¿Quizá esté pensando en obtener la certificación SOC 2 del AICPA? Aikido fue examinada recientemente para comprobar que nuestro sistema y el diseño de nuestros controles de seguridad cumplen los requisitos SOC 2 del AICPA. Como aprendimos mucho sobre las normas SOC 2 durante nuestra auditoría, queríamos compartir algunas de las ideas que creemos que pueden ser útiles para alguien que esté iniciando el mismo proceso.
Lea nuestros consejos cumplir la norma ISO 27001:2022.
Tipo 1 vs. Tipo 2
Lo primero que hay que entender es que existen dos tipos diferentes de certificación SOC 2: SOC 2 Tipo 1 y SOC Tipo 2. Si está empezando a pensar en la certificación SOC, el Tipo 1 puede ser un buen primer paso. Es más rápida de obtener y los requisitos no son tan exigentes. El informe de Tipo 1 también es menos caro que el de Tipo 2.
Pero la diferencia es que no cubre la supervisión durante un periodo prolongado. Sus medidas de ciberseguridad sólo se comprueban en un momento concreto durante una auditoría SOC 2 de Tipo 1. Por el contrario, el proceso de certificación SOC de Tipo 2 pone a prueba sus controles de seguridad durante un periodo de tiempo. En cambio, el proceso de certificación SOC de Tipo 2 pone a prueba sus controles de seguridad durante un periodo de tiempo. En efecto, el Tipo 1 comprueba el diseño de sus controles de seguridad, mientras que el Tipo 2 también comprueba su eficacia operativa.
Nota: También puedes leer sobre el informe ISAE3402 Tipo I. Es la alternativa europea, pero en la práctica la mayoría de los sectores no se preocupan por ella. Así que opta por el SOC 2 a menos que ya sepas que necesitas el europeo.
Criterios de los servicios de confianza SOC 2
Un auditor SOC utilizará normalmente cinco criterios de servicios de confianza para evaluar a las empresas en cuanto al cumplimiento de la norma SOC 2:
- Seguridad: proteger los datos y sistemas de accesos no autorizados.
- Disponibilidad: asegúrese de que se puede acceder a los datos de los clientes cuando sea necesario.
- Confidencialidad: asegúrese de que la información confidencial está suficientemente protegida.
- Privacidad: proteger la información personal.
- Integridad del tratamiento: garantizar que los sistemas procesan los datos con precisión y fiabilidad.
No todas las empresas necesitan incluir los cinco criterios. Parte de la preparación para su auditoría SOC 2 consiste en decidir qué criterios exigirán sus clientes.
También existen otros criterios específicos del sector. Por ejemplo, un proveedor de servicios en la nube tendrá requisitos de cifrado de datos de clientes más estrictos, mientras que los proveedores de atención sanitaria tendrán que proteger la información sanitaria.
Nuestros 5 mejores consejos para la certificación SOC 2
1. En realidad no se puede llegar a ser "conforme" con SOC 2
A diferencia de la ISO 27001, no se puede alcanzar un estado de conformidad SOC 2. Es un informe que un cliente potencial puede solicitar para evaluar la postura de seguridad de la empresa. El cliente tiene que tomar su propia decisión sobre si esa empresa es lo suficientemente segura como para hacer negocios con ella.
Obtendrá un informe SOC 2 que demuestra el cumplimiento de los criterios especificados, pero eso no significa que pase de no conforme a conforme. Eso no reduce su valor para sus socios comerciales. Ellos saben lo que necesitan y a menudo exigirán un informe de auditoría SOC 2.
Por ejemplo, SOC 2 no requiere necesariamente que se lleve a cabo un pentest, pero es muy recomendable para ISO 27001. Vanta, una de las principales plataformas de supervisión del cumplimiento de SOC 2, recomienda tratar SOC 2 como un listón que hay que superar para que se considere que se han alcanzado los estándares de seguridad esenciales. Sin embargo, una vez superado ese listón, es posible que haga un esfuerzo adicional, y sus clientes probablemente apreciarán esa mayor tranquilidad.
En ese sentido, su informe de conformidad SOC 2 significa que ha convencido al auditor de que su empresa cumple los criterios de los servicios de confianza SOC 2.
2. El tipo 2 se basa en un período de observación del cumplimiento
Los informes SOC 2 Tipo 2 comprueban su postura de seguridad durante un periodo de observación denominado ventana de auditoría. Puede seleccionar un periodo de entre tres meses y un año completo. Se trata de un informe mucho más exhaustivo que el SOC 2 Tipo 1, lo que significa que las partes interesadas y los clientes potenciales obtienen garantías adicionales sobre los sistemas de seguridad y la seguridad de los datos.
Tendrá que consultar con su auditor para elegir la ventana de auditoría. Puede depender de factores como los requisitos normativos, las expectativas de los clientes o lo recientes que sean los marcos y controles de seguridad.
3. SOC 2 frente a ISO 27001: si sus clientes potenciales están en Estados Unidos, SOC 2 es para usted.
Las empresas de Estados Unidos suelen solicitar informes SOC 2 con más frecuencia, mientras que las europeas tienden a confiar más en ISO 27001. Esto se debe a que SOC 2 es una norma estadounidense. Si puede, obtenga ambas. Eso es lo que hicimos nosotros, que también cumplimos la norma ISO 27001 en 2023. Si no puede hacer ambas, elija en función de dónde se encuentren sus clientes o clientes potenciales.
Si sus clientes están en Estados Unidos, es muy probable que busquen su informe SOC 2.
4. Le recomendamos que trabaje con un auditor de EE.UU.
Si tienes tu sede en Europa, hay muchos auditores SOC. Probablemente sean muy buenos, pero si quiere que una empresa estadounidense confíe en su informe, lo lógico es recurrir a un auditor SOC 2 externo de Estados Unidos.
5. Utilice un sistema seguro para que los clientes soliciten su informe SOC 2
Debe facilitar a los clientes la solicitud de su informe SOC 2, pero no demasiado. Los piratas informáticos podrían utilizarlo para identificar puntos débiles en su seguridad.
No utilice el correo electrónico y utilice una herramienta que haga un seguimiento de lo que ocurre con el informe una vez descargado. Debe saber quién lo solicita, saber cuándo se ha solicitado e incluso considerar la posibilidad de protegerlo con una marca de agua o contraseña. Lo mejor es utilizar un acuerdo de confidencialidad.
Aikido y cumplimiento permanente de la norma SOC 2
Ahora que hemos completado nuestro propio viaje SOC 2, Aikido Security cumple todos los criterios de los servicios de confianza SOC 2. También nos hemos asociado con plataformas de supervisión del cumplimiento (como Vanta, Drata, Secureframe y Thoropass) para sincronizar periódicamente los datos sobre los controles de seguridad actuales y asegurarnos de que Aikido, y nuestros clientes, mantienen una postura de seguridad sólida.
Solicite nuestro informe SOC 2 Tipo 2
Puede solicitar el certificado SOC 2 Tipo 2 de Aikido en nuestro centro de confianza de seguridad.
O si está considerando la certificación SOC 2 y todavía tiene preguntas, conéctese conmigo en LinkedIn y estaré encantado de hablar del proceso con usted con más detalle.
.jpg)
.png)
.svg)
.png)
.png)
.png)
.jpg)
.jpg)
.jpg)
.png)