Auditoría Externa

¿Qué es la auditoría SOC 2?

Detalles

Por: CP Iván Rodríguez. Colaborador de Auditool 

Una auditoría de los Controles de Servicio y Organización 2 (service organization control 2 – SOC 2 por sus siglas en inglés) es una herramienta eficaz para evaluar los controles de seguridad de un proveedor. Es un estándar internacional desarrollado por el Instituto americano de contables públicos certificados (American Institute of Certified Public Accountants - AICPA  por sus siglas en inglés), que tuvo una actualización en marzo del 2018

La necesidad de una auditoría SOC 2 surge al considerar que cualquier proveedor de servicios, en particular los tecnológicos, puede representar una amenaza para sus clientes y la compañía que recibe el servicio requiere tener confianza en que no va a recibir afectaciones. La ciberseguridad se ha convertido en una parte crítica de la gestión de riesgos de los proveedores y una auditoría SOC 2  es una de las maneras de evaluar las amenazas de ciberseguridad.

Existen reportes de auditoría SOC 2 tipo 1 y SOC 2 tipo 2. En el caso tipo 1, la evaluación de los controles se efectúa en un momento específico. (como si fuese una fotografía), con el propósito de determinar si los controles están debidamente diseñados y son apropiados.

En el caso de los informes SOC 2 Tipo 2, los controles de la compañía son evaluados durante un período de tiempo, que puede abracar un año. Es una revisión histórica de los sistemas, para determinar si los controles están apropiadamente diseñados funcionan correctamente a lo largo del tiempo.

Ahora bien, las auditorías de SOC 2 abordan diferentes temas además de enfrentar un entorno en el cual el riesgo de ciberseguridad evoluciona constantemente, la regulación de protección de datos cambia con frecuencia, los roles que desempeñan los proveedores en los procesos empresariales son variables. En este entorno, se requiere una base o marco para ejecutar el trabajo.

La respuesta son los principios de servicios de confianza desarrollados originalmente por AICPA, conocidos también como principios fundamentales de seguridad:

  • Seguridad (¿Está bien protegido el proceso frente a accesos no autorizados?)
  • Privacidad (¿Se almacenamos datos personales y de qué manera?)
  • Integridad del proceso (¿están debidamente resguardados los datos e información que se intercambia entre cliente y proveedor?)
  • Confidencialidad (¿Hay restricciones de acceso a la información?)
  • (¿El proceso es funcional y opera en diferentes momentos?)

En la ejecución de una auditoría SOC 2, los auditores deben observan si en los procesos de los proveedores aplican estos principios y de ser así, de qué manera los cumplen. Esto permite determinar, en caso de que la empresa cumpla con muy pocos principios (o los incorrectos), que está en un estado de seguridad inferior, pues no hay suficientes controles para los riesgos de seguridad que plantean sus proveedores. También puede ocurrir que la empresa se encuentra en un estado de sobreseguro: demasiada mitigación (y recursos desperdiciados) para riesgos que en realidad no tiene.

Esto implica conocer claramente el tipo de relación con el proveedor y sobre esa base, indagar con el área de seguridad de TI en relación con controles y garantías. Así mismo, se debe consultar con los propietarios de procesos de negocio en la primera o segunda línea de defensa, la información y los recursos que puede usar el proveedor. También es importante tener en cuenta la función de cumplimiento; las fallas en ciberseguridad pueden tener consecuencias tales como multas y responsabilidades en litigios. En caso de operar internacionalmente, hay legislaciones de otros países por cumplir.

Una vez determinadas las debilidades de seguridad y generado el informe, hay que buscar las medidas correctivas y de mejora, de la misma manera que en cualquier auditoría, para reducir el riesgo del proveedor a niveles aceptables. El resultado de una auditoría SOC 2, con sus hallazgos y recomendaciones puede incorporarse en un sistema de gestión de riesgos y hacer seguimiento al progreso del proveedor.

Con una auditoría SOC 2 se contribuye a mitigar el riesgo de ciberseguridad con los proveedores y en tanto la auditoría conozca el tema, puede robustecer sus evaluaciones y apoyar de mejor manera el sistema de control interno de las compañías.

CP Iván Rodríguez 

Auditor y Consultor, Diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, Diplomado en Gerencia de la Calidad, Contador Público de la Pontificia Universidad Javeriana, con 20 años de experiencia en diversas empresas. Amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool

Bogotá DC, Colombia

 

Aviso Cookies

Usamos cookies en nuestro sitio web. Algunas de ellas son esenciales para el funcionamiento del sitio, mientras que otras nos ayudan a mejorar el sitio web y también la experiencia del usuario (cookies de rastreo). Puedes decidir por ti mismo si quieres permitir el uso de las cookies. Ten en cuenta que si las rechazas, puede que no puedas usar todas las funcionalidades del sitio web.

De acuerdo Rechazar
× Progressive Web App | Add to Homescreen

Para instalar esta Web App en su iPhone/iPad presione el ícono. Progressive Web App | Share Button Y luego Agregar a la pantalla de inicio.

Desconectado