Recursos gratuitos de SOC 2

Las brechas de seguridad se están convirtiendo en una amenaza más frecuente y costosa para las organizaciones actuales. El año pasado, el número total de brechas de datos aumentó en más del 68% y el costo promedio de una brecha aumentó en un 10%. Y esa tendencia no muestra signos de desaceleración.

Tener una postura de seguridad hermética ya no es un lujo, es una necesidad. Y desde ISO 27001 hasta PCI DSS, existen docenas de marcos de seguridad diseñados para ayudar a las organizaciones a proteger los datos de sus clientes. Uno de los marcos más populares y respetados es SOC 2.

Desenmarañar SOC 2 puede ser complicado para los no iniciados. Los diferentes marcos SOC y los tipos de informes pueden ser confusos, los criterios y requisitos imprecisos, y los detalles de auditoría vagos.

En este artículo, eliminamos la jerga y explicamos lo esencial de SOC 2 en términos claros y sencillos.

Vamos a ello.

¿Qué es SOC 2?

SOC 2 es un marco de seguridad que especifica cómo las organizaciones de servicios deben almacenar de manera segura los datos de los clientes. El Instituto Americano de Contadores Públicos (AICPA) desarrolló SOC 2 en 2010 para dar a los CPA y auditores una guía más específica para evaluar los controles de una organización de servicios, y ayudar a esas organizaciones de servicios a establecer confianza con los clientes.

SOC 2 significa “Controles del Sistema y de la Organización” y se refiere tanto al marco de seguridad como al informe final que se emite al final de una auditoría de cumplimiento. Obtener un “SOC 2” significa tener en mano un informe de un CPA o auditor acreditado que indique que su empresa ha completado una auditoría y cumple con los requisitos de SOC 2.

Cumplir con SOC 2 no es un requisito legal, a diferencia de HIPAA o GDPR. Pero en los últimos años se ha convertido en un estándar para las empresas SaaS modernas.

Más clientes están solicitando un informe SOC 2 como una forma de verificar su postura de seguridad de la información antes de hacer negocios con su empresa. Sin un informe SOC 2, es probable que su organización pierda negocios frente a competidores que cumplen con este estándar, experimente ciclos de ventas más largos, tenga dificultad para escalar en el mercado o se le pida completar extensos cuestionarios de seguridad para satisfacer los requisitos de ciberseguridad de los clientes.

Un informe SOC despeja estos obstáculos. Genera confianza con los clientes, que saben que protegerá sus datos de brechas de seguridad.

El proceso para cumplir con SOC 2 también revela información importante sobre los sistemas y procesos de su organización. ¿Tiene políticas contradictorias o software redundante? SOC 2 alienta a las empresas en crecimiento a construir una postura de seguridad de datos más robusta y procesos escalables en su ADN. Establecer una base de seguridad robusta desde el principio facilitará mucho más cerrar acuerdos empresariales, prepararse para una adquisición y asegurar financiamiento.

SOC 1 vs SOC 2 vs SOC 3

SOC 2 no es el único marco de seguridad creado por el Instituto Americano de Contadores Públicos Certificados. También desarrollaron SOC 1 y SOC 3. Entonces, ¿cuál es la diferencia entre estos estándares de auditoría?

SOC 1 está diseñado para organizaciones que impactan el reporte financiero de un cliente, como compañías de nómina, reclamaciones o procesamiento de pagos. SOC 1 asegura a los clientes que su información financiera está segura.

SOC 3 se parece más a SOC 2 en que ambos informes implican una auditoría por parte de un CPA basada en los estándares SSAE 18. Pero, dado que los informes SOC 2 incluyen descripciones detalladas de controles y sistemas de la organización, generalmente son privados y no se comparten a menos que sea bajo un NDA. Los informes SOC 3 no entran en tantos detalles y están destinados a ser compartidos con el público en general, típicamente en el sitio web de la organización.

Básicamente, SOC 2 y SOC 3 cubren la misma información y ambos certifican el cumplimiento de su organización. Pero SOC 2 tiene un mayor nivel de detalle y privacidad. Debido a esto, los informes SOC 3 generalmente no satisfacen a los clientes que necesitan ver un informe SOC 2 antes de hacer negocios con su empresa.

Los Criterios de Servicios de Confianza del AICPA

El AICPA construyó el marco SOC 2 sobre la base de cinco Criterios de Servicios de Confianza (anteriormente llamados los Principios de Servicios de Confianza).

Estos son:

Seguridad: ¿Cómo proteges los datos de brechas de seguridad?

Disponibilidad: ¿Cómo garantizas que los datos estén disponible de manera confiable para aquellos que los necesitan?

Integridad del procesamiento: ¿Cómo verificas que los activos de información y los sistemas operen como se supone que deben hacerlo?

Confidencialidad: ¿Cómo limitas el acceso, almacenamiento y uso de los datos?

Privacidad: ¿Cómo mantienes la información sensible y la información personal identificable (PII) privada y alejada del acceso no autorizado?

Los criterios que selecciones para tu informe SOC 2 son aquellos contra los que se evaluará tu organización durante la auditoría.

Ten en cuenta que la Seguridad es el único CSC que se requiere para cada informe SOC 2. Los otros cuatro CSC son opcionales y decidirás cuáles incluir en función del tipo de servicios que brindas y las demandas de tus clientes.

Tipos de informes: SOC 2 Tipo 1 vs SOC 2 Tipo 2

Hay dos tipos de informes SOC 2: Tipo I y Tipo II.

Un informe SOC 2 Tipo 1 examina la postura de seguridad de una organización en un momento dado. Está diseñado para determinar si los controles internos están correctamente diseñados y si son suficientes para la protección de datos.

Un informe SOC 2 Tipo 2 evalúa cómo esos controles internos funcionan durante un periodo específico, generalmente entre 3 y 12 meses.

Debido a que un SOC 2 Tipo I es un informe de un momento específico, a menudo es más rápido y menos costoso de completar que un informe Tipo II. Algunas auditorías Tipo I pueden completarse en solo unas semanas. Sin embargo, muchos clientes solicitan específicamente informes SOC 2 Tipo II de sus proveedores de servicios, ya que proporcionan una mayor seguridad sobre la calidad de la postura de seguridad de una organización.

Para las organizaciones que necesitan un informe SOC 2 urgentemente, generalmente recomendamos un informe Tipo II con una ventana de revisión de 3 meses. Te ahorrará auditorías duplicadas y proporcionará a los clientes potenciales el nivel de seguridad que necesitan.

Cómo lograr la conformidad SOC 2: el proceso de auditoría SOC 2

No hay dos auditorías SOC 2 iguales. Cada organización es diferente, los Criterios de Servicios de Confianza (TSC) elegidos son diferentes y los controles y sistemas de seguridad internos son diferentes.

Dicho esto, las auditorías SOC suelen seguir un conjunto similar de pasos.

Primero, la organización decide qué tipo de informe SOC 2 perseguirá, si tipo I o tipo II, y qué TSC incluirán en el alcance de su informe. Recuerda, el TSC de Seguridad es el único requerido.

A continuación, se determina el período de auditoría. El AICPA recomienda al menos 6 meses para informes Tipo II, pero estos pueden realizarse en tan solo 3 meses o hasta 12.

Ahora deberás decidir qué sistemas están dentro del alcance de tu auditoría y comenzar a recopilar documentación sobre esos sistemas y controles para utilizarlos como evidencia durante tu auditoría. Tu auditor revisará toda esta documentación, junto con tus sistemas y controles de seguridad, para determinar tu nivel de conformidad con los TSC que has seleccionado.

Ejemplos de documentos que tu auditor necesitará son:

• Inventarios de activos de información
• Controles de acceso de usuarios y políticas
• Políticas de gestión de riesgos, evaluaciones de riesgos y planes de tratamiento de riesgos
• Políticas y procedimientos de gestión de cambios
• Códigos de conducta y políticas de ética
• Planes de respuesta a incidentes de seguridad y continuidad del negocio
• Registros de mantenimiento y bitácoras de respaldo del sistema

Finalmente, completarás un análisis de brechas y una evaluación de preparación. Usa los documentos que has recopilado para comparar dónde se encuentra tu organización hoy con los requisitos SOC 2. ¿Dónde están las brechas que deberás llenar antes de tu auditoría?

Una evaluación de preparación formal puede proporcionar información útil sobre el estado de tu postura de seguridad. Un auditor SOC 2 realizará su propio análisis de brechas y proporcionará recomendaciones específicas para tu organización basadas en los TSC que has seleccionado para tu auditoría. El informe final de evaluación de preparación ayudará a identificar qué controles aparecerán en tu informe final SOC 2 y cualquier vulnerabilidad que podría impedir que cumplas con los requisitos de conformidad.

Finalmente, seleccionará un CPA o firma de auditoría acreditada y completará su auditoría SOC 2, durante la cual el auditor evaluará la efectividad operativa de sus sistemas y controles. Al final de su auditoría, se le emitirá su informe formal. Para mantener el cumplimiento, generalmente se necesita una nueva auditoría cada 12 meses.

Más de 35 recursos gratuitos para simplificar SOC 2

Los marcos de seguridad pueden ser complicados. Es por eso que creamos un centro de información de SOC 2 todo en uno con todo lo que necesita para entender el cumplimiento.

Explore más de 35 recursos gratuitos para dominar los conceptos básicos de SOC 2. Profundice en el proceso de auditoría, obtenga consejos para simplificar la preparación de la auditoría y mucho más. Consulte el completo Centro de Cumplimiento SOC 2 aquí.

También puede explorar nuestra biblioteca de plantillas de políticas SOC 2 gratuitas, listas de verificación de preparación de auditorías, hojas de cálculo de evidencia, libros electrónicos y más.