Tres cosas que los CTO deben saber sobre el cumplimiento de SOC 2

Mike De Kock , fundador y director ejecutivo de Asesores MJD

A medida que la seguridad de los datos aumenta con la demanda de sellar los sistemas contra la abrumadora ola de ataques cibernéticos, más empresas emergentes han recurrido a los informes SOC 2 para demostrar su higiene cibernética a los clientes. Muchos incluso lo hacen para mejorar su oportunidades de negocio . Sin embargo, es posible que aún tenga dudas sobre el proceso de auditoría, ya que se ha presentado como un requisito difícil que preferiría evitar.

La verdad es que el sector de cumplimiento ha experimentado cambios masivos en los últimos años para adaptarse a las demandas comerciales, cambiando por completo la forma en que las empresas pueden demostrar la seguridad de sus datos. Por ejemplo, la recopilación de pruebas ya no se realiza manualmente, lo que solía requerir mucho esfuerzo y tiempo por parte de todos los involucrados. El software de gobernanza, riesgo y cumplimiento (GRC) ahora automatiza esas tareas para ejecutarlas en la parte posterior de sus operaciones; también es un mercado en auge que se estima que hará 37,63 mil millones de dólares dentro de los próximos cuatro años.

Aún así, los conceptos erróneos abundan, y las empresas incluso recurren a cambiar la forma de sus operaciones de la noche a la mañana para complacer a los auditores en lugar de hacerlo por el bienestar de su negocio. Si bien es útil temporalmente, esto no es lo que un buen cumplimiento debería generar para usted. Más bien, debería verse como un acelerador de crecimiento que muestre sus buenas prácticas y genere cambios positivos dentro de su organización.

Por lo tanto, si es un CTO, un ingeniero senior o cualquier otro líder empresarial responsable del cumplimiento de los datos, es hora de desacreditar y aclarar tres cosas para que pueda realizar con confianza un examen SOC 2.

Lo que sabes sobre SOC 2 es cosa del pasado

Mientras que la historia de SOC 2 se remonta a la década de 1970 , es un estándar de cumplimiento relativamente nuevo establecido en 2010. Han pasado casi 15 años, pero el proceso solo ha cambiado dramáticamente en los últimos dos años. No está lleno de interminables pantallas impresas y formulario tras formulario de cuestionarios de seguridad. Sin embargo, así es como la mayoría de la gente todavía percibe el cumplimiento.

La mayoría de los conceptos erróneos simplemente carecen de contexto o están desactualizados. Hoy en día, gracias a las herramientas de gestión del cumplimiento, el proceso es mucho más sencillo y fluido. Estos programas se especializan en automatizar tareas manuales y que consumen mucho tiempo, de modo que las tareas se automaticen y se realicen de forma asincrónica, eliminando la necesidad de largas reuniones y ralentizaciones comerciales para cumplir con los requisitos de SOC 2.

Por ejemplo, algunas plataformas GRC se conectan con herramientas de desarrollo populares como GitHub para monitorear sus actividades diarias con fines de cumplimiento sin interrumpir constantemente su flujo de trabajo. Estas herramientas han reducido exponencialmente el tiempo que lleva realizar actividades de auditoría complejas, inyectándoles valor y eficiencia.

La automatización de tareas también ha quitado peso de encima a los auditores, permitiéndoles dedicar más tiempo a tareas analíticas. Su enfoque altamente técnico respecto del cumplimiento también les ha ayudado a comprender de qué se tratan los programas que están examinando. Como resultado, se han convertido en profesionales que pueden ayudar a las empresas a adoptar mejores prácticas de seguridad de datos y herramientas GRC para cumplir más allá de SOC 2.

SOC 2 no requiere tantos requisitos como cree

En medio de todos los requisitos de cumplimiento que deben cumplir las empresas de tecnología, algo sobre SOC 2 se perdió en la traducción. A diferencia de otras auditorías más rígidas, los informes SOC 2 se configuran en torno a las necesidades de la empresa que enfrenta su industria y base de clientes, no una lista de verificación de condiciones estándar que debe cumplir. En resumen, son las empresas quienes establecen las reglas para demostrar los compromisos de seguridad que han asumido ante sus clientes.

Si bien esto suena contradictorio con respecto a lo que es el cumplimiento (donde todos deben adherirse a prácticas muy específicas exigidas por una agencia reguladora), esta libertad es en realidad lo que hace que el SOC 2 sea un informe de cumplimiento tan exitoso. También es lo que ha hecho que las empresas norteamericanas en industrias como SaaS lo prefieran a los cuestionarios de seguridad.

Este enfoque es ventajoso porque, como marco de seguridad, SOC 2 reconoce que todas las empresas operan de manera diferente, atienden a diversos clientes y ofrecen una amplia gama de productos o servicios. Sería imposible esperar que todos siguieran los mismos requisitos. Por ejemplo, una empresa de tecnología educativa podría centrarse en los controles de acceso a los datos de los estudiantes, mientras que una empresa de servicios financieros podría priorizar el cifrado de datos para las transacciones monetarias.

Lo cierto es que SOC 2 utiliza cinco criterios de servicio de confianza , de los cuales sólo uno es obligatorio (controles de seguridad). Cuando se reúna con un auditor, discutirá su producto y evaluará qué criterios debe cumplir y cuáles le gustaría omitir. Recuerde, SOC 2 no es obligatorio sino más bien una decisión comercial que beneficiará a su empresa, por lo que depende de usted comprender sus necesidades y elegir sabiamente qué criterios cumplir.

No actualice sólo para complacer a los auditores

Como alguien que ha estado en el negocio de la auditoría durante décadas, lo he visto todo. Una de esas cosas que presencio con demasiada frecuencia, y de la que las empresas definitivamente deberían abstenerse, es adquirir herramientas de seguridad justo antes de su examen sólo para complacer a los auditores. Ya sea que conserve esas herramientas después de completar su informe o no, no debe percibirlas como una curita temporal para pasar una prueba.

SOC 2 realiza un inventario de las prácticas y procesos que ya realiza para brindarles a sus clientes y clientes potenciales una idea de su postura de seguridad. Si utilizara temporalmente programas como detección de intrusiones, análisis de código estático y otras herramientas de gestión de vulnerabilidades solo para la auditoría, estaría decepcionando e incluso engañando a los clientes con su informe SOC 2. En última instancia, puedes acabar perjudicando a tu empresa con prácticas engañosas.

En cambio, se debe alentar a los CTO a sentarse con los auditores y ser lo más transparentes posible: están ahí para resaltar el buen trabajo que usted ya hace, no para señalar sus debilidades. Si recibe una excepción, esto significa que los auditores hicieron bien su trabajo y le brindaron una solución para mejorar sus prácticas y cumplir con una mayor seguridad de los datos.

En todo caso, permita que las auditorías sean la razón para implementar buenas prácticas de seguridad, lo que permitirá a su empresa conseguir mejores acuerdos y lograr un mayor éxito en el futuro. ¿Quién no querría eso?

Si bien entendemos que el cambio de percepción de SOC 2 no ocurrirá de la noche a la mañana, es importante abogar por su enfoque renovado, facilitando que más empresas accedan a él con más confianza y voluntad de mostrar sus prácticas de seguridad. Las empresas de auditoría se están adaptando rápidamente al ritmo de la industria tecnológica y de nuevas empresas, lo que hace que el cumplimiento sea un requisito simplificado que apenas se parece al pasado.