Sus políticas y procesos son el qué y el cómo de su postura de seguridad.
Su documentación es la evidencia que usará para probarlo ante su auditor.
¿Qué tipo de documentación de cumplimiento SOC se requiere para su auditoría?
Depende del tipo y alcance de su auditoría.
Una auditoría de Tipo II que solo cubre Seguridad requiere menos documentación que una que incluye varios Criterios de Servicios de Confianza.
Independientemente del tipo y alcance de su auditoría, hay algunos documentos que deberá proporcionar a su auditor. La declaración de gestión, la descripción del sistema y la matriz de control.
Declaración de Gestión
Su declaración de gestión es extremadamente importante porque establece las bases para toda su auditoría.
Es una afirmación escrita que describe sus sistemas.
La declaración de gestión explica cómo su sistema le ayuda a cumplir con los compromisos de servicio que ha hecho a los clientes. Y explica cómo su sistema cumple con los Criterios de Servicios de Confianza que ha seleccionado para su auditoría.
La declaración de gestión explica al auditor cómo está diseñado su sistema para operar. De esta manera, el auditor puede probar sus controles para ver si realmente opera de esa manera.
Todo culmina en que su auditor emita su opinión formal (el informe SOC 2 final) sobre si su declaración de gestión fue una presentación precisa del sistema auditado.
Proporcionará su declaración de gestión a su auditor al inicio de su auditoría. Si algo sobre su sistema cambia durante el transcurso de la auditoría, deberá proporcionar una versión actualizada.
Una copia de su declaración de gestión también se incluirá en su informe final SOC 2.
Descripción del Sistema
Su descripción del sistema detalla qué aspectos de su infraestructura están incluidos en su auditoría SOC 2.
Es importante pensar bien en su descripción del sistema. Si está incompleta, su auditor necesitará pedir más detalles para completar su evaluación.
La AICPA comparte algunas orientaciones útiles para crear su descripción del sistema.
Esto es lo que debería incluir:
- Resumen de la Empresa resume sus productos y servicios.
- Resumen del Sistema describe los servicios clave que proporciona a los clientes.
- Compromisos Principales de Servicio y Requisitos del Sistema describen los compromisos que ha hecho a los clientes. Además, los sistemas necesarios para cumplir con esos compromisos.
- Componentes del Sistema incluye infraestructura, software, datos, procesos y personas.
- Divulgación de Incidentes comparte si algún incidente afectó controles o compromisos de servicio.
- Divulgación de Criterios detalla qué Criterios de Servicios de Confianza son aplicables a la auditoría.
- Aspectos Relevantes del Entorno de Control describe los controles que ha implementado para cumplir con cada Criterio de Servicios de Confianza.
- Controles complementarios de la entidad de usuario y organización de subservicio divulgan qué controles son responsabilidad de sus clientes y proveedores, si los hay. (Por ejemplo, los clientes de una empresa SaaS son típicamente responsables de otorgar y revocar el acceso de sus propios empleados).
- Excepciones de criterios explican qué Criterios de Servicios de Confianza no son aplicables a la auditoría.
- Cambios en el sistema durante el período comparte cualquier cambio en el sistema de controles internos que ocurrieron durante el período de auditoría. (Aplicable a Informes SOC 2 Tipo II)
Puede utilizar elementos visuales como diagramas de flujo, tablas, gráficos y diagramas para ilustrar la descripción de su sistema.
La descripción de su sistema no necesita incluir cada aspecto de su infraestructura. Solo necesita incluir lo que es relevante para su auditoría SOC 2 y los Criterios de Servicios de Confianza que seleccionó.
¿Qué tan detallada debe ser la descripción de su sistema?
Debe ser lo suficientemente detallada para que el lector pueda comprender los riesgos a los que se enfrenta su organización y qué está haciendo para contrarrestarlos.
No se espera que sea tan detallada que exponga su empresa a riesgos o comparta vulnerabilidades de seguridad que podrían ser explotadas.
Matriz de control
Una Matriz de Control es una hoja de cálculo que detalla los controles específicos que se relacionan con los criterios SOC 2.
Por lo general, incluye:
- Referencia de criterios: los Criterios de Servicios de Confianza específicos que cumple el control
- Número de control: estos números de referencia corresponden a los controles individuales que ha implementado
- Actividad de control: una descripción de lo que hace ese control específico
- Propietario del control: la persona responsable de realizar o supervisar el control. Esta es la persona con la que el auditor se reunirá para probar ese control
- Nivel de riesgo: una medida del impacto en el negocio y la probabilidad de una falla del control (bajo, moderado, alto). Si bien esto es opcional, ayuda a las organizaciones a comprender la salud del control y la responsabilidad de la seguridad. También es una solicitud de evidencia típica por parte de los auditores.
Ejemplos de documentación de cumplimiento SOC 2
Una auditoría típica de SOC 2 requerirá documentación para:
Documentación de operaciones comerciales
- Diagrama de su oficina física
- Manual de gobernanza corporativa
- Código de conducta de la empresa
- Plan de gestión de riesgos
- Presupuesto del programa de cumplimiento
- Acuerdos con proveedores
- Planes de continuidad del negocio y respuesta a incidentes
Documentación de RRHH
- Organigrama, además del esquema de roles y responsabilidades
- Manual del empleado
- Documentación de incorporación
- Documentación del proceso de terminación
- Registros de capacitación en seguridad
Documentación de TI y Técnica
- Inventario de todos los dispositivos en su red
- Registros de mantenimiento de equipos
- Políticas de retención y destrucción de datos
- Política de encriptación
- Política de gestión de registros
- Política de requisitos de contraseña
- Política y registros de acceso
- Registros de copias de seguridad y actualización del sistema
Documentación de privacidad
- Aviso de prácticas de privacidad
- Acuerdo de uso de datos
- Políticas de cancelación de suscripción y exclusión
- Política y acuerdos de confidencialidad
Documentación de Cumplimiento
- Informes de cumplimiento completados previamente, si corresponde
- Evaluaciones de riesgos
- Cuestionarios de autoevaluación, si corresponde
- Resultados de pruebas de penetración, si corresponde
Preparando Documentación para su Auditor
Organizar su documentación evitará dolores de cabeza y le ayudará a completar su auditoría a tiempo. También permite que su auditor revise la documentación antes de comenzar a probar sus controles.
Un mejor entendimiento de sus sistemas les ayuda a diseñar mecanismos de prueba más efectivos.
Al recopilar documentación para su auditoría, considere un formato estándar de informes que incluya:
- La razón por la que se creó esa política
- El departamento responsable de aprobar e implementar la política
- Las fechas de aprobación e implementación
- Los sistemas, procesos o aplicaciones afectados por la política
- Seguimiento de la aceptación de la política por parte de los usuarios