Tipos de reportes SOC 2 y sus diferencias

Expertos en hacking √©tico afirman que empresas de cualquier rubro subcontratan cada vez m√°s servicios como el almacenamiento de datos y el acceso a las aplicaciones a proveedores de¬†servicios en la nube. Como respuesta a este hecho, el Instituto Americano de Contadores P√ļblicos Certificados (AICPA) estableci√≥ el marco de los Controles de Organizaci√≥n de Servicios (SOC), una norma para los controles que salvaguardan la privacidad y confidencialidad de la informaci√≥n que se almacena y procesa en la nube.

Las organizaciones deben cumplir con las demandas constantes y cambiantes del entorno en el que sus clientes se establecen. Si los clientes o prospectos de una de estas organizaciones solicitan un informe SOC 2 (una auditor√≠a que mide la eficacia del sistema de un Centro de Operaciones de Seguridad, seg√ļn los principios y criterios de servicios de confianza de AICPA Trust Service Principles and Criteria), el proceso para su elaboraci√≥n generalmente implica tres pasos:

Paso 1: Evaluación de preparación

Una evaluaci√≥n de preparaci√≥n ayudar√° a su organizaci√≥n a prepararse para una auditor√≠a SOC 2. Utilizada como evaluaci√≥n interna, este paso proporciona a su organizaci√≥n una hoja de ruta para prepararse para una auditor√≠a SOC 2 al identificar sus controles actuales seg√ļn los requisitos de SOC 2, identificar las lagunas en el control y hacer recomendaciones para cerrar las brechas en funci√≥n de su negocio espec√≠fico.

Paso 2: Informe SOC 2 Tipo 1

Despu√©s de una evaluaci√≥n de preparaci√≥n, la mayor√≠a de las organizaciones buscan un informe SOC 2 Tipo 1. Con este informe, los controles de una organizaci√≥n se eval√ļan en un momento espec√≠fico. La ventaja del informe SOC 2 Tipo 1 es que su organizaci√≥n puede obtener un informe SOC 2 en un momento espec√≠fico en lugar de durante un per√≠odo de auditor√≠a (como con un informe SOC 2 Tipo 2). Un informe de Tipo 1 act√ļa como una captura de pantalla del entorno de una organizaci√≥n para determinar y demostrar si los controles est√°n dise√Īados y en el lugar adecuado.

La auditoría SOC 2 Tipo 1 también es una oportunidad para validar que las lagunas identificadas durante la evaluación de la preparación fueron remediadas y cumplen con los estándares de auditoría SOC 2. Por ejemplo, si durante la evaluación de preparación se descubre que los cambios en el sistema no fueron documentados, durante el SOC 2 Tipo 1 se seleccionará un cambio reciente del sistema para determinar si siguió el proceso de gestión de cambios definido y documentado.

Si se trata de un informe de primer a√Īo de actividades, especialistas en¬†hacking √©tico¬†del Instituto Internacional de Seguridad Cibern√©tica recomiendan que las organizaciones comiencen su periodo de cumplimiento con un informe de Tipo 1, y luego pasar a un Tipo 2 en el siguiente per√≠odo de auditor√≠a.

Paso 3: Informe SOC 2 Tipo 2

Para un informe SOC 2 Tipo 2, los controles de su organizaci√≥n se eval√ļan durante un per√≠odo de tiempo, generalmente un per√≠odo de revisi√≥n de doce meses. Un Informe SOC 2 Tipo 2 act√ļa como una revisi√≥n hist√≥rica de los sistemas de una organizaci√≥n para determinar y demostrar si los controles est√°n dise√Īados y en su lugar, y si funcionan de manera efectiva a lo largo del tiempo.

Dado que, acorde a expertos en hacking ético, un informe de Tipo 2 es más completo que un informe de Tipo 1, a menudo proporciona a los clientes un mayor nivel de seguridad y se ha convertido en la expectativa estándar de los clientes y prospectos. A partir de entonces, se obtiene un informe SOC 2 Tipo 2 anualmente.