¿Hay algún paso específico que se deba seguir para lograr el cumplimiento de SOC 2? ¿O debería uno simplemente obtener una lista de verificación de un auditor especializado?
Algún contexto:
Soy un profesional de seguridad de TI, actualmente trabajo como auditor de TI y estoy muy familiarizado con las declaraciones de SOC 2. Para responder a su pregunta, es necesario proporcionar un poco de información sobre el programa SOC 2.
La certificación SOC 2 es una creación del AICPA y se basa en Principios de Servicio de Confianza. Cada principio de confianza tiene un conjunto definido de criterios de control que describe qué características El sistema como lo define su administración debe cumplir. En cuanto a los controles específicos utilizados para cumplir con cada criterio de control, es una decisión de la administración superior de su empresa.
¿Hay algún paso específico que se deba seguir para lograr el cumplimiento de SOC 2?
En última instancia, esta pregunta es errónea. El SOC 2 está preocupado por los controles que su administración ha definido que rigen los servicios Se proporciona a un cliente. Como tal, en lugar de preguntar qué lista de verificación puedo usar para asegurarme de aprobar, piense en cuáles de los Principios de Confianza son importantes para los clientes de su empresa. Lo más probable es que estén revisando los resultados de la auditoría antes de decidir si realizar o no negocios con su empresa. Si los controles confirmados por el auditor del servicio no tienen ningún valor para el cliente final, tener una certificación SOC 2 no significa nada para ese cliente en particular
A un alto nivel, el auditor del servicio buscará ver que los controles contenidos en la descripción proporcionada por la alta gerencia de su compañía estén adecuadamente diseñados y operen de manera efectiva para cumplir con los objetivos de control para cada uno de los Principios de Fideicomiso. Las preguntas representativas que el auditor del servicio puede hacer se enumeran a continuación:
¿Se comunican a los usuarios relevantes los procedimientos y políticas necesarios para cumplir con los Principios de Fideicomiso (según corresponda según el servicio proporcionado)?
¿Está el sistema tal como está definido protegido contra el acceso no autorizado (Principio de seguridad)
¿Los datos confidenciales, según se definen con el cliente, están protegidos según lo acordado? (Principio de confidencialidad)
En última instancia, recibirá un mejor servicio al centrarse en las necesidades del cliente en lugar de un enfoque genérico de "marcar la casilla".
Lea otras preguntas en las etiquetas compliance soc