Prepararse para y completar una auditoría SOC 2 puede requerir cientos de horas de trabajo manual, pero no tiene por qué ser así.

En nuestro webinar Secureframe Expert Insights celebrado el martes, 31 de enero, el experto en cumplimiento de Secureframe Marc Rubbinaccio, CISSP, CISA fue acompañado por socios de auditoría de Insight Assurance. Marc, Felipe Saboya Gomez, CPA, CIS LA y Jesus Jimenez, CISA, CIS LA, CIS LI, QSA, CDPSE compartieron conocimientos, mejores prácticas y consejos para agilizar la preparación y el proceso de auditoría SOC 2.

Estamos recapitulando los puntos más importantes aquí. Para obtener todos sus conocimientos para simplificar el proceso de auditoría SOC 2, consulta la repetición del video a demanda.

Cómo prepararse para una auditoría SOC 2: Puntos clave

La plataforma de automatización de cumplimiento todo en uno de Secureframe y socios de auditoría de confianza como Insight Assurance han ayudado a miles de clientes a obtener y mantener el cumplimiento SOC 2 con rapidez y facilidad. A continuación, se presentan ocho consejos de nuestro experto en cumplimiento y socio de auditoría para estar listo para SOC 2 rápidamente.

1. Averigua si SOC 2 se aplica a tu organización.

SOC 2 podría aplicarse a tu organización si guardas, procesas o transmites cualquier tipo de datos de clientes. Si los datos de los clientes que manejas se consideran sensibles, tus clientes podrían solicitar un informe SOC 2 de tu organización antes de confiarte sus datos.

Hay situaciones en las que SOC 2 es una responsabilidad para tu organización incluso si no impactas directamente los datos del cliente. Si eres un proveedor de servicios, por ejemplo, podrías ser responsable de requisitos específicos de SOC 2 para respaldar la seguridad de tus clientes. Supón que alojas aplicaciones de clientes en una plataforma e infraestructura gestionadas. Sería tu responsabilidad asegurarte de que la plataforma y la infraestructura cumplan con los requisitos de SOC 2 para apoyar los esfuerzos de cumplimiento de tus clientes.

Si guardas, procesas o transmites datos de clientes o impactas en la seguridad de los datos de tus clientes como proveedor de servicios, SOC 2 se aplica a tu organización.

2. Elige entre un informe SOC 2 Tipo I o Tipo II.

Un informe SOC 2 certifica la efectividad operativa de los protocolos de seguridad de una organización y ayuda a establecer confianza entre los proveedores de servicios y sus clientes.

Hay dos tipos:

• Informes de Tipo I se centran en la descripción de la gerencia del sistema de la organización de servicios y la idoneidad del diseño de los controles en un momento dado.
• Informes de Tipo II se centran en la descripción de la gerencia del sistema de la organización de servicios y la idoneidad del diseño y la efectividad operativa de los controles durante un período de tiempo (típicamente de 3 a 12 meses).

Si necesita demostrar cumplimiento lo antes posible porque un prospecto lo requiere para cerrar el trato, un informe Tipo I puede ser una gran solución a corto plazo, especialmente si también está trabajando en un Informe Tipo II.

El objetivo de la mayoría de las organizaciones es eventualmente obtener un informe de auditoría Tipo II que cubra un período de revisión anual de 12 meses. Este tipo de informe SOC requiere más tiempo y recursos, pero también es más valioso para los clientes. Las empresas grandes o ciertas industrias como las finanzas a menudo prefieren trabajar con empresas que tienen un informe SOC 2 Tipo II.

3. Determinar qué Criterios de Servicio de Confianza incluir en su auditoría.

SOC 2 tiene múltiples Criterios de Servicio de Confianza que puede incluir en su auditoría. La seguridad es obligatoria, pero también existe la disponibilidad, la confidencialidad, la integridad del procesamiento y la privacidad.

La mejor manera de elegir es en función de su entorno y de las solicitudes de terceros, incluidos sus clientes.

• Integridad del procesamiento: Supongamos que tiene una solución de software que procesa datos y el resultado final para su cliente es algún tipo de datos procesados en los que necesitan confiar. Tomemos como ejemplo a Secureframe. Nuestras pruebas realizan comparaciones desde datos de configuración que recibimos y las pruebas que están integradas en nuestra plataforma para finalmente dar un aprobado o un fallido. Para ganarnos la confianza de socios de auditoría como Insight Assurance, obtuvimos una auditoría SOC 2 que incluyó los criterios de integridad del procesamiento.
• Confidencialidad: Este Criterio de Servicio de Confianza es importante si sus datos son particularmente sensibles para sus clientes, como información de salud, datos de tarjetas de crédito o números de seguridad social.
• Disponibilidad: Supongamos que tiene un software para dispositivos médicos y necesita estar disponible al 100% en todo momento para evitar afectar la salud o el tratamiento de sus clientes o algo así. En ese caso, recomendaría considerar la disponibilidad.
• Privacidad: Considere agregar privacidad en su SOC 2 si sus clientes o proveedores de servicios están preguntando sobre la privacidad de sus datos pero no tienen ningún requisito específico de marco. Si le están pidiendo que cumpla con GDPR o CCPA, entonces obtener una auditoría SOC 2 con el criterio de privacidad sigue siendo una excelente manera de establecer una base y prepararse para cumplir con esas leyes de privacidad de datos más complejas.

4. Identifica las tareas operativas requeridas para prepararse para una auditoría SOC 2.

Hay dos categorías principales de controles que deben cumplirse para SOC 2: tareas operativas y técnicas.

Las tareas operativas consisten en procesos, procedimientos y revisiones necesarios para mantener el cumplimiento durante todo el año. Estos incluyen:

Incorporación y capacitación de empleados

Los requisitos de SOC 2 relacionados con la incorporación de empleados consisten en implementar un proceso para realizar verificaciones de antecedentes para posibles contrataciones, establecer un programa de concientización sobre seguridad que incluya todos los módulos requeridos y exigir a los empleados que lean y acepten políticas de seguridad de la información, políticas de uso aceptable y un código de conducta.

Todas las tareas operativas deben relacionarse con una política establecida, incluyendo los plazos para realizar estas actividades, como la exigencia de completar la capacitación en concientización sobre seguridad dentro de los 30 días de la contratación.

Gestión de cambios

El acceso para estos nuevos empleados también debe otorgarse de manera conforme. Eso significa utilizar una matriz de roles y responsabilidades para emitir acceso a los sistemas, hacer que un administrador o gerente revise y apruebe el acceso otorgado y documentar el cambio para fines de auditoría.

De hecho, todos los cambios deben pasar por un proceso similar que necesita ser documentado y reflejado en una política. Los cambios relacionados con la infraestructura y el código deben ser revisados y aprobados por una persona diferente al autor, ser debidamente probados e incluir procedimientos de reversión en caso de que el cambio necesite ser revertido.

Políticas y procedimientos

Deben implementarse políticas y procedimientos para todos los requisitos de seguridad operativa y técnica que especifiquen cómo se están cumpliendo los controles en todo el entorno. Ejemplos de políticas que deben mantenerse incluyen:

• gestión de vulnerabilidades
• gestión de riesgos
• protección de datos
• seguridad de la red
• seguridad en el desarrollo de software

Estas políticas deben incluir una redacción relacionada con todos los requisitos de SOC 2, incluyendo quién es el propietario del control, con qué frecuencia se realiza el control, qué herramientas se utilizan y el proceso para completar los controles.

Tareas recurrentes

Hay muchas tareas que requieren recurrentes regularidades durante la ventana de auditoría. Hacer un seguimiento de estas tareas para asegurarse de que se completen es crítico para el éxito de su auditoría y su capacidad para mantener el cumplimiento durante todo el año.

Ejemplos de estas tareas podrían incluir revisiones trimestrales de acceso lógico, escaneo trimestral de vulnerabilidades, ejercicio anual de simulacro de respuesta a incidentes, prueba de penetración anual y evaluaciones de riesgos anuales. Es posible que algunos auditores requieran frecuencias diferentes para estas tareas, por lo que es importante usar una herramienta para un seguimiento y recordatorios fáciles.

Gestión de riesgos

Tener un programa adecuado de gestión de riesgos es necesario para SOC 2. Eso incluye realizar una evaluación de riesgos contra todos los posibles riesgos operativos y técnicos, evaluar y calificar los riesgos en documentación mantenida y luego actualizar los riesgos con una línea de tiempo de mitigación, incluido un proceso para reevaluar los riesgos nuevamente en una fecha futura.

5. Identifica las tareas técnicas requeridas para prepararse para una auditoría SOC 2.

Las tareas técnicas son la segunda categoría principal de requisitos y tipos de control. Las tareas técnicas consisten en implementar las configuraciones de seguridad reales relacionadas con sus datos sensibles de clientes, garantizar que los sistemas relacionados estén seguros y establecer controles en torno a la supervisión y el descubrimiento de incidentes de seguridad. Estos incluyen:

Gestión de vulnerabilidades

Se deben identificar y remediar las vulnerabilidades de cualquier plataforma o aplicación gestionada dentro de su entorno. Un enfoque de múltiples capas para el descubrimiento de vulnerabilidades que incluya el monitoreo de fuentes de seguridad como US-CERT y CISA.gov para vulnerabilidades que podrían afectar la tecnología y las aplicaciones que utiliza como organización es ideal.

Otro aspecto importante de la gestión de vulnerabilidades es establecer un proceso de escaneo de vulnerabilidades. Para la infraestructura en la nube, esto podría ser utilizando un servicio en la nube como AWS Inspector o Azure Defender para la nube. Para las aplicaciones, esto sería utilizar SAST y DAST. SAST es una prueba de análisis de seguridad contra el código fuente durante el ciclo de vida del desarrollo de software y DAST sería un escaneo de vulnerabilidades externo contra su propia aplicación. Utilizar una combinación de SAST y DAST es cómo se establece un fuerte programa de escaneo de vulnerabilidades.

Por último, pero no menos importante, debería realizar pruebas de penetración anualmente y cuando ocurran cambios significativos. Usar un socio externo para realizar una prueba de penetración lo ayudará a descubrir vulnerabilidades y debilidades que van más allá de las capacidades de un escáner de vulnerabilidades.

Los clientes de Secureframe pueden trabajar con cualquiera de los evaluadores de penetración en nuestro ecosistema de socios de confianza.

Cifrado

Implementar un cifrado fuerte para datos sensibles en reposo y cuando se transfieren por redes públicas es requerido para SOC 2 y crítico para la seguridad de los datos de sus clientes.

Registro y monitoreo

El registro y monitoreo de aplicaciones, plataformas y datos es crítico para asegurar que los procesos y configuraciones establecidos están funcionando como se pretende. Habilitar el registro dentro del entorno y establecer métricas de monitoreo de seguridad para eventos como múltiples intentos fallidos de acceso lógico, cambios en sistemas de archivos críticos y acciones realizadas por administradores ayudará a su equipo a descubrir incidentes de seguridad y configuraciones erróneas dentro de su entorno rápidamente.

Configuración segura de servidores, estaciones de trabajo y redes

Asegurar servidores, estaciones de trabajo y redes comienza con garantizar que todos los recursos dentro de su entorno estén configurados según las bases de seguridad estándar del sector y del proveedor, incluyendo los requisitos de configuración establecidos por la AICPA. Estos incluyen cifrado de disco duro, software antivirus, políticas de contraseñas y otros requisitos de seguridad.

6. Utilice una plataforma de automatización para agilizar el proceso de preparación.

Si se está preparando para una auditoría SOC 2 por primera vez, puede tener preguntas como, ¿cómo determino exactamente qué se requiere? Una vez que determino los requisitos, ¿cómo organizo estas tareas y evidencia? ¿Cómo implemento los controles necesarios para cumplir con estos requisitos?

Aquí es donde entra Secureframe.

Usando nuestra plataforma podrá ver todos los requisitos para el marco SOC 2, que se dividen en pruebas y controles. Puede revisar estos controles y determinar quién en su equipo necesita resolver la prueba fallida y asignar a esa persona. También puede programar una ventana de tolerancia para esa prueba, de modo que cuando las tareas necesiten repetirse, se enviarán notificaciones automáticas al propietario de la prueba. Esto lo ayudará a gestionar todos los requisitos del marco.

En lugar de proporcionar capturas de pantalla de configuraciones a los auditores, puede dejar que las integraciones de Secureframe hagan el trabajo por usted. Integre su proveedor de servicios en la nube, herramienta de control de versiones y otras tecnologías para extraer automáticamente datos de configuración que Secureframe comparará con los requisitos del marco. Esta comparación resultará en una prueba aprobada o reprobada con orientación de remediación proporcionada directamente en la plataforma Secureframe.

Secureframe también ofrece capacitación en concientización sobre seguridad integrada en la plataforma. Esta capacitación cubre los requisitos de SOC 2 para que no tenga que evaluar ni usar otro proveedor externo. Secureframe también ofrece capacitación en seguridad para otros marcos, como HIPAA y PCI DSS.

7. Entender qué está involucrado en el proceso de auditoría SOC 2.

Hay tres etapas principales durante el proceso de auditoría. A continuación se especifica el proceso de Insight Assurance. El proceso de cada auditor variará ligeramente, pero los pasos generales son los mismos.

Etapa 1: Planificación

En esta etapa, la firma de auditoría realiza un lanzamiento. En Insight Assurance, el objetivo es triple. Primero, quieren entender el alcance de la auditoría. Esto garantiza que solo se incluyan los sistemas, personas y datos relevantes en la auditoría. Segundo, quieren identificar los datos puntuales si están realizando una auditoría SOC 2 Tipo I o el período de examen si están realizando una Tipo II. Tercero, quieren discutir el cronograma deseado para la auditoría y establecer expectativas.

Una vez que entienden el alcance, el cronograma y el punto de contacto, comienzan las entrevistas virtuales y las discusiones de control. Esto también se conoce como walkthroughs. Aquí es cuando hacen un análisis profundo de su entorno, políticas y procedimientos.

Etapa 2: Trabajo de campo

Durante esta etapa, la firma llevará a cabo la recolección de evidencias y pruebas. En Insight Assurance, cuentan con un personal o un auditor senior que realiza una revisión general para asegurarse de que no haya problemas con sus políticas o integraciones. Una vez que se completa esa revisión general, un socio o miembro de la gestión realiza una revisión detallada. Ellos revisan todas las evidencias y pruebas completadas para tratar de identificar cualquier problema o posibles excepciones que puedan requerir evidencias adicionales.

Etapa 3: Informe

En esta última etapa, la firma elabora el informe con una opinión, la afirmación de la gestión, la descripción del sistema y la prueba de controles para asegurar que cumpla con todos los requisitos de SOC 2. En Insight Assurance, una vez que el informe está completo, se somete a un control de calidad interno una vez más y luego se envía al cliente. El cliente tiene la oportunidad de leer todas las secciones del informe y luego hacer cualquier comentario o sugerencia en la Sección 3.

Una vez que el cliente proporciona su aprobación, la firma emite el informe SOC 2.

8. Use una plataforma de automatización que también agilice la auditoría real.

Los auditores tienen acceso a una vista de informe, que muestra los requisitos del marco con los que están familiarizados. La vista de informe permite al auditor revisar las evidencias mapeadas a cada requisito, que luego pueden documentar fácilmente en el borrador del informe para el cliente.

Secureframe ofrece a los auditores la capacidad de exportar evidencias directamente desde cada prueba o en bloque, permitiendo a los auditores la capacidad de revisar las evidencias fuera de la plataforma o descargar para un fácil archivado.

La interfaz de usuario de Secureframe simplemente muestra y permite filtrar los requisitos masivos de cumplimiento, como todo el personal en alcance y las configuraciones de sus estaciones de trabajo, aceptaciones de políticas y la finalización de la formación en concienciación sobre la seguridad.

Obtenga y mantenga el cumplimiento más rápido con Secureframe.

Ahorrar tiempo durante el proceso de preparación y auditoría resulta en un proceso de cumplimiento de SOC 2 mucho más rápido y eficiente. Si está listo para comenzar, programa una demo de Secureframe.