LEET Security | The ultimate Cybersecurity rating.

Informes SOC2, todo lo que debes saber

En entradas anteriores ya hemos comentado sobre el origen de estos informes (en este post) y sobre su complementariedad con la calificación de ciberseguridad que realizamos en LEET Security (en este otro post), pero hemos visto que todavía quedan dudas y, por eso, hemos decidido publicar esta nueva entrada en la que vamos a recapitular las preguntas más frecuentes que nos plantean.

¿QUIÉN PUEDE EMITIR ESTE TIPO DE INFORMES?

Este tipo de trabajos los realizan firmas de auditoría inscritas en las correspondientes organizaciones nacionales con acuerdos con AICPA / CICA.

¿POR QUÉ LOS CLIENTES SOLICITAN ESTE TIPO DE INFORMES?

De un tiempo a esta parte, la necesidad de gestionar el riesgo de terceros hace que se busquen mecanismos para asegurar que los terceros que forman parte de la cadena de suministro no supongan un riesgo para los usuarios finales. Como veíamos en nuestras entradas anteriores, el objetivo de estos informes es que el auditor evalúe las medidas de seguridad implementadas por el proveedor de acuerdo a una serie de principios (confidencialidad, integridad, disponibilidad, seguridad, privacidad y últimamente, ciberseguridad)

POR CONTAR CON UN INFORME SOC2, ¿UN PROVEEDOR ES SUFICIENTEMENTE SEGURO?

La seguridad absoluta no existe, pero desde luego, a un proveedor auditado conforme a lo establecido por la norma ISAE3000 (la que rige los informes SOC2) se le debe presuponer cierto grado de seguridad, puesto que ha evidenciado a un auditor especializado en la materia que cumple con una serie de objetivos de control (en función del principio o principios auditados).

Ahora bien, ¿es suficientemente seguro? No; no se puede asegurar. Depende del alcance que haya sido auditado, puesto que, como en toda auditoría, hay que verificar el alcance. Depende de los principios que hayan sido auditados: por ejemplo, si se ha auditado el de confidencialidad, no se podrá concluir nada sobre la disponibilidad. Y, por supuesto, que cuente con medidas de seguridad suficientes, a juicio del auditor no presupone que sean suficientes para el uso que el cliente quiera hacer. El informe SOC2 es como una novela, hay que leérsela entera para ver si nos gusta. Una novela que le guste a mi vecino, no me tiene por qué gustar a mi o, incluso, aunque me guste un autor, eso no significa que todas sus novelas me vayan a gustar siempre.

¿CUÁL ES LA RELACIÓN DE ESTO INFORMES CON LA NUEVA CALIFICACIÓN FINANCIERA, PINAKES?

Como comentábamos en un post anterior, los informes SOC2 son compatibles con la calificación de LEET Security y, por supuesto, también con la nueva calificación PINAKES. Es decir, aquellos clientes que ya estén haciendo auditorías tipo SOC2 podrán aprovechar ese esfuerzo, simplemente asegurando que su firma auditora tenga un acuerdo, bien con LEET Security, en el primer caso o haya sido homologada por el Centro de Cooperación Interbancaria, en el segundo.

Al fin y al cabo, estos sistemas de calificación aportan una valoración objetiva (no una subjetiva como la que realiza el auditor SOC2) y transparente sobre el nivel de seguridad, es decir, añaden un sistema de puntuación que nos permite entender mucho más fácilmente lo buena que es la novela, sin necesidad de tener que leerla hasta el final (bastaría con el alcance).

En nuestra opinión el enfoque más eficiente sería aprovechar esta compatibilidad para, en el mismo proceso de auditoría que conlleva ISA3000, conseguir el informe SOC2, así como la calificación de PINAKES (que permitirá trabajar con el sector financiero) y la de LEET Security (para mostrar al resto de clientes no-financieros mi nivel de seguridad).

All you need is LEET!

Recibe nuestras notificaciones desde este enlace

🍪 Utilizamos cookies para garantizar que obtenga la mejor experiencia en nuestro sitio web. Leer Política de Privacidad