Entender el cumplimiento SOC 1 vs SOC 2 vs SOC 3

El cumplimiento es un aspecto crucial para el crecimiento de su organización.

Supongamos que quiere dirigir un negocio de SaaS y dirigirse a clientes del mercado medio. En ese caso, necesita cumplir las normas y reglamentos aplicables y mantener una postura de seguridad más sólida para su empresa.

Muchas organizaciones intentan eludir estos requisitos aplicando cuestionarios de seguridad.

Por eso, cuando un cliente o un cliente le exige un certificado SOC, puede darse cuenta de lo importante que es cumplir las normativas.

La conformidad SOC (Service Organization Control) se refiere a un tipo de certificación en la que una organización completa una auditoría de terceros que muestra ciertos controles que tiene su organización. El cumplimiento del SOC también es aplicable a la cadena de suministro y a la ciberseguridad del SOC.

En abril de 2010, el Instituto Americano de Contables Públicos Certificados (AICPA) anunció el cambio de la norma SAS 70. La nueva y perfeccionada norma de auditoría recibe el nombre de Declaración sobre normas para compromisos de atestación (SSAE 16).

Junto con la auditoría SSAE 16, también se han establecido otros tres informes para examinar los controles de una organización de servicios. Son los llamados informes SOC, que contienen tres informes: SOC 1, SOC 2 y SOC 3, con objetivos diferentes.

En este artículo, mencionaré cada informe SOC y dónde aplicarlos, y cómo encajan en la seguridad informática.

Allá vamos

¿Qué es exactamente un informe SOC?

Los informes SOC pueden considerarse una ventaja competitiva que beneficia a una organización en términos de dinero y tiempo. Utiliza auditores externos e independientes para examinar diferentes aspectos de una organización, entre los que se incluyen:

Disponibilidad
Confidencialidad
Privacidad
Integridad de procesamiento
Seguridad
Controles relacionados con la ciberseguridad
Controles relacionados con los informes financieros

Los informes SOC permiten a una empresa sentirse segura de que los posibles proveedores de servicios operan de forma conforme y ética. Aunque las auditorías pueden ser complicadas, pueden ofrecer una inmensa seguridad y confianza. Los informes SOC ayudan a establecer la fiabilidad y credibilidad de un proveedor de servicios.

Además, los informes SOC son útiles para:

Programas de gestión de proveedores
Supervisión de la organización
Supervisión reglamentaria
Proceso de gestión de riesgos y gobierno corporativo interno

¿Por qué es esencial un informe SOC?

Varias organizaciones de servicios, como las empresas de centros de datos, los proveedores de SaaS, los administradores de préstamos y los procesadores de reclamaciones, deben someterse a un examen SOC. Estas organizaciones necesitan almacenar datos financieros o datos sensibles de sus clientes o entidades usuarias.

Así pues, cualquier empresa que preste servicios a otras empresas o usuarios puede beneficiarse del examen SOC. Un informe SOC no sólo permite a sus clientes potenciales saber que la empresa es legítima, sino que también revela ante usted los fallos y debilidades de sus controles o clientes mediante procesos de evaluación.

¿Qué puede esperar de una evaluación SOC?

Antes de someterse a un proceso de evaluación SOC, debe determinar qué tipo de informe SOC necesita que más pueda convenir a su organización. A continuación, comenzará un proceso oficial con la evaluación de la preparación.

Las organizaciones de servicios se preparan para el examen identificando las posibles banderas rojas, lagunas, deficiencias y demás. De este modo, la empresa puede comprender las opciones disponibles para reparar estos defectos y debilidades.

¿Quién puede realizar una auditoría SOC?

Las auditorías SOC las realizan contables públicos certificados (CPA) independientes o empresas de contabilidad.

El AICPA establece normas profesionales destinadas a regular el trabajo de los auditores SOC. Además, las organizaciones deben seguir ciertas directrices relativas a la ejecución, la planificación y la supervisión.

A continuación, cada auditoría del AICPA se somete a una revisión por pares. Las organizaciones o empresas de CPA también contratan a profesionales que no son CPA con conocimientos de tecnología y seguridad de la información para preparar una auditoría SOC. Pero, el informe final debe ser revisado y divulgado por el CPA.

Repasemos cada informe por separado para entender cómo funcionan.

¿Qué es la SOC 1?

El objetivo principal del SOC 1 es controlar los objetivos dentro de los documentos SOC 1 y las áreas de proceso de los controles internos que son relevantes para la auditoría de los estados financieros de la entidad usuaria.

En pocas palabras, le indica cuándo los servicios de la organización repercuten en los informes financieros de una entidad usuaria.

¿Qué es un informe SOC 1?

Un informe SOC 1 determina el control de la organización de servicios aplicable al control de la entidad usuaria sobre la información financiera. Está diseñado para satisfacer las exigencias de las entidades usuarias. En él, los contables evalúan la eficacia de los controles internos de la organización de servicios.

Existen dos tipos de informes SOC 1:

SOC 1 Tipo 1: Este informe se centra generalmente en el sistema de una organización de servicios y comprueba la idoneidad de los controles del sistema para lograr los objetivos de control junto con la descripción en la fecha especificada.

Los informes SOC 1 Tipo 1 sólo están restringidos a auditores, gestores y entidades usuarias, normalmente, los proveedores de servicios pertenecen a cualquier organización de servicios. Un auditor de servicios determina el informe que cubre todos los requisitos de la SSAE 16.

SOC 1 Tipo 2: Este informe contiene opiniones y análisis similares a los del informe SOC 1 Tipo 1. Pero, incluye opiniones sobre la eficacia de los controles preestablecidos diseñados para conseguir todos los objetivos de control durante un periodo específico.

En un informe SOC 1 Tipo 2, los objetivos de control conducen a riesgos potenciales que el control interno quiere mitigar. El alcance incluye los ámbitos de control pertinentes y ofrece garantías razonables. También indica que existe un límite para realizar únicamente acciones autorizadas y apropiadas.

¿Cuál es el propósito de la SOC 1?

Como ya hemos comentado, la SOC 1 es la primera parte de la serie Control de las Organizaciones de Servicios que aborda los controles internos en toda la información financiera. Es aplicable a las empresas que interactúan directamente con los datos financieros de socios y clientes.

Por lo tanto, asegura la interacción de una organización, almacenando los estados financieros de los usuarios y transmitiéndolos. Sin embargo, el informe SOC 1 ayuda a los inversores, clientes, auditores y directivos a evaluar los controles internos en torno a la información financiera dentro de las directrices del AICPA.

¿Cómo mantener el cumplimiento de la norma SOC 1?

El cumplimiento de la norma SOC 1 define el proceso de gestión de todos los controles SOC 1 añadidos dentro del informe SOC 1 durante un periodo definido. Garantiza la eficacia del funcionamiento de las normas SOC 1.

Los controles son generalmente controles de TI, controles de procesos empresariales, etc., utilizados para ofrecer una garantía razonable basada en los objetivos de control.

¿Qué es SOC 2?

La SOC 2, desarrollada por el AICPA, describe los criterios para controlar o gestionar la información de los clientes basándose en 5 principios para ofrecer servicios de confianza: Estos principios son:

Disponibilidad: incluye la recuperación en caso de desastre, la gestión de incidentes de seguridad y la supervisión del rendimiento.
Privacidad: Incluye el cifrado, la autenticación de dos factores (2FA) y el control de acceso.
Seguridad: Incluye la detección de intrusiones, la autenticación de dos factores y los cortafuegos de red o de aplicaciones.
Confidencialidad: Incluye controles de acceso, cifrado y cortafuegos de aplicaciones.
Integridad del procesamiento: Incluye la supervisión del procesamiento y la garantía de calidad.

SOC 2 es único para cada organización debido a sus rígidos requisitos, a diferencia de PCI DSS. Con prácticas empresariales específicas, cada diseño tiene su control para cumplir con múltiples principios de confianza.

¿Qué es un informe SOC 2?

Un informe SOC 2 permite a las organizaciones de servicios para recibir y compartir un informe con las partes interesadas para describir general; controles de TI que son seguros en el lugar.

Existen dos tipos de informes SOC 2:

SOC 2 Tipo 1: Describe los sistemas del proveedor y dice si el diseño del proveedor es adecuado para cumplir los principios de confianza.
SOC 2 Tipo 2: Comparte los detalles de la eficacia operativa de los sistemas del proveedor.

SOC 2 difiere de una organización a otra en cuanto a marcos y normas de seguridad de la información, ya que no existen requisitos definidos. El AICPA proporciona criterios que una organización de servicios selecciona para demostrar los controles que tiene implantados para salvaguardar los servicios ofrecidos.

¿Cuál es el propósito de SOC 2?

El cumplimiento de la norma SOC 2 indica que la organización controla y mantiene un alto nivel de seguridad de la información. El cumplimiento estricto permite a las organizaciones garantizar que su información crítica está a salvo.

Al cumplir con SOC 2, obtendrá:

Prácticas mejoradas de seguridad de los datos en las que la organización se defiende de los ciberataques y las brechas de seguridad.
Ventaja competitiva, ya que los clientes desean trabajar con proveedores de servicios con prácticas sólidas de seguridad de datos, especialmente para los servicios en la nube y de TI.

Restringe el uso no autorizado de los datos y activos que maneja una organización. Los principios de seguridad exigen que las organizaciones añadan controles de acceso para proteger los datos de ataques malintencionados, usos indebidos, divulgación o alteración no autorizada de la información de la empresa y eliminación no autorizada de datos.

¿Cómo mantener el cumplimiento de la norma SOC 2?

El cumplimiento de la norma SOC 2 es una norma voluntaria desarrollada por el AICPA que especifica cómo gestiona una organización la información de sus clientes. La norma se describe con cinco criterios de servicios de confianza, es decir, seguridad, integridad del procesamiento, confidencialidad, privacidad y disponibilidad.

El cumplimiento del SOC se adapta a las necesidades de cada organización. Dependiendo de las prácticas empresariales, una organización puede elegir controles de diseño que deben seguir uno o más Principios de Servicios de Confianza. Se extiende a todos los servicios, incluida la protección DDoS, el equilibrio de carga, el análisis de ataques, la seguridad de las aplicaciones web, la entrega de contenidos a través de CDN y mucho más.

En términos sencillos, la conformidad SOC 2 no es una lista descriptiva de herramientas, procesos o controles, sino que cita la necesidad de criterios cruciales para mantener la seguridad de la información. Esto permite a cada organización adoptar los mejores procesos y prácticas pertinentes para sus operaciones y objetivos.

A continuación figura la lista de comprobación del cumplimiento básico de las normas SOC 2:

Controles de acceso
Operaciones del sistema
Mitigación de riesgos
Gestión de cambios

¿Qué es la SOC 3?

Una SOC 3 es un procedimiento de auditoría que el AICPA desarrolla para definir la solidez del control interno de una organización de servicios sobre los centros de datos y la seguridad de la nube. Un marco SOC 3 también se basa en los Criterios de Servicios de Confianza que incluyen:

Seguridad: Los sistemas y la información están seguros contra la divulgación no autorizada, el acceso no autorizado y los daños a los sistemas.
Integridad del proceso: El procesamiento de los sistemas es válido, preciso, autorizado, oportuno y completo para satisfacer las demandas de la entidad.
Disponibilidad: Los sistemas y la información están disponibles para su uso y funcionamiento para satisfacer las demandas de la entidad.
Privacidad: La información personal se utiliza, divulga, elimina, conserva y recopila para satisfacer las demandas de la entidad.
Confidencialidad: La información designada como crítica se protege para satisfacer las exigencias de la entidad.

Con la ayuda de SOC 3, las organizaciones de servicios determinan cuáles de estos criterios de Trust Services se aplican al servicio que ofrecen a los clientes. También encontrará informes adicionales, requisitos de rendimiento y orientaciones de aplicación en las Declaraciones sobre normas.

¿Qué es un informe SOC 3?

Los informes SOC 3 contienen la misma información que los SOC 2, pero difieren en cuanto al público al que van dirigidos. Un informe SOC 3 está destinado únicamente al público en general. Estos informes son breves y no incluyen precisamente los mismos datos que un informe SOC 2. Están elaborados de forma adecuada para las partes interesadas y el público informado.

Dado que un informe SOC 3 es más general, puede compartirse rápida y abiertamente en el sitio web de una empresa, junto con un sello que describe su cumplimiento. Ayuda a seguir el ritmo de las normas internacionales de contabilidad.

Por ejemplo, AWS permite la descarga pública del informe SOC 3.

¿Cuál es el propósito de SOC 3?

Las empresas, especialmente las pequeñas o las que empiezan, no suelen disponer de recursos suficientes para controlar o mantener internamente ciertos servicios esenciales. Por lo tanto, estas empresas suelen subcontratar los servicios a proveedores externos en lugar de invertir más esfuerzo o dinero en crear un nuevo departamento para esos servicios.

Así pues, la externalización es una opción mejor pero puede ser arriesgada. La razón es que una organización comparte datos de clientes o información sensible con terceros proveedores en función de los servicios que la organización decida externalizar.

Sin embargo, las organizaciones deben asociarse sólo con proveedores que demuestren el cumplimiento de la norma SOC 3.

La conformidad SOC 3 se basa en las secciones 205 y 105 de la SSAE 18. Incluye la información básica de la descripción de la gestión independiente y el informe del auditor. Se aplica a todos los proveedores de servicios que almacenan información de clientes en la nube, incluidos los proveedores de PaaS, IaaS y SaaS.

¿Cómo mantener el cumplimiento de la norma SOC 3?

SOC 3 es la versión posterior de SOC 2, por lo que el procedimiento de auditoría es el mismo. Los auditores de servicios buscan las siguientes políticas y controles:

Recuperación de desastres
Detección de intrusiones
Supervisión del rendimiento
Garantía de calidad
Autenticación de dos factores
Gestión de incidentes de seguridad
Supervisión del procesamiento
Cifrado
Controles de acceso
Cortafuegos de redes y aplicaciones

Una vez finalizada la auditoría, el auditor genera un informe basado en los hallazgos. Pero un informe SOC 3 es mucho menos detallado, ya que sólo comparte la información necesaria para el público. La organización de servicios comparte libremente los resultados tras completar la auditoría final con fines de marketing. Le indica en qué debe centrarse para superar la auditoría. Así pues, se aconseja a la organización de servicios que

Seleccionar cuidadosamente los controles.
Realice una evaluación para identificar las lagunas de los controles
Averiguar la actividad regular
Describir los pasos siguientes para la alerta de incidentes
Buscar un auditor de servicios cualificado para que realice el examen final

Ahora que ya tiene una idea de cada tipo de cumplimiento, entendamos las diferencias entre los tres para saber cómo ayudan a cada empresa a destacar en el mercado.

SOC 1 vs SOC 2 vs SOC 3: Diferencias

La siguiente tabla describe los propósitos y beneficios de cada informe SOC.

SOC 1	SOC 2	SOC 3
Emite dictámenes sobre el diseño de tipo 1 y el diseño o funcionamiento de tipo 2, incluidos los procedimientos y resultados de las pruebas.	Un único entregable para atender las demandas de los socios sobre las operaciones de la organización, incluidos los resultados y los procedimientos.	Similar a la conformidad SOC 2 pero contiene menos información. No incluye procedimientos de prueba, resultados ni controles.
Controla los requisitos esenciales para los controles internos en torno a los informes financieros.	Los controles no financieros se evalúan con los cinco Principios Fiduciarios esenciales para la materia.	También depende de los cinco Criterios de Servicios de Confianza.
Distribución limitada a clientes y auditores	La distribución limitada a reguladores, clientes y auditores se definirá en el informe.	Asistencia en la comercialización a clientes. Distribución ilimitada
Mantiene la transparencia sobre la descripción, el control, el procedimiento y el resultado del sistema.	Proporciona un nivel de transparencia precisamente similar al de la SOC 1	Distribución general de los informes para beneficios de marketing.
Se centra en los controles financieros.	Se centra en los controles operativos.	Es similar a SOC 2 pero con menos información.
Describe los sistemas de la organización de servicios.	También describe los sistemas de la organización de servicios.	Describe la opinión del contador público sobre los controles adecuados de la entidad sobre el sistema.
Informa sobre los controles internos.	Informa sobre los controles de disponibilidad, privacidad, confidencialidad, integridad del procesamiento y seguridad.	Similar a SOC 2
La oficina del controlador de usuarios y el auditor de usuarios utilizan la SOC 1.	Lo comparten bajo NDA los reguladores, la dirección y otros.	Está a disposición del público.
La mayoría de los auditores «Necesitan saber»	La mayoría de las partes interesadas y los clientes «Necesitan saber»	Público en general
Ejemplo: procesadores de reclamaciones médicas.	Ejemplo: empresa de almacenamiento en la nube.	Ejemplo: una empresa pública.

Conclusión

Decidir qué cumplimiento SOC será el más adecuado para su organización requiere que visualice el tipo de información con la que está tratando, ya sean los datos de sus clientes o los suyos.

Si ofrece servicios de procesamiento de nóminas, quizá le convenga utilizar la SOC 1. Si procesa o aloja datos de clientes, podría necesitar un informe SOC 2. Del mismo modo, si necesita un cumplimiento menos formal, que es lo mejor para fines de marketing, puede que le convenga un informe SOC 3.

Amrita Pathak
Colaborador
- LinkedIn
Amrita Pathak es redactora de tecnología y negocios en Geekflare. Disfruta convirtiendo temas complejos en artículos fáciles de leer para su audiencia. Su objetivo es tender un puente entre la tecnología y el usuario eliminando la jerga y escribiendo de forma intuitiva y relevante. Sus principales áreas de especialización son la ciberseguridad, la IA y el ML, la gestión de proyectos y la computación en nube.