Cómo descodificar los informes SOC 2 de terceros
Cómo descodificar informes SOC 2 de terceros
Descripción
En lugar de completar una evaluación de riesgos basada en normas, algunos proveedores simplemente envían su informe SOC 2 más reciente. Sin embargo, para las organizaciones que carecen de la experiencia y los recursos necesarios, interpretar estos informes SOC 2 puede resultar complejo y llevar mucho tiempo, por no mencionar que puede ser incompatible con la forma en que se evalúa a otros proveedores.
¿Cómo simplificar el proceso de análisis de los informes SOC 2 y obtener lo necesario para visualizar los riesgos importantes de los proveedores?
Únase al experto en cumplimiento normativo Thomas Humphreys mientras:
- Desglosa un informe SOC 2 típico, incluyendo los cinco principios de servicios de confianza.
- Explica cómo asignar las excepciones de control del informe SOC 2 a los riesgos en un marco común de riesgos y seguridad de los proveedores.
- Describe las mejores prácticas para subsanar las deficiencias de control SOC 2 de un proveedor.
Vea este seminario web para aprender a analizar la eficacia de los controles de seguridad de un proveedor de forma coherente con el resto de sus activos de terceros.
¿Le interesa saber cómo puede ayudarle Prevalent?Solicite una demostración y una llamada estratégicapara hablar de su proyecto con uno de nuestros expertos.
Altavoces
Thomas Humphreys
Experto en cumplimiento normativo
Transcripción
Melissa Lent: Hello everyone. Melissa Lent: This is Melissa Lent. Melissa Lent: I’m the director of education at OAG and I’d like to welcome you to our webcast today during which we will present how to decode third-party SOCK 2 reports. Melissa Lent: We are glad you can join us for this event. Melissa Lent: Instead of completing a full standardsbased risk assessment, some vendors simply submit their most recent SOCK 2 report. Melissa Lent: However, for organizations that lack the expertise and resources. Melissa Lent: Interpreting these SOCK 2 reports can be complex and timeconuming, not to mention inconsistent with how other vendors are assessed. Melissa Lent: How do you simplify the process of analyzing SOCK 2 reports and get what you need to visualize important vendor risks? Melissa Lent: We are glad you can join us as we discuss how to analyze the effectiveness of a vendor’s security controls consistently with the rest of your third party estate. Melissa Lent: For our discussion today, we are joined by our speaker Thomas Humphre, compliance expert and content manager with prevalent. Melissa Lent: We are very pleased to be joined by Thomas as he shares his insight on analyzing the effectiveness of a vendor’s security controls and how to decode third-party SOCK 2 reports. Melissa Lent: But before we start, I’d like to take a minute to go over a few housekeeping notes. Melissa Lent: First, regarding continuing education credit, we provide NASBA approved CPE credit to you for participation in live webinars. Melissa Lent: If you have an OG All Access Pass, which you can purchase individually or as part of a company subscription, the All Access Pass includes many benefits in addition to CPE credit for webcasts, such as access to all OEG resources and ondemand education series. Melissa Lent: So, if you don’t already have a pass, I would encourage you to check it out on the OEG site. Melissa Lent: If you do have an all access pass and would like a certificate of completion for CPE for this event, please be sure to stay with us. Melissa Lent: for the entire hour and to answer all the polls. Melissa Lent: These are requirements for receiving CPE credit for this event. Melissa Lent: And please note, certificates of completion for CPE credit are available only for live events. Melissa Lent: They are not available for viewing archived webinars. Melissa Lent: Second, regarding the recording from this webcast, we will have the recording of this event posted on the OSC website. Melissa Lent: Just log into the site, then go to the webinars tab and select past webinar recordings and then this webcast. Melissa Lent: This recording may be viewed by anyone for about one week and after this time the recording may be viewed by anyone with an all accessess pass. Melissa Lent: Third, regarding upcoming events and activities, please watch your email for announcements from Og about other upcoming webinars. Melissa Lent: You can view information about these upcoming webcasts on the OEG site. Melissa Lent: So today we will address the following learning objectives. Melissa Lent: We will learn how to deconstruct a typical SOCK 2 report including the five trust services principle. Melissa Lent: Explain how to map SOCK 2 report control exceptions into risks in a common vendor risk and security framework. Melissa Lent: Describe best practices to remediate a vendor’s SOCK 2 control deficiencies and determine how to create an agile, integrated, and techdriven compliance program. Melissa Lent: But before we hand over the presentation to our speaker, we’d like to offer our first poll. Melissa Lent: And again, please be sure to answer this poll if you are interested in receiving CPE credit for this event. Melissa Lent: The first poll question is, “Do you have an OAG all accessess pass, which is a paid membership, and would you like to receive CPE credit for this event?”. Melissa Lent: Your options here are yes, I have an all access pass and I would like to receive a CPE certificate of completion for this event. Melissa Lent: I have an all access pass, but I don’t need a CPE certificate of completion. Melissa Lent: No, I do not have an all access pass, but I would like to get one and receive CPE credit for this. Melissa Lent: And future webcasts I attend or no I do not have an all access pass and I don’t want to buy one at this time so I won’t receive CPE credit for this event. Melissa Lent: As you are answering this poll I’d like to hand over the quest the presentation to Thomas to begin our discussion today.
Thomas Humphre: Muchas gracias y hola a todos. Thomas Humphre: Mi nombre es Thomas Humphre. Thomas Humphre: Soy el gestor de contenidos de Prevalent. Thomas Humphre: Trabajo en la creación de diversas evaluaciones y marcos basados en muchos estándares. Thomas Humphre: Entre ellos, SOCK 2. Thomas Humphre: Como se ha indicado, hoy estoy aquí para comprender realmente en qué consiste un informe SOCK 2 y poder asimilar los temas y aspectos pertinentes que nos permitirán ayudar a comprender los riesgos y las excepciones de los informes, y cómo integrarlos en nuestro programa más amplio de gestión de riesgos y gestión de riesgos de terceros. Thomas Humphre: Empecemos con una introducción a las evaluaciones SOCK 2. Thomas Humphre: SOCK, o controles de sistemas y organizaciones, es un conjunto de marcos que permite a las organizaciones demostrar la seguridad y, en algunos casos, los controles de privacidad de sus propias operaciones, sistemas e información, así como la eficacia de dichos controles. Thomas Humphre: Los informes son informes proporcionados por organismos independientes, organismos de auditoría independientes. Thomas Humphre: Y se pueden dividir en dos tipos, tipo uno y tipo dos. Thomas Humphre: Un informe SOCK de tipo uno es un informe que entrega un auditor en un momento determinado. Thomas Humphre: Y se centra principalmente en el diseño de los controles. Thomas Humphre: A menudo se observa que las organizaciones que se someten a una auditoría por primera vez suelen empezar con un informe de tipo uno, porque les da confianza para desarrollar y demostrar que los controles se han diseñado adecuadamente, que se han establecido políticas, procesos y grupos de control. Thomas Humphre: Los informes de tipo dos son más largos, más extensos y proporcionan más detalles tanto al auditor como a la organización auditada, pero también a un público más amplio. Thomas Humphre: clientes, reguladores y cualquier otra persona que pueda recibir o solicitar un informe de auditoría. Thomas Humphre: El objetivo del tipo dos es examinar la eficacia operativa de los controles y, como tal, se entrega en un período más largo, normalmente de hasta seis meses. Thomas Humphre: El objetivo, por supuesto, es que el auditor que examina los controles tenga confianza y se asegure de que los controles que se han diseñado funcionan eficazmente. Thomas Humphre: Y, en la mayoría de los casos, se necesita un plazo de tiempo razonable para hacerlo.
Thomas Humphre: Por ejemplo, cuando una organización ha diseñado controles en torno a la gestión del cambio, la gestión de incidentes y la planificación de la capacidad, necesita poder profundizar en los detalles de los cambios existentes y en cómo se gestionan dichos cambios, por ejemplo, o cómo la capacidad está afectando a los sistemas, y ese es precisamente el objetivo de los informes de tipo uno o tipo dos. Thomas Humphre: Es decir, la eficacia del diseño y la eficacia operativa. Thomas Humphre: Así que los entregan auditores independientes y organismos de auditoría que han sido certificados para llevar a cabo este tipo de evaluaciones. Thomas Humphre: En lo que respecta al Sock en sí, hay mucha estructura en torno a él basada en cinco grupos de control clave, lo que se denomina criterios de servicio de confianza, y estos son criterios que trataremos más adelante. Thomas Humphre: Estos establecen una serie de controles que no son muy diferentes de otras normas y marcos reconocidos. Thomas Humphre: Cualquiera que esté familiarizado con la norma ISO 27000, por ejemplo, o con el NIST o el ISF, u otros marcos de seguridad de la información o ciberseguridad, reconocerá aquí algunas similitudes con el tipo de controles que se identifican y evalúan. Thomas Humphre: Así que hay una serie de grupos de control que los auditores utilizan para validar la organización. Thomas Humphre: Pero es importante señalar en este momento, y como veremos más adelante en el seminario web, que no siempre es necesario evaluar cada grupo de control en relación con una organización concreta. Thomas Humphre: A la hora de definir el alcance de la evaluación, SOCK 2 permite a las organizaciones adaptar en gran medida la evaluación en función de su oferta de productos y servicios. Thomas Humphre: Y, como veremos, hay algunos grupos de control que las organizaciones consideran que no son aplicables a su negocio. Thomas Humphre: Ya sea por razones lógicas basadas en la naturaleza del producto y servicio que ofrecen, o porque hay otros factores que determinan el alcance y delimitan el ámbito de la evaluación. Thomas Humphre: Por lo tanto, SOCK 2 es un enfoque estructurado que establece un marco para que las organizaciones puedan demostrar las mejores prácticas y la seguridad de la información, la ciberseguridad y, en algunos casos, la privacidad, que con frecuencia no se utiliza y se entrega a su amplia base de clientes y a otras partes interesadas externas. Thomas Humphre: Por lo tanto, ahora es importante quizás echar un vistazo más amplio al concepto del informe SOCK 2 en sí.
Thomas Humphre: Ya he mencionado que hay dos tipos de informes y que hay que son evaluados y entregados por auditores independientes. Thomas Humphre: Sin embargo, uno de los aspectos clave que debemos aclarar y que puede resultar evidente a medida que se reciben más informes Sock 2 es que pueden parecer muy diferentes dependiendo del organismo que los elabora. Thomas Humphre: La forma en que estructuran el informe Sock puede variar ligeramente, lo que a veces puede causar confusión, ya que si recibimos dos informes, necesitamos obtener la misma información detallada sobre si el alcance coincide con el servicio que nos presta este proveedor. Thomas Humphre: ¿Podemos determinar si hay alguna excepción o incumplimiento a los que debamos prestar especial atención? Thomas Humphre: Sin embargo, a pesar de la diferencia en el diseño y la disposición de cada informe, normalmente hay cinco áreas que todos los informes contienen. Thomas Humphre: Algunos serán más detallados que otros, pero todos deben incluir estas cinco áreas. Thomas Humphre: Si entendemos cuáles son estas cinco áreas y somos capaces de identificarlas en un informe. Thomas Humphre: Es mucho más fácil determinar si debemos preocuparnos por esta organización basándonos en los riesgos percibidos o conocidos, o si se trata de un informe favorable con las mejores prácticas que han implementado. Thomas Humphre: En la parte izquierda de la pantalla se ven cinco puntos: el resumen del auditor y una descripción general de los procesos y sistemas operativos de la organización, el alcance del informe y los criterios de servicio de confianza, las actividades de control y la auditoría para la validación y la respuesta de la dirección. Thomas Humphre: En la parte derecha, tenemos un ejemplo de índice que muestra algunas de las áreas pertinentes que vemos en un informe de tipo dos de la norma SOC 2. Thomas Humphre: En cuanto al resumen del auditor, ¿qué es lo que vemos aquí? Thomas Humphre: Al igual que en muchos informes, normalmente encontrará un resumen de alto nivel, casi ejecutivo, si se quiere, que establece el contexto del informe más amplio, y aquí es donde el auditor presenta un resumen de los resultados y una visión general de su metodología de evaluación. Thomas Humphre: Pueden incluir aspectos relacionados con las excepciones que han identificado. Thomas Humphre: En algunos casos, ya informan sobre el alcance específico de Sock 2.
Thomas Humphre: a los aspectos de los criterios de confianza con los que han evaluado a la organización. Thomas Humphre: Así que ofrece una visión general muy ejecutiva de lo que ha sucedido y del rendimiento general de la organización cuando ha sido evaluada. Thomas Humphre: Pasando a la visión general de las operaciones, los procesos y los sistemas de la organización, vale la pena destacar la sección tres solo para subrayar el alcance y la profundidad de esta sección. Thomas Humphre: Como pueden ver, hay bastantes subcontroles y subcláusulas que abarcan un volumen bastante grande del informe. Thomas Humphre: Y el objetivo aquí es entrar realmente en detalle sobre qué procesos, la interconexión entre los procesos, qué sistemas utiliza y opera la empresa y cómo esos procesos y sistemas interactúan entre sí. Thomas Humphre: Por lo tanto, esto podría ser de alto nivel desde la perspectiva de los antecedentes de la empresa, ofreciendo una visión general de lo que hace la organización. Thomas Humphre: Es decir, los productos y servicios que suministra, quizás las zonas geográficas en las que opera la organización. Thomas Humphre: A continuación, se pasa a algunos de los detalles más específicos sobre los procesos básicos que utilizan. Thomas Humphre: Por ejemplo, los procesos de evaluación de riesgos, los procesos que permiten la supervisión, los procesos de información y comunicación, el propio entorno de control. Thomas Humphre: A continuación, podemos profundizar un poco más en algunas de las capacidades técnicas de la organización. Thomas Humphre: Por ejemplo, si utilizan sistemas de costura para la supervisión de eventos, si realizan evaluaciones de vulnerabilidad y pruebas de penetración, y si realizan copias de seguridad de la información y el tipo de sistemas de copia de seguridad que utilizan. Thomas Humphre: Al principio, puede resultar abrumador ver este volumen de información, porque realmente puede llegar a ser muy detallada, y algunos organismos de auditoría independientes optan por llegar a ese nivel de detalle, lo que en algunos casos refleja la complejidad de la organización. Thomas Humphre: ¿Por qué es esto importante? Thomas Humphre: Bueno, obviamente, cuando recibimos un informe de un proveedor, una de las cosas clave que debemos asegurarnos es que el alcance que se ha evaluado se ajusta o se alinea con el alcance del servicio que nos proporciona el tercero, el tipo de producto y servicio y la prestación del servicio.
Thomas Humphre: Bueno, si el alcance realmente queda fuera y está muy delimitado para una parte diferente de las operaciones, en lugar de lo que nos proporciona esta tercera parte. Thomas Humphre: Eso evitará una diferencia y presentará un enfoque completamente diferente sobre cómo interactuamos con ese tercero. Thomas Humphre: Especialmente si hay sistemas que sabemos que no han sido cubiertos, que no han sido evaluados en cuanto a los controles de seguridad o de privacidad, por ejemplo. Thomas Humphre: Si aún no se ha mencionado en el resumen del auditor, habrá una sección que trate el alcance del informe y esta es una de las partes más importantes que hay que identificar en primer lugar. Thomas Humphre: porque en ella se detallarán los grupos de control exactos que han sido evaluados por el auditor. Thomas Humphre: Como veremos en breve, hay cinco grupos de control y, en esta fase, tendremos una idea de si se han identificado los cinco, si se ha evaluado uno o varios de ellos. Thomas Humphre: Pasemos ahora a las actividades de control y la validación de la auditoría. Thomas Humphre: Aquí es donde entramos en detalle sobre esos controles y empezamos a identificar cuál es el control, cómo ha respondido la empresa o cómo ha utilizado ese control y, a continuación, la respuesta del auditor a su opinión y su análisis de los controles y si hay alguna excepción o no que también se haya capturado. Thomas Humphre: Si hay excepciones, y más adelante explicaré qué es una excepción, también habrá algún tipo de respuesta de la dirección en el informe. Thomas Humphre: Y esto es muy importante porque, cuando revisamos las actividades de control y contamos e identificamos dónde se han detectado excepciones. Thomas Humphre: En esta etapa, puede que ya se trate de un control que se ha gestionado, ya que a través de la respuesta de la dirección, la organización tiene la capacidad y la oportunidad de explicar si ya existe un plan de acción para abordar los hallazgos que se han planteado. Thomas Humphre: Puede que haya una aclaración adicional, de modo que un control que puede considerarse una excepción y que no es visible, en realidad se haya capturado en otro lugar.
Thomas Humphre: Es una buena observación y una oportunidad para que la dirección reconozca, aplique y registre el enfoque que va a adoptar la organización, o bien valide y verifique los controles y actividades que ya se han puesto en marcha. Thomas Humphre: Así que, una vez que recibamos un nuevo informe de calcetines, si ya podemos identificar estas cinco áreas desde el resumen hasta el alcance de las actividades de control y cualquier respuesta, eso ya debería ponernos en una posición mucho mejor para llegar al fondo de lo que se ha capturado y cubierto y si hay o no riesgos que debamos tener en cuenta. Thomas Humphre: He mencionado los cinco criterios de servicio de confianza varias veces y he destacado que las organizaciones pueden establecer su alcance basándose en estos criterios cruzados. Thomas Humphre: Tenemos cinco grupos clave: seguridad, confidencialidad, procesamiento, integridad, disponibilidad y privacidad. Thomas Humphre: ¿Qué son estos cinco grupos? Thomas Humphre: Como he mencionado, de forma similar a la ISO y el NIST, se trata de grupos de alto nivel bajo los cuales hay una serie de controles con los que se evalúa a las organizaciones. Thomas Humphre: Repasemos cada uno de ellos. Thomas Humphre: En cuanto a la seguridad, nos fijamos en los controles para proteger contra el acceso no autorizado, el cierre no autorizado de discos de información y los daños a los sistemas. Thomas Humphre: Por lo tanto, casi todos los informes SOCK 2 incluirán la seguridad en su ámbito de aplicación. Thomas Humphre: Aunque corresponde a las organizaciones determinar qué grupos de control quieren cubrir y, tras debatirlo con los auditores y el organismo de auditoría, lo más habitual es que la seguridad, al ser el grupo de control más amplio, sea también el que más se cubre. Thomas Humphre: Entonces, ¿qué tipo de controles estamos analizando aquí? Thomas Humphre: Proteger contra el acceso no autorizado, la divulgación de información y los daños a los sistemas. Thomas Humphre: Estamos analizando todo, desde el acceso lógico y físico hasta el cifrado y la copia de seguridad de los datos, pasando por algunos controles de gobernanza, el establecimiento de funciones y responsabilidades, los marcos de gestión de riesgos y otros controles físicos y lógicos similares. Thomas Humphre: Por lo tanto, se trata de una tecnología muy compleja.
Thomas Humphre: Hay un gran énfasis en la seguridad, pero hay una agrupación entre los controles de confidencialidad del lado de la gobernanza y del lado técnico para proteger la información diseñada o identificada como confidencial, y en esta etapa también incluiré el último grupo de control, la privacidad.Hay una sutil diferencia entre los dos tipos de privacidad, ya que, como es de esperar, la atención se centra en gran medida en los datos personales, por lo que hay que pensar en la PII, la SPI, cualquier dato personal sensible, datos médicos, cualquier dato que se considere personal. La atención se centra en gran medida en los controles para proteger cómo se protege y cómo se maneja. Thomas Humphre: Por ejemplo, contar con responsables del control de datos y respuestas para la gestión de violaciones de datos. Thomas Humphre: Sin embargo, la confidencialidad se centra más en la información que no se considera datos personales. Thomas Humphre: Eso puede significar información confidencial de la empresa. Thomas Humphre: Por lo tanto, podría tratarse de información privada, propiedad intelectual, otra información o sistemas de información clasificados bajo el estandarte de la confidencialidad. Thomas Humphre: Por lo tanto, los controles aquí se centran en la protección de esa información confidencial. Thomas Humphre: Es decir, protección contra la destrucción, protección en cuanto a la forma en que se maneja y dónde se almacena. Thomas Humphre: Por lo tanto, hay una sutil diferencia. Thomas Humphre: Hay una clara distinción para las empresas que eligen ese grupo de control. Thomas Humphre: A continuación, pasamos a la integridad y disponibilidad del procesamiento. Thomas Humphre: La integridad... De nuevo, cualquiera que tenga una mentalidad ISO reconocerá estos términos. Thomas Humphre: Es decir, la parte de garantía de calidad de los datos. Thomas Humphre: Así que hay que garantizar que el procesamiento del sistema sea preciso, oportuno y válido, que la información y los sistemas estén disponibles y sean accesibles en todo momento. Thomas Humphre: Así que, desde el punto de vista de la integridad del procesamiento, hay que asegurarse de que la forma en que se procesan los datos que se transfieren. Thomas Humphre: No hay nada que interrumpa y perturbe la forma en que se estructuran los datos, por ejemplo. Thomas Humphre: Por otro lado, en cuanto a la disponibilidad, hay que asegurarse de que los datos estén disponibles en todo momento y sean accesibles para quienes necesitan acceder a ellos. Thomas Humphre: Por lo tanto, algunos controles de acceso son muy habituales cuando se trata de establecer grupos de control de disponibilidad.
Thomas Humphre: Ahora bien, es fundamental reiterar aquí que es la organización la que identifica el alcance. Thomas Humphre: Eh, y eso plantea una pregunta: ¿por qué no capturar todos los alcances? Thomas Humphre: ¿Por qué no los cinco grupos? Thomas Humphre: Eh, ¿no es cierto que todas las empresas deberían adherirse a la seguridad y a la privacidad? Thomas Humphre: Y la respuesta es no. Thomas Humphre: Por supuesto, depende en gran medida de ellas. Thomas Humphre: Y hay varias razones detrás de esto. Thomas Humphre: Por un lado, cuando una organización se propone obtener la acreditación SOC 2 o, al menos, debe analizar dónde encajan estos controles dentro de su organización. Thomas Humphre: Así que, por ejemplo, si, basándose en la provisión de productos y servicios de la empresa, no interactúan con datos personales ni los manejan en ninguna capacidad, parece lógico que los grupos de control de la privacidad no sean relevantes. Thomas Humphre: Del mismo modo, si manejan sistemas sensibles que capturan información confidencial de los clientes. Thomas Humphre: Quizás estén proporcionando esos sistemas, pero también introduciendo esa información en nombre del cliente. Thomas Humphre: Una vez más, parece lógico que se incluya el grupo de control de confidencialidad. Thomas Humphre: Por lo tanto, depende en gran medida del ámbito en el que opera la empresa, del ámbito de lo que realizan. Thomas Humphre: Pero también es importante pensar en el alcance en términos de las áreas que deben cumplir para obtener la acreditación Sock 2, ya que, si por ejemplo, en virtud de un contrato, es necesario llamar y recibir Sock 2 en una estación, puede estar muy delimitado debido a un tipo concreto de producto o servicio y, a través de esa determinación de delimitación, que forma parte del negocio en lugar de abarcarlo todoabarcador, eso en sí mismo puede identificar los mejores grupos de control que deben ser capturados y evaluados por los auditores. Así que, antes de continuar, hagamos una segunda pregunta de la encuesta. Thomas Humphre: ¿Está pensando en ampliar o establecer un programa de riesgo de terceros en los próximos meses? Thomas Humphre: Podemos responder sí, no o no estoy muy seguro. Thomas Humphre: De acuerdo. Thomas Humphre: Entonces, ¿están buscando ampliar o establecer por primera vez un programa de riesgos de terceros en los próximos meses? Thomas Humphre: Ahora pasemos a ver las excepciones y qué significa una excepción en el concepto de Sock 2, pero también pensando en cómo gestionan los riesgos y cómo interactúan con su programa de terceros.
Thomas Humphre: En la pantalla podemos ver una muestra de criterios extraídos de un informe de control que recoge un control concreto. Thomas Humphre: En este caso, si nos fijamos en el CC 3.4, que proviene de los criterios de servicio de confianza, podemos ver un desglose de lo que son los criterios. Thomas Humphre: Entonces, lo que se le exige a la organización es la respuesta de la organización. Thomas Humphre: Entonces, ¿qué controla qué política ve qué procesos han implementado para cumplir con ese criterio? Thomas Humphre: Luego, las pruebas del propio auditor. Thomas Humphre: Entonces, ¿qué técnicas de validación y verificación, qué pruebas, qué inspecciones o entrevistas han llevado a cabo para asegurarse de que lo que la organización ha dicho coincide con los criterios y, luego, los resultados finales del auditor? Thomas Humphre: En el primer caso, si nos fijamos en la actividad de control, la empresa identifica y evalúa los cambios que podrían afectar significativamente al sistema de control interno y, si la organización ha declarado que los cambios en la estructura y las operaciones del negocio se consideran y evalúan como parte de una evaluación de riesgos anual. Thomas Humphre: Por lo tanto, la organización considera los cambios empresariales y operativos como parte de su programa más amplio de evaluación de riesgos y registros de riesgos. Thomas Humphre: Dado que esto es lo que ha dicho la organización, podemos ver que los evaluadores ahora inspeccionan las hojas de trabajo de evaluación de riesgos. Thomas Humphre: Han examinado las revisiones de riesgos y las evaluaciones de riesgos más recientes y han tratado de verificar que se han tenido en cuenta y evaluado todos los cambios en la estructura empresarial y/o las operaciones. Thomas Humphre: En este primer caso, observamos una excepción. Thomas Humphre: Por lo tanto, hay una falta de visibilidad para identificar los cambios en la estructura empresarial o en las operaciones como parte de la evaluación anual de riesgos. Thomas Humphre: Así pues, en este caso, el auditor ha entrado, ha revisado la documentación sobre riesgos, ha tenido en cuenta las actividades que la organización ha especificado, pero no ha podido encontrar nada que valide las declaraciones de la organización frente al primer resultado. Thomas Humphre: Como pueden ver, no se han señalado excepciones. Thomas Humphre: Así que han vuelto a inspeccionar la evaluación de riesgos. Thomas Humphre: Han inspeccionado el requisito en este caso, el cambio en los entornos normativos, económicos o físicos, y han visto pruebas que sugieren que no hay más excepciones señaladas. Thomas Humphre: No hay cuestiones que plantear sobre las no conformidades.
Thomas Humphre: En segundo lugar, estamos ante un control diferente, en el que la organización ha creado un análisis de seguridad instantáneo que se realiza para cualquier instancia crítica con el fin de determinar el impacto de la causa raíz e identificar y alcanzar algún tipo de resolución. Thomas Humphre: Y, de nuevo, podemos ver que el auditor ha indicado que, tras la inspección de la seguridad o de los incidentes críticos de seguridad. Thomas Humphre: No se ha documentado ninguna causa raíz, ningún impacto en el sistema ni ninguna solución. Thomas Humphre: Así que tenemos un claro ejemplo de una organización que afirma: «Este es nuestro proceso de trabajo. Thomas Humphre: Esto es lo que hacemos y estos son los pasos que debemos seguir». Thomas Humphre: Pero ahora tenemos pruebas que demuestran que esos pasos no se han dado. Thomas Humphre: Ahora bien, una de las cosas clave que es importante señalar aquí es que se puede percibir como una omisión en comparación con otras evaluaciones y tipos de evaluación, fuera de la excepción que se señala. Thomas Humphre: No hay indicios de la gravedad de la situación. Thomas Humphre: Tenemos una declaración y tenemos una excepción. Thomas Humphre: No tenemos ningún otro indicio de que se trate de algo crítico para la misión. Thomas Humphre: ¿Son lo que se podría llamar riesgos críticos altos, medios o bajos, o riesgos rojos, sea cual sea la metodología para definir esa excepción? Thomas Humphre: Y eso es importante. Thomas Humphre: Sabemos que dentro de las evaluaciones SOCK 2 podemos encontrar y, con suerte, llegar a una etapa en la que podamos consolidar una lista de diferentes excepciones, si es que el auditor ha identificado alguna. Thomas Humphre: Pero no podemos llegar al nivel de considerar si el auditor ha considerado que esto es un riesgo crítico, y aquí es donde incorporarlos a nuestro propio programa de riesgos puede ayudar a establecer esa expectativa que ayuda a definirlo. Thomas Humphre: Por supuesto, hay casos en los que vemos en los informes SOCK 2 que no se han señalado excepciones, lo que se podría llamar un informe limpio. Thomas Humphre: El autor ha entrado y no ha identificado ningún control que no se haya diseñado de forma eficaz o cuya eficacia operativa sea sólida. Thomas Humphre: El control ha demostrado y logrado lo que se proponía. Thomas Humphre: Por último, eh, antes de continuar, al examinar los resultados de las pruebas en sí, dado que esta información proviene directamente del auditor, siempre veremos una variación ligeramente diferente en la forma en que se informan los resultados de las pruebas. Thomas Humphre: Por lo tanto, no existe una regla estricta en cuanto al nivel de detalle que se desea alcanzar.
Thomas Humphre: En estos casos, queda bastante claro lo que han visto o lo que no han visto, basándose en el control de la organización. Thomas Humphre: Así que lo que han declarado es lo que tienen. Thomas Humphre: Habrá algunos casos en los que se disponga de menos información. Thomas Humphre: Obviamente, cuanta más información detallada haya en cuanto al tipo de procesos de inspección y verificación, más detalles habrá en cuanto al resultado de la prueba y, obviamente, más fácil será el proceso de trasladar estas excepciones a nuestro programa de riesgos más amplio y, luego, cuando comencemos a colaborar con terceros. Thomas Humphre: Por lo tanto, cuando pensamos en trasladar estas excepciones a nuestra propia plataforma de riesgos, a nuestros propios procesos de riesgos. Thomas Humphre: En primer lugar, tenemos que pensar en ese nivel de detalle. Thomas Humphre: Así que, cuando hay suficiente detalle en lo que los auditores proporcionan en el informe, donde hay respuestas de la dirección y quizás hayan dado más detalles en cuanto a los aspectos del resultado que han logrado. Thomas Humphre: Si la empresa, por ejemplo, ya ha dicho que entiende que hay que seguir adelante. Thomas Humphre: Hemos ajustado nuestro proceso para asegurarnos de que se recogen los detalles necesarios como parte de los tickets instantáneos y quizá haya algunos elementos que hemos añadido en las comprobaciones para reforzar ese nivel de detalle que solo ayudará a nuestro proceso a la hora de tomar esas excepciones e incorporarlas en nuestro proceso de riesgo. Thomas Humphre: Así que cuando decimos mapear excepciones a riesgos. Thomas Humphre: ¿Qué queremos decir? Thomas Humphre: Bueno, porque no ha habido suficientes detalles por parte del auditor en cuanto a si se trata de un riesgo crítico alto, medio o bajo, o una excepción, o cualquier indicación de puntuaciones de impacto, probabilidad o alguna de la terminología estándar que se esperaría en la gestión de riesgos. Thomas Humphre: Ahí es donde buscamos aprovechar nuestras propias herramientas de riesgo y procesos de gestión de riesgos existentes. Thomas Humphre: Por lo tanto, si contamos con un proceso que sigue las mejores prácticas estadísticas, como la norma ISO 31 000 o el marco de gestión de riesgos del NIST, es posible que ya tengamos una estructura clara sobre cómo identificamos una puntuación de impacto y una puntuación de probabilidad y otorgamos una calificación de riesgo general, o que utilicemos un sistema similar al del tráfico para indicar la criticidad.
Thomas Humphre: Entonces, si ya contamos con esas herramientas establecidas, será más fácil asumir esos riesgos y decir, basándonos en lo que ha dicho el auditor y en la excepción, que no hay Ed, ¿consideramos que se trata de un riesgo crítico o de un riesgo bajo, por ejemplo? Thomas Humphre: Y, por supuesto, cuanto más consolidada esté esa herramienta de gestión de riesgos, más exhaustivos podremos ser a la hora de justificar por qué hemos planteado y calculado el riesgo de la forma en que lo hemos hecho. Thomas Humphre: Un aspecto en el que sí encontramos que se solicitan informes SOCK 2 es cuando la organización envía evaluaciones a terceros, evaluaciones o encuestas relacionadas con un grupo de control concreto. Thomas Humphre: Por ejemplo, o normas y mejores prácticas. Thomas Humphre: Así, por ejemplo, si vemos que se envían encuestas ISO 27,01 o CIS a organizaciones y luego se recibe un informe SOCK 2 porque el proveedor dice que no tiene tiempo para rellenar una evaluación larga o antes de enviarla rellenamos su evaluación. Thomas Humphre: Tenemos este informe SOP 2 que demuestra las mejores prácticas que hemos implementado y creemos que es suficiente antes de proceder a completar una evaluación. Thomas Humphre: Así que si ya existe una estructura clara en términos de expectativa de que se deben utilizar 27,01 o CIS u otros marcos para evaluar a los proveedores cuando introducimos las excepciones como las dos anteriores, como hemos visto. Thomas Humphre: Ya podemos empezar a relacionarlos con esas normas. Thomas Humphre: Y así, si consideramos, por ejemplo, la falta de análisis de las causas fundamentales, un proceso deficiente de gestión de incidentes de seguridad o un sistema deficiente de tickets de seguridad como un riesgo crítico, porque se considera un control obligatorio en nuestra evaluación ISO o nuestra evaluación CIS. Thomas Humphre: Eso nos ayudará a juzgar y a proporcionar una declaración clara de por qué ese riesgo se considera crítico. Thomas Humphre: Por ejemplo, alto o medio. Thomas Humphre: Así que, aprovechando las herramientas de riesgo existentes, las herramientas de gestión de riesgos que pueda tener, identificando el impacto y la probabilidad, podemos asignar unas puntuaciones de riesgo razonables, teniendo en cuenta de nuevo cualquier respuesta de gestión existente que pueda provenir de la organización. Thomas Humphre: Y, por último, podemos empezar a asignar las tareas relacionadas con la gestión de la evaluación. Thomas Humphre: Así que, en el caso de que se hayan planteado excepciones, estas se han identificado.
Thomas Humphre: Sin embargo, no ha habido ninguna respuesta por parte de la dirección o simplemente han identificado que sí, que tomaremos medidas para resolverlo. Thomas Humphre: Tenemos que empezar a pensar en cómo hemos incorporado estas excepciones a nuestra plataforma. Thomas Humphre: ¿Cómo podemos colaborar ahora con nuestros proveedores para asegurarnos de que esas acciones, esos riesgos o incumplimientos se gestionan de forma eficaz y se resuelven? Thomas Humphre: Así que convertir las excepciones en riesgos. Thomas Humphre: Una vez que se tiene una idea del riesgo. Thomas Humphre: Hemos identificado el cálculo y el nivel o la calificación de riesgo que queremos aplicar. Thomas Humphre: Entonces podemos empezar a examinar otros aspectos que nos ayuden a ampliar la excepción y obtener un caso más amplio que facilite mucho el proceso de colaboración con terceros. Thomas Humphre: En primer lugar, ¿podemos relacionarlo con las normas que son fundamentales para nosotros? Thomas Humphre: Puse el ejemplo de la norma ISO 27000. Si ya existen controles clave claros dentro de esa norma, podemos asignar esa excepción a ella, lo que facilitará el proceso cuando comencemos a interactuar e identificar algunas de las recomendaciones o medidas correctivas. Thomas Humphre: ¿Existen tipos de riesgo en nuestro propio registro de riesgos a los que podamos aplicar este riesgo? Thomas Humphre: Entonces, ¿podemos aplicar etiquetas y tipos de riesgo en torno a la gestión de incidentes en torno a controles Sock 2 específicos? Si hemos hecho ese tipo de mapeo, ¿tenemos un registro de riesgos estándar al que podamos trasladar todos estos riesgos para que, cuando comencemos a recibir más informes Sock 2, podamos empezar a hacer más análisis de tendencias y puntos de vista generales, especialmente cuando se producen riesgos y excepciones similares? Thomas Humphre: Desarrollar el riesgo en sí mismo. Thomas Humphre: Entonces, ¿podemos aplicar un nombre al riesgo, una descripción y la propiedad del riesgo? Thomas Humphre: Entonces, si hemos visto un riesgo a partir de la excepción del auditor. Thomas Humphre: ¿Hay suficiente información para que podamos determinar por qué era un riesgo? Thomas Humphre: ¿Es una clara deficiencia del proceso, por ejemplo? Thomas Humphre: ¿Hay algún aspecto concreto del control que faltaba? Thomas Humphre: Entonces, ¿podemos empezar a ampliar la descripción y la comprensión de dónde proviene este riesgo, dónde se estableció? Thomas Humphre: Y luego, la propiedad del riesgo, por supuesto, es una función particular dentro de la empresa a la que debemos recurrir. Thomas Humphre: ¿Con quién debemos empezar a tener esas conversaciones para establecer plazos para la corrección del riesgo?
Thomas Humphre: Entonces, convertir esa excepción en un riesgo más amplio en su plataforma implica varios pasos. Thomas Humphre: Pero, como mencioné al principio, mucho de esto puede depender del nivel de profundidad que se vea en el informe Sock 2. Thomas Humphre: Por supuesto, puede haber algunos casos en los que el auditor no haya capturado tanta información. Thomas Humphre: Obviamente, no podemos volver atrás y hablar con los auditores. Thomas Humphre: Es algo independiente y, por supuesto, el informe ya se ha publicado y completado. Thomas Humphre: Pero, obviamente, si la información es insuficiente, aún podemos empezar a recopilar algunos de esos detalles, pero es entonces cuando tenemos que involucrar a un tercero, quizás en una fase más temprana, para poder obtener más detalles y comprender de dónde provienen las acciones y cuáles son las actividades en curso. Thomas Humphre: Así podremos empezar a completar nuestro propio registro de riesgos, nuestro propio proceso de riesgos de terceros, con los detalles pertinentes sobre cómo y por qué se estableció y cuáles son las medidas que está tomando actualmente la organización. Thomas Humphre: Antes de continuar, tenemos la tercera pregunta de la encuesta. Thomas Humphre: ¿Qué le ha llevado a participar en este seminario web hoy? Thomas Humphre: ¿Es por motivos educativos? Thomas Humphre: ¿Puramente por experiencia educativa y para comprender mejor la investigación del proyecto Sock Sock 2 de un próximo proyecto TPRM? Thomas Humphre: Quizás ya haya comenzado su programa TPR y haya identificado que Sock 2 es un área en la que va a ver mucha tracción, o quizás esté solicitando evaluaciones de Sock 2 a sus proveedores o lo esté utilizando como un factor clave para evaluar a los proveedores. Thomas Humphre: Estoy seguro de por qué estoy aquí o ¿cómo estoy otra vez? Thomas Humphre: Um, entonces, uh, debería haber una encuesta que aparece en la pantalla. Thomas Humphre: Entonces, um, si pueden introducir su respuesta adecuada. Thomas Humphre: Gracias. Thomas Humphre: Hemos llegado a la fase en la que hemos establecido este informe OPT. Thomas Humphre: Lo hemos recibido. Thomas Humphre: Hemos comprendido los detalles, las excepciones y el alcance. Thomas Humphre: Hemos identificado que el alcance coincide con el producto o servicio que nos suministra el proveedor. Thomas Humphre: Hemos identificado que las excepciones han sido registradas y hemos llegado a una etapa en la que las estamos registrando en nuestro propio registro de riesgos y, con suerte, con suficiente detalle como para poder empezar a colaborar con el tercero. Thomas Humphre: Ahora llega el momento de la corrección.
Thomas Humphre: Entonces, ¿qué hacemos ahora? Thomas Humphre: Tenemos estas acciones en las que puede haber o no algún tipo de respuesta por parte de la dirección. Thomas Humphre: Por lo tanto, deberíamos empezar ahora a desarrollar un manual que nos permita remediar esas dos excepciones. Thomas Humphre: Así que tenemos cuatro decisiones clave que tomar y tres acciones que considerar. Thomas Humphre: En primer lugar, los requisitos mínimos u obligatorios. Thomas Humphre: ¿Existe algún requisito obligatorio por parte de la empresa? Thomas Humphre: ¿Qué queremos decir con esto? Thomas Humphre: He mencionado que, desde el principio, puede haber algunas evaluaciones de seguridad que ya hayáis puesto en marcha o que estéis considerando poner en marcha con el proveedor, ya tenéis una idea de lo que hace el proveedor, lo que os suministra y, a través de ese proceso, ¿habéis identificado algún control obligatorio que esperaríais que una organización tuviera por defecto? Thomas Humphre: Pensando en esa excepción en torno a la insuficiencia o la mala calidad en términos de respuesta a incidentes y la forma en que se registran los incidentes o la forma en que no se registran. Thomas Humphre: Si lo considera una buena práctica para todas las organizaciones, debería implementarse. Thomas Humphre: Esto puede considerarse un requisito obligatorio y eso proporciona un énfasis adicional en la forma en que se remedia o el tiempo en que se remedia. Thomas Humphre: ¿Hay alguna práctica recomendada que siga la organización? Thomas Humphre: ¿Existen normas industriales, ya sean impuestas por los reguladores y la legislación, o derivadas de las prácticas recomendadas de la industria, o incluso si la propia organización ha decidido que estas son las áreas que quiere seguir? Thomas Humphre: Si existen mejores prácticas, como las ISO y las NIST a nivel mundial, y las SIG en Estados Unidos. Thomas Humphre: ¿Puede eso ayudar a identificar esos requisitos obligatorios y también lo que se requiere? Thomas Humphre: ¿Qué tipo de corrección es necesaria? Thomas Humphre: Los plazos son fundamentales en este caso. Thomas Humphre: ¿Cuándo debe abordarse el riesgo? Thomas Humphre: Si a través de nuestro proceso de identificación de riesgos, hemos identificado que esas excepciones que clasificamos como riesgos críticos, especialmente cuando aún están abiertas y la respuesta de la dirección a ellas ha sido que todavía las estamos abordando o que todavía estamos revisando esas excepciones.
Thomas Humphre: Tenemos que empezar a pensar bien qué plazo debemos fijar a los terceros, tanto desde el punto de vista de una respuesta inmediata para indicar qué medidas van a tomar, como desde el punto de vista de un plazo de seguimiento para saber cuándo esperan que se implementen, ajusten o actualicen los controles. Thomas Humphre: Entonces, ¿en cuánto tiempo esperamos que se aborden esos riesgos? Thomas Humphre: Y, por último, las decisiones o las medidas resultantes. Thomas Humphre: Entonces, ¿qué ocurre con los riesgos remediados? Thomas Humphre: ¿Cuál es el punto y la etapa en la que podemos decir que hemos identificado la excepción? Thomas Humphre: Lo hemos clasificado desde una perspectiva de riesgo. Thomas Humphre: Hemos contratado a un tercero y hemos establecido lo que esperamos que suceda, o bien hemos llegado a un acuerdo con el tercero en cuanto a las medidas de mitigación necesarias. Thomas Humphre: ¿Cuál es el punto de decisión final? Thomas Humphre: ¿Podemos llegar a una etapa, basada en nuestra propia tolerancia al riesgo y nuestros criterios de aceptación del riesgo, en la que podamos eliminar el riesgo o reducirlo a un nivel adecuado o apropiado? Thomas Humphre: Por lo tanto, cuando se piensa en remediar una vulnerabilidad, hay varios puntos clave que debemos tener en cuenta. Thomas Humphre: Y una vez que hayamos establecido e identificado cuáles son las mejores prácticas de ES, si se trata de un control obligatorio y si hay algún paso claro que esperamos que dé un tercero. Thomas Humphre: Estos requisitos o soluciones esperadas pueden entonces incluirse en un informe de riesgos más amplio y, obviamente, comunicarse de forma adecuada a terceros. Thomas Humphre: En este caso, pensemos en la falta de impacto o resolución de la causa raíz del sistema que se documenta en los tickets de incidentes de seguridad. Thomas Humphre: Podemos desarrollar una solución que establezca que exigimos a los proveedores que identifiquen el impacto causado en las operaciones comerciales. Thomas Humphre: Es necesario documentar la causa raíz de los incidentes y las medidas adoptadas para resolverlos, y debe haber una visibilidad clara en cada ticket o registro de incidente que se genere, que muestre qué medidas se están tomando. Thomas Humphre: Y, por último, tal vez necesitemos que mejoren o perfeccionen el método de comunicación y cumplimentación de los tickets instantáneos. Thomas Humphre: Es decir, la comunicación y la concienciación del personal responsable de gestionar los incidentes.
Thomas Humphre: Hemos reflexionado sobre cuál podría ser la causa fundamental de este problema y hemos identificado una recomendación o un plan de corrección adecuado que usted puede transmitir al tercero y, tras el acuerdo entre ambas organizaciones, podemos empezar a supervisar esa solución hasta que se complete con éxito o hasta que lleguemos a una fase en la que consideremos que este riesgo, desde el punto de vista de la puntuación, puede reducirse o eliminarse, ya que la tercera parte ha implementado la información suficiente para que este riesgo ya no exista. Thomas Humphre: Así que hemos recopilado muchos detalles sobre lo que es un informe Sock 2. Thomas Humphre: Y algunos de los pasos clave que debemos tener en cuenta. Thomas Humphre: Hay algunas áreas que me gustaría reiterar aquí. Thomas Humphre: En particular, aquellos que están empezando con un programa de gestión de riesgos de terceros y aquellos que están empezando a recibir o esperan recibir informes Sock 2. Thomas Humphre: En primer lugar, desde el punto de vista de la gestión de riesgos, evalúe sus requisitos de gestión de riesgos de terceros. Thomas Humphre: Determine dónde se requieren esas prácticas y dónde se siguen las normas. Thomas Humphre: ¿Tenemos ya un enfoque claro, una evaluación de seguridad clara, un marco de seguridad que estamos aplicando a terceros o con el que estamos auditando a terceros? Thomas Humphre: Si es así, ¿tenemos alguna correspondencia adecuada con esas normas, de modo que cuando reciba un informe SOC 2, tengamos una orientación clara en cuanto a las excepciones que puedan surgir? Thomas Humphre: Se ajustan a nuestra evaluación de seguridad de la información. Thomas Humphre: Determinar los requisitos mínimos. Thomas Humphre: ¿Son los controles obligatorios que esperas que todos los terceros lleven a cabo o tengan implementados? Thomas Humphre: ¿Estos controles se basan en las normas de buenas prácticas? Thomas Humphre: Quizás estén impulsados por el sector o por los reguladores, basándose simplemente en lo que ocurre dentro del sector. Thomas Humphre: Y esto se convierte en realidad en un enfoque muy cíclico. Thomas Humphre: Así que se revisa continuamente: ¿Cumplen esas mejores prácticas nuestros objetivos y necesidades de evaluar a nuestros terceros? Thomas Humphre: ¿Estamos utilizando los estándares adecuados? Thomas Humphre: ¿Estamos utilizando los controles adecuados?
Thomas Humphre: Eh, ¿siguen siendo válidos los requisitos mínimos o controles obligatorios que hemos identificado desde el principio? Thomas Humphre: Eh, ¿o tenemos que ajustar e identificar controles adicionales que esperamos que nuestros proveedores cumplan? Thomas Humphre: Y, por último, ¿podemos relacionar estos dos requisitos de Sock Two con los criterios de confianza? Thomas Humphre: Una vez hecho esto, pasaremos a la evaluación real de los propios informes Sock Two. Thomas Humphre: Así que, una vez que recibamos ese informe Sock 2, podremos identificar a través del informe cuál es el alcance que se ha utilizado y dónde se han señalado las excepciones. Thomas Humphre: ¿El alcance cumple con nuestras expectativas sobre lo que está suministrando el tercero? Thomas Humphre: ¿El pedido ha proporcionado indicaciones de dónde hay excepciones a la norma, dónde se han identificado excepciones y dónde hay lagunas en los procesos, las políticas y los sistemas? Thomas Humphre: Una vez que hayamos identificado eso, ¿podemos llegar a una etapa en la que podamos extraer esas excepciones e incluirlas en nuestro programa de riesgos de terceros? Thomas Humphre: Así pues, las recogemos en informes de riesgo dentro del perfil de riesgo de cada proveedor, que pueden alinearse con la forma en que calculamos el riesgo. Thomas Humphre: Y, por último, asegúrese de que cuenta con ese proceso que gestiona esas excepciones para garantizar un resultado inicial correcto, un tratamiento adecuado del riesgo y un resultado satisfactorio que se obtiene mediante la corrección del riesgo y, a continuación, mediante ese nivel de compromiso con la parte. Thomas Humphre: También vale la pena señalar, por último, que en un informe SOCK 2, como mencioné al principio, siempre habrá ocasiones en las que no se señalen excepciones. Thomas Humphre: Así que el auditor ha entrado, lo ha revisado con uno o varios grupos de control y es un informe completamente limpio. Thomas Humphre: Esto lo vemos especialmente en algunas de las organizaciones más grandes, sobre todo en aquellas en las que se ha llevado a cabo SOCK 2 año tras año. Thomas Humphre: Por lo tanto, se ha convertido en un proceso bastante maduro. Thomas Humphre: Y eso no quiere decir que ya no sea valioso. Thomas Humphre: Obviamente, ofrece una vía diferente en cuanto a cómo utilizamos esa información con nuestro TPRM. Thomas Humphre: Pero sin duda es un resultado muy positivo que podemos utilizar para demostrar e identificar las mejores prácticas que están adoptando algunas de estas organizaciones.
Thomas Humphre: Especialmente si queremos ver dónde hay tendencias y análisis de tendencias entre proveedores similares que nos proporcionan informes de calcetines. Thomas Humphre: Por último, solo quiero señalar desde la perspectiva de Preven. Thomas Humphre: Preven ha desarrollado una lista de verificación para la gestión de riesgos de terceros y calcetines que analiza los principios de los servicios de confianza, mapea las capacidades T prime, pero también cómo simplificar los informes de cumplimiento. Thomas Humphre: Esto es algo que se puede leer fácilmente, está disponible y se puede descargar gratuitamente a través del enlace que aparece en la página. Thomas Humphre: Con esto concluye mi seminario web. Thomas Humphre: Ahora me gustaría abrir un turno de preguntas. Thomas Humphre: Bien, tenemos un par de preguntas que están empezando a llegar. Thomas Humphre: ¿El auditor de Sock realiza un seguimiento con la empresa a través de la mediación para cualquier excepción, cualquier excepción de control observada? Thomas Humphre: ¿El auditor de Sock realiza un seguimiento con la empresa a través de la mediación para cualquier excepción de control observada? Thomas Humphre: Buena pregunta. Thomas Humphre: Ahora bien, como ya hemos identificado, Sock proporcionará este informe detallado y proporcionará una lista de excepciones. Thomas Humphre: Ahora bien, en el caso típico, eh, en el caso típico, los dos informes del auditor se realizarán una vez y luego se repetirán anualmente. Thomas Humphre: Es habitual que las empresas sean revisadas y evaluadas cada dos años. Thomas Humphre: Eh, existe la posibilidad de ser evaluado con mayor frecuencia si la empresa lo desea o si forma parte de los acuerdos contractuales. Thomas Humphre: Y, por supuesto, durante ese proceso, sí, se haría un seguimiento con la organización para identificar las excepciones observadas la última vez . Thomas Humphre: Donde se han realizado mejoras basadas en las respuestas de la dirección y cualquier información que la dirección se haya comprometido a mejorar, tanto si se ha cumplido como si se ha completado.
Thomas Humphre: Y como parte de esa base anual, los evaluadores analizarán esos resultados y, en particular, tendrán en cuenta los cambios que se produzcan en los próximos años o si se han producido mejoras, especialmente si se dan muchas excepciones en un área concreta, puede ser pertinente que el evaluador profundice en esa área concreta al elaborar su informe. Thomas Humphre: Este es un escenario típico que se da si hay un problema concreto en un grupo de control. Thomas Humphre: Por ejemplo, si estamos analizando el grupo de control de seguridad y hay una serie de requisitos de control de acceso y hay una serie de excepciones que se han producido, al menos puede ser pertinente que el evaluador haga un seguimiento con esa organización y diga que hay que examinar más detenidamente este aspecto para asegurarse de que las medidas que se han tomado han tenido éxito y de que se ha llegado a una fase en la que el proceso funciona ahora de manera eficaz y también se ejecuta de manera eficaz. Thomas Humphre: Sí, hay un seguimiento por parte del auditor, al menos una vez al año, pero en algunos casos también puede ser más frecuente. Thomas Humphre: Tenemos una segunda pregunta. Thomas Humphre: ¿El hallazgo de excepciones significa automáticamente la emisión de una opinión con salvedades? Thomas Humphre: ¿El hallazgo de excepciones significa automáticamente la emisión de una opinión con salvedades? Thomas Humphre: Es una pregunta interesante. Thomas Humphre: Porque hay dos tipos de opiniones que pueden surgir, que pueden señalarse, que se denominan opinión sin salvedades y opinión con salvedades. Thomas Humphre: Y es interesante que entiendas lo que esto significa realmente o lo que se considera un informe u opinión con salvedades o sin salvedades. Thomas Humphre: Así que la respuesta es que depende de la excepción. Thomas Humphre: Por lo tanto, puede haber ocasiones en las que se detecten y planteen excepciones que sean muy graves o muy serias. Thomas Humphre: Un ejemplo perfecto de esto es cuando se ha documentado un proceso, pero no hay pruebas que sugieran que ese proceso se está llevando a cabo, especialmente cuando se analiza el tipo dos y se examina la eficacia operativa. Thomas Humphre: Por lo tanto, podría ser un problema bastante grave.
Thomas Humphre: Por otro lado, podrían plantearse excepciones, pero el proceso podría seguir funcionando. Thomas Humphre: Por lo tanto, cualquier persona con mentalidad ISO podría escuchar las palabras «observaciones», «no conformidades menores y mayores», y se trata de un proceso similar. Thomas Humphre: Por lo tanto, si se han planteado cuestiones y es necesario mejorar aspectos de un proceso, una política o un control que no han tenido un impacto perjudicial para la organización en general, esta será la diferencia entre la emisión de una opinión con salvedades. Thomas Humphre: Por lo tanto, si se trata de un informe de salvedades, probablemente también valga la pena mencionar las opiniones sin salvedades. Thomas Humphre: Por lo tanto, cuando se emite un informe de auditoría con una opinión con salvedades, esto básicamente indica que uno o varios controles no se han diseñado como tipo uno o no funcionan eficazmente como tipo dos. Thomas Humphre: Um, por lo tanto, si se trata de un informe con salvedades, esas excepciones han sido lo suficientemente significativas como para considerar que uno o varios controles son totalmente ineficaces. Thomas Humphre: Por otro lado, una opinión sin reservas o un informe sin reservas indica que todos los controles que se han vuelto a probar, ya sean de tipo uno o de tipo dos, funcionan eficazmente. Thomas Humphre: En tal caso, puede que no se hayan identificado problemas ni excepciones, o que haya habido algunos problemas, pero que estos no estén causando un impacto perjudicial. Thomas Humphre: Por lo tanto, depende en gran medida de la gravedad de la excepción que se determine si el auditor emite una opinión con salvedades o sin salvedades. Thomas Humphre: Espero que tenga sentido. Thomas Humphre: Última pregunta. Thomas Humphre: He oído hablar del término «carta puente» en relación con algunas empresas. Thomas Humphre: ¿Qué es y sustituye al informe SOC 2? Thomas Humphre: Es una pregunta interesante. Thomas Humphre: Una carta puente se puede utilizar en muchas empresas y se considera básicamente como un puente, de ahí el término «puente», y lo que significa es que los datos del último informe SOC 2 que se llevó a cabo y cada informe SOC tendrán una indicación clara de las fechas. Thomas Humphre: Pero entonces puede haber un intervalo entre el último informe Sock que se llevó a cabo y el siguiente informe Sock, o la evaluación Sock que se lleva a cabo.
Thomas Humphre: Si hay una diferencia significativa, lo que normalmente significa cualquier diferencia de tres meses o más, se puede emitir una carta que básicamente es una validación de la empresa en la que se afirma que no hemos tenido ningún cambio significativo en nuestros controles que estén cubiertos por el ámbito de aplicación de nuestro Sock 2 o nuestro Sock 2 que se emitió la última vez. Thomas Humphre: No ha habido cambios operativos o comerciales significativos que hayan afectado a nuestros controles. Thomas Humphre: Por lo tanto, es importante señalar que esto no sustituye al informe SOC 2, pero ayuda a proporcionar esa garantía, especialmente a los clientes, si hay una diferencia significativa entre las auditorías SOC 2 y SOC 2. Thomas Humphre: Y vemos que se utiliza a menudo en muchas empresas, especialmente en algunas de las grandes empresas, las grandes multinacionales que han tenido Sock 2 durante muchos años y, por una u otra razón, ha habido una brecha entre dos informes, así que sí, es ese nivel de garantía el que emite y firma la propia organización, por lo que no está verificado por un auditor, pero lo entrega la organización, por lo que es algo quesiempre vale la pena tener en cuenta desde la perspectiva del cliente, desde su propia perspectiva, pero teniendo en cuenta que, como se ha dicho, no ha sido validado por un auditor. Es simplemente la respuesta de la organización para decir que podemos confirmar que no ha habido ningún cambio significativo desde nuestro último Sock Two y en preparación para nuestra próxima evaluación programada. Thomas Humphre: De acuerdo. Thomas Humphre: No veo más preguntas por el momento. Thomas Humphre: Si tienen más preguntas después de este seminario web, háganoslo saber y estaré encantado de responderlas. Thomas Humphre: Gracias. Melissa Lent: Genial. Melissa Lent: Muchas gracias, Thomas, por acompañarnos hoy y compartir su visión sobre cómo analizar la eficacia de los controles de seguridad de un proveedor y cómo descodificar los informes SOCK 2 de terceros. Melissa Lent: Le agradecemos mucho todas sus aportaciones. Melissa Lent: Y a nuestro público, nos encantaría que se unieran a nosotros en otros seminarios web de la OAG que se celebrarán próximamente. Melissa Lent: Estén atentos a los correos electrónicos de la OAG sobre estos futuros eventos. Melissa Lent: Con esto concluye nuestro webcast de hoy. Melissa Lent: Muchas gracias a todos por acompañarnos.
©2026 Mitratech, Inc. Todos los derechos reservados.
©2026 Mitratech, Inc. Todos los derechos reservados.