Entrevista con un Auditor SOC 2: ¿Por qué un Auditor Calificaría Su Opinión en un Informe SOC 2?
¿Preparándote para tu primera auditoría SOC 2 y preocupado de que no vas a pasar? ¿Te preguntas qué cosas específicas impiden que las empresas sean aprobadas?
Para ayudarte a descubrir eso, entrevistamos a K.C. Fike, Líder de Práctica de Análisis de Datos en The Cadence Group, con más de una década de experiencia en la renovación de procesos de TI y manejo de datos dentro de las empresas.
Esta entrevista cubre qué es un informe SOC 2 y cómo es diferente de SOC 1, las principales razones por las que los auditores no te darán el informe y cómo puedes evitar esos problemas.
Él también desglosa cómo interpretar los resultados del informe SOC 2 cuando los recibas (ya que no solo escriben aprobado o no aprobado).
¿Cuál es la diferencia entre un informe SOC 2 Tipo 1 y Tipo 2?
SOC 2 Tipo 1: El diseño inicial de los controles
Un informe de Tipo 1 es una evaluación del diseño de tus controles en un punto en el tiempo. Pasaremos por los controles, nos aseguraremos de que tengan sentido para el entorno y veremos un ejemplo del control para asegurarnos de que está diseñado de manera efectiva. Por ejemplo, si el enfoque está en el manejo seguro de datos, asegurarnos de que los ajustes de contraseña como el conteo de caracteres estén realmente implementados, que se utilice la autenticación de dos factores en toda la empresa y más.
Quién tiene acceso a qué datos también es importante, por lo que establecer una jerarquía utilizando controles de acceso de usuario es otro ejemplo de un control de seguridad de datos.
SOC 2 Tipo 2: operación continua de los controles
Un informe de Tipo 2 examina el diseño de los controles para ver si funcionan de manera efectiva durante 6 o 12 meses. Así que es esencialmente una prueba de los controles que estableciste para el informe de Tipo 1.
Es entonces cuando intervenimos y pedimos a una empresa que nos muestre el proceso real en acción. Eso incluye a cualquier nuevo empleado en los últimos 12 meses, y haremos una prueba para ver si fueron incorporados correctamente. Podríamos solicitar ver los ajustes de contraseña, autenticación de dos factores y otras medidas de seguridad, registros de acceso, informes de tiempo de actividad y más.
Hay algunos matices en el tipo de informe. Por ejemplo, en Tipo 1, solo nos enfocamos en listar los controles. Pero en Tipo 2, también mostraremos una tabla de las pruebas que realizamos para asegurarnos de que estos controles fueron efectivos/inefectivos y los procedimientos de prueba.
Para obtener más información, puedes leer nuestra guía detallada sobre SOC 2.
¿Cómo interpretas los resultados del informe SOC 2?
En un informe SOC 2, los resultados caen en una de cuatro categorías.
- Opinión sin calificar: No hay inexactitudes materiales o fallas en los sistemas. Este es tu objetivo.
- Opinión calificada: Hay errores materiales en las descripciones de los controles del sistema, pero están limitados a áreas específicas.
- Opinión adversa: Hay suficiente evidencia para demostrar inexactitudes materiales en la descripción de tus controles y debilidades en el diseño y efectividad operativa.
- Descargo de responsabilidad: No hay forma de obtener suficiente evidencia para establecer una opinión informada.
Puede sonar contradictorio, pero el mejor resultado para el informe y lo que quieres para tu negocio es una “opinión sin calificar”.
En este contexto, no indica una falta de información, sino que tu implementación de los controles y medidas de seguridad funcionan exactamente como se describe en el informe SOC 2 Tipo 1 inicial.
Las opiniones adversas son bastante raras, ya que básicamente concluyen que hay problemas importantes con todo el diseño de tus medidas de seguridad. Si recibes una, deberías comenzar de nuevo desde cero, preferiblemente con un consultor experimentado.
Si deseas cumplir con SOC 2 para tu organización de servicios, un protocolo de control interno robusto es crucial.
¿Cuáles son las principales razones por las que un auditor no daría un informe SOC 2 no calificado?
Si pagas por un informe, siempre vas a recibir uno, pero las opiniones decidirán si puedes o no afirmar que cumples con SOC 2. Solo obtener un informe no significa automáticamente que se aprueba la integridad del procesamiento de tus datos.
Necesitas un informe SOC 2 con una opinión no calificada para eso.
Lo que me lleva a entregar una opinión calificada, que indica problemas con el proceso en ciertas áreas, es una falla de los controles. Un ejemplo común es la falla del personal nuevo en seguir los protocolos originales establecidos en el diseño de los controles.
Una organización de servicios en rápido crecimiento o una empresa que ha pasado por una adquisición o fusión suele estar en un riesgo mucho mayor de este problema.
A continuación, algunos ejemplos de lo que afecta negativamente la opinión del auditor:
- Aplicación inconsistente de controles entre los empleados (incluso los recién contratados)
- Aplicación inconsistente entre proyectos o entregables
- Medidas de seguridad insuficientes en el diseño original de los controles
- Empleados que ignoran el protocolo
La razón detrás de estos problemas está a menudo vinculada a:
- Mala integración
- Falta de comunicación entre los equipos
- No hay estándares claramente definidos en toda la empresa
- Falta de participación de los principales interesados
- No hay monitoreo de control interno
- Cambio de herramientas o procesos de software
- Inconsistencias en toda la pila tecnológica
Los informes SOC y el proceso de auditoría se enfocan en la consistencia en toda su organización.
Los requisitos de SOC 2 incluyen gestión de riesgos, protocolos de comunicación, diseño y monitoreo de controles, entre otros.
Por supuesto, durante un período de prueba de 12 meses, puede haber algunas excepciones sin que esto signifique que automáticamente falla. La excepción para el control no significa que no obtuviste un informe, sino que lo marcamos como una excepción.
Por ejemplo, digamos que 2 de 25 cambios de software no fueron revisados por pares antes de entrar en producción. Destacaríamos estos problemas como excepciones y daríamos a la administración la oportunidad de remediar los problemas.
Una larga lista de excepciones puede llevar a una falla de sus controles de seguridad. Cada paso del proceso es crucial para manejar de manera segura los datos internos y de los clientes.
Solo emito una opinión adversa cuando el entorno de control no existe, y hay fallas en todo el proceso. Por ejemplo, si todos en la empresa pueden acceder a datos sensibles de los clientes y no hay salvaguardas como la autenticación de dos factores.
¿Cómo evitas caer en estos errores comunes?
Para asegurarte de que todos los empleados sigan el protocolo, debes hacer que sea parte de la cultura de tu empresa. Asegúrate de que todos los empleados conozcan sus responsabilidades dentro de la organización y los procesos, incluso los nuevos.
Realiza sesiones de capacitación en todos los departamentos y crea un estándar único para que todos los empleados relevantes lo sigan.
A medida que la organización crece, debes incorporar los controles y procesos en tu integración y capacitación.
Más allá de esto, debes contactar al auditor y hacer preguntas. Los auditores intentan ser transparentes. Hazles saber si estás pensando en algo como migrar de GCP (Google Cloud Platform) a AWS (Amazon Web Services) y cómo eso impactaría su informe SOC.
Obtener tu certificación SOC 2 se trata de minimizar errores y excepciones, así que toma este proceso en serio. Debes demostrar que sigues cada uno de los principios de servicios de confianza al pie de la letra.
Esto incluye:
- Seguridad
- Disponibilidad
- Integridad del procesamiento
- Confidencialidad
- Privacidad
No dejes que el error humano interfiera con la efectividad de tu operación.
¿Cuál es tu consejo para las empresas que planean realizar una “evaluación de preparación” antes de la auditoría SOC 2?
Depende de la organización. Si eres una startup pequeña, puede que no tengas un equipo de seguridad de la información o alguien con ese conocimiento en el personal. Pero si trabajas con empresas, los clientes potenciales a menudo pedirán un informe SOC 2.
En ese caso, es una buena idea obtener una evaluación de preparación para comprender los controles y qué tan cerca estás de cumplirlos. Debes usarlo como una forma de prepararte. Contrata a un consultor externo, preferiblemente un auditor acreditado, en lugar de aprender el proceso desde cero.
La evaluación de preparación es una forma para que veas las brechas que tienes, así que sé transparente con el auditor. Están allí para asesorarte a ti y a tu equipo.
Si tienes más experiencia y tienes un equipo dedicado a la seguridad de la información, todos tienen procesos definidos y estás seguro de que sabes lo que es SOC 2, puedes usarlo como una prueba interna para verificar si pasarás.
¿Tienes algún último consejo para las empresas preocupadas por no pasar su auditoría SOC 2?
Si estás preocupado por pasarla, comienza con el informe de Tipo 1 para que puedas obtener correctamente el entorno de control.
Antes de comenzar, evalúe todos sus controles y procesos internamente, realice una evaluación de preparación y comuníquese con los auditores para obtener una consulta inicial. Un auditor no es solo un juez o un jurado.
Un auditor es un asesor que puede ayudar a asegurarse de que esté preparado para el éxito, especialmente cuando está realizando una evaluación de preparación o de Tipo 1.
Procesos confiables y seguros son clave para relaciones saludables con los clientes.
La razón por la que los posibles clientes comerciales se preocupan por el cumplimiento de SOC 2 es que las violaciones de datos son letales para los negocios.
No pueden permitirse perder clientes filtrando accidentalmente información sensible. El cumplimiento de SOC 2 es una manera de demostrar que su empresa sabe cómo manejar datos.
Cuando comience a prepararse, puede parecer una tarea abrumadora. Pero con las herramientas adecuadas, puede prepararse para un informe SOC 2 exitoso en semanas, no meses.
Secureframe facilita la implementación de sus requisitos de seguridad, escanea todo su sistema y destaca los puntos débiles en su pila tecnológica.
Si quiere adelantarse, regístrese hoy para una demostración gratuita.