En todas las organizaciones donde la seguridad de la información se ha vuelto primordial, las nuevas empresas han tenido que lidiar con el cumplimiento antes que nunca. Para vender a otras empresas, es necesario ganarse su confianza, y el marco de seguridad de Sistemas y Controles Organizacionales 2 (SOC 2) se ha convertido en el marco elegido por las nuevas empresas.
¿Qué es el SOC 2?
SOC 2, que significa Control de organización de servicios 2, es un tipo de informe de auditoría desarrollado por el Instituto Americano de Contadores Públicos Certificados (AICPA). Está diseñado para garantizar que una organización de servicios haya implementado controles efectivos relacionados con la seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad de un sistema.
Sin embargo, muchas empresas emergentes dependen demasiado del SOC 2 como marco, lo que genera costos excesivos con poca efectividad para proteger los datos de los clientes.
¿Cómo funciona SOC 2?
El marco SOC 2 incluye cinco criterios para servicios confiables:
- seguridad. El sistema está protegido contra accesos no autorizados (físicos y lógicos).
- Disponibilidad. El sistema está disponible para su operación y uso según lo comprometido o acordado.
- Integridad del procesamiento. El procesamiento del sistema es completo, preciso, oportuno y autorizado.
- Confidencialidad. La información designada como confidencial está protegida según lo prometido o acordado.
- Privacidad. La información personal se recopila, utiliza, almacena, divulga y dispone de acuerdo con los compromisos contenidos en el aviso de privacidad de la entidad y los criterios establecidos en los Principios de Privacidad Generalmente Aceptados (GAPP).
Para obtener la certificación SOC 2, una organización de servicios se somete a una auditoría por parte de un contador público certificado independiente o una empresa de auditoría. La auditoría evalúa el diseño (Tipo I) y la efectividad operativa (Tipo II) de los controles de la organización con base en uno o más de los cinco criterios de servicios de confianza relacionados con los servicios que brinda.
Los informes SOC 2 son únicos para cada organización. Los controles evaluados en la auditoría dependen de los servicios específicos que ofrece la organización y de los criterios elegidos para la revisión. Esto hace que SOC 2 sea una forma flexible y que requiere muchos recursos de demostrar que una empresa tiene un entorno de control sólido.
Dónde se puede cortar SOC 2
El cumplimiento de SOC 2 solo proporciona una instantánea de los controles de una organización en un momento determinado; por lo tanto, no garantiza que una organización permanecerá segura en el futuro ni cubre todas las posibles amenazas a la seguridad. Si bien SOC 2 puede ser una parte valiosa de la estrategia general de ciberseguridad de una organización, no debe considerarse la única medida de ciberseguridad.
3 principales inconvenientes del SOC 2
- No es un marco de gestión de riesgos per se. Es una auditoría basada en controles que busca documentación y controles de procedimientos detallados sin prestar mucha atención a la postura general de gestión de riesgos de la organización. No identifica todas las vulnerabilidades y riesgos que una organización puede enfrentar, por lo que no se puede confiar en él únicamente para garantizar una seguridad completa.
- No cubre todas las áreas del riesgo cibernético. Se centra principalmente en aspectos operativos y de cumplimiento, prestando poca atención a áreas como el desarrollo de código seguro o la inteligencia avanzada sobre amenazas. Entonces, aunque una empresa pueda pasar una auditoría SOC 2, eso no significa que tenga buenas prácticas de seguridad.
- El cumplimiento de SOC 2 no equivale automáticamente a una postura de seguridad sólida. Refleja el entorno de control de una empresa en un momento específico, pero no tiene en cuenta los constantes cambios y amenazas en el panorama cibernético. Para las empresas emergentes que a menudo operan en entornos altamente dinámicos, esto puede significar que el cumplimiento de SOC 2 queda casi obsoleto tan pronto como se logra.
Lo más importante es que SOC 2 no establece pautas ni requisitos de seguridad específicos. En cambio, las empresas deciden por sí mismas lo que hacen y hacen valer sus propios controles. Un auditor SOC 2 verifica que la empresa realmente hace lo que dice hacer. Por ejemplo, seguridad Bring Your Own Device (BYOD), registro forense de eventos de seguridad desde un Endpoint Detección y Respuesta (EDR), o ninguna de estas cosas, y luego los auditores verifican estas afirmaciones.
Los defensores del SOC 2 argumentan que es altamente adaptable, por lo que puede aplicarse a todo tipo de organizaciones. Pero los escépticos del SOC 2 dicen que esto no tiene ningún valor nominal y requiere una revisión cuidadosa de las afirmaciones y hallazgos del informe. Es por eso que la mayoría de las empresas que utilizan SOC 2 todavía tienen que responder cuestionarios de seguridad cuando trabajan con grandes empresas.
Lo que necesitas además de SOC 2
Si bien es cierto que las corporaciones en industrias altamente reguladas, como las finanzas o la atención médica, a menudo tienen requisitos de seguridad estrictos, el SOC 2 no es un requisito universal como requisito previo para la cooperación.
El propio mercado también ha contribuido a la idea errónea de que SOC 2 es el principio y el fin de la seguridad. En entornos altamente competitivos, las nuevas empresas están ansiosas por diferenciarse y pueden percibir el SOC 2 como una clara ventaja. En realidad, las empresas dan prioridad a las asociaciones basadas en el valor, la innovación y la calidad del servicio, con la ciberseguridad como parte de su evaluación general, pero no necesariamente a través del cumplimiento de SOC 2.
Las empresas suelen buscar pruebas de prácticas sólidas de seguridad de datos y estrategias de gestión de riesgos. Esto puede adoptar muchas formas más allá del SOC 2. Normalmente, las empresas demuestran que siguen las mejores prácticas de la industria con un sólido plan de respuesta a incidentes, capacitación continua en seguridad y una gestión eficaz de las vulnerabilidades.
Las empresas emergentes deben ir más allá de la mentalidad de casillas de verificación cuando se trata de estrategias de ciberseguridad.
Alinearse con las mejores prácticas de seguridad comprobadas y otros marcos de seguridad además de, o en lugar de, SOC 2 puede garantizar que las nuevas empresas estén mejor protegidas y posicionadas para relaciones comerciales exitosas.
Como resultado, si bien SOC 2 puede ser una parte valiosa del programa de seguridad de una organización, no debería ser el foco y no es una solución única para todos. La dependencia excesiva del SOC 2 como medida de seguridad independiente puede aumentar la vulnerabilidad y crear una falsa sensación de seguridad, que puede ser desastrosa en caso de un desastre.
Las empresas emergentes deben ir más allá de la mentalidad de casillas de verificación cuando se trata de estrategias de ciberseguridad. Deben adoptar un enfoque basado en el riesgo, evaluando y adaptando constantemente sus prácticas de seguridad para que coincidan con el panorama de amenazas en evolución.
(TagsToTranslate)Operaciones comerciales
