de Socios Confiables de Secureframe.

360 Advanced

360 Advanced proporciona orientación, servicios de consultoría y soluciones integradas personalizadas para satisfacer las necesidades de seguridad y cumplimiento de su negocio, ya sea que esté implementando un programa de privacidad y seguridad por primera vez o necesite una evaluación de terceros de los controles existentes.

Aprio

Aprio es una firma principal de CPA y asesoría empresarial que asesora a clientes y asociados sobre cómo navegar los requisitos de cumplimiento, aumentar el valor de su organización y lograr lo próximo.

Barr Advisory

Barr Advisory ayuda a los proveedores de tecnología y servicios en la nube a simplificar el camino hacia el cumplimiento de múltiples marcos, incluidos SOC 2, ISO 27001, HIPAA, HITRUST, PCI, FedRAMP y NIST 800-53.

Boulay

Boulay es una de las 100 principales firmas de CPA y asesoría con sede en Minneapolis, Minnesota, que proporciona servicios SOC 2 a clientes en todo Estados Unidos y en el ámbito mundial.

British Assessment Bureau

British Assessment Bureau ofrece una gama de certificaciones acreditadas por UKAS y asociadas a la industria, además de soluciones de software ISO para permitir a las empresas demostrar su compromiso con la excelencia.

CAS Assurance, LLC

Los auditores de CAS Assurance tienen un promedio de más de 15 años de experiencia relevante. El equipo aprovecha la experiencia, la tecnología y el proceso probado para llevar a cabo compromisos de auditoría, incluidos los de SOC 2 y SOC 2 + CCM, de una manera libre de estrés y que agrega valor.

Consilium Labs

Consilium Labs se asocia con organizaciones para simplificar el proceso de auditoría ISO 27001 y proporcionar los enfoques más innovadores y actualizados para el cumplimiento de la seguridad.

Control Logics

Desde 2008, el equipo de Control Logic ha realizado evaluaciones de seguridad para más de 200 empresas en todo el mundo, con servicios personalizados según las necesidades de cada cliente.

Daszkal Bolton

Daszkal Bolton es una firma líder en servicios contables y de asesoría que ha trabajado con organizaciones de salud, tecnología, biotecnología, construcción, bienes raíces, manufactura, distribución y negocios internacionales durante más de 20 años.

GRSee Consulting

GRSee Consulting is a private international consulting firm that provides PCI audits, preparation services for SOC 2 and ISO 27001, and other technical services including penetration testing.

Hancock Askew & Co, LLP

The highly-trained auditors at Hancock Askew each have 15+ years of experience. They offer customers high-quality SOC reports delivered within 45 days of the end of the examination period.

Insight Assurance

Auditors at Insight Assurance have an average of 10+ years of experience. With over 200 SOC 2 engagements completed, their experts are ready to assist with SOC 2 compliance.

Johanson Group

Specializing in SOC 1, SOC 2, SOC 3, HIPAA, and ISO/IEC 27001, Johanson Group deploys multidisciplinary teams comprised of licensed CPAs and information technology and security specialists to complete a comprehensive and thorough evaluation of controls related to the services you provide.

KLR

KLR is a top public accounting firm that provides assurance, tax, and business advisory services to private and publicly-held companies throughout the United States and abroad.

Linford & Company LLP

The experienced, responsive team at Linford & Co can help clients decide which type of audit they need, meet all reporting deadlines, and provide advice and recommendations to improve internal controls.

MJD Advisors

MJD Advisors is a boutique, tech-forward CPA firm that specializes in providing SOC 2 examinations for technology companies around the world.

Moss Adams

Moss Adams is a fully integrated professional services firm that helps hundreds of companies manage their compliance risk and complete SOC 1, SOC 2, SOC 3, and PCI DSS audits as well as HIPAA and HITRUST assessments.

Oread Risk

Oread Risks works with clients to achieve multiple compliance objectives, including SOC audits, HIPAA assessments, network vulnerability assessments, penetration testing, PCI consulting, ISO 27002 consulting, and more.

Prescient Assurance

Prescient Assurance is a multi-framework audit and pen testing firm that specializes in B2B SaaS companies and enterprise clients. They provide audit and security services to over 3000 companies globally for SOC 1, SOC 2, SOC 3, ISO 27001, ISO 27701, ISO 9001, PCI, HITRUST, CSA STAR, HIPAA, GDPR, NIST, Google CASA, FEDRAMP, and many other frameworks.

Sensiba San Filippo

Sensiba San Filippo (SSF) provides comprehensive tax, audit, and consulting services and combines a national footprint with deep expertise and relationships throughout Silicon Valley to serve clients in software, SaaS, Big Data, fintech, networking, hardware, energy, health care, and life sciences worldwide.

Sentry Assurance

Sentry Assurance is a licensed CPA firm that provides custom-tailored auditing services for SOC 1 and SOC 2. Its team of audit professionals has decades of combined experience across multiple Big 4 firms.

Zeroday

Zeroday provides a streamlined process for IT and compliance attestation services across a wide range of frameworks, including SOC, ISO, HIPAA, GDPR, and CCPA.

Find a trusted firm for your security audit

Secureframe trabaja con una red de socios de auditoría de confianza para garantizar que nuestros clientes tengan acceso directo a firmas de auditoría altamente respetadas. Te ayudaremos a encontrar un auditor experimentado que sea perfecto para tu negocio. Solicita una demostración para aprender más sobre las muchas formas en que Secureframe agiliza el proceso de cumplimiento, desde la preparación de la auditoría hasta el informe final.