SOC 2: la auditoría para los controles de ciberseguridad

Auditoría, INFO@INCP, Información para Empresas, Novedades

SOC 2: la auditoría para los controles de ciberseguridad

La auditoría de los Controles de Servicio y Organización 2 (SOC 2, por sus siglas en inglés) es un estándar internacional que permite evaluar los controles de seguridad de un proveedor y las amenazas de ciberseguridad. Esta herramienta nace del saber que cualquier proveedor de servicio puede ser una amenaza para los clientes y la compañía, sobre todo los tecnológicos.

Ahora bien, la auditoría SOC 2 tiene dos tipos de reporte, el 1 y el 2:

Elaboración propia

Redacción INCP a partir de artículo publicado por Auditool

Para más información consulte el artículo titulado “¿Qué es la auditoría SOC 2?” publicado por Auditool.

¿Qué es la auditoría SOC 2?

Una auditoría de los Controles de Servicio y Organización 2 (service organization control 2 – SOC 2, por sus siglas en inglés) es una herramienta eficaz para evaluar los controles de seguridad de un proveedor. Es un estándar internacional desarrollado por el Instituto americano de contables públicos certificados (American Institute of Certified Public Accountants – AICPA por sus siglas en inglés), que tuvo una actualización en marzo del 2018.

La necesidad de una auditoría SOC 2 surge al considerar que cualquier proveedor de servicios, en particular los tecnológicos, puede representar una amenaza para sus clientes y la compañía que recibe el servicio requiere tener confianza en que no va a recibir afectaciones. La ciberseguridad se ha convertido en una parte crítica de la gestión de riesgos de los proveedores y una auditoría SOC 2 es una de las maneras de evaluar las amenazas de ciberseguridad.

Existen reportes de auditoría SOC 2 tipo 1 y SOC 2 tipo 2. En el caso tipo 1, la evaluación de los controles se efectúa en un momento específico. (como si fuese una fotografía), con el propósito de determinar si los controles están debidamente diseñados y son apropiados.

En el caso de los informes SOC 2 Tipo 2, los controles de la compañía son evaluados durante un período de tiempo, que puede abracar un año. Es una revisión histórica de los sistemas, para determinar si los controles están apropiadamente diseñados funcionan correctamente a lo largo del tiempo.

Ahora bien, las auditorías de SOC 2 abordan diferentes temas además de enfrentar un entorno en el cual el riesgo de ciberseguridad evoluciona constantemente, la regulación de protección de datos cambia con frecuencia, los roles que desempeñan los proveedores en los procesos empresariales son variables. En este entorno, se requiere una base o marco para ejecutar el trabajo.

La respuesta son los principios de servicios de confianza desarrollados originalmente por AICPA, conocidos también como principios fundamentales de seguridad:

  • Seguridad (¿Está bien protegido el proceso frente a accesos no autorizados?)
  • Privacidad (¿Se almacenamos datos personales y de qué manera?)
  • Integridad del proceso (¿están debidamente resguardados los datos e información que se intercambia entre cliente y proveedor?)
  • Confidencialidad (¿Hay restricciones de acceso a la información?)
  • (¿El proceso es funcional y opera en diferentes momentos?)

En la ejecución de una auditoría SOC 2, los auditores deben observan si en los procesos de los proveedores aplican estos principios y de ser así, de qué manera los cumplen. Esto permite determinar, en caso de que la empresa cumpla con muy pocos principios (o los incorrectos), que está en un estado de seguridad inferior, pues no hay suficientes controles para los riesgos de seguridad que plantean sus proveedores. También puede ocurrir que la empresa se encuentra en un estado de sobreseguro: demasiada mitigación (y recursos desperdiciados) para riesgos que en realidad no tiene.

Esto implica conocer claramente el tipo de relación con el proveedor y sobre esa base, indagar con el área de seguridad de TI en relación con controles y garantías. Así mismo, se debe consultar con los propietarios de procesos de negocio en la primera o segunda línea de defensa, la información y los recursos que puede usar el proveedor. También es importante tener en cuenta la función de cumplimiento; las fallas en ciberseguridad pueden tener consecuencias tales como multas y responsabilidades en litigios. En caso de operar internacionalmente, hay legislaciones de otros países por cumplir.

Una vez determinadas las debilidades de seguridad y generado el informe, hay que buscar las medidas correctivas y de mejora, de la misma manera que en cualquier auditoría, para reducir el riesgo del proveedor a niveles aceptables. El resultado de una auditoría SOC 2, con sus hallazgos y recomendaciones puede incorporarse en un sistema de gestión de riesgos y hacer seguimiento al progreso del proveedor.

Con una auditoría SOC 2 se contribuye a mitigar el riesgo de ciberseguridad con los proveedores y en tanto la auditoría conozca el tema, puede robustecer sus evaluaciones y apoyar de mejor manera el sistema de control interno de las compañías.

Fuente: Auditool

0

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Formas de pago

Cuenta corriente 450769998896

Cuenta Corriente 450769998896

Contáctanos

Cra 7 156-68 Ofc. 1703
(601) 755 1919
incpcol@incp.org.co
https://www.incp.org.co

Consulta aquí

Servicio de consulta de las normas internacionales de información financiera y de aseguramiento de la información. 

Política de tratamiento de datos personales INCP
© 2025 Instituto Nacional de Contadores Públicos de Colombia.

HTML Snippets Powered By : XYZScripts.com