Como respuesta a la necesidad de los proveedores de servicios de acreditar el nivel de seguridad a sus clientes, el American Institute of Certified Public Accountants (AICPA) creó en 2011 el marco Service Organization Controls (SOC), que venía reemplazar al antiguo SAS 70. Su objetivo es ayudar a las los proveedores de servicios de TI a generar confianza en sus procesos y en los controles de evaluación de la seguridad que aplican.
SOC engloba tres tipos de informes, a los que ya nos referimos en un post anterior. Los informes son redactados por auditores independientes externos al proveedor del servicio, y su objetivo es la certificación de la calidad y de la eficacia de los controles seleccionados y aplicados.
Al margen de su eficacia como mecanismo de evaluación, el informe SOC 2 Type II no es fácil de leer por alguien ajeno al servicio, porque exige un conocimiento exhaustivo de su funcionamiento interno y siempre requiere una lectura detallada para comprender el entorno de control auditado. Tenemos que tener en cuenta que el verdadero interés de los clientes no es comprender cómo funciona el servicio, sino que su funcionalidad sea la esperada, y que se le entregue garantizando unas medidas suficientes de seguridad. En este sentido, la metodología de calificación de LEET Security, teniendo el mismo objetivo de evaluar, y además calificar la seguridad de los servicios, aporta una mayor facilidad de comprensión por los clientes respecto al informe SOC 2 gracias a la clasificación en 5 niveles de las medidas de seguridad.
Haciendo una reflexión sobre ambos marcos de controles identificamos las siguientes características:
Dado que el objetivo de la AICPA y de LEET Security es el mismo, a pesar de que los enfoques sean distintos, la complementariedad es perfecta.
La aportación que la metodología de calificación de seguridad desarrollada por LEET proporciona a los proveedores de servicio se puede resumir en los siguientes aspectos:
• Disponer de un marco de controles fundamentado en mejores prácticas y marcos de control internacionales (ISO 27002, IA-942, PCI DSS, ENS, NIST 800/53) que sirva como base para la elaboración del informe SOC 2.
• Aprovechar la auditoría del informe SOC 2 basada en los controles de LEET para obtener su calificación. De esta forma, el proveedor obtiene dos acreditaciones reconocidas con una misma auditoría.
• Emplear el informe SOC 2 como respuesta a otros cumplimientos normativos cuyos controles están incluidos en la metodología de LEET
• El proceso de seguimiento y renovación de la calificación de LEET refuerza la acreditación del nivel de seguridad del informe SOC 2 a lo largo del tiempo (de hecho, elimina la necesidad de elaboración de bridge letters puesto que LEET Security da garantías de que el nivel de seguridad sigue en vigor; no hace falta un proceso adicional).
En definitiva, el proveedor del servicio consigue que el esfuerzo del proceso de auditoría resulte mucho más eficiente al poder utilizarse sus resultados para distintos propósitos. Por una parte, obtiene la garantía de cumplimento de normativas, y gracias a la calificación de LEET dispone de una metodología de controles, y es capaz de obtener una calificación de seguridad entendible fácilmente por sus clientes.
Y, por su lado, el cliente puede simplificar el proceso de comprensión del entorno de control del proveedor de servicios y le reduce la carga administrativa de gestión de cartas puente.
Por estas razones, podemos concluir que SOC2 y la calificación de LEET Security son la pareja perfecta.
Como usuario, exígela. Como proveedor, acredítala.
All you need is LEET.
Suscríbete a nuestra Newsletter pulsando este enlace