background

Establecer un Plan de Proyecto SOC 2

  • soc-2angle-right
  • Establecer un Plan de Proyecto SOC 2

El cumplimiento de SOC 2 es una tarea de gran envergadura.

Requiere una cantidad significativa de planificación y colaboración en toda tu empresa. Al igual que con cualquier otra iniciativa importante, construir un sólido plan de proyecto SOC 2 mantendrá el proceso funcionando sin problemas.

Este esquema de un típico plan de proyecto SOC 2 ayudará a todos en tu organización a entender qué esperar en cada fase del proceso.

Logra Aprobación en Toda tu Organización

Haz un anuncio a toda la empresa sobre tu iniciativa de cumplimiento SOC 2.

Explica a todos cómo convertirse en conformes beneficiará a tu organización. Más allá de desbloquear ventas y fomentar el crecimiento, el cumplimiento protege la reputación de tu marca y construye confianza con los clientes.

Ahora también es un buen momento para establecer expectativas.

Explica cómo el proceso de cumplimiento puede afectar las operaciones y flujos de trabajo diarios, incluidos los procesos y herramientas utilizadas.

El cambio es difícil, pero las personas estarán más abiertas a él si entienden las causas y beneficios de ese cambio.

Formar un Equipo de Liderazgo SOC 2

SOC 2 no es solo un proyecto para los departamentos de cumplimiento o TI. Requiere colaboración y participación en toda la empresa.

Aquí tienes una descripción general de alto nivel de quiénes deberán estar involucrados:

  • Patrocinador ejecutivo: Esta persona entiende las razones comerciales por las que estás trabajando para el cumplimiento. Pueden resolver cualquier conflicto que pueda surgir cuando se implementen cambios en herramientas, políticas y procesos.
  • Propietario del proyecto SOC 2: Esta persona es responsable de supervisar la preparación y el proceso de auditoría. Ellos rastrearán los hitos para asegurarse de que se cumplan
  • Jefe de Tecnología: Esta es alguien que puede asegurar la adopción del equipo técnico
  • Jefe de Infraestructura/Seguridad: Esta persona puede ayudar a impulsar la implementación
  • RRHH y/o Legal: Esta persona puede ayudar a diseñar políticas y asegurar la adopción por parte de los empleados
  • Externo: Esta persona es tu consultor de cumplimiento SOC 2 y/o auditor

En empresas más pequeñas, este equipo a menudo está compuesto por:

  • Un líder técnico (CTO o VP de Ingeniería)
  • Un líder de procesos de negocio (COO o Gerente de RRHH)
  • Un líder de seguridad de la información (Director de Seguridad o Ingeniero Senior)

Es importante establecer expectativas sobre cuánto tiempo tomará el proceso y qué se requiere de todos los involucrados.

En general, es una buena idea planificar alrededor de 6 meses de trabajo de preparación antes de comenzar el proceso de auditoría formal.

Definir el Alcance de la Auditoría

¿Incluir demasiado? Perderás tiempo y recursos implementando controles para riesgos que tu empresa realmente no enfrenta.

¿Incluye muy poco? Está pasando por alto vulnerabilidades clave y se está preparando para auditorías repetitivas.

Aquí hay algunas preguntas clave que debe hacerse mientras define el alcance de su auditoría:

  • ¿Necesita un informe SOC 2 para toda su organización o solo para ciertos servicios?
  • ¿Necesita un informe SOC 2 Tipo I o Tipo II?
  • ¿Qué Criterios de Servicios de Confianza necesita incluir?
  • ¿Qué sistemas y procesos respaldan esos Criterios de Servicios de Confianza y serán evaluados por el auditor?
  • ¿Qué contratistas puede excluir que no afecten la seguridad de los datos del cliente?

Comprender qué aspectos de su infraestructura estarán involucrados le ayudará a determinar los controles que necesita implementar para cumplir con SOC 2.

Redactar Políticas y Procesos

Necesitará una biblioteca de políticas para cosas como la seguridad de la información, control de acceso, seguridad de la red, gestión de contraseñas y evaluación de riesgos.

Construir su biblioteca de políticas puede ser una inversión de tiempo considerable que no se puede delegar fácilmente. (A menos que tenga software de automatización de cumplimiento que ofrezca una biblioteca de políticas con plantillas para elegir.)

Alguien de nivel sénior en su equipo deberá crear estas políticas, probablemente con la ayuda de Recursos Humanos y legal.

Implementar Configuraciones y Controles Técnicos

Identifique cualquier brecha en su cumplimiento y haga un plan para resolverlas. ¿Qué nuevas herramientas o procesos necesitará implementar?

Las tareas técnicas que consumen mucho tiempo a menudo requieren la asistencia de sus equipos de desarrollo y TI.

Además, las nuevas herramientas llevarán tiempo e investigación para seleccionarlas y configurarlas.

Debido a que este puede ser un proceso largo, es importante no quedarse atascado aquí. Algunas empresas sufren de parálisis por análisis. Trate de no permitir que pasen más de dos meses antes de implementar sus configuraciones técnicas.

Realizar una Evaluación de Preparación

Lo último que quiere hacer después de meses de trabajo de preparación es gastar miles de dólares en una auditoría formal SOC 2 solo para fallar.

Entonces, ¿cómo sabe si está listo para pasar una auditoría?

Una evaluación de preparación.

Es un examen realizado por un auditor para determinar cuán preparada está su organización para una auditoría SOC 2 exitosa. Detectará cualquier brecha en sus controles y le ayudará a solucionarlas.

angle-rightRequisitos de Cumplimiento SOC 2Políticas y Procedimientos SOC 2angle-right

SOC 2 Overview

Report Structures

Audit Process, Timeline, & Costs

How to Prepare for an Audit

Automatización del Cumplimiento SOC 2

Recursos y Herramientas SOC 2