¿Quizás está considerando la certificación AICPA SOC 2? Aikido fue examinado recientemente para verificar que nuestro sistema y el diseño de nuestros controles de seguridad cumplen con los requisitos SOC 2 de la AICPA. Dado que aprendimos mucho sobre los estándares SOC 2 durante nuestra auditoría, queríamos compartir algunas de las ideas que creemos que podrían ser útiles para alguien que esté iniciando el mismo proceso.
Lee nuestros mejores consejos para cumplir con la ISO 27001:2022.
Tipo 1 vs. Tipo 2
Lo primero que hay que entender es que existen dos tipos diferentes de certificación SOC 2: SOC 2 Tipo 1 y SOC Tipo 2. Si apenas estás empezando a considerar la certificación SOC, el Tipo 1 podría ser un buen primer paso. Es más rápido de obtener y los requisitos no son tan exigentes. El Tipo 1 también es menos costoso que el informe Tipo 2.
Pero la diferencia es que no cubre la monitorización durante un período prolongado. Tus medidas de ciberseguridad solo se verifican en un momento específico durante una auditoría SOC 2 Tipo 1. En contraste, el proceso de certificación SOC Tipo 2 evalúa tus controles de seguridad durante un período de tiempo. En efecto, el Tipo 1 evalúa el diseño de tus controles de seguridad, mientras que el Tipo 2 también evalúa su eficacia operativa.
Nota: También podrías leer sobre el informe ISAE3402 Tipo I. Esa es la alternativa europea, pero en la práctica, la mayoría de las industrias no se preocupan por ella. Así que opta por SOC 2 a menos que ya sepas que necesitas la europea.
Criterios de servicios de confianza SOC 2
Un auditor SOC normalmente utilizará cinco criterios de servicios de confianza para evaluar a las empresas en cuanto al cumplimiento SOC 2:
- Seguridad: proteja los datos y sistemas del acceso no autorizado.
- Disponibilidad: asegúrese de que los datos de los clientes puedan ser accedidos cuando sea necesario.
- Confidencialidad: asegúrate de que la información confidencial esté suficientemente protegida.
- Privacidad: protege la información personal.
- Integridad del procesamiento: asegura que los sistemas procesen los datos de forma precisa y fiable.
No todas las empresas necesitan incluir los cinco criterios. Parte de la preparación para tu auditoría SOC 2 es decidir qué criterios exigirán tus clientes.
También existen criterios adicionales específicos de la industria. Por ejemplo, un proveedor de servicios en la nube tendrá requisitos de cifrado de datos de clientes más estrictos, mientras que los proveedores de atención médica deberán proteger la información de salud.
Nuestros 5 mejores consejos para la certificación SOC 2
Realmente no se puede ser "conforme" con SOC 2
A diferencia de ISO 27001, no se puede alcanzar un estado de cumplimiento SOC 2. Es un informe que un cliente potencial puede solicitar para que pueda evaluar la postura de seguridad de la empresa. El cliente debe tomar su propia decisión sobre si esa empresa es lo suficientemente segura como para hacer negocios con ella.
Obtendrá un informe SOC 2 que demuestra el cumplimiento con criterios específicos, pero eso no significa que pase de no conforme a conforme. Esto no reduce su valor para sus socios comerciales. Ellos saben lo que necesitan y a menudo requerirán un informe de auditoría SOC 2.
Por ejemplo, SOC 2 no requiere necesariamente que realices un pentest, pero es muy recomendable para ISO 27001. Vanta, una de las principales plataformas de monitorización del cumplimiento SOC 2, recomienda tratar SOC 2 como un listón que debes superar para ser considerado como que has alcanzado los estándares de seguridad esenciales. Pero podrías ir más allá después de superar ese listón, y tus clientes probablemente apreciarán la seguridad adicional.
En ese sentido, tu informe de cumplimiento SOC 2 significa que has satisfecho al auditor de que tu empresa cumple con los criterios de servicios de confianza de SOC 2.
2. El Tipo 2 se basa en un período de observación de cumplimiento
Los informes SOC 2 Tipo 2 verifican tu postura de seguridad durante un período de observación denominado ventana de auditoría. Puedes seleccionar una ventana de entre tres meses y un año completo. Esto es mucho más exhaustivo que el SOC 2 Tipo 1 y significa que los stakeholders y los clientes potenciales obtienen una garantía adicional sobre los sistemas de seguridad y la seguridad de los datos.
Deberá consultar con su auditor para elegir el período de auditoría. Puede depender de factores como los requisitos regulatorios, las expectativas del cliente o la antigüedad de sus marcos y controles de seguridad.
3. SOC 2 vs. ISO 27001: si tus clientes potenciales están en EE. UU., ¡SOC 2 es para ti!
Las empresas en Estados Unidos suelen solicitar informes SOC 2 con más frecuencia, mientras que las empresas europeas tienden a depender más de la ISO 27001. Esto se debe a que SOC 2 es un estándar americano. Si puede, obtenga ambos. Eso es lo que hicimos nosotros, ya que también obtuvimos la conformidad ISO 27001 en 2023. Si no puede hacer ambas cosas, elija en función de dónde se encuentren sus clientes o prospectos.
Si sus clientes están en EE. UU., es muy probable que busquen su informe SOC 2.
4. Recomendamos que trabaje con un auditor en EE. UU.
Si tiene su sede en Europa, hay muchos auditores SOC. Probablemente son muy buenos, pero si quiere que una empresa estadounidense confíe en su informe, tiene sentido optar por un auditor SOC 2 externo en Estados Unidos.
5. Utilice un sistema seguro para que los clientes soliciten su informe SOC 2
Debería facilitar a los clientes la solicitud de su informe SOC 2, pero no lo haga demasiado fácil. Los hackers podrían usarlo para identificar puntos débiles en su seguridad.
No uses el correo electrónico y emplea una herramienta que rastree lo que sucede con el informe después de su descarga. Deberías saber quién lo solicita, cuándo se solicitó e incluso considerar la protección con marca de agua o contraseña. El mejor enfoque es utilizar un NDA.
Aikido Security y el cumplimiento SOC 2 continuo
Ahora que hemos completado nuestro propio camino hacia SOC 2, Aikido Security cumple con todos los criterios de servicios de confianza de SOC 2. También nos hemos asociado con plataformas de monitorización del cumplimiento (como Vanta, Drata, Secureframe y Thoropass) para sincronizar regularmente los datos sobre los controles de seguridad actuales y asegurarnos de que Aikido Security, y nuestros clientes, mantengan una sólida postura de seguridad.
Solicitar nuestro informe SOC 2 Tipo 2
Puede solicitar el certificado SOC 2 Tipo 2 de Aikido en nuestro centro de confianza de seguridad.
O si estás considerando la certificación SOC 2 y aún tienes preguntas, conecta conmigo en LinkedIn y estaré encantado de discutir el proceso contigo con más detalle.
Protege tu software ahora.
.jpg)
.avif)
