Entrevista con un auditor SOC 2: Errores a evitar durante SOC 2 Tipo II
Los expertos predicen que la ciberseguridad costará al mundo casi 6 billones de dólares para finales de 2021.
A medida que aumentan las amenazas cibernéticas, cualquier organización de servicios que gestione información confidencial de usuarios debe tener controles y estándares de seguridad adecuados. Aquí es donde entran en juego los informes SOC, especialmente el SOC 2.
Si planeas obtener una auditoría SOC 2 pronto, deberías comenzar explorando los errores comunes que las organizaciones cometen con este tipo de examen. Para ayudarte, entrevistamos a K.C. Fikes, Líder de la Práctica de Análisis de Datos en The Cadence Group. Le hicimos siete preguntas que pueden ayudarte a prepararte mejor para tu auditoría SOC 2. Específicamente, centramos esta entrevista en las auditorías de SOC 2 Tipo II.
Comencemos con una pregunta básica.
1. ¿Puedes dar una breve introducción sobre SOC 2?
Las auditorías SOC 2 ayudan a las organizaciones basadas en servicios a asegurar que tienen los controles internos adecuados para procesar, gestionar, compartir y proteger la información sensible de los clientes y los datos de sus clientes.
Por ejemplo, si ofreces servicios de gestión de recursos humanos, deberías proteger la información no solo de las empresas que te utilizan, sino también los datos que están directa o indirectamente relacionados con ese servicio (por ejemplo, la información de los candidatos enviada a través de un formulario de solicitud de empleo).
¿Cómo funciona una auditoría SOC 2?
En palabras de Fikes: “SOC 2 Tipo II es un informe en el cual una firma de CPA ha entrado y auditado tus controles (en relación con los Criterios de Servicios de Confianza en el alcance) durante un período específico (por ejemplo, 12 meses).”
Como puedes ver, los Principios de Confianza establecidos por la AICPA son cruciales para SOC 2. Estos principios incluyen:
- Seguridad: Controles que te ayudan a proteger la información de tus clientes contra el acceso no autorizado (por ejemplo, cortafuegos y estándares de autenticación).
- Disponibilidad: Controles y estándares que definen cuán accesible es tu información para los clientes (por ejemplo, monitoreo del rendimiento).
- Integridad del procesamiento: Controles que te ayudan a proporcionar información confiable, oportuna y precisa a tus clientes (por ejemplo, procedimientos continuos de aseguramiento de la calidad).
- Confidencialidad: Procesos que tienes en lugar para manejar la información confidencial de los clientes (por ejemplo, niveles de permiso).
- Privacidad: Controles y procesos que aseguran que la Información Personal Identificable (PII) de tus clientes se mantenga privada (por ejemplo, nombre, número de seguridad social).
La suma de todos estos procesos constituye el sistema operativo que te ayuda a proteger los datos de los clientes de la manera más efectiva.
Dicho esto, para obtener tu certificación SOC 2, solo necesitas cumplir con el principio de “Seguridad”. Es por eso que a menudo se le denomina “criterio común”.
2. ¿Puedes explicar el proceso de auditoría?
Ahora que entiendes lo que son los informes SOC 2, la pregunta es: ¿Cómo funciona el proceso de auditoría desde la perspectiva del auditor?
Fikes explica: “Asumiendo que eres tipo II, llegaremos un par de semanas antes de que finalice el período de revisión. Haremos un inicio y hablaremos con los actores clave y solicitaremos poblaciones (por ejemplo, cada instancia de algún tipo de función tecnológica en operación, como un cambio de software o registros de software de monitoreo de seguridad).
“De las poblaciones, muestrearemos algunas de ellas para ver si el control interno estaba funcionando. Por ejemplo, podríamos muestrear 10 de los 100 cambios de software durante el período de revisión y ver si fueron revisados por pares.
“Probamos cada muestra contra cada control. Una vez que terminamos de evaluar, y si todo está bien, entonces hemos terminado. Vamos y escribimos el informe. Si muestreamos algo y no cumplía con el atributo de un control, vamos a la empresa y vemos qué pasó. Le decimos al cliente que nos falta algo y buscamos cualquier evidencia que demuestre que esta muestra cumple con los controles.
“Luego, analizamos la muestra que no pasó, y potencialmente ampliamos las muestras para analizar si fue solo un caso atípico o un problema sistémico. Si fue un caso atípico, anotaríamos una excepción. Si no fue un caso atípico, podríamos llegar a afirmar que fue un fallo del control. Nuestros informes anotarían estas excepciones y fallos.”
En otras palabras, el proceso se puede dividir en cuatro etapas principales:
- Solicitar poblaciones: Recopilar instancias de funciones cruciales en operación
- Probar muestras: Probar muestras para cada control
- Probar controles fallidos: Probar controles fallidos para buscar casos atípicos y evaluar la efectividad operativa
- Emitir informe: Emitir informe con excepciones y fallos, opinión y resultados de la prueba de control
3. ¿Cuáles son los requisitos de SOC 2?
Como mencionamos un poco antes, los exámenes SOC 2 se basan en los cinco Principios de Confianza definidos por el AICPA.
Dependiendo de tu industria, servicio y regulaciones, el auditor "mapeará" tus controles según los principios que mejor se adapten a tu situación específica.
Fike describió dos etapas en las que un auditor realiza este proceso:
- Mapeo: “Mapeamos controles a cada uno de los TSC. Generalmente es una correspondencia de uno a muchos (un servicio de confianza para múltiples controles).”
- Pruebas: “Probamos esos controles y luego entramos en el proceso de auditoría.”
- Informes: “Emitimos una opinión dentro del informe basada en mapeo, controles, pruebas.”
El alcance de este proceso puede variar dependiendo de diferentes factores y puede tomar entre 6 y 12 meses. Con Secureframe, podemos hacerlo en 4-6 semanas
4. ¿Qué errores comunes cometen las empresas durante las auditorías SOC 2?
Al explorar lo que otras organizaciones han hecho mal y evitar esos errores, puedes ahorrar tiempo y obtener tu informe SOC 2 mucho más rápido.
Para ayudarte con esto, le preguntamos a Fike sobre los errores comunes que cometen las organizaciones durante una auditoría SOC 2.
Él proporcionó cinco errores principales:
- “No tener propiedad del control (por ejemplo, los propietarios de los controles no están seguros de cuáles son sus responsabilidades)”
- “No tener un alcance definido (por ejemplo, aplicaciones y/o infraestructura que tienes para la auditoría SOC 2)”
- “No realizar un proyecto de preparación”
- “Los controles dejan de operar”
- “Cambios en los procesos o en la tecnología donde los controles no coinciden/no cumplen"
Si tuviera que elegir "el mayor" error de esta lista, elegiría "No realizar una evaluación de preparación antes de tu examen."
Como sugiere el término, una evaluación de preparación te ayuda a saber qué tan preparado estás para una auditoría SOC 2. Te ayuda a probar tus controles y encontrar posibles problemas antes de que el auditor llegue a tu organización. De esta forma, puedes solucionar cualquier problema y asegurarte de que todos tus controles funcionen correctamente. Una vez que el auditor comience a analizar tu desempeño, estarás mejor preparado.
Afortunadamente, la mayoría de las firmas de CPA con algo de experiencia en exámenes SOC pueden realizar este tipo de análisis y ayudarte a mitigar cualquier riesgo involucrado.
5. ¿Cómo pueden las empresas evitar estos errores comunes?
A estas alturas, ya entiendes los principales errores y desaciertos que cometen las organizaciones durante las auditorías SOC 2, ¿pero cómo pueden evitarlos?
Esto es lo que sugiere Fike:
- “Definir un propietario o alguien a cargo de los controles y enviar órdenes claras para los controles.”
- “Realizar pruebas periódicas de los controles, como una pseudo auditoría interna.”
- “Generar conciencia organizacional sobre SOC 2 y cultura de seguridad.”
El último es especialmente importante. La seguridad siempre es un esfuerzo colaborativo.
Si toda su organización no entiende el valor de implementar las prácticas de seguridad de la información que tiene en su lugar, tendrá problemas con la adopción. Al desarrollar una sólida cultura de seguridad en su negocio, evitará muchos de los errores y problemas descritos anteriormente.
6. ¿Cómo pueden las empresas prepararse para una auditoría SOC 2?
De nuevo, la mejor manera de prepararse para un examen SOC 2 es realizando una evaluación de preparación. Este tipo de evaluación le ayuda a descubrir lo que está haciendo bien y mal y a corregir cualquier problema antes de la auditoría.
En palabras de Fikes:
“Los proyectos de preparación son excelentes porque son verdaderas evaluaciones de un entorno completamente nuevo. Si las empresas son nuevas en los controles, esta es una forma útil de empezar, ya que ayuda a “desmitificar los controles.”
7. ¿Algún pensamiento final?
Obtener la opinión de un auditor es bastante útil, ya que le da la perspectiva de alguien que realmente entiende el proceso.
Por eso le pedimos a Fikes tres últimos consejos para ayudarle a prepararse para una auditoría SOC 2. Esto es lo que respondió:
- “Propiedad del control y expectativas de la gestión del control”
- “Tener un sistema de gestión de proyectos en su lugar”
- “El compromiso de la alta dirección de arriba hacia abajo es clave para el éxito”
¿Listo para obtener su certificación SOC 2 Tipo II?
Las certificaciones SOC 2 Tipo II vienen con varios beneficios, incluyendo:
- Mitigar riesgos y prevenir posibles fugas de datos y problemas de seguridad
- Posicionar su organización como confiable, cumplidora y de confianza
- Aumentar su propia seguridad y estandarizar procesos cruciales
- Encontrar oportunidades de mejora continua
- Construir más confianza con los clientes y prospectos haciendo que se sientan más seguros
Esperamos que ahora tenga una mejor comprensión de lo que los auditores buscan durante una auditoría SOC 2, así como de cómo prepararse para su proceso de auditoría.
Y, si busca una manera más rápida y mejor de lograr el cumplimiento SOC 2, Secureframe puede ayudar. Ayudamos a las organizaciones a optimizar sus procesos de seguridad y estar listos para la auditoría en semanas, no meses.
Para saber más, consulte nuestra página de descripción del producto.