En una industria cada vez mas saturada de certificaciones propias y ajenas, es común encontrarnos con solicitudes de certificados varios sin apenas conocer su alcance ni aplicabilidad. En muchas ocasiones simplemente por costumbre o referencias mal aplicadas. Es el caso del informe de auditoría SOC 2.
El SOC 2 proporciona información detallada y garantías sobre la seguridad, la disponibilidad, la integridad del procesamiento, la confidencialidad y/o los controles de privacidad de una organización de servicios, en función de su cumplimiento con los TSC (Criterios de servicios de confianza) del AICPA (American Institute of Certified Public Accountants). Es una forma de mostrar la aplicación de los TSC a falta de una certificación sobre una norma completa y detallada como podría ser la norma ISO27001.
SOC2 e ISO 27001 coinciden muchos aspectos con sus controles de seguridad que incluyen procesos, políticas y tecnologías diseñadas para proteger información confidencial. Diversos estudios sugieren que ambos marcos comparten el 96% de los controles de seguridad. La diferencia es cuál de esos controles de seguridad implementa.
Tanto el estándar ISO 27001 como el SOC 2 establecen que las organizaciones solo necesitan adoptar un control si se aplica a ellas, pero la forma en que abordan esto difiere ligeramente. ISO 27001 se centra en el desarrollo y mantenimiento de un SGSI (sistema de gestión de la seguridad de la información), que es un método global para gestionar las prácticas de protección de datos.
Para lograr el cumplimiento, debe realizar una evaluación de riesgos, identificar e implementar controles de seguridad y revisar periódicamente su eficacia.
Un Informe SOC 2 (Service Organization Control por sus siglas en inglés), por el contrario, es mucho más flexible y laxo. Comprende cinco Principios de Servicios de Confianza: Seguridad, Disponibilidad, Integridad del Procesamiento, Confidencialidad y Privacidad, pero solo el primero de ellos es obligatorio.
Las organizaciones pueden implementar controles internos relacionados con los otros principios si así lo desean, pero no es necesario para lograr la certificación
Informes SOC
Existen tres categorías de SOC, según el tipo de documento que se lleva a cabo:
- SOC 1 aborda los controles asociados con la seguridad de los estados financieros y está dirigido principalmente a los proveedores de servicios relacionados con información contable y financiera.
- SOC 2 audita todo aquello que tiene que ver, en general, con seguridad, disponibilidad, integridad de los procesos, confidencialidad y privacidad (este artículo).
- SOC 3 es, en realidad, un informe de cumplimiento de nivel superior que se puede compartir con los clientes pero, sin revelar información confidencial, incluyendo una evaluación del diseño y la efectividad operativa de los controles de seguridad. En este grupo existen dos clases según si se centra el análisis en los protocolos de seguridad internos de la organización a nivel general y de manera permanente, o si se aborda sólo durante un periodo determinado, como, por ejemplo, durante la realización de un proyecto.
En este artículo exponemos la forma en que se puede aprovechar el cumplimiento de ISO 27001 para presentar un informe SOC 2 y cumplir con sus requisitos.
Alcance SOC 2
SOC 2 es un conjunto de informes producidos durante una auditoría, realizada por un Contador Público Certificado (CPA) independiente o una organización contable.
El contenido de estos informes está definido por el Instituto Estadounidense de Contadores Públicos Certificados (AICPA). El SOC 2 valida los controles internos relacionados con los sistemas de información involucrados en los servicios prestados, basados en cinco categorías semi-superpuestas llamadas Trust Services Criteria (TSC).Originalmente fue muy común en EE.UU. pero la globalización de los servicios en la nube ha logrado que este tipo de auditorías sea cada vez más solicitado en cualquier país.
a importancia creciente de este informe sobre los demás es que suele ser el más utilizado para abordar una doble cuestión: ¿Está segura la información y cómo podemos estar convencidos de saberlo? El estándar del SOC 2 es el de una auditoría sobre los controles internos relacionados con la tecnología de la información, verificando las obligaciones y compromisos de los proveedores de servicios IT, Cloud y Hosting.
Dado que el contenido de los informes no requiere un componente objetivo de «aprobado o reprobado», solo la opinión del auditor, que es subjetiva, los informes de auditoría no son certificables según el SOC 2. Solo se puede certificar que se cumple con los requisitos de SOC 2, y esta certificación solo puede realizarla un CPA autorizado.
El principal objetivo de estos informes es delimitar el máximo control interno sobre la información financiera de otra empresa que maneja una entidad. Este tipo de verificaciones ayuda a transmitir seguridad y fiabilidad a los clientes.
Hay dos tipos de informes SOC 2. Los informes de Tipo 1 cubren la descripción de los sistemas de los servicios y muestran si los controles propuestos apoyan los objetivos que la organización quiere lograr. Los informes de Tipo 2 también cubren la descripción de los sistemas de los servicios y muestran si los controles propuestos apoyan los objetivos que la organización quiere lograr, así como si estos controles operan como se espera durante un período de tiempo (generalmente entre 6 meses y 1 año).
Ejemplos de objetivos a alcanzar mediante el uso de los sistemas de los servicios son aumento de rentabilidad, disminución de pérdidas/gastos, optimización operativa, cumplimiento de requisitos legales, etc.
Como se mencionó, los informes SOC 2 se enfocan en cómo los controles cumplen con cinco categorías:
- Seguridad: la información y los sistemas están protegidos contra riesgos que pueden comprometerlos y afectar la capacidad de la organización para cumplir con los objetivos definidos.
- Disponibilidad: la información y los sistemas deben estar disponibles cuando sea necesario, para que la organización pueda cumplir sus objetivos.
- Integridad del procesamiento: el procesamiento del sistema debe proporcionar información confiable cuando se autoriza, para que la organización pueda lograr sus objetivos.
- Confidencialidad: Solo el personal autorizado puede acceder a la información, para que la organización pueda lograr sus objetivos.
- Privacidad: la información personal se administra de manera que permite a la organización lograr sus objetivos.
El contenido de un informe de auditoría SOC 2 debe cubrir:
- Afirmación de la dirección: confirmación por parte de la dirección de que los sistemas relacionados con los servicios prestados se describen de forma justa en el informe.
- Informe del auditor: resumen de las pruebas y resultados realizados, y la opinión del auditor sobre la eficacia de sus controles.
- Descripción general de los sistemas: descripción detallada del sistema o servicio.
- Criterios de servicios de confianza aplicables: controles establecidos, así como la eficacia de esos controles teniendo en cuenta los criterios de servicios de confianza.
Alcance de la ISO 27001
ISO 27001 es una norma que define requisitos y controles para la protección sistemática de la información. Aplicable a organizaciones de cualquier tamaño e industria, consta de 10 cláusulas y 114 controles de seguridad agrupados en 14 secciones (Anexo A). El Sistema de Gestión de Seguridad de la Información, definido en las cláusulas 4 a 10, permite a una organización mantener sus niveles de seguridad siempre alineados con los objetivos y resultados deseados de la organización (por ejemplo, ventaja de mercado, disminución de pérdidas por incidentes, optimización operativa, etc.), basado en en un enfoque de gestión de riesgos.
Diferencia entre SOC 2 e ISO 27001
Mientras que SOC 2 se refiere a un conjunto de informes de auditoría para evidenciar el nivel de conformidad del diseño y operación de los controles de seguridad de la información con un conjunto de criterios definidos (TSC), ISO 27001 es un estándar que establece los requisitos para un Sistema de Gestión de Seguridad de la Información (SGSI), es decir, un conjunto de prácticas para definir, implementar, operar y mejorar la seguridad de la información.
La siguiente tabla muestra una comparación detallada entre SOC 2 e ISO 27001 y su aplicabilidad.
Comparación SOC2 vs ISO 27001 | ||
---|---|---|
SOC2 | ISO 27001 | |
Definición | Conjunto de informes de auditoría para evidenciar el nivel de conformidad a los criterios TSC | Un estándar internacional que establece unos requisitos concretos y auditables dará la gestión de la seguridad de un sistema de información |
Aplicación Geográfica | Generalmente únicamente solicitado en Estados Unidos de América | Internacional |
Aplicación en la industria | Puede ser de aplicación a organizaciones de servicios. Generalmente de base tecnológica. | Diseñado para ser de aplicación más general, por organizaciones de cualquier tamaño o tipo de industria. |
Compliance | El informe puede ser emitido por cualquier CPA (Certified Public Acountant) | Certificado emitido por una entidad certificadora acreditada |
Para qué se emplea | Acreditar el nivel de seguridad conforme a unos los criterios TSA definidos. | Definir, implementar, operar, controlar y mejorar la seguridad como principio en la organización |
¿Cómo se aplica la norma ISO 27001 a SOC 2?
ISO 27001 tiene al menos los siguientes controles que se pueden utilizar para cumplir con los criterios de servicios de confianza:
TSC (Trusted Service Criteria) | ISO 27001 requirement / control |
Seguridad | A.6.1.5 Information security in project management (1 control) |
A.6 Mobile devices and teleworking (2 controls) | |
A.8.1.3 – Acceptable use of assets (1 control) | |
A.11.2 Equipment (9 controls) | |
A.13 Communications security (7 controls) | |
Confidencialidad | A.8.2 Information classification (3 controls)A.13.2 Information transfer (3 controls) |
A.9.1 Business requirements of access control (2 controls)A.9.2 User access management (6 controls)
A.9.4 System and application access control (5 controls) |
|
Processing integrity | A.14 System acquisition, development and maintenance (13 controls) |
Disponibilidad | A.17 Information security aspects of business continuity management (4 controls) |
Privacidad | A.18.1.1 – Identification of applicable legislation and contractual requirements (1 control)A.18.1.4 – Privacy and protection of personally identifiable information (1 control) |
Además, como parte de un ciclo de vida del SGSI de ISO 27001, durante una auditoría de ISO 27001, con la participación de un CPA independiente, puede utilizar la información recopilada para elaborar el informe de auditoría de SOC 2 siguiendo los requisitos definidos en los criterios de TSC.
Conclusión SOC 2 vs. ISO 27001
No se trata de ISO 27001 vs SOC 2. Aunque ambos pretenden definir un marco de seguridad de la información, SOC 2 es únicamente un informe de auditoría sobre unos criterios predefinidos fijos, mientras que ISO 27001 es un estándar internacional para establecer un completo Sistema de Gestión de Seguridad de la Información. Por lo tanto, el SOC 2 sería mas bien un sub-producto o resultado tras una implementación de SGSI ISO 27001.
Aunque la certificación conforme a la ISO 27001 no es estrictamente necesaria para elaborar un informe SOC 2, pues un SGSI ISO 27001 excede en mucho los requisitos y alcance de un SOC2, sí puede proporcionar, sin incurrir en costes o esfuerzo adicionales, una base sólida para preparar el informe SOC2 cuando una organización con operaciones en EEUU así lo requiera.