Cómo descifrar los informes SOC 2 de terceros
Cómo descifrar los informes SOC 2 de terceros
Descripción
En lugar de realizar una evaluación de riesgos completa basada en normas, algunos proveedores se limitan a presentar su informe SOC 2 más reciente. Sin embargo, para las organizaciones que carecen de experiencia y recursos, la interpretación de estos informes SOC 2 puede ser compleja y llevar mucho tiempo, por no hablar de la incoherencia con la forma en que se evalúa a otros proveedores.
¿Cómo simplificar el proceso de análisis de los informes SOC 2 y obtener lo necesario para visualizar los riesgos importantes de los proveedores?
Acompañe al experto en cumplimiento Thomas Humphreys:
- Deconstruye un informe SOC 2 típico, incluidos los cinco principios de los servicios de confianza.
- Explica cómo convertir las excepciones de control de los informes SOC 2 en riesgos en un marco común de riesgos y seguridad del proveedor.
- Describe las mejores prácticas para subsanar las deficiencias de control SOC 2 de un proveedor.
Vea este seminario web para aprender a analizar la eficacia de los controles de seguridad de un proveedor de forma coherente con el resto de su patrimonio de terceros.
¿Le interesa saber cómo puede ayudarle Prevalent? Solicite una demostración y una llamada estratégica para hablar de su proyecto con uno de nuestros expertos.
Altavoces
Thomas Humphreys
Experto en cumplimiento
Transcripción
Melissa Lent: Hello everyone. Melissa Lent: This is Melissa Lent. Melissa Lent: I’m the director of education at OAG and I’d like to welcome you to our webcast today during which we will present how to decode third-party SOCK 2 reports. Melissa Lent: We are glad you can join us for this event. Melissa Lent: Instead of completing a full standardsbased risk assessment, some vendors simply submit their most recent SOCK 2 report. Melissa Lent: However, for organizations that lack the expertise and resources. Melissa Lent: Interpreting these SOCK 2 reports can be complex and timeconuming, not to mention inconsistent with how other vendors are assessed. Melissa Lent: How do you simplify the process of analyzing SOCK 2 reports and get what you need to visualize important vendor risks? Melissa Lent: We are glad you can join us as we discuss how to analyze the effectiveness of a vendor’s security controls consistently with the rest of your third party estate. Melissa Lent: For our discussion today, we are joined by our speaker Thomas Humphre, compliance expert and content manager with prevalent. Melissa Lent: We are very pleased to be joined by Thomas as he shares his insight on analyzing the effectiveness of a vendor’s security controls and how to decode third-party SOCK 2 reports. Melissa Lent: But before we start, I’d like to take a minute to go over a few housekeeping notes. Melissa Lent: First, regarding continuing education credit, we provide NASBA approved CPE credit to you for participation in live webinars. Melissa Lent: If you have an OG All Access Pass, which you can purchase individually or as part of a company subscription, the All Access Pass includes many benefits in addition to CPE credit for webcasts, such as access to all OEG resources and ondemand education series. Melissa Lent: So, if you don’t already have a pass, I would encourage you to check it out on the OEG site. Melissa Lent: If you do have an all access pass and would like a certificate of completion for CPE for this event, please be sure to stay with us. Melissa Lent: for the entire hour and to answer all the polls. Melissa Lent: These are requirements for receiving CPE credit for this event. Melissa Lent: And please note, certificates of completion for CPE credit are available only for live events. Melissa Lent: They are not available for viewing archived webinars. Melissa Lent: Second, regarding the recording from this webcast, we will have the recording of this event posted on the OSC website. Melissa Lent: Just log into the site, then go to the webinars tab and select past webinar recordings and then this webcast. Melissa Lent: This recording may be viewed by anyone for about one week and after this time the recording may be viewed by anyone with an all accessess pass. Melissa Lent: Third, regarding upcoming events and activities, please watch your email for announcements from Og about other upcoming webinars. Melissa Lent: You can view information about these upcoming webcasts on the OEG site. Melissa Lent: So today we will address the following learning objectives. Melissa Lent: We will learn how to deconstruct a typical SOCK 2 report including the five trust services principle. Melissa Lent: Explain how to map SOCK 2 report control exceptions into risks in a common vendor risk and security framework. Melissa Lent: Describe best practices to remediate a vendor’s SOCK 2 control deficiencies and determine how to create an agile, integrated, and techdriven compliance program. Melissa Lent: But before we hand over the presentation to our speaker, we’d like to offer our first poll. Melissa Lent: And again, please be sure to answer this poll if you are interested in receiving CPE credit for this event. Melissa Lent: The first poll question is, “Do you have an OAG all accessess pass, which is a paid membership, and would you like to receive CPE credit for this event?”. Melissa Lent: Your options here are yes, I have an all access pass and I would like to receive a CPE certificate of completion for this event. Melissa Lent: I have an all access pass, but I don’t need a CPE certificate of completion. Melissa Lent: No, I do not have an all access pass, but I would like to get one and receive CPE credit for this. Melissa Lent: And future webcasts I attend or no I do not have an all access pass and I don’t want to buy one at this time so I won’t receive CPE credit for this event. Melissa Lent: As you are answering this poll I’d like to hand over the quest the presentation to Thomas to begin our discussion today.
Thomas Humphre: Muchas gracias y uh hola a todos. Thomas Humphre: Mi nombre es Thomas Humphre. Thomas Humphre: Soy el director de contenidos de Prevalent. Thomas Humphre: Trabajo para construir varias evaluaciones y marcos basados en muchos estándares. Thomas Humphre: no menos importante incluyendo SOCK 2. Thomas Humphre: Um, y como se ha indicado, estoy aquí hoy para realmente ir a los apretones con um, la comprensión de lo que un informe SOCK 2 se trata y ser capaz de digerir los temas pertinentes y los aspectos que nos permitan ayudar a um, entender uh, uh, los riesgos um, y las excepciones en los informes y la forma de arraigar en nuestra más amplia gestión de riesgos de terceros programa de gestión de riesgos. Thomas Humphre: Así que vamos a hacer un comienzo con una introducción a las evaluaciones SOCK 2. Thomas Humphre: Así que SOCK o sistema de organización y controles um son uh es un conjunto de marcos que permite a las organizaciones demostrar um seguridad um y en algunos casos los controles de privacidad en contra de sus propias operaciones, sistemas, información y la eficacia de esos controles. Thomas Humphre: Así que los informes son informes que son proporcionados por uh organismos independientes, organismos de auditoría independientes. Thomas Humphre: Um y se pueden dividir en dos tipos, tipo uno y tipo dos. Thomas Humphre: Un informe de tipo uno um es un informe que se entrega en un momento en el tiempo por un auditor. Thomas Humphre: Y se centra mucho en el diseño de los controles. Thomas Humphre: A menudo se encuentra que las organizaciones que se someten por primera vez a un sock suelen empezar con un informe de tipo uno um porque da um confianza para desarrollar y demostrar que los controles se han diseñado adecuadamente um políticas, procesos um y se han establecido grupos de control. Thomas Humphre: Los informes de tipo dos son más largos, más extensos y proporcionan más detalles tanto al auditor como a la organización auditada y a un público más amplio. Thomas Humphre: clientes, reguladores, cualquier otra persona que pueda recibir o solicitar un informe de calcetín. Thomas Humphre: El propósito del tipo dos es en gran medida examinar la eficacia operativa de los controles y, como tal, se entrega durante un período más largo, por lo general hasta seis meses. Thomas Humphre: El propósito es, por supuesto, que un auditor que vea los controles tenga confianza y se asegure de que los controles que se han diseñado funcionan eficazmente. Thomas Humphre: Um um y la mayoría de las veces se necesita un plazo razonable con el fin de hacer eso.
Thomas Humphre: Así, por ejemplo, cuando una organización ha diseñado controles en torno a la gestión de cambios, gestión de incidentes um y planificación de la capacidad que necesitan para ser capaces de profundizar en los detalles de los cambios existentes y cómo los cambios se están gestionando, por ejemplo, o cómo la capacidad está afectando a los sistemas y por lo que es en gran medida el propósito del tipo uno o el informe de tipo dos. Thomas Humphre: Así que la eficacia del diseño y la eficacia operativa. Thomas Humphre: Así que se entregan por auditores independientes y organismos de auditoría que han sido uh certificado para llevar a cabo um tales evaluaciones. Thomas Humphre: Cuando se trata de calcetín en sí, hay una gran cantidad de estructura en torno a ella sobre la base de cinco grupos de control clave lo que se denomina el servicio de confianza criterios y esto es criterios que vamos a tocar más adelante. Thomas Humphre: Estos establecen una serie de controles no muy diferentes a otras normas y marcos reconocidos. Thomas Humphre: Cualquiera que esté familiarizado con ISO 27.000 por ejemplo o NIST o ISF um otros marcos de seguridad de la información o ciberseguridad reconocerá algunos puntos en común aquí con el tipo de controles que están siendo identificados y evaluados. Thomas Humphre: Así que hay una serie de grupos de control que los auditores utilizan um para validar contra la organización. Thomas Humphre: Um, pero es importante tener en cuenta en este momento y como veremos más adelante en el webinar que no siempre es necesario que cada grupo de control sea evaluado contra una organización en particular. Thomas Humphre: Cuando se trata de determinar el alcance de la evaluación, SOCK 2 permite a las organizaciones adaptar la evaluación en función de sus productos y servicios. Thomas Humphre: Y como veremos, hay algunos grupos de control uh que las organizaciones consideran no aplicables al negocio. Thomas Humphre: um si eso se basa lógicamente en la naturaleza del producto y servicio que están viendo o si hay otros factores que impulsan um el alcance y cercar el alcance de la evaluación. Thomas Humphre: Así que SOCK 2 es un enfoque estructurado que establece un marco para permitir a las organizaciones demostrar las mejores prácticas y la seguridad de la información, la seguridad cibernética um y en algunos casos la privacidad um que más a menudo no se utiliza um uh y y entregado a su base de clientes más amplia y y otras partes interesadas externas. Thomas Humphre: Así que es importante ahora tal vez echar un vistazo más amplio en el concepto de la media 2 informe en sí.
Thomas Humphre: Así que ya he mencionado um que hay dos tipos de informes y que hay um que hay um evaluados y entregados por auditores independientes. Thomas Humphre: Um Sin embargo, una de las áreas clave que tenemos que dejar claro y que puede llegar a ser evidente cuantos más informes reciba es que pueden tener un aspecto muy muy diferente dependiendo del organismo auditor. Thomas Humphre: La forma en que estructuran el informe puede ser ligeramente diferente y esto puede causar confusión a veces para decir bueno, si estamos recibiendo dos informes necesitamos obtener el mismo detalle sobre si el alcance coincide con la prestación de servicios que este proveedor nos está proporcionando. Thomas Humphre: ¿Somos capaces de determinar si hay excepciones o no conformidades uh que tenemos que prestar mucha atención? Thomas Humphre: Sin embargo, a pesar de la diferencia en el diseño y la presentación de cada informe, normalmente hay cinco áreas que contendrá cada informe. Thomas Humphre: Algunos serán más detallados que otros, pero aun así deben tener estas cinco áreas. Thomas Humphre: Y si entendemos cuáles son estas cinco áreas y eres capaz de identificarlas dentro de un informe. Thomas Humphre: Es mucho más fácil tratar de entender si debemos preocuparnos por esta organización basándonos en los riesgos percibidos o en los riesgos conocidos, o si es un informe limpio de salud con las normas de mejores prácticas que han implementado. Thomas Humphre: Así que en la parte izquierda de la pantalla se ven cinco viñetas, el resumen del auditor y una visión general de los procesos y sistemas de operaciones de la organización, el alcance del informe y los criterios del servicio de confianza, las actividades de control y la auditoría de validación y respuesta de la dirección. Thomas Humphre: En el lado derecho, tenemos una muestra de la tabla de contenidos que muestra algunas de las áreas pertinentes que vemos en un en un informe de tipo calcetín 2 dos. Thomas Humphre: Así que cuando se trata del resumen del auditor, ¿qué estamos viendo aquí? Thomas Humphre: Como en muchos informes, suele haber un resumen ejecutivo de alto nivel que sirve de introducción al informe en su conjunto y en el que el auditor presenta un resumen de los resultados y una visión general de su metodología de evaluación. Thomas Humphre: Pueden incluir aspectos sobre las excepciones que han identificado. Thomas Humphre: En algunos casos ya informan sobre el alcance específico de la media 2.
Thomas Humphre: a los aspectos de los criterios de confianza con los que han evaluado a la organización. Thomas Humphre: Así que da una visión muy ejecutiva de alto nivel de lo que ha sucedido y el rendimiento general um de la organización cuando han sido evaluados. Thomas Humphre: Pasando a la visión general de las operaciones de organización, procesos y sistemas, vale la pena destacar la sección tres sólo para subrayar el alcance y la profundidad uh que esta sección ir a. Thomas Humphre: Como se puede ver, hay un montón de uh subcontroles, subcláusulas aquí que cubren un gran volumen del informe. Thomas Humphre: Y el propósito aquí es realmente entrar en detalle de lo que los procesos, la interrelación entre los procesos, lo que los sistemas de la empresa utiliza y opera con um y cómo esos procesos y sistemas interactúan entre sí. Thomas Humphre: Así que esto podría ser de alto nivel desde una perspectiva de fondo de la empresa dando una visión general de lo que hace la organización. Thomas Humphre: Los productos y servicios que suministra, tal vez las zonas geográficas en las que opera la organización. Thomas Humphre: A continuación, algunos de los detalles más granulares en torno a los procesos básicos que utilizan. Thomas Humphre: Procesos de evaluación de riesgos, procesos que permiten la supervisión, procesos de información y comunicación, el propio entorno de control. Thomas Humphre: Podemos profundizar un poco más en la capacidad técnica de la organización. Thomas Humphre: Así que si utilizan sistemas de costura para el seguimiento de eventos, si tienen evaluaciones de vulnerabilidad y pruebas de penetración, y si llevan a cabo copias de seguridad de la información y el tipo de sistemas de copia de seguridad que utilizan. Thomas Humphre: Así que puede ser bastante abrumador al principio cuando se ve este volumen de información, ya que realmente puede entrar en mucha profundidad y algunos organismos de auditoría independientes deciden ir a ese nivel de profundidad y que representa en algunos casos la complejidad de la organización. Thomas Humphre: ¿Por qué es importante? Thomas Humphre: Bueno, obviamente cuando recibimos un informe de un proveedor, una de las cosas clave que tenemos que asegurarnos es que el alcance contra el que se ha evaluado se vincula o se alinea con el alcance del servicio que el tercero nos está proporcionando, el tipo de producto y servicio y la prestación de servicios.
Thomas Humphre: Um si el alcance um en realidad cae fuera y está muy cercado para una parte diferente de las operaciones en lugar de lo que esta tercera parte está proporcionando a nosotros. Thomas Humphre: Va a prevenir una diferencia entonces presenta un enfoque completamente diferente sobre la forma en que interactuamos con ese tercero. Thomas Humphre: Particularmente si hay sistemas que sabemos que no han sido cubiertos um no han sido evaluados para los controles de seguridad o controles de privacidad, por ejemplo. Thomas Humphre: Si no se menciona ya en el resumen del auditor, habrá una sección que se refiera al alcance del informe y esta es una de las partes más importantes que hay que identificar en primer lugar. Thomas Humphre: Porque detallará los grupos de control exactos que han sido evaluados por el auditor. Thomas Humphre: Así que como veremos en breve hay cinco grupos de control y en esta etapa tendremos una idea de si los cinco han sido identificados si uno ha sido evaluado o múltiples um en el medio. Thomas Humphre: Pasemos entonces a las actividades de control y validación de la auditoría. Thomas Humphre: Aquí es donde entramos en el detalle de esos controles y empezamos a identificar cuál es el control, cómo ha respondido la empresa o cómo ha utilizado ese control y luego la respuesta del auditor a su visión y su análisis de los controles y si hay excepciones o no que también se capturan. Thomas Humphre: Si hay excepciones, y más adelante explicaré qué es una excepción, también habrá algún tipo de respuesta de la dirección en el informe. Thomas Humphre: Y esto es bastante crítico porque cuando estamos mirando a través de las actividades de control y si estamos contando e identificando donde se han identificado excepciones. Thomas Humphre: En esta fase, puede que ya se haya gestionado un control porque a través de la respuesta de la dirección la organización tiene la capacidad y la oportunidad de explicar si ya existe un plan de acción para abordar los hallazgos que se han planteado. Thomas Humphre: Puede que haya más aclaraciones, como que un control que puede ser considerado una excepción y no es visible haya sido capturado en otra parte.
Thomas Humphre: Así que es un buen punto y la oportunidad desde el lado de la gestión para reconocer y poner en su lugar y dejar constancia de la el enfoque de la organización va a tomar um o validación y verificación de los controles y las actividades que ya se han puesto en marcha. Thomas Humphre: Así que una vez que recibamos un nuevo informe de calcetín si ya podemos identificar estas cinco áreas desde el resumen a través del alcance de las actividades de control y cualquier respuesta ya debería ponernos en una posición mucho mejor para llegar al corazón de lo que ha sido capturado y cubierto y hay algún riesgo o no que tenemos que tener en cuenta. Thomas Humphre: Así que he mencionado los cinco criterios de servicio de confianza um uh varias veces y he destacado que las organizaciones um son capaces de alcance sobre la base de estos criterios cruzados. Thomas Humphre: Así que tenemos cinco grupos clave: seguridad, confidencialidad, procesamiento, integridad, disponibilidad y privacidad. Thomas Humphre: ¿Cuáles son estos cinco grupos? Thomas Humphre: Como he mencionado, en una línea similar a la de ISO y NIST, se trata de grupos de alto nivel bajo los cuales hay una serie de controles que las organizaciones evalúan. Thomas Humphre: Así que vamos a ir a través de cada uno. Thomas Humphre: Así que desde la seguridad que estamos buscando en los controles para proteger contra el acceso no autorizado, el cierre de disco no autorizado de la información y los daños a los sistemas. Thomas Humphre: Así que casi todos los informes SOCK 2 tendrán la seguridad en su ámbito de aplicación. Thomas Humphre: Aunque depende de las organizaciones determinar qué grupos de control quieren cubrir y en discusión con los auditores y el organismo auditor, la mayoría de las veces encontramos que la seguridad, siendo el grupo de control más grande, es también el que más se cubre. Thomas Humphre: Entonces, ¿qué tipo de controles estamos viendo aquí? Thomas Humphre: Así que la protección contra el acceso no autorizado, la divulgación de información y daños a los sistemas. Thomas Humphre: Así que estamos viendo todo, desde el acceso lógico y físico a la encriptación de datos y copias de seguridad a algunos controles de gobierno, el establecimiento de funciones y responsabilidades, los marcos de gestión de riesgos um y y otros físicos similares um y y los controles lógicos. Thomas Humphre: Así que es muy technologyheavy.
Thomas Humphre: Hay muy seguridad impulsada um pero tener una agrupación entre s de lado de la gobernanza y los controles de confidencialidad lado técnico para proteger la información diseñada o identificados como confidenciales y en esta etapa también voy a traer en el último grupo de control de privacidad, así que hay una sutil diferencia entre los dos privacidad como era de esperar el enfoque es en gran medida de los datos personales por lo que pensar en PII SPI cualquier dato personal sensible datos médicos cualquiera de los datos que se considera personal Um mucho la atención se centra en los controles para proteger contra la forma en que se asegura, la forma en que se maneja. Thomas Humphre: Um tener uh oficiales de control de datos, por ejemplo, en el lugar y las respuestas para la violación de datos uh gestión. Thomas Humphre: La confidencialidad, sin embargo, se centra más en la información que no se considera datos personales. Thomas Humphre: Eso puede significar confidencial de la empresa. Thomas Humphre: Um así que esto podría ser información propietaria, esto podría ser propiedad intelectual, esto podría ser otra información o sistemas de información que se clasifican bajo la bandera de la confidencialidad. Thomas Humphre: Y así los controles aquí se centran en la protección de esa información confidencial. Thomas Humphre: Así que la protección contra la destrucción, la protección en términos de la forma en que se está manejando y donde se está almacenando. Thomas Humphre: Así que hay una sutil diferencia allí. Thomas Humphre: Hay una clara distinción para las empresas que eligen uh ese grupo de control. Thomas Humphre: A continuación, pasar a la integridad de procesamiento y la disponibilidad. Thomas Humphre: Um así que la integridad um y de nuevo hay un hay un cualquiera de una mentalidad ISO reconocerá estos términos. Thomas Humphre: Así que la garantía de calidad de los datos. Thomas Humphre: Asegurar que el procesamiento del sistema es preciso, oportuno y válido. La información y los sistemas están disponibles y accesibles en todo momento. Thomas Humphre: Desde el punto de vista de la integridad del procesamiento, hay que asegurarse de que los datos se procesan de la forma en que se transfieren. Thomas Humphre: No hay nada que interrumpa y y y uh interrumpe la forma en que los datos um se estructura, por ejemplo. Thomas Humphre: Mientras que la disponibilidad necesita asegurarse de que los datos están disponibles en todo momento y son accesibles para aquellos que necesitan tener acceso a ellos. Thomas Humphre: Así que algunos controles de acceso um están muy a la orden del día cuando se trata de establecer disponibilidad um um grupos de control.
Thomas Humphre: Ahora, es clave reiterar aquí que es la organización quien identifica el alcance. Thomas Humphre: Um, y se plantea una pregunta, bueno, ¿por qué no capturar todos los ámbitos? Thomas Humphre: ¿Por qué no los cinco grupos? Thomas Humphre: Um, eh, ¿no es el caso de que cada empresa debe adherirse a la seguridad a través de la privacidad? Thomas Humphre: Y la respuesta es no. Thomas Humphre: Por supuesto, depende mucho de ellos. Thomas Humphre: Y hay varias razones detrás de esto. Thomas Humphre: Así que, por un lado, cuando una organización se propone lograr la acreditación Sock 2 o en astation um tiene que ver dónde encajan estos controles dentro de su organización. Thomas Humphre: Así que si, por ejemplo, sobre la base de la prestación de productos y servicios de la empresa no interactúan con o manejar los datos personales en cualquier capacidad que sólo parece correcto que los grupos de control de privacidad no son relevantes. Thomas Humphre: Del mismo modo si están manejando uh sistemas que son sensibles uh que están capturando información confidencial del cliente. Thomas Humphre: Uh tal vez ellos estan ellos estan ellos estan proporcionando esos sistemas pero tambien introduciendo esa informacion um en nombre del cliente. Thomas Humphre: De nuevo, parece correcto que el grupo de control de confidencialidad sea incluido. Thomas Humphre: Y por lo tanto depende mucho del alcance um de lo que el negocio opera bajo, el alcance de lo que están realizando. Thomas Humphre: Pero también es importante pensar en el alcance en términos de uh las áreas que necesita ir para la acreditación Sock 2 para si en virtud de un contrato, por ejemplo, hay una necesidad de llamar a um y y para recibir Sock 2 en una estación puede ser muy ring fence debido a un determinado tipo de producto o servicio ya través de esa determinación de ring fencing que es parte de la empresa en lugar de ser todo lo que abarca que en sí mismo puede identificar los mejores grupos de control que necesitan ser uh capturado um y evaluados por los auditores Así que antes de seguir adelante, sólo tengo un uh una segunda pregunta de sondeo aquí. Thomas Humphre: ¿Está pensando en aumentar o establecer un programa de riesgo de terceros en los próximos meses? Thomas Humphre: Podemos responder sí, no, o no estoy muy seguro. Thomas Humphre: De acuerdo. Thomas Humphre: Por lo tanto, ¿está buscando para aumentar o establecer por primera vez un programa de riesgo de terceros um um a través de los próximos meses? Thomas Humphre: Así que ahora pasar a echar un vistazo a las excepciones y lo que significa una excepción en el concepto de calcetín 2, sino también pensando en cómo gestionar los riesgos y la forma de interactuar con um su programa de terceros.
Thomas Humphre: Así que en la pantalla aquí podemos ver una muestra de los criterios tomados de un informe de calcetín que captura un control en particular. Thomas Humphre: En este caso mirando CC 3.4 que viene de los criterios de servicio de confianza y podemos ver un desglose de lo que es el criterio. Thomas Humphre: Así que lo que la organización está obligada a hacer la respuesta de la organización. Thomas Humphre: Así que lo que controla lo que la política ve lo que los procesos que han implementado para cumplir con esos criterios. Thomas Humphre: Luego las pruebas del auditor. Thomas Humphre: Qué técnicas de validación y verificación, qué pruebas, qué inspecciones o entrevistas han llevado a cabo para asegurarse de que lo que la organización ha dicho coincide con los criterios y, a continuación, los resultados finales del auditor. Thomas Humphre: Así que en el primer caso si nos fijamos en la actividad de control de modo que la empresa identifica y evalúa los cambios que podrían afectar significativamente el sistema de control interno y si la organización ha declarado que así los cambios en la estructura empresarial y las operaciones son considerados y evaluados como parte de una evaluación anual de riesgos. Thomas Humphre: Así que la organización considera los cambios empresariales y operativos como parte de su programa más amplio de evaluación de riesgos um y y y registros de riesgos. Thomas Humphre: Así que dado que esto es lo que la organización ha dicho podemos ver que los evaluadores ahora inspeccionan las hojas de trabajo de evaluación de riesgos. Thomas Humphre: Ellos han mirado las revisiones de riesgo más recientes y y y evaluaciones de riesgo y ellos han apuntado a verificar que cualquier cambio a la estructura del negocio y o las operaciones han sido consideradas y evaluadas. Thomas Humphre: En este primer caso, observamos una excepción. Thomas Humphre: Así que hay una falta de visibilidad para la identificación de la estructura empresarial o cambio operativo como parte de la evaluación anual de riesgos. Thomas Humphre: Así que en este caso, El auditor ha entrado, ha revisado la documentación de riesgo, ha tenido en cuenta las actividades que la organización ha especificado, pero no han podido encontrar nada que valide uh los auditores las declaraciones de la organización frente al primer resultado. Thomas Humphre: Como puede ver, no se han observado excepciones. Thomas Humphre: Así que han inspeccionado de nuevo la evaluación de riesgos. Thomas Humphre: Han inspeccionado uh el requisito en este caso el cambio a la reglamentación o económica o física entornos y han visto pruebas que sugieren que no hay más excepciones señaladas. Thomas Humphre: No hay cuestiones que plantear sobre no conformidades.
Thomas Humphre: En segundo lugar, estamos viendo un control diferente aquí donde la organización ha construido un análisis instantáneo de seguridad que se realiza para cualquier instancia crítica con el fin de determinar el impacto de la causa raíz e identificar y llegar a algún tipo de resolución. Thomas Humphre: Y de nuevo, podemos ver que el auditor ha indicado que en la inspección de la seguridad o incidentes críticos de seguridad. Thomas Humphre: No ha habido ninguna causa raíz, ningún impacto en el sistema o resolución que haya sido documentada. Thomas Humphre: Por lo tanto, tenemos un claro ejemplo de una organización indicando aquí está nuestro proceso de trabajo. Thomas Humphre: Esto es lo que hacemos y estos son los pasos que tenemos que dar. Thomas Humphre: Pero ahora, tenemos pruebas que demuestran que esos pasos no se han dado. Thomas Humphre: Ahora, una de las cosas clave que es importante tener en cuenta aquí uh que es uh puede ser percibido como falta frente a otras evaluaciones y tipos de evaluación está fuera de la excepción que se señala. Thomas Humphre: No hay ninguna indicación de la gravedad de esto. Thomas Humphre: Tenemos una declaración y tenemos una excepción. Thomas Humphre: No tenemos ninguna otra indicación de si son de misión crítica. Thomas Humphre: Um, ¿son lo que podríamos llamar riesgos críticos altos, medios o bajos o riesgos rojos, cualquiera que sea la metodología para definir esa excepción. Thomas Humphre: Y eso es importante. Thomas Humphre: saber dentro de las evaluaciones SOCK 2 um podemos encontrar y y esperamos llegar a una etapa en la que podamos consolidar una lista de diferentes excepciones um si hay alguna que el auditor haya identificado. Thomas Humphre: Um, pero no podemos llegar al nivel de si consideramos que el auditor lo ha considerado un riesgo crítico y aquí es donde traerlos a nuestro propio programa de riesgos puede ayudar a definirlo. Thomas Humphre: Uh hay casos, por supuesto, cuando vemos en los informes de calcetín dos donde no hay excepciones señaló lo que podríamos llamar un certificado de buena salud. Thomas Humphre: El autor ha entrado y no ha identificado ningún control que no haya sido diseñado eficazmente o cuya eficacia operativa sea sólida. Thomas Humphre: El control ha demostrado y logrado lo que se proponía. Thomas Humphre: Por último, eh Antes de seguir adelante, mirando los resultados de las pruebas en sí, porque esta información viene directamente del auditor, siempre veremos una variación ligeramente diferente en la forma en que se reportan los resultados de las pruebas. Thomas Humphre: Así que no hay una regla estricta dura o rápida en términos del nivel de detalle que desea entrar.
Thomas Humphre: En estos casos, es bastante claro en lo que han visto o lo que no han visto um basado en la organización um uh control. Thomas Humphre: Así que lo que han declarado que tienen. Thomas Humphre: Habrá algunos casos en los que tendrán menos información. Thomas Humphre: Um, obviamente cuanta más información se detalle en términos del tipo de procesos de inspección y verificación, cuanto más detalle en términos del resultado de la prueba, obviamente, más fácil va a ser el proceso para llevar estas excepciones a través de nuestro programa de riesgo más amplio y luego cuando empezamos a comprometernos con el tercero. Thomas Humphre: Así que cuando pensamos en la asignación de estas excepciones a través de nuestra propia plataforma de riesgo, nuestros propios procesos de riesgo. Thomas Humphre: En primer lugar, tenemos que pensar en ese nivel de detalle. Thomas Humphre: Así que donde hay suficiente detalle de lo que los auditores proporcionaron en el informe donde hay respuestas de gestión y tal vez han dado más detalles en términos de qué aspectos um del resultado um han logrado. Thomas Humphre: Um si la empresa por ejemplo ya dijo entender seguir adelante. Thomas Humphre: Hemos ajustado nuestro proceso para asegurarnos de que los detalles necesarios son capturados como parte de los tickets instantáneos y tal vez hay algunos elementos que hemos añadido en los controles para hacer cumplir ese nivel de detalle que sólo ayudará a ayudar a nuestro proceso cuando se trata de tomar esas excepciones y construirlas dentro de nuestro proceso de riesgo. Thomas Humphre: Así que cuando decimos mapear excepciones a los riesgos. Thomas Humphre: ¿Qué queremos decir? Thomas Humphre: Entonces, porque no ha habido suficiente detalle por parte del auditor en términos de si es un riesgo crítico alto, medio o bajo o una excepción o cualquier indicación de las puntuaciones de impacto, probabilidad o alguna de la terminología estándar que se esperaría en la gestión de riesgos. Thomas Humphre: Ahí es donde buscamos aprovechar nuestras propias herramientas de riesgo existentes y los procesos de gestión de riesgos. Thomas Humphre: Por lo tanto, si tenemos un proceso que sigue las mejores prácticas estáticas, tales como ISO 31.000 o el marco de gestión de riesgos del NIST, es posible que ya tengamos una estructura clara en la forma en que identificamos una puntuación de impacto y una puntuación de probabilidad y damos una calificación global de riesgo o utilizamos un sistema de tráfico para indicar la criticidad.
Thomas Humphre: Así que si ya tenemos esas herramientas en um establecido que entonces será más fácil tomar esos riesgos y decir bien sobre la base de lo que el auditor ha dicho sobre la base de la excepción no hay Ed, ¿consideramos esto un riesgo crítico o un riesgo bajo, por ejemplo? Thomas Humphre: Y, por supuesto, cuanto más establecida esté la herramienta de gestión de riesgos, obviamente más exhaustiva será la justificación de por qué hemos planteado y calculado el riesgo de la forma en que lo hemos hecho. Thomas Humphre: Un aspecto en el que encontramos que se solicitan informes de Sock 2 es cuando la organización envía evaluaciones a terceros, evaluaciones o encuestas relacionadas con un grupo de control en particular. Thomas Humphre: Así por ejemplo o o o estándar y mejores prácticas. Thomas Humphre: Así, por ejemplo, vemos que se envían encuestas ISO 27.01 o CIS a organizaciones y luego se recibe un informe SOCK 2 porque el proveedor dice que no tiene tiempo de rellenar una evaluación larga o que antes de enviarla rellene su evaluación. Thomas Humphre: Tenemos este informe SOP 2 que demuestra las mejores prácticas que hemos implementado y creemos que es suficiente antes de proceder a completar una evaluación. Thomas Humphre: Así que si ya hay una estructura clara allí en términos de expectativa de que 27,01 o CIS u otros marcos um deben ser utilizados para evaluar a los proveedores cuando traemos las excepciones como las dos anteriores como hemos visto. Thomas Humphre: ya podemos empezar a asignar estos a esas normas. Thomas Humphre: Y si consideramos, por ejemplo, la falta de análisis de causa raíz, un proceso de gestión de seguridad instantánea deficiente, una gestión de tickets de seguridad instantánea deficiente como un riesgo crítico porque se considera un control obligatorio en nuestra evaluación ISO o nuestra evaluación CIS. Thomas Humphre: Eso nos ayudará a juzgar y proporcionar una declaración clara de por qué ese riesgo está catalogado como crítico. Thomas Humphre: Por ejemplo, alto o medio. Thomas Humphre: Así que aprovechando esas herramientas de riesgo existentes, herramientas de gestión de riesgos que pueda tener, identificando el impacto y la probabilidad para que podamos asignar algunas puntuaciones de riesgo razonables teniendo en cuenta de nuevo cualquier respuesta de gestión existente que pueda o provenga de la organización. Thomas Humphre: Y, por último, podemos empezar a asignar las tareas relacionadas con la gestión de la evaluación. Thomas Humphre: Así que en el caso en que las excepciones se han planteado han sido identificados.
Thomas Humphre: Sin embargo, um no ha habido respuesta de gestión o de gestión simplemente han identificado que sí, vamos a tomar medidas para resolverlo. Thomas Humphre: Tenemos que empezar a pensar en que ahora hemos traído estas excepciones en nuestra plataforma. Thomas Humphre: ¿Cómo nos comprometemos ahora con nuestros proveedores um para asegurarnos de que esas acciones, esos riesgos o no conformidades se gestionan de forma eficaz se cierran. Thomas Humphre: Así que convertir las excepciones en riesgos. Thomas Humphre: Así que una vez que tienes la idea del riesgo. Thomas Humphre: Hemos identificado el cálculo y el nivel o calificación de riesgo que queremos aplicar. Thomas Humphre: Entonces podemos empezar a buscar otros aspectos que nos ayuden a ampliar la excepción y conseguir un caso más amplio que nos ayude a hacer el proceso de involucrarnos con el tercero mucho más fácil. Thomas Humphre: Así que en primer lugar, ¿podemos asignarlo a las normas que son clave para nosotros? Thomas Humphre: Así que di el ejemplo de la ISO 27.000 si hay controles claros clave ya dentro de esa norma podemos asignar que la excepción a que va a hacer más fácil cuando empezamos a participar e identificar algunas de las recomendaciones o medidas correctivas. Thomas Humphre: ¿Existen tipos de riesgo en nuestro propio registro de riesgos a los que podamos aplicar este riesgo? Thomas Humphre: Así que podemos aplicar etiquetas y tipos de riesgo en torno a la gestión de incidentes en torno a controles particulares de Sock 2. Si hemos hecho ese tipo de mapeo, ¿tenemos un registro de riesgo estándar en el que podamos llevar todos estos riesgos para que cuando empecemos a recibir más informes de Sock 2 podamos empezar a hacer más análisis de tendencias y puntos de vista generales, particularmente cuando hay riesgos similares y excepciones que están ocurriendo? Thomas Humphre: Desarrollando el riesgo en sí. Thomas Humphre: Entonces, ¿podemos aplicar un nombre de riesgo, una descripción y la propiedad del riesgo? Thomas Humphre: Así que si hemos visto un riesgo de la excepción del auditor. Thomas Humphre: ¿Hay suficiente información para que podamos determinar por qué era un riesgo? Thomas Humphre: ¿Es una brecha clara en el proceso, por ejemplo? Thomas Humphre: ¿Falta algún aspecto concreto del control? Thomas Humphre: Así que, ¿podemos empezar a ampliar la descripción y la comprensión de dónde viene este riesgo, dónde se estableció? Thomas Humphre: Um y luego la propiedad del riesgo también, por supuesto, es una función particular dentro de la empresa a la que tenemos que llegar. Thomas Humphre: um, ¿con quién tenemos que empezar a tener esas discusiones para elaborar los plazos para el establecimiento de la remediación del riesgo?
Thomas Humphre: Así que convertir esa excepción en un en un riesgo más amplio um en su plataforma pasar por varios pasos. Thomas Humphre: Pero como he mencionado al principio, mucho de esto puede depender del nivel de profundidad que se ve a través de la media 2 informe. Thomas Humphre: Por supuesto, puede haber algunos casos en los que no hay tanto det capturado por el auditor. Thomas Humphre: Obviamente, no podemos volver atrás y hablar con los auditores. Thomas Humphre: Es algo independiente y, por supuesto, el informe ya se ha publicado y completado. Thomas Humphre: Pero, obviamente, si no hay suficiente información, todavía podemos empezar a capturar algunos de esos detalles, pero entonces es cuando tenemos que involucrar a la tercera parte tal vez en una etapa anterior para que podamos obtener más detalles para entender de dónde vienen las acciones, cuáles son las actividades en curso. Thomas Humphre: Así que podemos empezar a llenar nuestro propio registro de riesgos, nuestro propio proceso de riesgo de terceros um con el detalle pertinente en torno a uh cómo y por qué se estableció y cuáles son los pasos actuales de la organización está tomando. Thomas Humphre: Antes de seguir adelante um tengo la tercera pregunta de la encuesta. Thomas Humphre: ¿Qué le ha llevado a participar hoy en este seminario? Thomas Humphre: ¿Es con fines educativos? Thomas Humphre: Así que puramente para la experiencia educativa y sólo entender más acerca de calcetín calcetín 2 proyecto de investigación de un próximo proyecto TPRM. Thomas Humphre: Tal vez ya ha comenzado su programa TPR y ha identificado que la media 2 es un área en la que va a ver mucha tracción o tal vez está solicitando evaluaciones de la media 2 a sus proveedores o está utilizando esto como un impulsor clave para evaluar a los proveedores. Thomas Humphre: Estoy seguro de por qué estoy aquí o ¿cómo estoy de nuevo? Thomas Humphre: Debería haber una encuesta en la pantalla. Thomas Humphre: Así que um si usted es capaz de entrar en um su respuesta apropiada. Thomas Humphre: Gracias. Thomas Humphre: Así que hemos llegado a la etapa en la que hemos establecido este informe OPT. Thomas Humphre: Lo hemos recibido. Thomas Humphre: Hemos entendido uh el detalle, las excepciones y el alcance. Thomas Humphre: Hemos identificado que el alcance coincide con lo que el producto o servicio nos está suministrando el proveedor. Thomas Humphre: Hemos identificado ahora que las excepciones han sido capturadas y hemos llegado a una etapa en la que las estamos registrando dentro de nuestro propio registro de riesgos y, con suerte, con suficiente detalle para que ahora podamos empezar a comprometernos con el tercero. Thomas Humphre: Ahora se trata de la remediación.
Thomas Humphre: Entonces, ¿qué hacemos ahora? Thomas Humphre: Tenemos estas estas acciones um donde puede o no puede haber algún tipo de respuesta de gestión. Thomas Humphre: Así que deberíamos empezar ahora a desarrollar un libro de jugadas que nos permita remediar esas dos excepciones. Thomas Humphre: Así que tenemos cuatro decisiones clave que tomar y tres acciones a considerar. Thomas Humphre: En primer lugar, los requisitos mínimos u obligatorios. Thomas Humphre: ¿Hay algún requisito obligatorio por parte de la empresa? Thomas Humphre: ¿Qué queremos decir con esto? Thomas Humphre: Así que he mencionado que uh desde el principio puede haber algunas uh evaluaciones de seguridad uh que ya ha lanzado o que está considerando lanzar al proveedor, ya tiene una idea de lo que hace el proveedor, lo que le suministra a usted mismo, y a través de ese proceso, ¿ha identificado algún control obligatorio que usted esperaría que una organización tenga en su lugar por defecto? Thomas Humphre: Así que, pensando en esa excepción en torno a la calidad insuficiente o pobre en términos de respuesta a incidentes y la forma en que los incidentes se registran o la forma en que no se registran. Thomas Humphre: Si usted ve esto como una mejor práctica para cada organización, debe ser implementado. Thomas Humphre: Esto puede ser considerado como un requisito obligatorio y que proporciona un énfasis adicional en la forma en que se remedia o el tiempo en que se remedia. Thomas Humphre: ¿Existen mejores prácticas que la organización esté siguiendo? Thomas Humphre: ¿Existe algún estándar de la industria que provenga de los reguladores, de la legislación, de las mejores prácticas de la industria o incluso de la propia organización que ha decidido que estas son las áreas que quiere seguir? Thomas Humphre: Si hay mejores prácticas como ISOs y NISTs del mundo um y y y SIG en los Estados Unidos. Thomas Humphre: ¿Puede eso ayudar a echar una mano en términos de identificar esos requisitos obligatorios y también lo que se requiere? Thomas Humphre: ¿Qué tipo de remediación um es necesario? Thomas Humphre: Los plazos son críticos aquí. Thomas Humphre: ¿Cuándo debe abordarse el riesgo? Thomas Humphre: Si a través de nuestro proceso de identificación de riesgos, hemos identificado que las excepciones que clasificamos como riesgos críticos, en particular cuando todavía están abiertas y la respuesta de la dirección ha sido que todavía las estamos abordando o que todavía estamos revisando esas excepciones.
Thomas Humphre: Tenemos que empezar a pensar en lo bien que el marco de tiempo debe ser el establecimiento de las terceras partes tanto de tal vez una respuesta inmediata a declarar lo que las acciones que van a tomar y, a continuación, un marco de tiempo de seguimiento de cuando se espera que uh controles para ser implementado o ajustado o actualizado. Thomas Humphre: ¿Qué tan pronto esperamos que se aborden esos riesgos? Thomas Humphre: Y finalmente, decisiones o acciones resultantes. Thomas Humphre: Entonces, ¿qué ocurre con los riesgos remediados? Thomas Humphre: ¿Cuál es el punto y la etapa en la que podemos decir que hemos identificado la excepción? Thomas Humphre: La hemos clasificado desde la perspectiva del riesgo. Thomas Humphre: Hemos contratado a la tercera parte y hemos declarado lo que esperamos que ocurra o ha habido un acuerdo entre la tercera parte y nosotros en términos de las acciones de mitigación que se requieren. ¿Cuál es el punto de decisión final? Thomas Humphre: ¿Podemos llegar a una etapa basada en nuestro propio apetito de riesgo y criterios para la aceptación del riesgo en la que podamos cerrar el riesgo o podamos reducirlo a un nivel adecuado o apropiado? Thomas Humphre: Así que cuando estás pensando en remediar la vulnerabilidad, hay algunos puntos clave diferentes que deberíamos estar mirando aquí. Thomas Humphre: Y una vez que hayamos establecido e identificado cuáles son las mejores prácticas ES si se trata de un control obligatorio y si hay algún paso claro que esperaríamos que un tercero lleve a cabo. Thomas Humphre: Estos requisitos o remediación esperada pueden entonces ser uh uh envueltos dentro del informe de riesgo uh riesgo más amplio y obviamente comunicados como sea apropiado a la tercera parte. Thomas Humphre: Así que en este caso pensando en una falta de causa raíz del impacto del sistema o la resolución que se documenta a través de uh seguridad uh tickets de incidentes. Thomas Humphre: Podemos desarrollar una remediación que establezca que requerimos que los vendedores identifiquen el impacto causado a las operaciones de negocio. Thomas Humphre: Es necesario documentar la causa raíz de los incidentes y las acciones tomadas para resolverlos y debe haber una clara visibilidad en cada ticket de incidente o registro producido que muestre qué acciones se están tomando. Thomas Humphre: Y, por último, tal vez necesitamos que embellecer o mejorar um el método de uh de cómo se comunican y completan los tickets instantáneos. Thomas Humphre: Así que la sensibilización del personal de comunicación para aquellos que son responsables de la gestión de incidentes.
Thomas Humphre: Así que hemos pensado en dónde se encuentra la causa raíz de este problema y hemos identificado una recomendación adecuada o un plan de remediación que se puede pasar a la tercera parte y, a continuación, previo acuerdo entre ambas organizaciones, ahora podemos empezar a supervisar que la remediación um todo el camino a través de la finalización con éxito o hasta una etapa en la que sentimos que este riesgo um desde una perspectiva de puntuación puede ser reducido o el riesgo en sí puede ser eliminado um porque la información suficiente ha sido implementada por el tercero uh de tal manera que este riesgo ya no existe. Thomas Humphre: Así que capturamos un montón de detalles allí um a través de um detallando lo que es un informe de calcetín 2. Thomas Humphre: um y algunos de los pasos clave que tenemos que mirar. Thomas Humphre: Hay algunas áreas que me gustaría reiterar aquí. Thomas Humphre: Um particularmente aquellos que están comenzando con un programa de gestión de riesgos de terceros y aquellos que están particularmente um ya sea comenzando a recibir o estarán esperando recibir informes de Sock 2. Thomas Humphre: En primer lugar, desde la perspectiva de la gestión de riesgos, evalúe sus requisitos de gestión de riesgos de terceros. Thomas Humphre: Determine dónde se requieren esas prácticas y dónde se siguen las normas. Thomas Humphre: ¿Tenemos ya un enfoque claro, una evaluación de seguridad clara, un marco de seguridad que estamos lanzando a terceros o que estamos auditando a terceros? Thomas Humphre: Si los hay, ¿tenemos algún mapeo adecuado a través de esas normas de tal manera que cuando se recibe un informe de calcetín 2, tenemos una orientación clara en términos de hacer estas excepciones que pueden que puedan plantearse. Thomas Humphre: encajan con nuestra evaluación de seguridad de la información. Thomas Humphre: Determinar los requisitos mínimos. Thomas Humphre: ¿Son los controles obligatorios que usted espera que todas las terceras partes um o o o tengan en su lugar? Thomas Humphre: ¿Estos controles se basan en las normas de buenas prácticas? Thomas Humphre: Tal vez son impulsados a través de la industria o de los reguladores sólo sobre la base de lo que está sucediendo dentro de la industria. Thomas Humphre: Y esto en realidad se convierte en un enfoque muy cíclico. Thomas Humphre: Así que usted está continuamente revisando ¿Esas mejores prácticas cumplen nuestros objetivos y necesidades de evaluar a nuestros terceros? Thomas Humphre: Um, ¿estamos utilizando las normas adecuadas? Thomas Humphre: ¿Estamos utilizando los controles adecuados?
Thomas Humphre: Um, esos requisitos mínimos o controles obligatorios que hemos identificado desde el principio, ¿siguen siendo verdad? Thomas Humphre: Um, o ¿tenemos que ajustar e identificar controles adicionales que esperaríamos que nuestros proveedores se adhieran? Thomas Humphre: Y finalmente, ¿podemos mapear estos dos requisitos de los criterios de confianza? Thomas Humphre: Y una vez hecho esto, nos centraremos en la evaluación de los informes de Sock Two. Thomas Humphre: Así que una vez que reciba que calcetín 2 informe uh puede a través del informe podemos identificar lo que el alcance tiene el alcance que se ha utilizado um y donde se observan excepciones. Thomas Humphre: ¿Cumple el alcance nuestras expectativas de lo que está siendo suministrado por el tercero? Thomas Humphre: ¿Ha indicado la orden dónde hay excepciones a la regla, dónde se han identificado excepciones y dónde hay lagunas en los procesos, políticas y sistemas? Thomas Humphre: Una vez que hemos identificado eso, ¿podemos llegar a una etapa en la que podamos extraer esas excepciones y ponerlas en nuestro programa de riesgo de terceros? Thomas Humphre: Entonces, las capturamos en informes de riesgo dentro del perfil de riesgo de cada proveedor que son capaces de alinearlas con la forma en que calculamos el riesgo. Thomas Humphre: Y por último, asegúrese de que dispone de un proceso que gestione esas excepciones para garantizar un resultado correcto, un tratamiento correcto del riesgo y un resultado satisfactorio a través de la corrección del riesgo y de ese nivel de compromiso con la parte. Thomas Humphre: También vale la pena señalar, por último, de un calcetín 2 informe um he mencionado al principio um siempre habrá algunas ocasiones en las que no se observan excepciones. Thomas Humphre: Así que el auditor ha revisado uno o varios grupos de control y está completamente limpio. Thomas Humphre: Nosotros vemos esto particularmente con algunas de las organizaciones más grandes um particularmente donde SOCK 2 ha sido um conducido um año por año por año. Thomas Humphre: Así que se ha convertido en un proceso bastante maduro. Thomas Humphre: Um y eso no quiere decir que el entonces ya no sea valioso. Thomas Humphre: Entonces, obviamente, proporciona una ruta diferente en la forma en que cómo utilizamos esa información con nuestro TPRM. Thomas Humphre: Um, pero sin duda eso es muy positivo um um uh resultado uh que podemos utilizar para haps tal vez demostrar e identificar las mejores prácticas que algunas de estas organizaciones están tomando.
Thomas Humphre: Particularmente si queremos entonces ver dónde hay tendencias y análisis de tendencias entre proveedores similares que nos están proporcionando informes de calcetines. Thomas Humphre: Por último, sólo para señalar desde la perspectiva de Preven. Thomas Humphre: Preven ha desarrollado una lista de comprobación para la gestión de riesgos de terceros que trata de los principios de los servicios de confianza, de las capacidades de T prime y también de cómo simplificar los informes de cumplimiento. Thomas Humphre: Um esto es algo que es que es de fácil lectura realmente uh disponible um y y libre de descargar um a través del enlace que se ve um en la página. Thomas Humphre: Así concluye mi webinar. Thomas Humphre: Um y ahora me gustaría abrir y echar un vistazo a cualquier pregunta. Thomas Humphre: Así que bien, así que tenemos un par de preguntas que está empezando a llegar. Thomas Humphre: ¿Hace el auditor de calcetines un seguimiento con una empresa a través de la mediación para cualquier excepción, cualquier excepción de control señalada. Thomas Humphre: ¿Sigue el auditor a la empresa a través de la mediación cualquier excepción de control observada? Thomas Humphre: Buena pregunta. Thomas Humphre: Ahora, como ya hemos identificado, um el sock proporcionará este informe detallado y proporcionará una lista de excepciones. Thomas Humphre: Ahora, en el caso típico, uh uh en el caso típico, los dos informes se llevarán a cabo una vez y luego se repetirán anualmente. Thomas Humphre: Es común ver que las empresas son revisadas y evaluadas anualmente. Thomas Humphre: Uh hay un potencial para ser uh evaluado con más frecuencia si la empresa desea um o si como parte de um uh como parte de acuerdos contractuales. Thomas Humphre: Um y por supuesto durante ese pro ese tiempo en ese proceso sí el así que haría un seguimiento con la organización para identificar basado en las excepciones observadas la última vez. Thomas Humphre: Uh donde se han hecho las mejoras basadas en las respuestas de la dirección um y y uh cualquier información que la dirección se haya comprometido a mejorar las prácticas si se han seguido y están completas.
Thomas Humphre: Y como parte de esa base de año por año, los calcetines sí entonces mirar um en los que a los resultados y, en particular con miras a uh lo que ha cambiado en los próximos años o si ha habido alguna mejora en particular si usted está recibiendo un buen montón de um excepciones en un área en particular, puede ser pertinente para el calcetín socket evaluador um a profundizar en esa área en particular cuando están alcanzando a cabo su informe. Thomas Humphre: Um este es un escenario típico en el que se encuentra um si hay un problema particular en un en un grupo de control. Thomas Humphre: Um, por ejemplo, si estamos viendo el grupo de control de seguridad y hay una serie de requisitos de control de acceso um y hay una continuación de excepciones que han sido Al menos puede ser pertinente para el evaluador hacer un seguimiento con esa organización y decir que necesitamos mirar más detalladamente aquí para asegurarnos de que cualquier acción que haya tomado um ha tenido éxito y que hemos llegado a una etapa en la que el proceso está ahora operando con eficacia y funcionando con eficacia también. Thomas Humphre: Uh así que sí hay un seguimiento del auditor um y y um sobre una base anual por lo menos, pero en algunos casos podría ser con más frecuencia también. Thomas Humphre: Tenemos una segunda pregunta. Thomas Humphre: ¿El hallazgo de excepciones significa automáticamente la emisión de una opinión con reservas? Thomas Humphre: ¿El hallazgo de excepciones significa automáticamente la emisión de una opinión calificada? Thomas Humphre: Esa es una pregunta interesante. Thomas Humphre: Um porque hay dos uh estilos um de opinión que pueden surgir um que se puede señalar que se llama una opinión sin reservas y una opinión con reservas. Thomas Humphre: Um y es interesante que entiendas lo que esto significa realmente o lo que se considera un informe u opinión cualificada o no cualificada. Thomas Humphre: La respuesta es que depende de la excepción. Thomas Humphre: Así que puede haber ocasiones en las que las excepciones son um uh capturadas y planteadas y son muy graves o muy serias. Thomas Humphre: Un ejemplo perfecto de esto es cuando un proceso ha sido documentado pero no hay evidencia que sugiera que el proceso está funcionando particularmente cuando estás mirando el tipo dos y mirando la efectividad operativa. Thomas Humphre: Así que podría ser un problema bastante grave.
Thomas Humphre: En el otro lado, podría haber excepciones que se plantean, pero uh el proceso todavía puede funcionar. Thomas Humphre: Por lo tanto, cualquier persona con mentalidad ISO podría escuchar las palabras um uh observaciones, no conformidades menores y mayores y es un proceso similar. Thomas Humphre: Por lo tanto, si hay cuestiones que se han planteado y tiene que haber aspectos de un proceso o una política o control que necesitan ser mejorados que no ha tenido un impacto perjudicial para la organización en general y esta será la diferencia entre uh uh la emisión de una opinión cualificada. Thomas Humphre: Así que si se trata de un informe con reservas probablemente valga la pena mencionar también el sin reservas. Thomas Humphre: Así que cuando se emite un informe de calcetín con una opinión calificada, esto básicamente es una indicación de que ya sea un solo o un conjunto de controles no han sido diseñados tipo uno o no funcionan eficazmente pensando en el tipo dos. Thomas Humphre: Um, así que si se trata de un informe con reservas esas excepciones han sido lo suficientemente significativas como para considerar uh uno o múltiples controles para ser totalmente ineficaz. Thomas Humphre: En la otra cara de la moneda, una opinión sin reservas o un informe sin reservas indica que cualquier control que haya sido probado, ya sea de tipo uno o de tipo dos, ha sido efectivo. Thomas Humphre: Puede ser en tal escenario que o bien no hay problemas que se han identificado o no hay excepciones o ha habido algunos problemas, pero estos problemas no están causando que el impacto perjudicial. Thomas Humphre: Depende mucho de la gravedad de la excepción que se determine si se emite una opinión con reservas del auditor o sin reservas. Thomas Humphre: Um, espero que tenga sentido. Thomas Humphre: Um, pregunta final aquí. Thomas Humphre: Can I've heard the term bridging letter used before um for some companies. Thomas Humphre: ¿Qué es eso y es un reemplazo para una media 2 informe? Thomas Humphre: Um interesante pregunta interesante. Thomas Humphre: Um por lo que una carta puente uh se puede utilizar um a través de muchas empresas y esto es, básicamente, pensando como un como una brecha de ahí el término puente y lo que esto significa es que los datos de la última calcetín 2 informe que se llevó a cabo y cada informe calcetín tendrá una clara indicación de um de de fechas. Thomas Humphre: Um, pero entonces puede haber una brecha entre el último informe de calcetín que se llevó a cabo y el siguiente informe de calcetín que es o evaluación de calcetín que se lleva a cabo.
Thomas Humphre: Si hay una brecha significativa que por lo general significa cualquier brecha um uh 3 meses o más una carta puede ser emitida que básicamente es una validación de la empresa que afirma que no hemos tenido ningún cambio cualquier cambio significativo para nuestros controles que cubrían en el ámbito de nuestro calcetín 2 o nuestro calcetín dos que fue que se emitió la última vez. Thomas Humphre: No ha habido cambios significativos operativos o de negocios que han afectado a nuestros controles. Thomas Humphre: Por lo tanto, es un punto de cobertura para decir que esto no es un reemplazo para un informe sock 2, pero ayuda a proporcionar esa garantía en particular a los clientes um si hay una brecha significativa entre um entre uh sock 2 a sock 2 auditorías. Thomas Humphre: Y encontramos que a menudo se utiliza en muchas empresas, en particular algunas de las grandes empresas... las multinacionales más grandes que han tenido sock 2 durante muchos años y por una razón u otra ha habido una brecha entre dos informes y entonces sí, es ese nivel de garantía... que es emitido y firmado por la propia organización, por lo que no es... verificado por un auditor... es pero es emitido por la organización, así que es algo que siempre merece la pena considerar desde la perspectiva del cliente, desde tu propia perspectiva, pero teniendo en cuenta que, como hemos dicho, no ha sido validado por un auditor. Es simplemente la respuesta de la organización para decir que podemos confirmar que no ha habido cambios significativos desde nuestro último informe y en preparación para nuestra próxima evaluación programada. Thomas Humphre: De acuerdo. Thomas Humphre: No veo más preguntas por el momento. Thomas Humphre: Si tienen más preguntas después de este seminario web, hágannoslo saber y estaré encantado de responderlas. Thomas Humphre: Gracias. Melissa Lent: Estupendo. Melissa Lent: Uh, muchas gracias, Thomas, por unirte a nosotros hoy y compartir tu visión sobre cómo analizar la eficacia de los controles de seguridad de un proveedor y cómo decodificar los informes SOCK 2 de terceros. Melissa Lent: Uh, realmente apreciamos toda su visión aquí. Melissa Lent: Y a nuestra audiencia, nos encantaría que se unan a nosotros para otros próximos seminarios web de OAG. Melissa Lent: Por favor, estén atentos a los correos electrónicos de OAG sobre estos futuros eventos. Melissa Lent: Esto concluye nuestro webcast de hoy. Melissa Lent: Muchas gracias a todos por acompañarnos.
©2026 Mitratech, Inc. Todos los derechos reservados.
©2026 Mitratech, Inc. Todos los derechos reservados.