Seleccionar página

¿Qué es el SOC 2?

 

Definición y uso

 

Menos conocida como la versión más larga, “Systems and Organizations Controls 2”, la SOC 2 (o SOC II) es un marco utilizado para ayudar a las empresas a demostrar los controles de seguridad que existen para proteger los datos de los clientes en la nube. Estos controles pasaron a conocerse como los Principios de los Servicios de Confianza: Seguridad, Disponibilidad, Integridad del Proceso, Confidencialidad y, por último, Privacidad.

Si su organización está considerando proveedores de soluciones en la nube, el cumplimiento de la norma SOC 2 debería ser un requisito mínimo (consulte nuestra comparación de la norma SOC 2 con la ISO27001 en nuestro blog, donde se detallan los requisitos mínimos).

Advertencia del SOC 2

 

La SOC 2 no es ni un sustituto de las mejores prácticas de seguridad reales ni un requisito legal. No se rige por el cumplimiento de la ley HIPAA ni por ninguna otra norma o reglamento, aunque las evaluaciones cubren de hecho los departamentos y procesos principales que interactúan con datos sensibles.

Los auditores externos realizan las certificaciones, no ningún organismo o agencia gubernamental. No hay un objetivo de “aprobado/reprobado” en el conjunto de informes: el resultado es una conclusión subjetiva en la que sólo consta la opinión del auditor. Los informes de auditoría no definen la certificación SOC 2, ya que sólo dan fe de su cumplimiento, basándose en la interpretación de un CPA cualificado.

No obstante, la SOC 2 es importante en el mundo de la seguridad de los datos y no debe subestimarse.

SOC 2 Antecedentes

 

La SOC 2 es un conjunto formal de informes elaborados como resultado de una auditoría. Esta auditoría está dirigida por un CPA o una organización contable certificada. Evolucionó a partir de la Declaración de Normas de Auditoría (SAS) 70, que era una auditoría más antigua utilizada para certificar la eficacia de los controles internos de una organización. Más tarde, pasó a llamarse Declaración de Normas para los Compromisos de Atestación (SSAE) 16 y, de nuevo, a Sistemas y Organizaciones de Control 1 (SOC 1). La SOC 2 surgió en 2009 porque era necesario tener un enfoque mucho más estricto en materia de seguridad (los cinco principios de confianza).

No obstante, la SOC 2 es importante en el mundo de la seguridad de los datos y no debe subestimarse.

Qué son los criterios de servicio de confianza (TSC)

Las cinco categorías, casi superpuestas, que sirven para los controles utilizados en los informes SOC 2 son:

  • Seguridad – Define claramente que todos los sistemas y la información permanecen protegidos contra los riesgos que comprometerían la integridad y afectarían a la capacidad de las organizaciones para alcanzar los objetivos señalados.
  • Disponibilidad – Los sistemas y la información deben estar siempre disponibles en cualquier momento que se requieran para que una organización pueda cumplir y mantener sus objetivos.
  • Integridad del procesamiento – Cualquier procesamiento realizado por el Sistema debe proporcionar información fiable en todo momento cuando se solicite / autorice para que una organización pueda cumplir con los objetivos.
  • Confidencialidad – Para que una organización cumpla sus objetivos, sólo puede acceder a la información el personal autorizado.
  • Privacidad: la información personal debe gestionarse (protegerse y/o almacenarse) de una forma determinada que permita a la organización cumplir sus objetivos.

Quién debe buscar el SOC 2 como organización

Cualquier organización que almacene datos de clientes en la nube debería mirar a la SOC 2 como demostración de las funciones de seguridad que utilizan para proteger los datos de los clientes. En efecto, cualquier empresa de SaaS puede utilizar la norma SOC 2 como certificado mínimo de conformidad.

SOC 2 y conformidad

La importancia del cumplimiento de la norma SOC 2 significa que, desde el punto de vista de cualquier cliente, trabajar con un proveedor potencial que cumpla la norma SOC 2 le da una especie de garantía. El cliente recibirá las garantías y la información que necesita sobre cómo el proveedor procesa los datos de los usuarios y los mantiene privados. Y va un paso más allá.

Los informes de la AICPA también desempeñan un papel importante:

  • Supervisión reglamentaria
  • Gestión de proveedores
  • Proceso de gestión de riesgos y gobierno corporativo interno

Tipos de SOC 2

A grandes rasgos, el cumplimiento de la norma SOC 2 lleva unos seis meses y los evaluadores externos realizan dos auditorías distintas. La auditoría SOC 2 Tipo 1 examina el diseño y es una instantánea de sus procesos de seguridad en ese momento. Por otro lado, la auditoría SOC 2 de tipo 2 verificará la eficacia operativa de sus controles internos a largo plazo. Debe completar el Tipo 1 como requisito previo para la certificación del Tipo 2.

SOC 2 Tipo 1

 

  • Formar un equipo multidisciplinario
    • Elegir al patrocinador ejecutivo
    • Identificar al autor que colabora con los jefes de equipo para formar las políticas a partir de las necesidades de la empresa proporcionadas
  • Utilice los Principios de los Servicios de Confianza como guía
    • Seleccione los que se aplican a su negocio
    • Definir el alcance de la auditoría, redactar/refinar las políticas

Se espera que este proceso dure unos dos meses para permitir la aplicación, las pruebas y el ajuste de las políticas. Una vez completada, la evaluación reservada incluirá normalmente entrevistas con los empleados, visitas guiadas y una revisión detallada de la documentación presentada.

Se generará un informe SOC 2 Tipo 1 después de que se hayan realizado las aclaraciones a las excepciones necesarias.

SOC 2 Tipo 2

 

  • El informe SOC 2 Tipo 1 está completo
  • Verificación a lo largo del tiempo de que todas las políticas y procesos enumerados en la SOC 2 Tipo 1 están en uso continuo

En general, los informes SOC 2 de tipo 2 suelen durar al menos seis meses, pero a menudo pueden tardar hasta un año o más. Esto se debe a muchos factores que intervienen en el camino hacia la certificación, que pueden deberse a los requisitos de certificación de la empresa que deben cumplirse.

Por ejemplo, si una empresa tiene una infraestructura de ciberseguridad y de TI muy diversa y extensa, es probable que el proceso de auditoría lleve más tiempo del habitual para un informe SOC completo. Otros factores que afectan al alcance de la auditoría, como el tipo, la ubicación y el número de usuarios de la empresa (es decir, in situ y fuera de las instalaciones), influirán en gran medida en el proceso de atestación.

En última instancia, sin embargo, el principal factor que afecta al plazo para completar el proceso SOC 2 depende del tipo de informe SOC 2 que su empresa haya seleccionado.

Contenido del informe final de auditoría SOC 2

El contenido del informe SOC 2 debe abarcar lo siguiente:

  • Afirmación de la dirección: garantizar que se obtiene la confirmación de la dirección de que todos los sistemas relacionados con los servicios prestados se describen de forma precisa y justa en el informe.
  • Informe del auditor: incluye un resumen de todas las pruebas realizadas, así como los resultados, incluida la opinión del auditor sobre la eficacia de los controles en relación con los criterios de los servicios fiduciarios (cuando se han establecido).
  • Visión general de los sistemas – Descripción detallada del servicio o sistema revisado.
  • Aplicabilidad de los criterios del servicio de confianza: describe todos los controles existentes, incluida la eficacia de los mismos, cuando se consideran los criterios del servicio de confianza.

SOC 2 y certificación

Para la certificación SOC 2 es fundamental que las organizaciones cumplan con los Criterios de Servicios de Confianza explicados anteriormente (Seguridad, Disponibilidad, Integridad de Procesamiento, Confidencialidad y Privacidad).

No todas las organizaciones completarán los cinco principios, ya que muchas empresas tendrán criterios que no son relevantes para su negocio en particular. Sin embargo, lo importante es que la organización elija los principios correctos en su solicitud de certificación SOC 2 que se ajuste al alcance de la auditoría.

Veamos un ejemplo. Su centro de datos sólo ofrece almacenamiento a los clientes para un cliente específico, ya que el cliente se encarga de todo el procesamiento de datos en su extremo. En este caso, se aplica el principio de seguridad y disponibilidad, pero no el de integridad del tratamiento. Además, si esos datos almacenados implican información personal, también se aplicaría el principio de privacidad.

ISO 27001 y SOC 2 trabajando juntos

Consulte nuestra comparación de ISO 27001 y SOC2

No deberíamos preguntarnos cuál de los dos marcos utilizar simplemente porque SOC 2 es un informe de auditoría mientras que ISO 27001 se diseñó como una certificación de normas establecida para crear un Sistema de Gestión de Seguridad de la Información específico. Esto significa que la SOC 2 puede verse como un resultado de la implementación de un SGSI ISO 27001.

La relación entre el SOC 2 y la ISO 27001 se puede ver de la mejor manera, ya que mientras la ISO 27001 no es obligatoria en un informe SOC 2, la realización de una implementación del SGSI ISO 27001 proporciona (con poco coste y esfuerzo) una base sólida para la preparación del informe SOC 2. Además, la confianza de los clientes aumenta aún más con el uso de ambos marcos, certificados como completados dentro de su organización.

Cómo ayuda Interfacing a aliviar la carga de la documentación SOC 2 e ISO 27001

Con la creciente complejidad de la gestión de los requisitos SOC 2, la organización de la información en una ubicación central es cada vez más importante. Cuando un auditor acude a las instalaciones, evaluará la supervisión que la dirección hace de sus proveedores de servicios externos, así como los propios controles de la empresa. La mayor parte de este descuido gira principalmente en torno a la documentación y la capacidad de revisarla. Demostrar esto a un auditor significa proporcionarle un sistema de gestión de registros que pueda recurrir a la velocidad de acceso al quién, cuándo y cómo de los objetivos de las operaciones de la organización.

La automatización de los flujos de trabajo de documentación se basa en esto. La creación de un ecosistema de datos seguro y protegido es nuestro compromiso para que su organización consiga una certificación SOC 2 o ISO 27001 con éxito.

¿Por qué Interfacing?

El Sistema de Gestión Integrado (IMS) digital de Interfacing le proporciona una herramienta para controlar el cumplimiento ayudándole a gestionar la auditoría, la evaluación, la no conformidad, el CAPA, la formación y la ejecución de sus procesos empresariales subyacentes. IMS admite la documentación de control, las pruebas de control, la automatización de auditorías y mucho más para satisfacer la certificación SOC 2. En última instancia, esto hará que el cumplimiento sea más fácil y transparente en toda la organización.

Sólo nuestro Sistema de Gestión Integrado proporcionará a su empresa la capacidad de supervisar y gestionar de forma automática y continua sus iniciativas de cumplimiento. La implantación de controles asociados a los procesos y las tareas garantiza el cumplimiento de los requisitos, mientras que el seguimiento y la documentación automáticos de todos los cambios en los procesos ofrecen a la dirección una supervisión completa.

Si desea ver más o conversar cómo Interfacing puede ayudar a su organización, asegúrese de hacer clic a continuación.

Contáctenos más para más información.

desarrollo rápido de aplicaciones de bajo código

Auditoría y Cumplimiento

Gobierne eficazmente la complejidad de su negocio y la transformación continua mediante soluciones de gestión de la calidad, el rendimiento y el cumplimiento basadas en procesos.

cumplimiento y riesgo

Servicios de gestión de cumplimiento

La normativa es un elemento vital del proceso de control interno de cualquier organización, que ayuda a controlar el contenido y a reducir los costes.

desarrollo rápido de aplicaciones de bajo código

Obtenga transparencia con Enterprise Process Center®

El software Digital Twin Organization de Interfacing proporciona la transparencia y la gobernanza para mejorar la calidad, la eficiencia y garantizar el cumplimiento normativo.

desarrollo rápido de aplicaciones de bajo código

Lea nuestros blogs

¡Tómese un momento para leer blogs sobre GXP, cumplimiento normativo, tendencias actuales y mucho más!

Descubra cómo se beneficia su organización de una solución de Interfacing.

Un diferenciador clave de Interfacing con otras firmas de consultoría de transformación digital y empresarial es que Interfacing ofrece su propia solución tecnológica innovadora en apoyo de los programas de transformación. Las soluciones de software de Interfacing brindan la transparencia necesaria para reducir la complejidad, mejorar la ejecución y facilitar la agilidad y el cambio.

El sistema de manejo integrado de Interfacing es una ventanilla única para la gestión de programas de transformación. Sabemos que existe un entorno muy competitivo. Es por esa razón que nuestra fortaleza está en nuestro compromiso de mantener la flexibilidad durante todo el ciclo de vida del proyecto, ya sea en nuestros productos innovadores o en nuestro equipo de expertos.