• blogangle-right
  • ¿Qué es un informe SOC y por qué es importante?

Table of Contents

¿Qué es un informe SOC y por qué es importante?

  • October 18, 2023

Las filtraciones de datos están en aumento. En el segundo trimestre de 2023, aumentaron un 156% a nivel mundial en comparación con el trimestre anterior.

Como resultado, es más importante que nunca que su organización se gane la confianza de los clientes.

Es aquí donde entran en juego los Controles del Sistema y la Organización (SOC). Un informe SOC es una forma de demostrar a los posibles clientes que su organización tiene los controles suficientes para proteger sus datos sensibles.

A continuación, cubriremos qué es un informe SOC, los diferentes tipos de informes SOC y cómo obtener uno.

¿Qué es un informe SOC?

Un informe SOC se genera mediante una auditoría independiente de los sistemas de seguridad de la información de una empresa y los controles que tiene en lugar para asegurar esos sistemas y la información almacenada, procesada y/o transmitida por ellos. Solo un CPA o una organización acreditada por el Instituto Americano de Contadores Públicos Certificados (AICPA) puede realizar una auditoría SOC.

Además de algunos criterios comunes relacionados con la seguridad, cada informe SOC se personaliza según la empresa específica auditada. Un informe SOC puede cubrir controles relacionados con:

  • Seguridad
  • Disponibilidad
  • Integridad del procesamiento
  • Confidencialidad
  • Privacidad
  • Reportes financieros
  • Ciberseguridad

Por eso, no hay dos informes SOC que sean exactamente iguales.

Lectura recomendada

Auditoría SOC: Qué es, cómo funciona y cómo preparar su organización de servicio

¿Para qué se usa un informe SOC?

Un informe SOC se usa para verificar el diseño y la efectividad operativa de los controles que una organización de servicios tiene en lugar para manejar de manera segura los datos de los clientes.

Un cliente potencial puede solicitar que una organización de servicios obtenga un informe SOC como condición para trabajar juntos. Esto es una práctica común entre entidades usuarias, similar a pedir referencias antes de contratar a un empleado. Una entidad usuaria es una organización que externaliza una función empresarial a, o de otra manera se asocia con, una organización de servicios.

Alternativamente, una organización de servicios puede decidir perseguir el cumplimiento SOC antes de que alguien lo solicite. Esto puede ayudar a atraer a posibles clientes demostrando que la empresa es confiable.

¿Quién necesita un informe SOC?

SOC está diseñado específicamente para probar la seguridad de los sistemas de información. Por lo tanto, las personas o empresas que buscan cumplir con SOC tienden a estar en el negocio de manejar grandes cantidades de información en nombre de otras empresas.

Los ejemplos incluyen, entre otros:

  • Contadores
  • Gerentes de dinero
  • Desarrolladores de software de terceros
  • Empresas de personal
  • Agencias de marketing
  • Plataformas de gestión de facturación
  • Empresas fiduciarias
  • Empresas de software de informes financieros
  • Proveedores de servicios en la nube
  • Organizaciones de servicios de gestión de recursos humanos
  • Plataformas de reclutamiento
  • Centros de datos anfitriones
  • Proveedores de SaaS
  • Procesadores de reclamaciones de seguros

En Secureframe, buscamos regularmente el cumplimiento SOC 2 e incluimos la integridad del procesamiento dentro del alcance de nuestra auditoría para practicar lo que predicamos. Como profesionales de la automatización del cumplimiento, somos un claro ejemplo de un negocio que necesita generar confianza entre nuestra base de clientes.

Lecturas recomendadas

Miniatura de cumplimiento SOC

Cumplimiento SOC 2: Requisitos, proceso de auditoría y beneficios para el crecimiento empresarial

¿Cuáles son los diferentes tipos de informes SOC?

Cada tipo de informe SOC tiene un conjunto de casos de uso ligeramente diferente.

Como leerás en la siguiente sección, SOC 1® y SOC 2® se subdividen en Tipo 1 y Tipo 2. Tanto los Tipos 1 como 2 se refieren a cómo se realiza la auditoría, mientras que SOC 1, 2 y 3 se refieren al tema del informe SOC.

SOC 1®

Una auditoría SOC 1 es para cualquier organización que brinde a sus clientes servicios relacionados con informes financieros.

En otras palabras: si cualquier cosa que una empresa haga pudiera impactar una auditoría financiera de uno de los clientes de esa empresa, esa empresa podría necesitar un informe SOC 1.

Los ejemplos incluyen contadores, procesadores de nómina o asistentes de preparación de impuestos.

Dado que los CPAs gestionan SOC, y los estados financieros y otra información a menudo son los más sensibles, los controles financieros son un área de especial interés. El proceso SOC 1 examina la seguridad y los procesos comerciales de una empresa, buscando cualquier riesgo para la información financiera de los usuarios.

Un auditor de servicio también debe verificar si algún riesgo que surja del negocio auditado podría afectar los controles internos implementados por los clientes. Podrías tener la mejor seguridad de la información del mundo, pero eso no vale mucho si contratas con terceros que no mantienen los mismos estándares.

SOC 1® Tipo 1 y 2

  • SOC 1 Tipo 1: Una auditoría que verifica si tus sistemas están diseñados para lograr los criterios propietarios de SOC 1 (es decir, los objetivos de control relacionados incluidos en la descripción) en un momento específico para proteger los controles financieros. Las auditorías de Tipo 1 son relativamente baratas y fáciles, pero no son tan exhaustivas como las de Tipo 2. Piensa en ellas como mojar los pies en el agua: te haces una idea de lo que es una auditoría, pero no te estás sumergiendo por completo.
  • SOC 1 Tipo 2: Una auditoría que examina cómo están diseñados tus sistemas Y si los controles financieros están implementados y son efectivos durante un período de tiempo especificado. Un informe de Tipo 2 lleva más tiempo (entre 3 y 12 meses) porque el auditor necesita realizar pruebas de control en tus sistemas de información. Mientras que el Tipo 1 es como mojar los pies en el agua, el Tipo 2 es como nadar por completo.

SOC 2®

SOC 2 es, con mucho, la forma más común de cumplimiento SOC buscada. Es para cualquier organización que brinde servicios de terceros que requieran que los clientes confíen en ellos con datos sensibles. Es particularmente popular entre las empresas de software como servicio (SaaS).

En lugar de una lista predeterminada de controles como las que componen la mayoría de los criterios ISO, SOC 2 se basa en los “criterios de servicios de confianza” (TSC). Estos agrupan los controles sugeridos en cinco categorías:

  1. Seguridad
  2. Privacidad
  3. Confidencialidad
  4. Disponibilidad
  5. Integridad del procesamiento

Los principios de confianza que seleccione informarán sus criterios de atestación. Según el AICPA, deben ser relevantes, objetivos, medibles y completos.

Los controles agrupados bajo Seguridad, conocidos como los “criterios comunes”, son los únicos requeridos para someterse a una auditoría SOC 2. Se solicita a las empresas que documenten su entorno de control, protocolos de comunicación e información, procesos de gestión y evaluación de riesgos, y cómo implementan y monitorean los controles.

Todos los demás son opcionales, aunque la mayoría de los auditores revisarán más que el mínimo necesario. La confidencialidad y la disponibilidad, si bien no son obligatorias, a menudo se incluyen en el alcance. La privacidad y la integridad del procesamiento generalmente se incluyen según la naturaleza de los sistemas y servicios de la organización. Por ejemplo, si su sistema tiene muchos datos personales sensibles, es posible que desee considerar la privacidad en el alcance. Si su sistema procesa muchos datos y/o tiene integraciones, es posible que desee considerar la integridad del procesamiento.

SOC 2® Tipo 1 y 2

  • SOC 2 Tipo 1: Una auditoría que prueba si sus controles están diseñados de acuerdo con los criterios de servicios de confianza relevantes en un momento dado. Dado que las auditorías y los informes SOC 2 Tipo 1 pueden completarse en unas pocas semanas, pueden ayudar a las organizaciones que tienen poco tiempo y recursos a demostrar rápidamente a los clientes potenciales que son seguros.
  • SOC 2 Tipo 2: Una auditoría que examina si sus controles están diseñados de acuerdo con los criterios de servicios de confianza relevantes Y si los controles están implementados y son efectivos a lo largo de un período de tiempo especificado. Dado que los informes SOC 2 Tipo 2 cubren la funcionalidad continua de los controles en un rango de tiempo, los informes SOC tipo 2 son mucho más completos que los informes tipo 1 y tienen más peso entre las entidades usuarias.
Cuadro comparativo de informes SOC 2 tipo I y tipo II

SOC 3®

Una empresa que obtiene una auditoría SOC 2 generalmente proporciona algún tipo de servicio B2B o servicio B2B2C. Sin embargo, dado que un informe SOC 2 no es necesariamente de conocimiento público (y no es fácil de interpretar para un no profesional), la empresa podría obtener un informe SOC 3® en su lugar.

Un informe SOC 3 es similar a un SOC 2, excepto que es más corto y público. Es un producto más fácil de digerir que se puede usar en marketing o poner a disposición de los clientes de forma gratuita. Los informes SOC 3 son una forma sencilla de generar confianza entre grandes grupos de personas.

Lecturas recomendadas

¿Qué es un informe SOC 3 y necesita uno? [+ Ejemplo]

Otros compromisos SOC

El AICPA ha añadido a su suite de servicios SOC con el tiempo. Veamos dos desarrollos recientes a continuación.

SOC para ciberseguridad

El SOC para la Ciberseguridad es un marco de informes que ayuda a las organizaciones a comunicar información relevante y útil sobre la efectividad de sus programas de gestión de riesgos de ciberseguridad.

Un examen y el informe relacionado de SOC para la Ciberseguridad evalúan el diseño del programa de gestión de riesgos de ciberseguridad a nivel empresarial de una organización basado en los criterios de servicios de confianza, u otros criterios adecuados como ISO 27001 o NIST CSF, y si fueron efectivos en alcanzar los objetivos de ciberseguridad especificados por la organización.

Mientras que SOC 2 es más adecuado para organizaciones de servicios, el SOC para la Ciberseguridad es adecuado para prácticamente cualquier tipo de organización.

El propósito de este tipo de examen e informe es proporcionar a los usuarios generales, incluyendo la administración de la organización, directores, inversores, socios comerciales y otras partes interesadas, información sobre el programa de gestión de riesgos de ciberseguridad de la organización que ayude a informar sus decisiones.

Al igual que un informe SOC 3, un informe de SOC para la Ciberseguridad es apropiado para uso general.

SOC para la Cadena de Suministro

SOC para la Cadena de Suministro es un marco de informes que ayuda a las organizaciones a comunicar cierta información sobre los esfuerzos de gestión de riesgos en la cadena de suministro y a evaluar la efectividad de los controles del sistema que mitigan esos riesgos. En última instancia, el objetivo del AICPA al desarrollar esta solución fue fomentar una mayor transparencia en la cadena de suministro.

Al igual que el SOC 2, un examen y el informe relacionado de SOC para la Cadena de Suministro evalúan el diseño de los controles de una organización basados en los criterios de servicios de confianza.

A diferencia de un SOC 2, el SOC para la Cadena de Suministro es más adecuado para organizaciones que producen, fabrican o distribuyen productos. El propósito de este tipo de examen e informe es ayudar a las organizaciones y a sus clientes y socios comerciales a identificar, evaluar y abordar los riesgos derivados de las relaciones comerciales con sus proveedores.

SOC Suite of Services SOC 1 SOC 2 SOC 3 SOC for Cybersecurity SOC for Supply Chain
Purpose Provide specific users with information about controls relevant to user entities’ internal control over financial reporting Provide specific users with information about controls related to security, availability, processing integrity, confidentiality or privacy Provides general users with easy-to-read report on organization’s controls related to security, availability, processing integrity, confidentiality, or privacy Provide general users with information about organization’s cybersecurity risk management program Provide specific users with information about controls related to security, availability, processing integrity, confidentiality or privacy to better understand and manage supply chain risks
Applicable to Service organizations that impact the financial operations of users Service organizations Service organizations Any type of organization Producers, manufacturers, and distributors
Intended users User entities and their auditors Management and specified parties, such as user entities Prospects and any other users with need of assurance of service organization’s controls Management, directors, investors, business partners and other stakeholders Management, customers, business partners
Distribution Restricted Restricted General audience General audience Restricted
Control criteria Control objectives that address the services being provided AICPA Trust Services Criteria AICPA Trust Services Criteria AICPA Trust Services Criteria (or other suitable criteria such as ISO 27001 or NIST CSF) AICPA Trust Services Criteria
Contents of report Description of system, management’s assertion, and CPA’s opinion (and Description of tests and results for Type 2) Description of system, management’s assertion, and CPA’s opinion (and Description of tests and results for Type 2) Management’s assertion and CPA’s opinion Description of cybersecurity risk management program, management’s assertion, and CPA’s opinion Description of the organization’s production, manufacturing, or distribution system, management’s assertion, CPA’s opinion, and Description of tests and results

¿Cuáles son los contenidos de un informe SOC?

Aunque el contenido de un informe SOC varía según el tipo, la mayoría comparte componentes comunes de un informe SOC 2 Tipo 2.

cuatro componentes de un informe soc 2 que incluyen el informe del auditor, la aseveración de la administración, la descripción del sistema y las pruebas de control

El AICPA proporciona un ejemplo ilustrado de un informe SOC en su sitio web. Tiene 31 páginas, una longitud bastante típica. Una revisión rápida del contenido revela lo siguiente:

1. Carta de opinión: Un resumen de la opinión del auditor (o del profesional), que ilustra si creen que la empresa objetivo pasa la inspección.

  • Una “opinión sin salvedades” es un pase con gran éxito.
  • Una “opinión con salvedades” significa que la empresa está casi en cumplimiento, pero una o más áreas aún no están ahí.
  • Una “opinión adversa” es un fracaso. La empresa no cumple en una o más áreas no negociables.
  • Una “renuncia de opinión” significa que el auditor no tiene suficiente evidencia para respaldar ninguna de las tres primeras opciones.

2. Aseveración de la administración: Resume lo que los gerentes de la empresa bajo auditoría dijeron al auditor sobre sus controles de seguridad de la información.

3. Descripción de sistemas: Explica lo que hace la empresa y cómo describen su propia infraestructura. Nota: Esto no se incluye en un informe SOC 3. En un informe SOC para la Ciberseguridad, en su lugar se incluye una descripción del programa de gestión de riesgos de ciberseguridad de la organización.

4. Criterios aplicables: Enumera cada control interno que la empresa consideró aplicable a sus propios servicios, junto con los resultados de las pruebas de control. Nota: Las pruebas de control y sus resultados no están incluidos en un SOC 1 Tipo 1, SOC 2 Tipo 2, SOC 3 o SOC para la Ciberseguridad.

5. Otra información: Información proporcionada por la empresa que el auditor determinó que no era relevante.

Ahora que tiene una mejor idea de cómo son los informes SOC, repasemos el proceso para obtener uno.

Lectura recomendada

Cómo escribir una descripción del sistema SOC 2 + Ejemplos reales

Cómo obtener un informe SOC

Un informe SOC se genera a partir de una auditoría SOC realizada por un analista SOC. Esto suele ser un CPA o una organización acreditada por la AICPA. Antes de invitar a un auditor a su oficina, su primer paso es decidir exactamente qué tipo de informe SOC necesita.

Paso 1: Elija un tipo de informe SOC.

Primero, elija entre las tres categorías SOC mencionadas en la sección anterior. No son mutuamente excluyentes. De hecho, algunas empresas pueden buscar los tres.

Muchas grandes corporaciones ofrecen servicios financieros y no financieros y quieren generar confianza entre las empresas y el público.

Supongamos que su empresa es una pequeña startup que ofrece servicios en la nube a empresas más grandes. Obviamente, elegiría SOC 2.

A continuación, deberá elegir entre un informe SOC 2 Tipo 1 y un informe Tipo 2. Elija según su presupuesto y la urgencia de producir el certificado. Muchas organizaciones optan por comenzar con una auditoría de Tipo 1 y luego utilizan ese informe para someterse a una de Tipo 2.

Paso 2: Realice una evaluación de preparación.

A continuación, realice una evaluación de preparación. Esto es como estudiar y hacer un examen de práctica: asegura que el auditor no lo sorprenda sin preparación.

Para hacer una evaluación de preparación, debe familiarizarse con los criterios de servicios de confianza.

Debe poder responder preguntas como:

  • “¿Cómo está protegido mi sistema contra ataques?” (Seguridad)
  • “¿Cómo decidimos cuándo poner a disposición los datos del sistema?” (Disponibilidad)
  • ¿El sistema funciona como necesita?” (Integridad del procesamiento)
  • ¿Cómo aseguramos que el sistema mantenga la información privada fuera del alcance de personal no autorizado?” (Privacidad)
  • “¿Cuando debe compartirse la información, qué mantiene segura la transferencia?” (Confidencialidad)

Considere todas las formas posibles en que los Criterios de Servicios de Confianza podrían aplicarse a su infraestructura. Si descubre algún área en la que su sistema no cumple, determine qué necesita hacer para cumplir. Esto se llama “análisis de brechas” — cerrando la brecha entre donde está su sistema y donde necesita estar.

Paso 3: Prepare documentación para su auditor.

A continuación, documente todo minuciosamente. Debe ser capaz de mirar una lista completa de los Criterios de Servicios de Confianza (TSC) y producir inmediatamente documentación que explique cómo su seguridad de la información cumple con cada criterio.

Aunque el tipo y la cantidad de documentación requerida para el cumplimiento variará según el tipo y el alcance de su auditoría, deberá proporcionar los siguientes documentos como mínimo:

  • Aserción de la administración
  • Descripción del sistema
  • Matriz de control
  • Políticas

Paso 4: Elija su auditor.

Finalmente, decida quién quiere que sea su auditor externo. Elija un CPA o firma de auditoría bien valorado que tenga experiencia en su industria. O elija un auditor que esté familiarizado con su herramienta de automatización de cumplimiento.

El auditor pasará desde unas pocas semanas hasta varios meses trabajando con su equipo antes de producir un informe SOC. Si obtiene una opinión sin salvedades en su informe, ¡felicidades! Si no, use el informe SOC como lecciones aprendidas para cerrar brechas e intente nuevamente para un informe mejorado.

Lecturas recomendadas

15+ Consejos para Elegir un Auditor, Según los Socios de Auditoría de Secureframe

Cómo Secureframe puede ayudarle a obtener el informe SOC que necesita

Secureframe no solo puede ayudarlo a decidir qué tipo de informe SOC necesita su negocio, sino que también podemos ayudarlo a simplificar el proceso.

Al simplificar el cumplimiento de SOC 2 a través de IA y automatización, ahorramos a los equipos cientos de horas y miles de dólares gastados en redactar políticas de seguridad, recopilar evidencia, contratar consultores de seguridad y realizar evaluaciones de preparación. Y debido a que Secureframe monitoriza continuamente su infraestructura y le alerta sobre vulnerabilidades, podrá obtener y mantener el cumplimiento SOC más fácil y rápidamente.

Solicite una demostración para obtener más información sobre cómo podemos ayudarlo a obtener el informe SOC que necesita.

Preguntas frecuentes

¿Qué significa SOC?

SOC significa “Controles del Sistema y de la Organización”, anteriormente significaba “Controles de la Organización de Servicios”.

¿Qué es un informe SOC?

Un informe de controles de la organización de servicios (SOC) es una evaluación de los controles implementados en una organización de servicios para proteger la información y los sistemas de información.

¿Cuáles son los tipos de SOC?

Hay cinco tipos principales:

  • SOC 1: Proporciona información sobre los controles de una organización de servicios relevantes para el control interno sobre la información financiera de las entidades de usuario a partes especificadas
  • SOC 2: Proporciona información sobre los controles de una organización de servicios relevantes para la seguridad, disponibilidad, integridad del procesamiento, confidencialidad o privacidad a partes especificadas
  • SOC 3: Proporciona información sobre los controles de una organización de servicios relevantes para la seguridad, disponibilidad, integridad del procesamiento, confidencialidad o privacidad a una audiencia general
  • SOC para Ciberseguridad: Proporciona información sobre el programa de gestión de riesgos de ciberseguridad de una organización de servicios a una audiencia general
  • SOC para la Cadena de Suministro: Proporciona información sobre los controles de un productor, fabricante y/o distribuidor relevantes para la seguridad, disponibilidad, integridad del procesamiento, confidencialidad o privacidad a partes especificadas

¿Cuánto tiempo es válido un informe SOC?

Técnicamente, los informes SOC no caducan, pero generalmente un informe SOC se considera válido durante un año a partir de la fecha en que se emitió. Cualquier informe que tenga más de un año se vuelve “obsoleto” y tiene un valor limitado para los clientes potenciales.

Debido a esto, la gran mayoría de las organizaciones de servicios renuevan su informe de certificación cada año sin interrupciones.

¿Cuánto cuesta un informe SOC?

La mayoría de las empresas pueden esperar gastar entre $20K-$100K para prepararse y completar una auditoría SOC y obtener su informe. Obtén un desglose más detallado de los costos de auditoría SOC 2 aquí.

Sin embargo, muchos factores influyen en el costo típico de una auditoría SOC, incluyendo:

  • Tipo de auditoría SOC
  • Alcance de tu auditoría
  • Tamaño de tu organización
  • Complejidad de tus sistemas y políticas de control interno
  • Servicios externalizados, como contratar a una firma de CPA para llevar a cabo la preparación y evaluación de la auditoría
  • Herramientas de seguridad adicionales y capacitación de empleados que necesitarás para cerrar cualquier brecha

El software de automatización de cumplimiento como Secureframe ahorra a las empresas miles de dólares y cientos de horas en la preparación y realización de una auditoría SOC. Las bibliotecas de políticas integradas, la capacitación en seguridad y las evaluaciones de preparación de nuestra plataforma significan que no estás pagando consultores.

También puede ayudarte a ahorrar los costos de productividad de tu equipo y obtener un informe SOC más rápido al agilizar el proceso de cumplimiento y recopilar automáticamente evidencia para tu auditor.

¿Son obligatorios los informes SOC?

Los informes SOC no son obligatorios. Sin embargo, cada vez más se consideran esenciales para las empresas en crecimiento. Los clientes buscan empresas, grandes y pequeñas, que puedan proteger la seguridad y privacidad de sus datos e intereses. Un informe SOC es una forma ideal de demostrar un compromiso con la seguridad y la privacidad, mientras ayuda a las empresas a desbloquear el crecimiento, expandirse a nuevos mercados y acelerar los ingresos.

¿Cuál es la diferencia entre SOC e ISO 27001?

Dado que ambos son estándares para auditar protocolos de seguridad de la información, SOC e ISO 27001 a menudo se confunden. Si alguna vez los has confundido, no estás solo: ISO y SOC comparten casi todos los mismos controles, variando solo en un 4%.

Pero no son idénticos. Hay dos diferencias clave entre SOC e ISO 27001:

  • Tipo de seguridad. SOC es un conjunto de estándares libre que mide lo que tu empresa está haciendo para proteger la información del cliente. ISO 27001 tiene el mismo objetivo, pero una forma más restringida de lograrlo. Para cumplir con ISO 27001, las empresas deben construir y documentar un sistema de gestión de seguridad de la información (ISMS). Es un estándar ligeramente más exigente, y un conjunto de políticas que no son necesarias para SOC 2.
  • Área geográfica. Las auditorías SOC son más conocidas en América del Norte y, por lo tanto, tienen más peso. ISO 27001 es más popular fuera de América del Norte. Este es casi siempre el factor decisivo. Piensa en ISO 27001 como el sistema métrico frente al sistema imperial de SOC. Gran parte del mundo utiliza ISO 27001, mientras que América del Norte utiliza SOC.