Este análisis está basado en la "Guía de Usuario" (en inglés) publicada por ISACA y AICPA para este tipo de informes.

Para aquellos que no lo sepan, comenzaremos explicando qué son los informes SOC 2 (sucesores de los famosos informes SAS 70). Para empezar SOC significa Controles de Organizaciones de Servicio (Service Organization Controls) y existen tres tipos de estos informes:

  • SOC 1 - Informe sobre Controles de una Organización de Servicios Relevantes para el Control Interno sobre la Información Financiera de las Entidades Usuarias.
  • SOC 2 y SOC 3 - Informe sobre Controles de una Organización de Servicios Relevantes para la Seguridad, Disponibilidad, Integridad de Procesamiento, Confidencialidad o Privacidad conforme a los Criterios y Principios de los Servicios de Confianza de AICPA.

La diferencia entre los informes SOC 2 y SOC 3 es que, mientras que el primero incluye el entendimiento detallado del diseño de los controles y las pruebas realizadas por el auditor, el segundo solo incluye la opinión del auditor sobre si dichos controles son efectivos. Por este motivo, los informes SOC 2 son informes de uso restringido (lista de distribución definida y otros, con la autorización de la organización de servicios), mientras que los SOC 3 pueden ser publicados libremente a través del portal de AICPA, ya que están orientados a usuarios que no necesitan una información tan profunda.

Centrándonos en los informes tipo SOC 2, comentar que existen también dos tipos: los Tipo 1 (solo diseño de controles y en un momento del tiempo) y los Tipo 2 (diseño y efectividad de los controles durante el período de tiempo cubierto).

Finalmente, todos los informes SOC 2 tienen el mismo contenido:

  1. Descripción de la Dirección del sistema de la organización de servicios
  2. Afirmación escrita de la Dirección sobre la organización de servicios
  3. Diseño y resultados de la efectividad de los controles (solo Tipo 2)
  4. Opinión del auditor del servicio (que puede ser cualificada - cuando se detectan desviaciones, o no-cualificada - cuando es limpia).

En definitiva, los informes SOC 2 suponen un esfuerzo de normalizar los informes de auditoría, de forma que puedan ser reaprovechados y comprendidos por todos sus potenciales usuarios de la manera más sencilla posible.

Y aunque, evidentemente, suponen un gran avance, aún siguen exigiendo del potencial usuario un gran esfuerzo de interpretación que, para nosotros, es su mayor debilidad ya que obliga a dicho usuario a:

  • Comprender las diferencias entre los informes Tipo 1 y Tipo 2.
  • Entender la cobertura del informe: ¿Incluye los servicios relevantes para el usuario? ¿Cubre un período útil? ¿Existen lagunas de tiempo entre informes?
  • Analizar si se han considerado los principios relevantes para su caso, dado que la organización de servicios es la que elige los principios respecto a los que se audita.
  • Evaluar si los controles evaluados se adecuan a sus necesidades, ya que el auditor se limita a verificar si se cumplen los definidos por AICPA, pero dichos principios y criterios no tienen por qué ser los necesitados por el usuario (no existen diferentes niveles) acorde a su nivel de riesgo aceptado.
  • Analizar el impacto de organizaciones subcontratadas puesto que la Dirección de la organización de servicios auditada tiene dos opciones para incluirlas en el informe: el método carve-out, es decir, sin incluir detalles sobre los sistemas y controles de lo subcontratado, o el método inclusivo, que incluye una descripción detallada de dichos aspectos.
  • Evaluar los procedimientos de prueba (tiempo y extensión) llevados a cabo para evaluar la efectividad de los controles y, en su caso, las desviaciones observadas para interpretar su materialidad.

En definitiva, aunque es método que puede ser útil para algunas ocasiones, no solventa el problema de la flexibilidad necesaria para este tipo de entornos y sigue requiriendo un esfuerzo interpretativo y conocimientos elevados para los potenciales usuarios de los servicios.

Desde leet, como agencia de calificación de seguridad, consideramos que el método que proponemos es más intuitivo y más flexible, puesto que más que establecer unos niveles mínimos de controles, se define una métrica para que proveedor y usuario lleguen a un punto de encuentro entre lo que necesita el uno y ofrece el otro.

Puedes seguirnos en twitter.com/leet_security

20 de diciembre de 2012