Los informes de auditoría SOC 2 pueden tener más de 100 páginas, cubriendo información detallada sobre los sistemas y los resultados de la auditoría. Una de las secciones más importantes (y largas) del informe es la descripción del sistema.

Los informes SOC 2 típicamente tienen cinco secciones principales:

1. Informe del Auditor: Un resumen de la auditoría y sus resultados. Esta sección incluye la opinión del auditor sobre qué tan bien se alinea su entorno de control con los requisitos de SOC 2.
2. Aserción de la Gestión: Las afirmaciones de la gestión sobre sus sistemas y controles internos.
3. Descripción del Sistema: Una visión detallada del sistema auditado, incluyendo sus componentes, procedimientos e incidentes del sistema.
4. Pruebas de Control: Una descripción de las pruebas realizadas y los resultados.
5. Otra Información: Cualquier información adicional, como la respuesta de la gerencia a cualquier excepción de la auditoría.

Sentarse a escribir la descripción del sistema puede ser desalentador, especialmente si no sabes exactamente qué incluir o por dónde empezar. Si eso te suena familiar, has llegado al lugar correcto.

Te explicaremos qué debe incluir una descripción del sistema SOC 2, te guiaremos sobre cómo escribirla y compartiremos ejemplos reales para que los consultes.

¿Qué es una descripción del sistema SOC 2 y por qué es importante?

Cada auditoría SOC 2 termina con un informe escrito que resume el alcance y los resultados de la auditoría. Algunas secciones del informe SOC 2 son escritas por el auditor, y otras son escritas por la organización de servicios.

La descripción del sistema SOC 2 es una parte que está escrita por la organización. Es un resumen detallado de tus servicios y los controles que has implementado para cumplir con los Criterios de Servicios de Confianza relevantes para tu auditoría.

Pongámoslo en términos aún más simples. Imagina que tienes un coche que alquilas a personas (tu servicio). La descripción del sistema SOC 2 es como un manual completo para ese coche. Incluiría información como:

1. Para qué debería usarse el coche (descripción de tus servicios).
2. Con qué frecuencia se le da mantenimiento y por quién (información sobre proveedores de servicios o contratistas externos que utilizas).
3. Las diversas características de seguridad del coche, como asistencia de carril, frenado automático y airbags (controles de seguridad que tienes en marcha para asegurar la seguridad, confidencialidad, disponibilidad, privacidad e integridad de procesamiento de los datos).
4. Procedimientos sobre cómo usar el coche de manera segura (políticas y procesos de tu empresa).

Este manual (o descripción del sistema SOC 2) ayuda a los clientes a entender lo que has hecho para asegurar que tus servicios sean seguros, confiables y bien mantenidos. Es una parte crucial para construir confianza con clientes y socios y demostrar que estás comprometido con los más altos estándares de seguridad de la información.

Qué incluir en una descripción del sistema SOC 2

Ahora vamos a entrar en los detalles de cómo redactar una descripción del sistema SOC 2.

Una descripción del sistema puede dividirse en ocho partes básicas. A continuación, revisaremos cada parte, incluiremos algunos ejemplos y compartiremos consejos y mejores prácticas de nuestro equipo de expertos en SOC 2 y ex auditores.

Parte 1: Visión general de la empresa y servicios proporcionados

La primera parte de la descripción del sistema ofrece una visión general de lo que hace la organización.

ABC Company ayuda a las empresas a atraer y retener talento facilitando la conexión con los candidatos adecuados. Hemos recaudado $100 millones de firmas de inversión incluyendo VCFirm1 y VCFirm2 y tenemos 10 mil clientes a nivel mundial. 

La plataforma de ABC Company fue desarrollada y construida por ABC Company. La plataforma está alojada en la infraestructura de la nube de AWS a la que se puede acceder a través del sitio web abc.co. 

Parte 2: Límites del sistema

Esta es una descripción de lo que se cubre como parte del alcance de la auditoría SOC 2.

Las fronteras del sistema para considerarse dentro del alcance de este informe son los sistemas de producción, infraestructura, software, personas, procedimientos y datos que apoyan el XYZSystem.

Parte 3: Organizaciones de subservicio

Escribe un párrafo que resuma las tecnologías que se discutirán en la descripción del sistema. Esto puede ser una lista simple de los servicios que utilizas y por qué.

ABC Company utiliza AWS, una organización de subservicio, para proporcionar infraestructura en la nube; Dropbox, una organización de subservicio, para compartir archivos en la nube; y Slack, una organización de subservicio, para la comunicación y colaboración del equipo.

Parte 4: Compromisos de servicio principales y requisitos del sistema

En la siguiente sección, deberás demostrar cómo tu sistema satisface los compromisos de servicio y los requisitos del sistema.

1. Compromisos de Servicio: Estos son esencialmente las promesas que una organización de servicio hace a los clientes, socios y otras partes interesadas. Estos pueden estar documentados en acuerdos de nivel de servicio (SLA), contratos u otros documentos formales, y a menudo se relacionan con la seguridad de los datos, la disponibilidad, la integridad del procesamiento, la confidencialidad y la privacidad.

Por ejemplo, un proveedor de servicios en la nube podría comprometerse con una cierta cantidad de tiempo de actividad como 99.9% de disponibilidad, medidas de seguridad como la encriptación de datos o la copia de seguridad y recuperación de datos de manera oportuna.

2. Requisitos del Sistema: ¿Cómo necesita operar el sistema para cumplir con los compromisos de servicio establecidos?

Los requisitos del sistema pueden incluir aspectos funcionales (lo que hace el sistema, como procesar transacciones o almacenar datos) y aspectos no funcionales (cómo funciona el sistema, como su disponibilidad, fiabilidad o nivel de seguridad).

Parte 5: Componentes del sistema

Esta sección describe los diferentes componentes que componen el sistema bajo auditoría y debería cubrir cinco puntos:

1. Infraestructura: ¿Qué hardware y otros componentes componen el sistema bajo auditoría? Esto puede incluir hardware, servidores, almacenamiento de datos, etc. Algunas organizaciones incluyen descripciones y/o diagramas para explicar los componentes de la infraestructura y cómo se relacionan entre sí.
2. Software: Enumera el software de proveedores utilizado para proporcionar los servicios o productos dentro del alcance de tu auditoría SOC 2. Esto puede ser en forma de una tabla donde enumeres cada software de proveedor y su función.
3. Personas: ¿Qué departamentos o equipos están involucrados en la seguridad, gobernanza, operación y gestión de tu producto o servicio? Esto probablemente tomará la forma de un organigrama o una descripción listada de departamentos y/o equipos.
4. Datos: ¿Qué tipos de datos entran en tus sistemas y cómo se protegen? Enumera los tipos de datos utilizados por tus bases de datos, almacenamiento y archivos y diagrama cómo fluyen a través de tus sistemas y procesos.
5. Políticas, Procesos y Procedimientos: En esta sección, explicarás cómo has diseñado un entorno de control relevante para la seguridad de la información. Detalla tus políticas, procesos o procedimientos para controles de acceso, procedimientos de monitoreo y registro, gestión de cambios y procesos de continuidad del negocio, capacitación en concienciación sobre ciberseguridad, etc.

Parte 6: Controles internos

Aquí detallará los pasos que ha tomado para diseñar y construir controles de seguridad de la información efectivos dentro de su organización.

• Entorno de control: Explique cómo aborda la dirección de la empresa la seguridad de la información y los controles de seguridad. ¿Qué principios utiliza para definir su enfoque de la seguridad de la información? ¿Qué participación o responsabilidades tiene el Consejo de Administración en la orientación o el apoyo a prácticas sólidas de seguridad de la información? ¿Qué prácticas de contratación e incorporación tiene implementadas para garantizar una sólida cultura de seguridad en toda la organización?
• Procesos de gestión y evaluación de riesgos: Describa cómo su organización identifica, evalúa y mitiga los riesgos. Esta sección debe cubrir con qué frecuencia realiza evaluaciones de riesgos (debe ser al menos anualmente). También debe explicar su enfoque para identificar, analizar, priorizar y tratar los riesgos, así como cómo comunica y supervisa los riesgos dentro de su organización.
• Sistemas de información y comunicación: Describa cómo su organización se comunica tanto con los empleados como con los clientes sobre los objetivos comerciales, el rendimiento operativo y/o el entorno de control interno.
• Monitoreo de controles: Explique cómo su organización supervisa los controles para garantizar que estén funcionando como se pretende. ¿Utiliza servicios de escaneo de vulnerabilidades o pruebas de penetración? ¿Realiza auditorías internas de seguridad regularmente? ¿Utiliza servicios de monitoreo continuo?
• Actividades de control: Detalle los controles internos que ha implementado relevantes para la seguridad de la información, incluidas políticas, procedimientos y procesos. Por ejemplo:
  undefinedundefinedundefinedundefinedundefinedundefinedundefined

Parte 7: Controles complementarios de organizaciones subserviciadoras

Enumere cualquier control de seguridad que las organizaciones subserviciadoras sean responsables de implementar, junto con sus correspondientes Criterios de Servicios de Confianza.

Nombre de la organización subserviciadora: AWS

Controles complementarios de la organización subserviciadora: Los controles están en su lugar y funcionan de manera efectiva para garantizar que los procesos de respaldo y recuperación de datos cumplan con los objetivos de recuperación.

Criterios aplicables: CC 9.1

Parte 8: Controles complementarios de la entidad usuaria

Enumere cualquier control que los usuarios finales de su servicio/plataforma/sistema sean responsables de que esté relacionado con el alcance de su SOC 2.

Por ejemplo, sus clientes pueden ser responsables de garantizar que solo las personas autorizadas tengan acceso a su plataforma.

Controles complementarios de la entidad usuaria: Deben implementarse controles para garantizar que los datos se envíen a [Organización] a través de una conexión segura.

Criterios aplicables: CC 6.6

Consejos y mejores prácticas de los auditores de SOC 2

Evite la jerga de marketing. El Instituto Americano de Contadores Públicos Certificados (AICPA) advierte específicamente contra el uso de "frases publicitarias" en el lenguaje que usa para escribir la descripción de su sistema. Mantenga su descripción concisa y directa al grano.

Sea lo más preciso posible. Como parte de su auditoría SOC 2, el auditor establecerá su opinión sobre si la descripción de su sistema es precisa, completa y cumple con los estándares de certificación SOC 2. Las afirmaciones falsas o inexactitudes pueden resultar en que el auditor dé una opinión calificada en su informe final.

Sea comprensivo, pero no demasiado detallado. Al escribir la descripción de su sistema, puede preguntarse cuánta información proporcionar. Ofrezca suficiente información para probar que ha cumplido con los requisitos de TSC sin divulgar secretos comerciales, propiedad intelectual u otra información empresarial sensible.

Más recursos gratuitos para el cumplimiento de SOC 2 Tipo I y Tipo II

Cumplir con SOC 2 puede ser un proceso abrumador y complejo. En Secureframe, nuestra misión es desmitificar y simplificar el cumplimiento de seguridad para todas las organizaciones.

Nuestra plataforma de automatización de cumplimiento monitorea su infraestructura en la nube para el cumplimiento, simplifica la gestión de proveedores y personal, y recopila automáticamente evidencia de auditoría. También construimos un Centro de Cumplimiento SOC 2 para guiarlo a través del proceso de auditoría, y una biblioteca de plantillas de políticas SOC 2 gratuitas, listas de verificación de preparación y hojas de cálculo de evidencia para ahorrarle horas de preparación manual para la auditoría.