Entrevista Con un Auditor de SOC 2: Manteniendo Su SOC 2

  • July 28, 2021

¿Ya tienes tu informe SOC 2 Tipo II? ¿Te preocupa mantener tu cumplimiento en la próxima auditoría SOC 2?

Obtener tu primer informe sin opinión calificada es solo el primer paso. Para obtener tu atestación SOC 2 a largo plazo y mantener protegidos los datos de tus clientes, necesitas ser proactivo.

A menos que implementes las mejores prácticas y evites los errores comunes, es fácil comprometer tus prácticas de seguridad con el tiempo.

Entrevistamos a K.C. Fike, Líder de Práctica de Análisis de Datos en The Cadence Group, para ayudar a las empresas a hacer precisamente eso. Con más de 10 años de experiencia renovando procesos de TI y manejo de datos en negocios, tiene mucho conocimiento para compartir.

En esta entrevista, aprenderás qué procesos establecer, errores a evitar y cómo asegurarte de mantener tu cumplimiento SOC a largo plazo.

¿Cuánto tiempo es válido un informe SOC 2?

Un informe SOC 2 es válido solo por el tiempo que se indica en el informe (esto puede ser 3 meses, 12 meses, incluso una semana). La gran mayoría de las empresas renuevan cada año.

Aunque el informe es válido por 12 meses, eso no significa que el período de evaluación para tu nuevo informe deba ser de 12 meses. Puedes realizar un informe para un período de tres o seis meses, pero recomendamos 12 meses como el estándar de oro.

Con un período de evaluación más corto, corres el riesgo de que algunos controles ni siquiera estén operando dentro del período de tres meses. No puedes probar la eficacia de los sistemas de seguridad si nunca se necesitan.

Elegir seis o 12 meses te da más margen para poner en funcionamiento controles anuales, revisión del desempeño de los empleados, y más. Una evaluación de 12 meses conduce a un informe más claro y, lo que es más importante, crea más confianza con clientes potenciales y existentes.

¿Por qué necesitas renovarlo cada 12 meses?

El informe SOC 2 es válido solo por un periodo de tiempo porque ayuda a garantizar que los controles se sigan y se implementen a largo plazo. Eso hace que sea mucho más fácil para los clientes confiar en ti con información y datos sensibles.

No puedes “establecer y olvidar” un programa de seguridad de datos. Necesitas entrenar constantemente a nuevos empleados y mantener tus procedimientos y controles con el tiempo, y estar al tanto de nuevos problemas y desafíos de infoseguridad que surgen en tu panorama.

La certificación SOC 2 es valorada por los clientes potenciales precisamente porque necesitas renovarla con frecuencia. A ellos no les importa cuán seguras eran tus sistemas y procesos hace cinco años. Quieren saber cuán robustos son hoy.

Dependiendo del número de cambios internos en el sistema, algunas empresas eligen renovar SOC 2 incluso con más frecuencia.

¿Por qué es tan importante mantener tus controles para tu SOC 2?

Hay muchas razones para invertir en mantener tu cumplimiento SOC 2.

Algunos de los beneficios más importantes de mantener el cumplimiento incluyen:

  • Relación con el cliente: construir confianza con tus clientes actuales. A los clientes les gusta saber que sus datos están seguros y se respetan. No quieren arriesgar perder clientes o enfrentar demandas debido a filtraciones u otros problemas.
  • Es como una prueba social B2B de alto nivel que puedes usar en tu sitio web y en otros materiales de marketing. Puedes probar que sus datos están protegidos contigo.
  • Los controles SOC 2 ayudan a mejorar tu programa de seguridad, sistemas de seguridad y otra infraestructura de confiabilidad.
  • Elimina la seguridad de la información como un posible bloqueador de ventas en tratos empresariales. A los clientes les importa cómo manejas sus datos sensibles.
  • Menor tiempo de inactividad y mejor manejo de posibles incidentes.
  • También ayuda a mantener la productividad de tu organización de servicios con procesos y controles claros. A largo plazo, estos minimizan los problemas sistémicos y mantienen a tus equipos funcionando a pleno rendimiento en todo momento.

¿Es el proceso de renovación del cumplimiento SOC 2 diferente del informe inicial?

Si estamos hablando de renovar un informe SOC 2 Tipo II, entonces sí, es prácticamente lo mismo que obtener tu primer informe.

El proceso de renovación es muy similar al de tu primer Tipo II. Hacemos un inicio con el cliente. Pedimos ver una muestra de evidencia de los últimos 12 meses, como la nueva población de empleados, cualquier cambio de software o sistema, y más.

Pero si está pasando de un informe de Tipo I a uno de Tipo II, las cosas son un poco diferentes. Con un informe de Tipo I, los auditores dan su opinión sobre una base "a partir de".

"A partir del 11 de junio de 2021, estos son los controles que sabemos están diseñados y en su lugar".

Con un Tipo II, es un período bajo revisión. Las empresas siempre hacen un informe SOC 2 Tipo II después de recibir su Tipo I.

Pasar de Tipo I a Tipo II técnicamente no es una renovación de su informe, es cuando prueba que su empresa realmente cumple con SOC 2. La mayoría de las empresas que se preocupan por la certificación SOC 2 prefieren los informes de Tipo II sobre los de Tipo I.

¿Cómo debería prepararse para la auditoría de renovación de SOC 2?

Si ha pasado exitosamente su informe de Tipo II, ya sabe qué hacer. Lo principal es asegurarse de que los controles se sigan en toda su empresa.

Eso incluye informar y capacitar a todos los nuevos empleados, contratistas e incluso socios comerciales. Debe mantenerse al día con todos los procedimientos que estableció y diseñó para obtener la certificación por primera vez.

Asegúrese de estar verificando sus procesos para ver que todo esté funcionando correctamente, actualizando continuamente el software y vigilando de cerca a los nuevos empleados.

Si desea una lista de pasos concretos, puede seguir nuestra lista de verificación de la auditoría SOC 2.

¿Cuáles son las mejores prácticas para mantener el cumplimiento con SOC 2 a largo plazo?

Si desea mantener su certificación SOC 2, aquí hay solo algunas de las prácticas clave que debe seguir:

  • Comprenda e internalice los principios de servicio de confianza de seguridad, disponibilidad, integridad de procesamiento, confidencialidad y privacidad, al menos aquellos para los que planea obtener la certificación.
  • Concéntrese en seguir todos los controles y procedimientos que crea. Solo diseñar un programa de seguridad no es suficiente; sus empleados deben seguirlo.
  • Capacite a todos los nuevos empleados y contratistas en sus procesos para manejar los datos de los clientes.
  • Organice verificaciones periódicas o análisis de brechas de sus controles y sistemas. No querrá ser sorprendido cuando el auditor venga para la auditoría in situ.
  • Contrate a alguien para manejar la seguridad de la información (infosec) y asegúrese de que todos los departamentos sigan sus controles y protocolos.

¿Cuáles son las formas comunes en que ha visto que las empresas se equivocan después de obtener el SOC 2?

Como auditores experimentados de SOC 2, nuestra empresa ha visto muchos negocios cometer errores a lo largo de los años.

Aquí hay algunos de los problemas más comunes que seguimos viendo:

  • Pensar que solo tienes que hacer esto una vez y no hacer un seguimiento adecuado con el tiempo. Esta mentalidad casi garantiza que fallará en su renovación.
  • No tener el compromiso de la dirección superior y no hacer de esto una prioridad en todos los niveles de la empresa. Un pequeño equipo de desarrolladores enfocados en la seguridad no le conseguirá la certificación Tipo II.
  • Simplemente no seguir los controles y procesos que diseñaron. La falta de comunicación entre equipos y departamentos es a menudo la causa raíz.
  • Perder el control de los procedimientos después de una adquisición o fusión. Capacitar a estos nuevos empleados y equipos debe ser una prioridad. La falta de prioridad en la seguridad de la información durante esta transición es una de las razones más comunes de falla en SOC 2.

Convertirse en una empresa conforme con SOC 2 es solo el primer paso: mantenerse como una es el verdadero desafío. Necesita mantener el enfoque en la estandarización y los procedimientos a través de cada cambio y desafío importante que enfrenta su empresa.

Es fácil dejar estas cosas en un segundo plano cuando enfrenta problemas o tiene oportunidades que parecen más importantes. Pero no quiere perder posibles negocios o clientes existentes porque maneja incorrectamente los datos.

¿Tiene algún consejo que quiera dejarle a un CIO, ejecutivo o gerente?

Claro. Además de seguir las mejores prácticas mencionadas anteriormente y evitar errores, aquí hay algunos consejos para ayudarle a mantener el cumplimiento:

  • Haga preguntas a sus auditores durante la evaluación de preparación y el informe de Tipo I. Aproveche su experiencia y conocimiento.
  • Sea transparente durante el proceso. No intente ocultar posibles problemas o dificultades; pida orientación sobre cómo resolver esos problemas.
  • Piense en cómo crecerá la organización, desde el número de empleados hasta los cambios de software, y pida asesoramiento sobre cómo escalar sus controles. A menudo es una buena idea contratar a un experto en seguridad de la información (infosec) que pueda capacitar a nuevos empleados, equipos y socios comerciales en sus procedimientos.
  • Dale a tu empresa suficiente tiempo para adaptarse. Si pasas de 'no tenemos controles' a 'ahora tenemos que seguir estos más de 40 controles', eso requerirá mucho esfuerzo: gestión del cambio, gestión de infraestructura, compromiso de las partes interesadas, lo que sea. Necesitas una pista larga para incorporar estas cosas. No puedes simplemente chasquear los dedos.

Un sistema robusto es la base de la seguridad de la información.

Si deseas mantener el cumplimiento de SOC 2 a largo plazo, necesitas un conjunto robusto de procedimientos y una pila tecnológica a prueba de hierro.

Si no estás seguro sobre la seguridad de las diversas aplicaciones y plataformas que usas, Secureframe puede ayudarte a obtener tranquilidad.

Con nuestras herramientas, puedes escanear cualquier problema dentro de tu ecosistema de nube, aplicaciones, proveedores y recursos humanos. Hace que mantener y demostrar tu cumplimiento de SOC 2 sea mucho más fácil.

Si deseas asegurarte de que tus sistemas estén a la altura de la tarea, solicita una demostración gratuita hoy mismo.