Tipos de reportes SOC 2 y sus diferencias

Expertos en hacking ético afirman que empresas de cualquier rubro subcontratan cada vez más servicios como el almacenamiento de datos y el acceso a las aplicaciones a proveedores de servicios en la nube. Como respuesta a este hecho, el Instituto Americano de Contadores Públicos Certificados (AICPA) estableció el marco de los Controles de Organización de Servicios (SOC), una norma para los controles que salvaguardan la privacidad y confidencialidad de la información que se almacena y procesa en la nube.

Las organizaciones deben cumplir con las demandas constantes y cambiantes del entorno en el que sus clientes se establecen. Si los clientes o prospectos de una de estas organizaciones solicitan un informe SOC 2 (una auditoría que mide la eficacia del sistema de un Centro de Operaciones de Seguridad, según los principios y criterios de servicios de confianza de AICPA Trust Service Principles and Criteria), el proceso para su elaboración generalmente implica tres pasos:

Paso 1: Evaluación de preparación

Una evaluación de preparación ayudará a su organización a prepararse para una auditoría SOC 2. Utilizada como evaluación interna, este paso proporciona a su organización una hoja de ruta para prepararse para una auditoría SOC 2 al identificar sus controles actuales según los requisitos de SOC 2, identificar las lagunas en el control y hacer recomendaciones para cerrar las brechas en función de su negocio específico.

Paso 2: Informe SOC 2 Tipo 1

Después de una evaluación de preparación, la mayoría de las organizaciones buscan un informe SOC 2 Tipo 1. Con este informe, los controles de una organización se evalúan en un momento específico. La ventaja del informe SOC 2 Tipo 1 es que su organización puede obtener un informe SOC 2 en un momento específico en lugar de durante un período de auditoría (como con un informe SOC 2 Tipo 2). Un informe de Tipo 1 actúa como una captura de pantalla del entorno de una organización para determinar y demostrar si los controles están diseñados y en el lugar adecuado.

La auditoría SOC 2 Tipo 1 también es una oportunidad para validar que las lagunas identificadas durante la evaluación de la preparación fueron remediadas y cumplen con los estándares de auditoría SOC 2. Por ejemplo, si durante la evaluación de preparación se descubre que los cambios en el sistema no fueron documentados, durante el SOC 2 Tipo 1 se seleccionará un cambio reciente del sistema para determinar si siguió el proceso de gestión de cambios definido y documentado.

Si se trata de un informe de primer año de actividades, especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética recomiendan que las organizaciones comiencen su periodo de cumplimiento con un informe de Tipo 1, y luego pasar a un Tipo 2 en el siguiente período de auditoría.

Paso 3: Informe SOC 2 Tipo 2

Para un informe SOC 2 Tipo 2, los controles de su organización se evalúan durante un período de tiempo, generalmente un período de revisión de doce meses. Un Informe SOC 2 Tipo 2 actúa como una revisión histórica de los sistemas de una organización para determinar y demostrar si los controles están diseñados y en su lugar, y si funcionan de manera efectiva a lo largo del tiempo.

Dado que, acorde a expertos en hacking ético, un informe de Tipo 2 es más completo que un informe de Tipo 1, a menudo proporciona a los clientes un mayor nivel de seguridad y se ha convertido en la expectativa estándar de los clientes y prospectos. A partir de entonces, se obtiene un informe SOC 2 Tipo 2 anualmente.