Si te estás preparando para tu primera auditoría SOC 2, el proceso puede ser intimidante. Quieres tener todo en orden antes de que tu auditor comience a trabajar en tu informe, pero asegurarte de que cada política y documento esté en su lugar puede ser estresante.

Para ayudar a las empresas a prepararse para una auditoría exitosa, entrevistamos al experimentado auditor SOC 2, Ryan Johanson, propietario de Johanson Group LLP. Johanson compartió sus ideas sobre las concepciones erróneas comunes que tienen los nuevos en SOC 2 sobre el proceso de auditoría, así como sus mejores consejos para una auditoría exitosa.

¿Qué distingue a Johanson Group?

Nos enorgullecemos de nuestra comunicación. Cada cliente sabe lo importantes que son: ofrecemos fechas de inicio de auditoría flexibles, llamadas de inicio y comunicaciones de seguimiento. Nos aseguramos de que nuestros clientes comprendan exactamente lo que se necesita para que todo esté en su lugar cuando comience la auditoría.

También estamos dedicados a un proceso eficiente. Encontramos que Secureframe hace un trabajo increíble preparando a los clientes durante la verificación previa a la auditoría, por lo que cuando entramos tal vez haya 1-2 preguntas adicionales que su equipo de soporte al cliente puede responder sin que los clientes siquiera tengan que intervenir. Típicamente pasan 4-6 semanas desde que nos dicen que están listos para la auditoría hasta el informe finalizado.

¿Puedes guiarnos por el proceso de auditoría SOC 2 para Johanson Group?

Una vez que un cliente pasa su verificación previa a la auditoría en Secureframe, abrimos su instancia de Secureframe, recopilamos sus políticas, procedimientos y evidencia, lo añadimos a nuestro software de auditoría y comenzamos la auditoría. Puede que tengamos algunas preguntas adicionales o solicitudes de evidencia que enviamos al cliente o resolvemos con su soporte al cliente de Secureframe.

Luego, enviaremos un borrador del informe para que el cliente lo revise, junto con las cartas de representación de la gerencia. Luego, emitiremos el informe final. Los últimos pasos ocurren bastante rápido, típicamente dentro de un día hábil.

¿Cuáles son los errores y concepciones erróneas más comunes que ves en las empresas durante el proceso de auditoría?

El mayor error que vemos es no tomar la auditoría en serio o tratar de recortar esquinas. Simplemente, no hay esquinas que recortar. Todo es importante, por lo que necesitas encontrar la manera de hacer que los requisitos de SOC 2 se adapten a la forma en que tu negocio está funcionando.

A menudo vemos clientes que intentan evitar poner todas las políticas en su lugar, o quieren omitir el escaneo de vulnerabilidades o las verificaciones de antecedentes. Tienes que hacer el trabajo para asegurarte de que eres seguro.

La otra concepción errónea común es que los auditores están ahí para encontrar excepciones o asegurarse de que falles. ¡Nada podría estar más lejos de la verdad! Estamos aquí para ayudarte a través del proceso SOC 2 y verte tener éxito. Por supuesto, haremos una auditoría exhaustiva y nos aseguraremos de que cumplas, pero no estamos aquí para hacerte tropezar.

¿Qué consejo tienes para ayudar a las empresas a tener éxito trabajando con un auditor?

La comunicación es muy importante. Cada empresa funciona de manera diferente, y no todos los controles o políticas de plantilla pueden aplicarse a una empresa, especialmente a las pequeñas empresas. Con una empresa de dos personas, por ejemplo, el proceso tradicional de revisión de código no es muy aplicable. Entonces necesitas idear una manera diferente de asegurarte de que el código se revise adecuadamente antes de ser lanzado a producción.

En casos como estos, asegúrate de hablar con tu auditor con anticipación para verificar que se sienta cómodo con el cambio de una política. Cuando comience la auditoría, no estarás atrapado con una política que no cubra efectivamente los principios de SOC 2.

Mi otro consejo principal es empezar temprano. El proceso de cumplimiento de SOC 2 lleva más tiempo del que piensas, incluso para equipos pequeños. Lleva tiempo lograr que toda tu empresa se involucre, preparar adecuadamente las políticas y pruebas, y luego hay un período mínimo de auditoría de tres meses para la mayoría de las firmas de auditoría, incluido Johanson Group. Necesitas incorporar esa ventana de auditoría en tu cronograma de SOC 2.

¿Listo para automatizar tu SOC 2?

Ahora que tienes una mejor comprensión de lo que buscan los auditores de SOC 2, podrás estar mejor preparado y afrontar tu auditoría con confianza.

Nuestra plataforma de automatización del cumplimiento facilita y acelera el logro del cumplimiento de SOC 2. Ayudamos a organizaciones de todos los tamaños a escribir políticas, capacitar a su personal, recopilar pruebas y monitorear su postura de seguridad. Solicita una demostración para ver cómo Secureframe puede ayudarte a estar listo para la auditoría de SOC 2 en semanas, no meses.