Por Hugo F. Pérez Carretta on Miércoles, 06 Enero 2021
Categoría: REVISTA - TEMAS GENERALES SOBRE NUEVAS TECNOLOGÍAS, DERECHO E INTERNET

Qué son los informes de SOC y por qué son importantes

Control de organización de servicios (SOC 1, SOC 2 y SOC 3)

 

El cumplimiento de SOC es útil para ofrecer soluciones de seguridad perfectas en cualquier empresa de SaaS (Software-as-a-service). Las pruebas de SOC contribuyen a comparar a una empresa sobre la calidad, sus procesos limpios que a su vez aumentan la seguridad del cliente. La adhesión a SOC hace que los proveedores de SaaS trabajen en estándares perfectos para la seguridad en la nube, la gestión de identidades y accesos, la seguridad móvil, la gestión de vulnerabilidades y muchos más.

"A los clientes les preocupa la calidad y no la cantidad ........."

Hay cambios continuos en las regulaciones y amenazas acordadas unánimemente, que ponen de relieve el negocio de todos y cada uno de los tamaños de la industria de TI. Por tanto, la preocupación por los riesgos de la seguridad y el cumplimiento de los datos de TI para las organizaciones está aumentando para todos los proveedores de SaaS. La búsqueda de una evaluación comparativa perfecta ha finalizado desde que entró en vigor el SOC. Por lo tanto, se reducen los esfuerzos de los clientes para comprar productos de seguridad en la nube del mercado.

SOC cuenta por adherirse al estándar de seguridad y las empresas optan por él.

Necesidad de SOC:

El informe de cumplimiento de SOC beneficia a los clientes y a la empresa también. Los clientes tienen la seguridad de la calidad, por lo que su tiempo de búsqueda del proveedor se reduce a cero.

El SOC está establecido por Auditing Standard Board (ASB) del Instituto Americano de Contadores Públicos Certificados (AICPA). SOC consiste en el marco del principio del servicio de confianza (TSP), para las empresas de seguridad en la nube, su marco de informes de gestión de riesgos de ciberseguridad, para evaluar los controles internos de la organización al cumplir con los criterios específicos que se encuentran en las empresas basadas en ciberseguridad.

SOC es beneficioso tanto para los clientes como para la empresa. Esto se puede enumerar a continuación.

Ventajas

  • Las pruebas de SOC contribuyen a comparar a una empresa sobre la calidad, sus procesos limpios, lo que a su vez aumenta la seguridad del cliente.
  • Desarrollar una infraestructura más prometedora es esencial para aumentar la seguridad en los procesos técnicos, el desarrollo y el diseño de productos de seguridad.
  • SOC asegura a los clientes la privacidad y la protección de sus datos.
  • Las empresas pueden tratar con los clientes actuales y futuros con confianza y les transmite la confianza sobre la elección del servicio elegido.
  • Una ventaja competitiva en el mercado.
  • Si se realiza el SOC, se reduce el número de auditorías in situ y se pueden resolver las consultas de los clientes.

¿Qué es SOC1, SOC2 y SOC3?

Los informes de control de la organización de servicios (SOC) son informes de examen de terceros independientes que demuestran cómo la empresa logra los controles y objetivos clave de cumplimiento. El propósito de estos informes es ayudarlo a usted y a sus auditores a comprender los controles establecidos para respaldar las operaciones y el cumplimiento.

Hay tres tipos de informes SOC:

SOC1, SOC2 y SOC3.

La base de SOC se basa en cómo la empresa protege los datos de los clientes y la eficiencia con la que operan estos controles. Proporciona una evaluación independiente del entorno de control de seguridad y privacidad de una empresa. La evaluación incluye la descripción de los controles, la prueba realizada para acceder a ellos, los resultados obtenidos en esas pruebas y la opinión general del diseño y efectividad operativa del mismo.

Cada uno de los informes del SOC es de dos tipos: Tipo I y Tipo II. El tipo I es en un tiempo específico y el tipo II es para una duración de tiempo específica (un período de un año).

SOC1, también conocido como SSAE No. 16, es el cumplimiento emitido por Auditing Standard Board (ASB) del Instituto Americano de Contadores Públicos Certificados (AICPA). Controla el control interno de la empresa sobre los informes financieros. Describe si los procesos de la empresa están de acuerdo con los principios de confianza en seguridad cibernética.

Para saber más sobre la seguridad y disponibilidad del sistema en lugar de los informes financieros, se necesitan los informes SOC 2 y SOC 3.

El cumplimiento de SOC 2 se inclina a la descripción general del sistema de la organización de servicios de seguridad (empresa). Se centra en cómo averiguar si el diseño del control cumple con el punto de referencia de los principios de seguridad cibernética del servicio de confianza de AICPA. Esto informa sobre el control de las organizaciones de servicios, en la fecha y hora especificadas. El SOC 2 depende de probar todos los criterios de control.

El informe Tipo II revela el control de la organización de servicios sobre un período de revisión específico.

El informe SOC 3 cubre los mismos procedimientos de prueba que un informe SOC 2, pero omite los resultados detallados de la prueba y está destinado a la distribución pública en general.

El objetivo del SOC es evaluar el sistema de seguridad cibernética alojado de una organización y los datos almacenados por la empresa o procesados ​​en referencia a la seguridad, los procesos, la disponibilidad, la integridad, la confidencialidad o la privacidad.

Seguridad

El principio de seguridad implica cómo se protegen los recursos de la empresa contra el acceso no autorizado. Los controles de acceso ayudan a prevenir el posible uso indebido del sistema, el mal uso del software, el robo o la eliminación no autorizada de datos protegidos y la alteración o divulgación inapropiada de información.
Esto se puede superar mediante la implementación de una autenticación sólida, un sistema de detección de intrusiones, etc.

Disponibilidad

Es la accesibilidad de los productos de la Compañía. Algunos productos o servicios pueden utilizarse mediante un contrato o acuerdo de nivel de servicio (SLA). Tanto los auditores como la empresa establecen el nivel mínimo de rendimiento de la marca para la disponibilidad del sistema.
Esto incluye monitoreo de desempeño, manejo de incidentes de seguridad, recuperación de desastres, etc.

Integridad de procesamiento

El principio de integridad de procesamiento se centra en si un sistema logra su propósito o no. Por ejemplo, si entrega los datos correctos al precio correcto en el momento correcto. En consecuencia, el procesamiento seguro de datos debe ser completo, válido, exacto, oportuno y autorizado.
Esto incluye garantía de calidad, seguimiento del procesamiento, etc.

Confidencialidad

El acceso y la divulgación de datos confidenciales está restringido a un conjunto específico de personas u organizaciones. Esto puede incluir datos restringidos solo para el personal de la empresa, así como planes de negocios, propiedad intelectual, listas de precios internas y otros tipos de información financiera confidencial.
Esto incluye cifrado, control de acceso, firewall de aplicaciones o redes, etc.

Intimidad

 

El principio de privacidad implica que la recopilación, el uso, la retención, la divulgación y la eliminación de información personal de la empresa está restringida de acuerdo con el aviso de privacidad de la organización.

 

Esto apunta al control de acceso, autenticación de dos factores, cifrado, etc. para soluciones de seguridad en la nube.

La documentación consta de políticas y procedimientos, descripciones narrativas de los controles, organigramas, diagramas de flujo de negocios y diagramas funcionales. Estos son necesarios para representar no solo los objetivos de control, sino también el detalle de las especificaciones de control y el sistema general del diseño de control.

Se proporcionará una aseveración al auditor también como parte de la descripción del diseño (sistema) de control general o como un documento separado. Este documento sirve para predecir los detalles de la comprensión de la administración (afirmación de la administración) del monitoreo y la efectividad operativa del sistema durante el período de prueba relevante para la certificación por parte del auditor.

Por ejemplo, los controles de seguridad física, los sistemas de gestión de cambios, los ciclos de vida de desarrollo de sistemas y software (SDLC) y la recuperación ante desastres son las herramientas y procesos que se utilizan en la seguridad en la nube.

Cuando comienza la documentación para el ciclo de vida de su proceso empresarial, se identifican las áreas clave donde se arraigan los elementos críticos. Se anotan ciertas actividades junto con las políticas, procedimientos y procesos de apoyo que comienzan a definir el entorno de control de la empresa. Entonces, la empresa puede comenzar a formalizar los objetivos de control y sus elementos de control de apoyo.

Hay ciertas normas que toda empresa debe cumplir para pasar por la auditoría de SOC.

Normas de SOC 1, SOC 2 y SOC 3

 

Normas Descripción  
Descripción del Sistema de la Compañía y su afirmación

El motivo de la descripción del sistema y su afirmación es proporcionar al cliente y a sus auditores una visión completa del entorno de control interno. Una descripción completa del sistema de la empresa como si es solo seguridad en la nube o con servicios de conector. La descripción del sistema se compone principalmente de procesos clave y objetivos de control, junto con el flujo de datos de transacciones desde el inicio hasta el punto en que se entregan o informan.

Los procesos utilizados para ejecutar el Sistema como cascada, ágil (scrum), iterativo, de desarrollo incremental y otras metodologías, es necesaria su afirmación, con la debida terminación y precisión.

Los controles consisten principalmente en seguridad y acceso, desarrollo de programas y administración de cambios, así como respaldo y recuperación de operaciones informáticas (la recuperación de desastres, sin embargo, no debe incluirse en el alcance de un informe SOC 1 ya que no es relevante para el control interno sobre los informes financieros). Por ejemplo, prevención de pérdida de datos (DLP), firewalls, IPS son algunos de los controles. Se requiere que se mencione en un informe SOC 2 sobre seguridad, disponibilidad, integridad de procesamiento, confidencialidad o privacidad relacionados con los productos de seguridad en la nube.

Los objetivos de control pueden incluir controles que proporcionen una garantía razonable de que existen controles manuales y automatizados que se utilizan para iniciar transacciones para los datos del cliente. Estos pueden ser la gestión del valor de TI, la alineación del negocio con la TI, el plan estratégico de TI, la gestión de carteras, el plan de infraestructura tecnológica, etc.

Muchos otros detalles sobre el sistema, como la gestión de identidad y acceso en el entorno de nube, la ubicación de los datos de la empresa, la gestión de la seguridad de los datos de la empresa, las capacidades de recuperación de desastres, la gestión del acceso de usuarios privilegiados a los datos, la protección de la información de la empresa contra el abuso del usuario, y así sucesivamente son los detalles mencionados en el informe SOC.

     ✔
Reconocimiento y atestación Se necesita el reconocimiento y la certificación de todos los documentos de respaldo que brinden una base razonable para la afirmación, como cuántos años se está siguiendo el sistema, la disponibilidad de los requisitos del sistema, sus licencias, los registros con pruebas, las hojas de auditoría periódicas certificadas, etc.     ✔
Selección de criterios de prueba Tiene que haber una predicción por escrito sobre los criterios de prueba. Las pruebas de lápiz se realizan normalmente para productos de seguridad en la nube. Los probadores utilizan datos WAF (firewalls de aplicaciones web), como registros, para localizar puntos débiles. A partir de esta prueba, las vulnerabilidades detectadas, como entradas no sensibilizadas que son susceptibles a ataques de inyección de código, se prueban y se revisan. Esto cuenta para SOC.     ✔
Objetivos de control Se deben mencionar los objetivos de control en la descripción del sistema de la empresa.

Estos son algunos de los objetivos de control que puede tener una empresa:

gestión del valor de TI, alineación negocio-TI, plan estratégico de TI, gestión de cartera, plan de infraestructura tecnológica, etc.

Los controles brindan el compromiso de que las transacciones de procesamiento por lotes se realizan de acuerdo con las reglas, dan como resultado datos de salida precisos y se llevan a cabo actividades para aumentar la compatibilidad para confirmar la perfección. En referencia a los productos de seguridad, esto puede incluir la implementación de complementos, se verifica y mejora su compatibilidad relevante con la aplicación.		     ✔
Identificación de riesgo El riesgo involucrado en la implementación de los objetivos de control debe predecirse junto con el diseño de la identidad, la implementación y la documentación de los controles, que están adecuadamente diseñados y funcionan de manera efectiva para brindar una seguridad razonable.      ✔
Acceso a registros Los registros y la documentación, incluidos los acuerdos de nivel de servicio relevantes para la descripción del sistema de la empresa, deben estar accesibles.     ✔
Acceso irrestricto para el personal La evidencia relevante para el examen debe ser accesible para el personal que es el representante del tercero y es un mediador para lograr el cumplimiento del SOC. Algunas pruebas sirven como respaldo para la verificación del cumplimiento.     ✔
La afirmación escrita para entidades de usuario Se necesita una afirmación por escrito de la descripción de su sistema por parte de la empresa, y debe estar en condiciones de proporcionarse a las entidades usuarias.      ✔

Fuente: https://www.miniorange.com/soc

 

Dejar comentarios