Entrevista con un Auditor SOC 2: ¿Qué Busca un Auditor Durante la Auditoría?

  • July 27, 2021

Si eres una empresa de servicios, convertirte en compatible con SOC 2 es un paso importante.

Con el creciente número de amenazas cibernéticas, los clientes se sienten más cómodos con una empresa que pasa por este tipo de examen.

Pero si estás leyendo esta guía, lo más probable es que ya lo sepas.

Ahora la pregunta es: ¿Qué puedes hacer para prepararte para una auditoría SOC 2?

Para ayudarte, entrevistamos al auditor K.C. Fikes, Líder de Práctica de Análisis de Datos en The Cadence Group.

Él respondió algunas de nuestras preguntas más frecuentes.

Pero comencemos con nuestra propia introducción rápida sobre las auditorías SOC 2.

¿Qué es una auditoría SOC 2?

Las auditorías SOC 2 analizan las operaciones y controles de las organizaciones de servicios en términos de los “principios de confianza” delineados por el AICPA (Instituto Americano de Contadores Públicos Certificados), que incluyen:

  • Seguridad (a menudo denominada “criterios comunes”): Controles que tienes para proteger datos confidenciales del acceso no autorizado.
  • Disponibilidad: Controles que te ayudan a asegurarte de que tus servicios estén disponibles para clientes, empleados y clientes cuando los necesiten.
  • Integridad del procesamiento: Estándares que tienes para tu sistema de procesamiento (es decir, ¿cómo te aseguras de que tus sistemas proporcionen datos oportunos y precisos a los clientes?)
  • Confidencialidad: Controles y estándares que te ayudan a gestionar, clasificar, acceder y proteger los datos confidenciales de los clientes.
  • Privacidad: Controles que utilizas para mantener la información sensible de tus clientes privada. 

Aquí tienes un diagrama rápido de cómo encaja todo:

Todos estos principios trabajando juntos te ayudan a proteger de manera efectiva los datos de los clientes. El único principio requerido para convertirse en compatible con SOC 2 es el principio de “Seguridad”, mejor conocido como “criterios comunes”.

Dicho esto, la mejor manera de entender las auditorías SOC 2 es “entrar en la mente” de un auditor real.

Así que le preguntamos a uno.

¿Qué buscas cuando examinas una organización? 

“Suponiendo que eres tipo II, llegaremos un par de semanas antes de que finalice el período de revisión. Haremos un arranque y hablaremos con los actores clave y solicitaremos poblaciones (por ejemplo, instancias de algún tipo de función tecnológica en operación, como un cambio de software o registros de software de monitoreo de seguridad).

“De las poblaciones, muestreamos algunas de ellas para ver si el control estaba funcionando. Por ejemplo, podríamos muestrear 10 de los 100 cambios de software durante el período de revisión y ver si fueron revisados por compañeros.

“Luego, probaremos cada muestra contra cada control.

“Después de esta evaluación, si todo salió bien, comenzaremos a redactar el informe.”

¿Pero qué sucede si uno de tus controles no está funcionando correctamente?

“Si muestreamos algo y no cumplimos con el atributo de un control, vamos a la firma y vemos qué sucedió. Le decimos al cliente que nos falta algo. ¿Hay alguna evidencia para que esta muestra cumpla con los controles? Luego, veremos la muestra que no pasó. También podríamos expandir las muestras para analizar si era solo un caso atípico o ver si hay un problema más sistémico.

“Si era un caso atípico, anotamos una excepción. Si no lo era, podríamos decir que fue una falla del control. Nuestros informes señalarían estas excepciones y fallas.”

Para obtener una explicación más detallada de las auditorías SOC 2, te sugerimos que leas nuestra guía completa de SOC 2.

¿Cuánto tiempo toma una auditoría?

Las auditorías SOC 2 se pueden dividir en dos tipos principales: Tipo I y Tipo II.

La duración de tu auditoría dependerá del tipo de informe que estés buscando.

Aquí está el alcance promedio para cada informe proporcionado por K.C. Fike:

  • Tipo I: Aproximadamente un mes y medio.
  • Tipo II: Un par de semanas más. Desde el inicio hasta la entrega del informe, son aproximadamente dos meses.”

Si esta es la primera vez que vas a pasar por una evaluación SOC 2, te sugerimos que comiences con un informe SOC 2 Tipo I, ya que son auditorías más simples que pueden ayudarte a prepararte para un informe Tipo II.

¿Cuáles son las diferencias entre los informes de Tipo I y Tipo II en una auditoría SOC 2?

La principal diferencia entre SOC 2 Tipo I y SOC 2 Tipo II radica en la duración de cada uno.

Los informes SOC 2 Tipo I analizan el desempeño de tus controles en un solo punto en el tiempo (por ejemplo, informe SOC 2 para el 15 de mayo de 2021).

Los informes SOC 2 Tipo II analizan el desempeño de tus controles durante un período más largo (por ejemplo, informe SOC 2 del 15 de mayo de 2021 al 15 de julio de 2021).

Fikes también menciona otras diferencias cruciales entre cada tipo de informe, desglosándolas pieza por pieza.

Según Fikes, estos informes consisten en lo siguiente:

Tipo I

  • Opinión del auditor
  • Opinión del cliente
  • Narrativa
  • Mapeo de los controles a TSC

Tipo II

  • Opinión del auditor
  • Opinión del cliente
  • Narrativa
  • Mapeo de los controles a TSC
  • Respuesta de la gerencia

Nuestra guía SOC 1 vs. SOC 2 proporciona una explicación más detallada de todos los elementos involucrados en los diferentes tipos de informes. Es una excelente manera de profundizar en tu comprensión de este tema.

¿Cuáles son los controles específicos que las empresas suelen tener dificultades para pasar?

Comprender las pautas generales para cumplir con SOC 2 es importante, pero ¿qué hay de los desafíos más comunes?

Fikes sugiere que prestes especial atención a los siguientes controles, ya que las organizaciones a menudo tienen dificultades con ellos:

  • Controles no habituales: “Esos controles que no operan con tanta frecuencia como otros porque esos se olvidan (por ejemplo, olvidarse de hacer evaluaciones de riesgos anuales o revisiones anuales).”
  • Controles poco claros: “Controles que no tienen políticas o procedimientos claramente definidos (por ejemplo, obtener muchos datos de una herramienta de registro pero no saber cómo responder adecuadamente).”

“Es importante tener una gestión organizacional muy clara sobre cómo lidiar con los controles.”

¿Cuáles son las principales señales de alerta que buscas durante una auditoría?

Aquí es donde se pone interesante.

Como dice Mark Grey: “Un equipo es tan fuerte como sus personas más débiles.”

De la misma manera, tu cumplimiento con SOC 2 dependerá no de tus mejores controles, sino de tus más débiles.

La mejor manera de prepararse para un examen SOC 2 es analizando tus controles e identificando cuáles son los menos eficientes. Ahí es donde debes poner la mayor parte de tu atención.

Para ayudarte, Fikes describió algunas señales de alerta principales de las que debes tener cuidado:

  • Responsabilidades: “Sin propiedad del control (por ejemplo, los propietarios del control no están seguros de cuáles son sus responsabilidades).”
  • Alcance: “Sin alcance definido (por ejemplo, ¿qué aplicaciones/infrastructura necesitas para una evaluación SOC 2?).”
  • Evaluación de preparación: “No se realizó un proyecto de preparación.”
  • Falta de preparación: “Los controles dejan de operar.”
  • Inconsistencias: “Cambian los procesos/la tecnología pero los controles no coinciden/no cumplen.”

Al prestar atención a estos elementos, estarás mejor preparado para tu auditoría SOC 2.

Además, es especialmente importante realizar una evaluación de preparación antes de tu examen. De esta manera, podrás detectar posibles problemas con tus controles y solucionarlos antes de que el auditor venga a analizar tu empresa.

La falta de preparación es una de las principales razones por las cuales las organizaciones no pasan una auditoría SOC 2.

¿Tiene algunas palabras finales para las empresas que se preparan para una auditoría SOC 2?

En este punto, ya entiende lo básico para cumplir con SOC 2.

Para ayudarlo a estar más preparado, le pedimos a Fikes algunos consejos adicionales a considerar.

Esto es lo que dijo:

  • "Tenga una idea clara de cómo gestiona el proceso de cumplimiento."
  • "Defina un responsable o persona a cargo de gestionar el cumplimiento a gran escala."
  • "Tenga un presupuesto para hacer de la seguridad una prioridad para recursos, herramientas y personal."
  • "Asegúrese de que haya un verdadero compromiso de la alta dirección desde la cima."

El último es especialmente crucial.

Si la gestión no apoya realmente su cumplimiento de seguridad, experimentará muchos problemas durante todo el proceso.

Una evaluación de SOC 2 debe estar completamente alineada con los objetivos y metas del negocio.

Le sugerimos que programe una reunión con su equipo de gestión para discutir todos los beneficios que conlleva una evaluación de SOC 2 y asegurarse de que están totalmente a bordo con el proceso.

¿Está listo para el proceso de atestación de SOC 2?

Las evaluaciones SOC 2 ayudan a las organizaciones de servicios a asegurar que tienen los mejores controles para proteger los datos confidenciales de un cliente.

Al cumplir con SOC 2, puede proteger uno de sus activos más valiosos: los datos.

Esperamos que las respuestas proporcionadas hoy puedan ayudarlo a estar mejor preparado para su evaluación y comenzar con el pie derecho.

Y, si necesita una orientación más completa para su cumplimiento de seguridad, Secureframe podría ayudarlo. Para ver por usted mismo, lea nuestra página de descripción del producto para obtener más información sobre nuestro proceso.