Cómo utilizar los informes SOC 2 de proveedores y distribuidores

¿Qué es un informe SOC y cómo se utiliza?

Los controles de sistemas y organizaciones (SOC) son un conjunto de normas de control informático desarrolladas por el Instituto Americano de Contadores Públicos Certificados (AICPA). Los auditores certificados realizan auditorías SOC y utilizan informes para demostrar la implementación de controles informáticos que protegen los sistemas y la información de una empresa.

Las auditorías SOC están diseñadas para evaluar los controles en cinco áreas clave, denominadas Criterios de Servicios de Confianza:

1. Seguridad
2. Confidencialidad
3. Integridad del procesamiento
4. Disponibilidad
5. Privacidad

Los informes SOC proporcionan evaluaciones detalladas de las operaciones y los sistemas de una organización, así como de su eficacia. Existen dos tipos de informes SOC:

Informes SOC 2 Tipo 1

Los informes de tipo 1 revisan el diseño de los controles de seguridad, incluidos los procedimientos y procesos. Las auditorías de tipo 1 se realizan en un único momento.

Informes SOC 2 Tipo 2

Los informes de tipo 2 revisan la eficacia operativa de los controles identificados en los informes de tipo 1. Las auditorías de tipo 2 examinan los controles en profundidad y son realizadas por auditores durante un período de tiempo más largo, que en ocasiones puede llegar a ser de hasta seis meses.

Esta publicación se centra en informes SOC 2 Tipo 2.

¿Qué contienen los informes SOC 2?

Aunque los informes SOC 2 pueden variar en función del auditor que realice la evaluación, suelen incluir las siguientes áreas destinadas a identificar el alcance de la evaluación y las no conformidades, conocidas como excepciones de control.

• Resumen ejecutivo o resumen del auditor: Incluye una descripción general de los resultados de la auditoría, cómo la llevó a cabo el auditor y cierto nivel de orientación que indica si los hallazgos son más o menos relevantes.
• Descripción general de las operaciones, los procesos y los sistemas de la organización: revisa la organización y sus objetivos de auditoría.
• Ámbito del informe: Examina los cinco criterios de servicios de confianza y los controles de apoyo incluidos en el ámbito de la auditoría. En ocasiones, las organizaciones optan por centrarse solo en uno o dos criterios de servicios de confianza en lugar de en los cinco, especialmente si algunos de los criterios no son aplicables a ellas.
• Actividades de control y evaluación del auditor: ofrece una descripción detallada de la lista detallada de controles, incluidas las pruebas realizadas y los resultados de las mismas.
• Respuesta de la dirección: toma nota de las excepciones y proporciona una respuesta en la que detalla cómo la organización tiene previsto gestionarlas.

¿Qué se incluye en los criterios de los servicios de confianza?

En un informe SOC 2, los criterios de servicios de confianza de seguridad siempre son aplicables, pero la mayoría de los informes SOC 2 incluyen solo uno o dos criterios adicionales.

1. Seguridad: Controles para proteger contra el acceso no autorizado, la divulgación de información y los daños a los sistemas. Busca comprender si la empresa cuenta con un marco de seguridad y controles sobre el acceso lógico y físico.
2. Confidencialidad: Controles para identificar, gestionar y eliminar/destruir información confidencial (no información personal).
3. Integridad del procesamiento: Controles para garantizar que el procesamiento del sistema sea preciso, oportuno y válido.
4. Disponibilidad: Controles para garantizar que la información y los sistemas estén disponibles y accesibles en todo momento.
5. Privacidad: Controles para proteger la información de identificación personal (PII).

¿Por qué utilizar un informe SOC 2?

Las empresas utilizan los informes SOC 2 cuando:

• No están dispuestos o no pueden completar evaluaciones exhaustivas de los controles de TI, como las de NIST o ISO, por sí mismos, pero aún así tienen que demostrar la eficacia de los controles.
• Utilice una norma que sea bien conocida y completa.
• Tenga la flexibilidad de centrarse en un conjunto completo de controles o solo en un subconjunto.

¿Cómo se interpretan los riesgos en un informe SOC 2?

Un informe SOC 2 típico identificará los riesgos como «resultados de pruebas». Una tabla de excepciones SOC 2 típica tiene el siguiente aspecto:

• El número de control es un código que permite realizar un seguimiento de cada control a lo largo de su ciclo de vida.
• Los criterios son descripciones de los controles tal y como se han probado.
• La actividad de control explica cómo la empresa aborda actualmente ese control.
• La prueba de eficacia operativa explica cómo el auditor inspeccionó el control y qué procedimientos se siguieron.
• Los resultados de la prueba especifican si hubo una excepción y cuál fue la desviación.

En un informe SOC 2 no se clasifica el riesgo, por ejemplo, con indicadores rojos, ámbar o verdes que señalen fallos en el riesgo. ¡Aquí es donde una plataforma de gestión de riesgos de terceros puede ayudar!

¿Cómo se mapean las excepciones de control SOC 2 para poder gestionar de forma centralizada los riesgos asociados?

Traducir las excepciones de control SOC 2 o los resultados de las pruebas a riesgos puede resultar complicado sin una forma de realizar un seguimiento centralizado de los riesgos de terceros.

Recomendamos aplicar una metodología de «probabilidad e impacto» para asignar puntuaciones de riesgo a cualquier excepción identificada.

• La probabilidad estima la probabilidad de que un fallo de control de un tercero afecte a las operaciones de su organización.
• El impacto estima el nivel de interrupción que tendría un fallo de control en las operaciones de su organización.

Utilizando una escala simple del 0 al 5, donde 0 significa que no hay probabilidad ni impacto y 5 significa alta probabilidad o impacto, puede crear un mapa de calor para puntuar y categorizar rápidamente los riesgos.

Una vez que los riesgos se clasifican en el mapa de calor, puede definir la responsabilidad del riesgo, asignar tareas y colaborar con terceros para el tratamiento y la corrección del riesgo.*

*Recuerde que es posible que el tercero ya haya abordado las conclusiones en la sección «Respuesta de la dirección» del informe SOC 2.

¿Cómo se puede simplificar el proceso de seguimiento y corrección de los riesgos SOC 2?

Comience por desarrollar un manual para corregir las excepciones SOC 2 basado en:

• Requisitos mínimos/obligatorios: Identifique lo que se exige de manera absoluta a los terceros. Si existe una excepción en un área, el tercero está obligado a subsanarla.
• Mejores prácticas: Incorpora las expectativas de tu empresa sobre cómo se debe remediar una excepción de riesgo o control basándote en las mejores prácticas del sector.
• Plazos: Establezca plazos en función de la gravedad de los riesgos.
• Decisiones o acciones resultantes: Defina qué ocurre con los riesgos remediados. ¿Aceptará la remediación y reducirá la puntuación de riesgo en función de la propensión al riesgo de su empresa, o cerrará el riesgo sin necesidad de tomar más medidas?

Exprese claramente el requisito. Si espera más pruebas, especifique cuándo las necesita. Además, confirme si requiere un seguimiento continuo o una corrección.

Aproveche los registros de riesgos existentes para asignar estas excepciones de control a lo que ya tiene. Este enfoque le ayuda a cruzar los resultados de los informes de cumplimiento con otros marcos.

La gestión de los riesgos de terceros, independientemente de si se han detectado o no a través de un informe SOC 2, es imposible sin una plataforma centralizada que automatice la identificación, evaluación, clasificación, supervisión y corrección de riesgos. ¡Ahí es donde Prevalent puede ayudar!

Introducción a la gestión de riesgos de terceros SOC 2

Prevalent puede ayudar a simplificar la gestión de riesgos de terceros SOC 2 mediante soluciones y profesionales con experiencia en el cumplimiento de SOC 2. Servicio de análisis de excepciones SOC 2 de Prevalent:

• Revisa un informe SOC 2 completo presentado por su proveedor en lugar de una evaluación. Esto ahorra tiempo a su equipo, que no tiene que revisar el extenso informe del auditor para cada proveedor.
• Realiza una breve entrevista contextual para comprender las necesidades del propietario de la empresa en relación con el informe SOC 2 presentado por el proveedor.
• Resume las conclusiones y recomendaciones clave basadas en el alcance del servicio, el informe SOC 2 y cada área de dominio en un formato coherente y fácil de entender. Esto permite a su equipo contar con la orientación adecuada en el momento oportuno por parte de expertos en seguridad informática y gestión de riesgos.
• Identifica cualquier criterio de control que falte y que se considere apropiado. Como parte del análisis de excepciones, nuestros expertos identifican cualquier control que debería incluirse en el informe SOC 2 y que actualmente no lo está. Esto le ayudará a subsanar las deficiencias de control.
• Asesora sobre la idoneidad de SOC 2 y orienta sobre las medidas correctivas necesarias. La orientación sobre medidas correctivas e idoneidad mejora la seguridad y ayuda a proteger contra los riesgos de seguridad de terceros.
• Asigna los criterios de control SOC 2 a SIG Lite o al Marco de Cumplimiento Prevalente (PCF), para que su equipo de gestión de riesgos de proveedores pueda evaluar de manera coherente los riesgos de seguridad que conlleva hacer negocios con el proveedor.

¿Listo para empezar?

Para obtener más información sobre el servicio de análisis de excepciones SOC 2 de Prevalent, descargue la hoja de datos o solicite una demostración para programar una reunión estratégica hoy mismo.

---

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.