stringtranslate.com

Controles del sistema y de la organización

Controles de sistemas y organizaciones ( SOC ; también denominados a veces controles de organizaciones de servicio) según la definición del Instituto Americano de Contadores Públicos Certificados (AICPA), es el nombre de un conjunto de informes producidos durante una auditoría. Está destinado a ser utilizado por organizaciones de servicios (organizaciones que proporcionan sistemas de información como servicio a otras organizaciones) para emitir informes validados de controles internos sobre esos sistemas de información a los usuarios de esos servicios. Los informes se centran en los controles agrupados en cinco categorías llamadas Criterios de servicio de confianza . [1] Los Criterios de servicios de confianza fueron establecidos por el AICPA a través de su Comité Ejecutivo de Servicios de Aseguramiento (ASEC) en 2017 (TSC 2017). Estos criterios de control deben ser utilizados por el practicante/examinador (Contador Público Certificado, CPA) en compromisos de certificación o consultoría para evaluar e informar sobre los controles de los sistemas de información ofrecidos como servicio. Los compromisos se pueden realizar a nivel de entidad, subsidiaria, división, unidad operativa, línea de productos o área funcional. Los criterios de servicios de confianza se modelaron de conformidad con el marco integrado de control interno (marco COSO ) del Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) . Además, los criterios de servicios de confianza se pueden asignar a los criterios NIST SP 800 - 53 y a los artículos del Reglamento General de Protección de Datos (GDPR) de la UE . La norma de auditoría de AICPA Statement on Standards for Attestation Engagements no. 18 (SSAE 18), sección 320, "Reporting on an Examination of Controls at a Service Organization Relevant to User Entities' Internal Control Over Financial Reporting", define dos niveles de informes, tipo 1 y tipo 2. Los materiales de orientación adicionales de AICPA especifican tres tipos de informes: SOC 1, SOC 2 y SOC 3.

Criterios de servicio de confianza

Los criterios de servicios de confianza se diseñaron de manera que puedan brindar flexibilidad en la aplicación para adaptarse mejor a los controles únicos implementados por una organización para abordar los riesgos y amenazas únicos que enfrenta. Esto contrasta con otros marcos de control que exigen controles específicos, sean aplicables o no. La aplicación de los criterios de servicios de confianza en situaciones reales requiere un juicio sobre su idoneidad. Los criterios de servicios de confianza se utilizan para "evaluar la idoneidad del diseño y la eficacia operativa de los controles relevantes para la seguridad, disponibilidad, integridad del procesamiento, confidencialidad o privacidad de la información y los sistemas utilizados para proporcionar productos o servicios" - AICPA - ASEC.

La organización de los criterios de los servicios de confianza se ajusta a los 17 principios del marco COSO y cuenta con criterios complementarios adicionales organizados en controles de acceso lógico y físico, operaciones del sistema, gestión de cambios y mitigación de riesgos. Además, los criterios complementarios adicionales se comparten entre los criterios de los servicios de confianza: criterios comunes (CC) y criterios específicos adicionales para la disponibilidad, la integridad del procesamiento, la confidencialidad y la privacidad.

Los criterios comunes se denominan Entorno de control (CC1.x), Información y comunicación (CC2.x), Evaluación de riesgos (CC3.x), Monitoreo de controles (CC4.x) y Actividades de control relacionadas con el diseño e implementación de controles (CC5.x). Los criterios comunes son adecuados y completos para los criterios de seguridad de evaluación. Sin embargo, existen criterios específicos de categoría adicionales para Disponibilidad (Ax), Integridad del procesamiento (PI.x), Confidencialidad (Cx) y Privacidad (Px). Los criterios para cada categoría de servicios de confianza abordados en un compromiso se consideran completos cuando se abordan todos los criterios asociados con esa categoría.

Los informes SOC 2 se centran en los controles abordados por cinco categorías semisuperpuestas llamadas Criterios de Servicio de Confianza que también respaldan la tríada CIA de seguridad de la información: [1]

  1. Seguridad - la información y los sistemas están protegidos contra el acceso y la divulgación no autorizados y contra daños al sistema que podrían comprometer la disponibilidad, confidencialidad, integridad y privacidad del sistema.
    • Cortafuegos
    • Detección de intrusiones
    • Autenticación multifactor
  2. Disponibilidad: la información y los sistemas están disponibles para su uso operativo.
    • Monitoreo del rendimiento
    • Recuperación de desastres
    • Manejo de incidentes
  3. Confidencialidad: la información está protegida y disponible en función de la necesidad legítima de conocerla. Se aplica a varios tipos de información confidencial.
    • Encriptación
    • Controles de acceso
    • Cortafuegos
  4. Integridad del procesamiento: el procesamiento del sistema es completo, válido, preciso, oportuno y autorizado.
    • Seguro de calidad
    • Monitoreo de procesos
    • Adhesión al principio
  5. Privacidad: la información personal se recopila, utiliza, conserva, divulga y elimina de acuerdo con la política. La privacidad se aplica únicamente a la información personal.
    • Control de acceso
    • Autenticación multifactor
    • Encriptación

Informes

Niveles

Hay dos niveles de informes SOC que también se especifican en SSAE 18: [2]

Tipos

Hay tres tipos de informes SOC. [3]

Además, existen informes SOC especializados en ciberseguridad y cadena de suministro. [8]

Los informes SOC 1 y SOC 2 están destinados a un público limitado, en concreto, a usuarios con un conocimiento adecuado del sistema en cuestión. Los informes SOC 3 contienen información menos específica y pueden distribuirse al público en general.

Auditorias

Las auditorías SOC 2 sólo pueden ser realizadas por un contador público certificado (CPA) o un experto técnico certificado que pertenezca a una firma de auditoría autorizada por el AICPA.

La auditoría SOC 2 proporciona un informe detallado de los controles internos de la organización elaborado de conformidad con los cinco criterios de servicio de confianza. Muestra lo bien que la organización protege los datos de los clientes y les garantiza que la organización proporciona servicios de forma segura y fiable. Por lo tanto, los informes SOC 2 están destinados a estar disponibles únicamente para los clientes y otras partes interesadas. [9]

Véase también

Referencias

  1. ^ ab "Cumplimiento de SOC 2". imperva.com . Imperva . Consultado el 25 de febrero de 2020 .
  2. ^ "Declaración de la AICPA sobre estándares para trabajos de certificación n.º 18". AICPA y CIMA . AICPA. págs. 231–233 . Consultado el 16 de noviembre de 2023 .
  3. ^ "Controles de sistemas y organizaciones: conjunto de servicios SOC". AICPA . Consultado el 6 de marzo de 2020 .
  4. ^ "SOC 1 – SOC para organizaciones de servicios: ICFR". AICPA . Consultado el 6 de marzo de 2020 .
  5. ^ "SOC 2 – SOC para organizaciones de servicios: criterios de servicios de confianza". AICPA . Consultado el 6 de marzo de 2020 .
  6. ^ "Criterios de descripción SOC 2® 2018 (con guía de implementación revisada – 2022)". AICPA.org . Consultado el 27 de febrero de 2023 .
  7. ^ "SOC 3 – SOC para organizaciones de servicios: Informe sobre criterios de servicios de confianza para uso general". AICPA . Consultado el 6 de marzo de 2020 .
  8. ^ "Controles de sistemas y organizaciones: conjunto de servicios SOC". AICPA . Consultado el 22 de febrero de 2023 .
  9. ^ "Entendiendo el SOC 2". Adaptive.live . Adaptativo.

Enlaces externos