Por: CP Iván Rodríguez. Colaborador de Auditool
El auditor y la certificación SOC 2[1]
Una certificación de controles de organización de servicios (SOC 2) es una auditoría independiente de las prácticas de seguridad de su organización. Cuando una empresa supera una auditoría SOC 2, está mostrando tanto a clientes potenciales como a los existentes, que tiene prácticas sólidas de ciberseguridad y gobierno organizacional. Una certificación SOC 1 se refiere a los controles financieros, y una certificación SOC 3 es similar a un resumen de una certificación SOC 2. La certificación SOC 2 se otorga después de que un auditor independiente acredite que existen controles o que los controles que existen funcionan eficazmente; así mismo, que los controles que ha identificado cumplen los criterios establecidos. Normalmente la certificación SOC 2 comienza con los criterios de Servicios de Confianza de Seguridad; sin embargo, si es relevante para su organización, puede agregar los criterios de servicios de confianza para la privacidad, confidencialidad, integridad de procesamiento y disponibilidad.
Tipos de certificaciones SOC
Hay dos tipos de certificaciones SOC 2: un Tipo 1, que se traduce en una auditoría en una fecha convenida con el cliente y un Tipo 2, que se centra en cómo funcionan los controles durante un período de tiempo. Tanto para un Tipo 1 como para un Tipo 2, el auditor evaluará:
- Si la descripción del sistema, muestra con precisión el servicio que se proporciona y que es legible para un usuario típico del servicio.
- Qué tan bien están diseñados los controles para cumplir con los criterios de servicios de confianza. Para el efecto, los auditores recorren los controles y prueban una muestra para cada control.
- Si hay suficiente cobertura de control para abordar los criterios relevantes. Un buen auditor identificará controles adicionales si considera que la cobertura es ligera en un área; sin embargo, no pueden crear ni operar ningún control para el cliente.
Para un tipo 2, el auditor también probará muestras para cada control para determinar si los controles funcionan eficazmente durante un período de tiempo. El período de tiempo más común para una auditoría es de 12 meses, pero otros factores pueden señalar un período de tiempo más corto.
Necesidad de la certificación SOC 2
La razón más común por la que una organización obtiene una certificación SOC 2 es porque tiene ingresos potenciales en línea en forma de una oportunidad de ventas crítica. Los departamentos de adquisiciones de muchas organizaciones requieren algún tipo de certificación de seguridad, como SOC 2 o ISO 27001. Perder una importante oportunidad de ventas generadoras de ingresos no es un bue escenario.
Otra razón común para obtener la certificación SOC 2 es simplemente cumplir con los términos de los contratos con los clientes. Si la organización en la que trabaja el auditor aún no tiene una certificación de seguridad estándar del sector, es conveniente que el auditor revise los contratos para asegurarse de que cumple los términos allí pactados. Estar incumpliendo un contrato es un riesgo.
Aparte de ganar las ventas o cumplir con los términos del contrato, otro impulsor para tener la certificación es la confianza de la marca para ganar más clientes. Tener la certificación SOC 2 en la página web muestra a los clientes potenciales que el programa de seguridad de la empresa se está cumpliendo con los estándares de buenas prácticas. Demuestra a los clientes que la organización se toma en serio la seguridad y ha realizado la inversión en prácticas de seguridad.
El auditor para SOC 2
Las empresas necesitan un auditor con experiencia, que debe estar en función del tamaño y la madurez de las medidas de seguridad (Privacidad, Confidencialidad, Disponibilidad, Integridad de Procesamiento).
Los auditores deben contar con un sólido proceso de revisión de calidad, que garantice así mismo un tiempo apropiado en la ejecución del trabajo y entrega de resultados. El auditor debe conocer los diferentes puntos de enfoque para poder evaluar apropiadamente los controles. Algunas empresas requieren al menos un control por punto de enfoque, mientras que otras están bien con una cobertura adecuada para cada principio[2]. No hay ningún requisito en la guía de que cada punto de enfoque se debe asignar a al menos un control. Para los controles más operativos, el enfoque uno a uno conduce a controles innecesarios y ocupados que no proporcionan ninguna capa o seguridad adicional.
El auditor debe entregar recomendaciones sobre cómo el cliente puede madurar su entorno de seguridad. Un buen auditor se reúne con el cliente después de la auditoría para sugerir áreas de mejora o procesos y tecnologías a considerar.
Tiempo para obtener la certificación
El tiempo para obtener la certificación SOC 2, desde la preparación hasta lograrla, puede tardar entre seis y 18 meses. Para el caso Tipo 1, puede ser de unas ocho semanas hasta unos nueve meses. El lapso de tiempo será una función de la madurez del programa de seguridad de la información, los recursos de seguridad disponibles (es decir, herramientas, un empleado dedicado o un consultor de confianza) y, en última instancia, la urgencia con la que necesita ser certificado para ganar la próxima gran venta.
Tips para el auditor
- El auditor debe verificar si la empresa ha establecido controles y procedimientos de gestión de cambios y acceso lógico sólidos y repetibles. Estas dos áreas suelen tener más margen para errores humanos o falta de supervisión.
- Es importante revisar si la empresa ha configurado prácticas de seguridad sólidas a tiempo. El cliente debe implementar buenas prácticas de seguridad lo antes posible.
- Confirme el tiempo de los controles. Si bien no hay una guía específica sobre cuándo deben estar en su lugar los controles, el auditor debe evaluar los controles anuales en un lapso de unos 90 días.
El proceso de certificación SOC 2 puede implicar algo de trabajo pesado para la compañía y para el auditor. Normalmente para la empresa, el trabajo pesado se produce antes de la primera auditoría. La preparación para una certificación SOC 2 es una inversión necesaria y dará más potencial de más ventas para la empresa al ganarse la confianza de sus clientes y le permite al auditor una interesante experiencia profesional que enriquece su conocimiento y experiencia.
[1] Basado en el artículo: https://www.corporatecomplianceinsights.com/selecting-soc-2-auditor/
[2] Los puntos de enfoque brindan detalles sobre las características que deben incluirse en el diseño, implementación y operación del control relacionado con el criterio. Hay alrededor de 200 puntos de enfoque asociados con los criterios comunes SOC 2 en los Criterios de servicios de confianza. Para las cinco categorías (seguridad, disponibilidad, integridad de procesamiento, confidencialidad y privacidad) donde se mapean los principios de COSO, hay 61 criterios con casi 300 puntos de enfoque
CP Iván Rodríguez -
Auditor y Consultor, Diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, Diplomado en Gerencia de la Calidad, Contador Público de la Pontificia Universidad Javeriana, con 20 años de experiencia en diversas empresas. Amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool
Bogotá DC, Colombia