[14/11/2022] Las organizaciones que quieran demostrarle a los demás -y a sí mismas- que tienen un programa sólido de ciberseguridad, y privacidad de datos, se someterán a una SOC 2. Como tal, una auditoría SOC 2 es un gran problema, es exigente y requiere una preparación seria.
Las auditorías SOC fueron creadas por el American Institute of CPAs (AICPA) bajo varios marcos de evaluación e informes que comprenden los encabezados SOC 1, SOC 2 y SOC 3 de System and Organization Controls. Aunque cada uno de ellos tiene valor, muchas organizaciones solicitan a sus proveedores y socios de negocios -y también se les solicita a ellos mismos- que proporcionen, específicamente, los resultados de una auditoría SOC 2 Tipo 2. Para ese tipo, los auditores evalúan a las organizaciones según el marco SOC 2 y los cinco criterios de servicio de confianza de AICPA: seguridad, disponibilidad, integridad de procesamiento, confidencialidad y privacidad. Las organizaciones utilizan los informes de auditoría SOC 2 como un estándar confiable, capaz de informarles a otros en detalle sobre qué tan bien están protegiendo los datos en cada una de esas cinco áreas.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
"Es una demostración de que hemos tomado precauciones, que hemos hecho todo este trabajo para que pueda confiar en nosotros”, afirma Kevin R. Powers, fundador y director de la maestría en Cybersecurity Policy & Governance Programs en Boston College.
Estos son algunos puntos de conversación sobre lo que debería cubrir el trabajo avanzado de SOC 2:
1. Elija qué Criterios de Servicio de Confianza SOC 2 evaluar
Aunque todas las organizaciones se evalúan según los criterios de seguridad cuando se someten a esta auditoría, pueden elegir cuál de los otros cuatro Criterios de Servicio de Confianza se incluirán en su auditoría. A.J. Yawn, autor de An Expert's Guide to Reviewing SOC 2 Reports, del SANS Institute, aconseja a las empresas que decidan qué principios incluir basándose en lo que sus clientes consideran importante.
"Uno no debe tomar esa decisión en base a lo que le digan los auditores. Piense en todo lo que está haciendo a través de la lente de los lectores del informe y asegúrese de comunicarles lo que les importa”, afirma Yawn, quien también es fundador y director ejecutivo de ByteChek y fundador del directorio de la National Association of Black Compliance and Risk Management Professionals.
Por ejemplo, una empresa que proporciona aplicaciones que sus clientes no consideran de misión crítica, podría optar por no ser evaluada en cuanto a disponibilidad y concentrarse en otras áreas que significan más para sus clientes.
2. ¿Hacerlo solo o buscar ayuda?
Una auditoría SOC 2 cuesta decenas de miles de dólares, por lo que es importante que los ejecutivos consideren si tienen empleados con las habilidades y el tiempo necesarios para prepararse adecuadamente para la auditoría real, o si necesitan contratar un equipo externo que realice ese trabajo, afirma Powers, quien también es profesor asistente tanto en la Boston College Law School como en la Carroll School of Management.
Richard White, profesor adjunto y presidente del curso de Cybersecurity Information Assurance en la Universidad de Maryland, afirma que es posible hacerlo solo, "pero puede ser desalentador, por lo que contratar a un proveedor para que le brinde soporte -al menos la primera vez- es una opción recomendada”.
3. Revisar las políticas organizacionales
White señala que los auditores revisan las políticas organizacionales como parte de todos los exámenes SOC 2, por lo que es mejor corregir esas políticas antes de que comience el proceso. "¿Tiene las políticas escritas? ¿Los flujos de trabajo escritos? Y también está la implementación: ¿las ha implementado correctamente? Uno tiene que revisar todo eso porque podría afectar su éxito”.
Hay una larga lista de políticas para revisar, afirman los expertos, que van desde políticas de control de acceso y uso aceptable hasta políticas de seguridad de estaciones de trabajo y administración de proveedores. Deben estar bien documentadas y actualizadas -tareas que implican un desafío para muchos.
"Las empresas tienden a anotar sus controles y no volver a mirarlos nunca más, por lo que prepararse para la auditoría es un momento apropiado para revisarlos y actualizarlos si no reflejan lo que usted está haciendo”, afirma Paul Perry, miembro del Emerging Trends Working Group de ISACA, el grupo de gobernanza, y security, risk and controls practice leader de Warren Averett, una firma de contabilidad y asesoría.
4. Confirme que las operaciones coincidan con las políticas
Los auditores quieren ver políticas bien documentadas, pero también quieren verlas en acción para verificar que las organizaciones están haciendo, en la práctica diaria, lo que esas políticas afirman que deberían estar haciendo.
Por ejemplo, los ingenieros de software pueden estar probando el código, pero deben hacerlo de una manera que siga los requisitos de proceso y documentación descritos en las políticas de la organización. Ese es el tipo de acción que los auditores querrán ver, afirma Yawn.
5. Examine los controles de seguridad y privacidad
Revise los controles de seguridad y privacidad para asegurarse de que estén alineados con las propias políticas de seguridad y privacidad de la organización, así como con los requisitos reglamentarios y las mejores prácticas de la industria. Esto significa analizar todo, desde los controles de acceso hasta el cifrado y el análisis de vulnerabilidades (on premise y en la nube), así como confirmar que los controles de la empresa se alinean con los criterios SOC 2 o, si no lo hacen, documentar los motivos de la divergencia.
"Examine sus controles -sus controles de acceso encriptación, su defensa en capas”, afirma Powers. "Antes de contratar a un auditor SOC 2, debe asegurarse de no estar encaminándose al fracaso”.
6. Realice una auditoría SOC 2 de práctica
Según varias autoridades de SOC 2, una ejecución de práctica es otro paso clave que se debe tomar antes de la auditoría real. "Es una forma de ayudar a garantizar que obtenga un resultado positivo”, afirma Jim Routh, ex CISO de Mass Mutual.
Esto ciertamente se aplica a las organizaciones que programan una auditoría por primera vez, ya que generalmente tienen menos información sobre qué y cómo los auditores hacen sus evaluaciones, afirma Routh. Pero señala que incluso aquellos con programas de seguridad maduros se beneficiarán de un simulacro. Estas prácticas de auditorías, ya sean realizadas por empleados o consultores, podrían detectar problemas: controles que no son tan efectivos como deberían ser, herramientas de informes que no generan los datos necesarios, software mal configurado que crea riesgos, cualquiera de los cuales podría poner en peligro un resultado positivo de la auditoría real.
7. Priorice qué brechas corregir
Esa certificación interna es solo el primer paso, afirma Routh, quien actualmente es miembro de la junta y asesor de varias empresas, así como miembro del consejo asesor de la Tandon School of Engineering de la Universidad de Nueva York. El siguiente paso es abordar las brechas y los déficits identificados.
Yawn recomienda a los ejecutivos considerar cuidadosamente cómo priorizar las deficiencias identificadas, ya que los cambios en un área a menudo tienen un impacto en cascada. Por ejemplo, un análisis de brechas puede haber revelado problemas en las políticas escritas, así como en la infraestructura tecnológica. Y si bien puede ser tentador actualizar las políticas para obtener esa ganancia rápida y fácil, Yawn afirma que el problema más grande y complejo (arreglar la arquitectura) puede afectar cómo, o incluso, si las políticas necesitan reescribirse.
8. Reúna pruebas
Según los expertos, tener un programa maduro de seguridad y privacidad no es necesariamente suficiente para tener éxito con una auditoría SOC 2. Los auditores quieren pruebas de eso. La lista de materiales necesarios puede ser extensa y amplia, desde políticas administrativas de seguridad y acuerdos de infraestructura en la nube hasta evaluaciones de riesgos y contratos de proveedores.
"Un SOC 2 es muy riguroso, por lo que debe tener evidencia para demostrar que tiene los procesos, que está siguiendo los procesos, que está operando como se esperaba”, afirma White, y agrega que esta parte del trabajo de preparación se une los diversos elementos que intervienen en tener una operación de seguridad y privacidad bien administrada. "Usted observa sus procesos, políticas y procedimientos para asegurarse de que estén alineados, bien documentados y correctos. Y que estén listos [para ser compartidos]. Debe saber lo que le preguntará el auditor del SOC para estar preparado a responder”.
9. Evite pensar solo en la lista de verificación
Aunque los líderes de seguridad están de acuerdo en que tener una auditoría SOC 2 tiene un valor significativo, afirman que es importante que cada organización adapte sus programas de seguridad y privacidad a sus propias necesidades únicas y no necesariamente a los criterios SOC 2. "Debe dar un paso atrás y asegurarse de no obtener políticas y procedimientos repetitivos. Asegúrese de que todo se adapte a su organización”, afirma Powers.
Routh está de acuerdo, señalando como ejemplo que los criterios de auditoría no exigen específicamente que las organizaciones implementen la nueva tecnología, a prueba de ransomware, disponible en el mercado actual. Aunque, aun así, vale la pena implementarla incluso si es algo que no influirá en el resultado de una auditoría.
10. Recuerde que el objetivo es mejorar el programa de seguridad y privacidad de los datos
Los jefes de seguridad de las empresas y sus colegas de la alta gerencia deben aspirar a tener un programa de seguridad y privacidad de los datos que pueda estar listo, en cualquier momento, para una auditoría. Deben apuntar a tener las políticas constantemente actualizadas; políticas y procedimientos que siempre cumplen con los requisitos reglamentarios y las mejores prácticas; y controles y operaciones perfectamente alineados con sus políticas.
Los líderes de seguridad enfatizan que dicho trabajo no debe realizarse solo en preparación para una auditoría, y señalan que, de hecho, la auditoría SOC 2 Tipo 2 analiza si una organización está realizando dicho trabajo de manera continua durante los doce meses establecidos para la evaluación.
Al mismo tiempo, reconocen que ningún programa de seguridad y privacidad hará todo esto a la perfección; después de todo, no existe la perfección en seguridad. "Las mejores empresas se preparan para la auditoría durante todo el año porque es parte de su cultura y la gestión del riesgo es algo que hacen a diario”, afirma Perry. "Esas empresas no deben tener a alguien que venga al trabajo, durante dos semanas o dos meses, para prepararse para la auditoría porque siempre están preparados”.
Basado en el artículo de Mary K. Pratt (CSO) y editado por CIO Perú