Si no has oído hablar de la término, pronto lo harás. SOC 2, que significa Controles de sistema y organización 2, es un procedimiento de auditoría desarrollado por el Instituto Americano de CPA (AICPA). Tener el cumplimiento de SOC 2 significa que ha implementado controles y prácticas organizacionales que brindan garantías para la protección y seguridad de los datos del cliente. En otras palabras, debe demostrar (por ejemplo, documentar y demostrar) que está actuando de buena fe con la información de otras personas. En su definición más simple, es una boleta de calificaciones de un auditor.
En Rewind, antes del SOC 2, contábamos con algunos procesos, como los procedimientos de gestión de cambios para cuando las correcciones de emergencia deben lanzarse a producción rápidamente. Pero después de comenzar nuestro viaje SOC 2, nos dimos cuenta de que no teníamos una excelente manera de rastrear el razonamiento detrás de un cambio de emergencia requerido, y esto era necesario para nuestra auditoría SOC 2. Así que trabajamos con nuestro auditor para establecer un sistema de auditoría continua para estas solicitudes, brindando una solución a largo plazo y una mejora procesal masiva. ofreciendo esta solución a otras empresas en nuestra posición. Lograr el cumplimiento de SOC 2 indica a un mercado que está dispuesto a brindar garantías en forma de un informe de auditoría de terceros de que protegerá la información del cliente. Información en la que se basa su negocio.
¿Por qué tener SOC 2 en absoluto?
En resumen, más organizaciones recopilan más datos hoy que en cualquier otro momento de la historia. En general, los grupos del sector público y privado son cada vez más conscientes de cómo otras partes manejan sus datos de propiedad exclusiva. Para las industrias altamente reguladas, como las finanzas, la atención médica o las empresas que cotizan en bolsa, SOC 2 se ha convertido esencialmente en un costo de hacer negocios. Para cualquier empresa SaaS que quiera «crecer» y vender a grandes marcas, la pregunta «¿Tiene su SOC2?» será una de las primeras cosas que le pregunten a su equipo de ventas.
Los informes SOC 2 también brindan a las empresas una ventaja para brindar seguridad a los clientes en el panorama actual de ciberseguridad. El volumen de ciberataques aumenta cada año. Una infracción puede generar multas, dañar la reputación de una empresa, provocar un éxodo de clientes y mucho más. El cumplimiento de SOC 2 contribuye en gran medida a mitigar las pérdidas de estos escenarios al proporcionar la garantía de que tiene procesos clave implementados. Es más probable que una empresa que cumple con las normas responda rápidamente a una infracción, lo que limita su impacto.
Obtener SOC2 de forma rápida e inteligente
Antes de unirme a Rewind, y de manera similar para la mayoría de las empresas de SaaS en crecimiento, SOC 2 parecía una tarea intimidante de lograr. Teníamos procesos implementados, pero teníamos trabajo que hacer para formalizarlos para que cumplieran con SOC 2 y estuvieran listos para la auditoría. Al equipo de ventas también se le preguntaba constantemente sobre Rewind y nuestros planes para el cumplimiento de SOC 2 porque nuestros clientes querían esa garantía, y obtener SOC 2 se convirtió en una prioridad. El siguiente paso es comprender los objetivos y prioridades de SOC2 de su empresa e identificar qué pasos deben tomarse para cumplir con los requisitos.
He pasado toda mi carrera como profesional de seguridad de la información con un enfoque en la gobernanza, el riesgo y el cumplimiento. Gran parte de esto es una segunda naturaleza para mí. Para los recién llegados, puede ser un proceso desalentador y abrumador. Así que aquí hay un marco rápido para ayudarlo a prepararse para el camino por delante.
1 — Eligiendo tu alcance
El primer paso es decidir el alcance de su auditoría, en qué servicio o producto se centrará,
y qué Principios de Servicio de Confianza desea que se auditen. Por ejemplo, la seguridad es un principio obligatorio, pero también puede incluir principios de confidencialidad, disponibilidad, integridad del procesamiento o privacidad.
Aquí hay una manera fácil de pensar en esto: el servicio que brinda a sus clientes puede determinar en qué Principios de Servicio de Confianza se debe enfocar. Por ejemplo, si su empresa procesa datos financieros, la «integridad de procesamiento» puede ser un principio importante para mostrar. Es probable que un servicio de comercio electrónico o marketing se centre en la seguridad y la privacidad debido a la gran cantidad de datos personales que maneja.
Rewind proporciona copias de seguridad de SaaS, por lo que el alcance era nuestra propia plataforma de software. Para nuestro primer rodeo SOC 2, dentro de este alcance, la atención se centró en los controles de seguridad y confidencialidad. La confidencialidad era un principio importante, ya que los clientes nos confían sus datos de respaldo y queremos demostrar cómo aseguramos la confidencialidad de la información que nos confían.
También es importante recordar que si desea seguir otros principios de servicio de confianza en el futuro, puede nutrir y hacer crecer su programa de cumplimiento de SOC2 y sus procesos internos para alcanzar ese objetivo en el futuro.
2 — Evaluación de su nivel de controles
Las solicitudes del equipo de ventas definitivamente pueden ayudarlo a determinar en qué principios de servicio de confianza debe enfocarse, pero eso no significa que pueda comenzar el proceso de auditoría mañana. Siempre recomiendo a las empresas que realicen evaluaciones de preparación. Esto ayuda a establecer el punto de referencia de cuántos controles puede tener ya implementados, y para aquellos que quizás no tenga, puede identificar en qué áreas enfocarse. Una vez que llegue al 100%, puede prepararse para su auditoría.
Puede encontrar varios documentos de evaluación de preparación en la web de varios terceros o visite el sitio web de AICPA. Los auditores también pueden ayudarlo con su evaluación de preparación como parte de su compromiso.
Como beneficio adicional, una evaluación de preparación puede ayudarlo a comprender cómo presupuestar mejor su programa SOC2 en el futuro. Por ejemplo, podría identificar que necesita realizar una prueba de penetración de terceros en su aplicación periódicamente, o invertir en un proceso de verificación de antecedentes de los empleados, todos los cuales tienen costos continuos para presupuestar.
3 — Organización de controles y recopilación de pruebas
No existe una forma incorrecta de organizar su programa y controles de cumplimiento de SOC2. Sin embargo, a la larga, hay formas que lo hacen más difícil y formas que lo hacen más fácil. Las hojas de cálculo están bien para enumerar todos sus controles, asignar propietarios, registrar notas y agregar enlaces a donde se almacena su evidencia para auditorías. Sin embargo, con el tiempo, esto se vuelve complicado y difícil de monitorear.
En Rewind, queríamos centrarnos en la longevidad de nuestro programa de cumplimiento de SOC2. La propiedad del control y la recopilación de pruebas debían centralizarse y ser accesibles para todas las partes interesadas. Para ayudar con esto, invertimos en una plataforma de garantía de seguridad para ayudarnos a administrar nuestro programa de cumplimiento. Recomendaría como parte de su presupuesto SOC2 considerar una herramienta que pueda ayudarlo a organizar sus controles y monitorearlos en el futuro.
La dificultad aquí es encontrar la solución adecuada que se ajuste a sus necesidades. Por lo general, verá que las empresas anuncian sus soluciones con promesas de «¡Obtenga SOC2 en dos meses!». Su programa de cumplimiento debe ser una máquina que siga funcionando. No es una medalla brillante para ganar en un tiempo récord. Queríamos una herramienta que también compartiera esa misión.
4 — Elija y entrene a los propietarios del control
Estas son personas en su empresa responsables de la implementación y el cumplimiento continuo de sus controles. El principal desafío aquí es que, en la superficie, esencialmente le estás pidiendo a la gente que haga más trabajo. Sin embargo, no debería verse de esta manera. Este es un esfuerzo de colaboración para diseñar controles y procesos que cumplan con SOC2, que se integran en los procesos cotidianos de cada equipo.
Cualquier proceso nuevo agregado debe ser una mejora en la seguridad (u otro proceso/control relacionado con el Principio de Servicio de Confianza) de su empresa. El enfoque de Rewind fue adoptar un enfoque colaborativo dirigido por nuestro «Equipo de confianza» pero, al mismo tiempo, empoderar a los propietarios del control para que sean responsables de sus propias áreas de cumplimiento. SOC2 debe ser un objetivo común para toda su empresa, no solo para el equipo de seguridad.
5 — Elige a tus auditores
Hay muchos CPA acreditados que realizan su auditoría por usted, pero diferentes compañías de auditoría ofrecen una variedad de servicios. En Rewind, nuestro auditor elegido (Moss Adams) es recomendado y capacitado para usar nuestra plataforma de garantía de seguridad (Tugboat Logic), que usamos para administrar nuestro programa SOC2. Esto significa que podemos gestionar el cumplimiento de todo nuestro programa, incluido el suministro de pruebas a nuestros auditores en la misma herramienta. Esto reduce la carga de trabajo de nuestros auditores de control y significa que podemos tener un lugar centralizado para administrar nuestros controles, recopilación de evidencia y auditorías.
Un obstáculo aquí podría ser realmente saber por dónde empezar. No desea atarse a una herramienta específica de garantía de seguridad o CPA si no funciona para usted a largo plazo. Elija un CPA acreditado que esté dispuesto a trabajar con usted y sus flujos de trabajo. Quiere una relación de colaboración en la que también pueda pedir consejo y saber que ellos también quieren ser parte de su éxito.
6 — Considere un informe Tipo 1 antes que un Tipo 2
Una auditoría SOC2 Tipo 1 puede ser increíblemente beneficiosa para mojarse los pies en el proceso de auditoría SOC2. Una auditoría Tipo 1 le brinda la oportunidad de obtener experiencia con el proceso de auditoría SOC2 y establecer una relación y desarrollar una relación de trabajo con su auditor. También obtiene un informe para proporcionar a los clientes que indica su compromiso con su programa de cumplimiento. Este es el enfoque que adoptamos en Rewind y estoy feliz de haberlo hecho.
Obviamente, hay mucho más en este proceso de lo que he proporcionado. Sin embargo, según mi experiencia, creo que esto puede ayudarlo a preparar el escenario para los próximos pasos. Pensar en cómo los controles SOC 2 encajan en su negocio hoy, le ahorrará un mundo de dolores de cabeza en el futuro.
