ISO27001 y SOC2 como mecanismos de evaluación de ciberseguridad de terceros

 

Como saben los que nos conocen, la calificación de ciberseguridad es ampliamente utilizada, entre otras situaciones, como herramienta en los procesos de gestión de riesgos de terceros, conviviendo con otros mecanismos como son la certificación respecto a la ISO27001 y las auditorías SOC2.
Y como es habitual que surjan muchas dudas respecto a la utilización de unas y otras, hemos pensado que sería de utilidad hacer esta entrada al respecto. Empecemos por definir ambos mecanismos:
  • ISO27001 es un estándar creado por la Organización Internacional para la Estandarización (más conocida por sus siglas en inglés, ISO) para implementar Sistemas de Gestión de Seguridad de la Información (SGSI) para proteger los activos de información de las organizaciones. El objetivo de la norma es permitir a la organización proteger tres aspectos de la información: su confidencialidad, integridad y disponibilidad.
  • SOC2 son un conjunto de informes que resultan de una auditoría realizada por un auditor de cuentas independiente. Se centra en los controles que la organización implanta en sus servicios / plataformas aplicables a la protección de la seguridad de sus usuarios finales. Un informe de este tipo contiene: Una declaración de la dirección, el informe de los auditores, un resumen de los sistemas, los criterios de confianza evaluados y las matrices de pruebas.
En resumen, podemos ver ya una clara diferencia: Un estándar que define como implementar un SGSI versus criterios orientados a generar confianza en los servicios.
Siguiente paso: Entendamos los entregables asociados a cada uno de ellos.
  • Certificación ISO27001 - Se obtiene tras una auditoría favorable realizada por una certificadora (idealmente, homologada). Tiene una validez de 3 años con auditorías de vigilancia anuales. La certificación significa que la organización cuenta con un marco probado para entregar el "nivel" de seguridad coherente con el apetito al riesgo de la Dirección.
  • Informe SOC2 - Pueden ser de dos tipos. Los tipo I evalúan el diseño de los controles, mientras que los tipo II describen el entorno de control y confirman que, para el período evaluado (normalmente, entre 6 meses y un año) los controles implementados han sido efectivos.

Por tanto, se confirma la diferencia comentada:
  • La certificación ISO27001 es lo que podríamos considerar un false friend (un falso amigo). Parece que certifica la seguridad de un sistema, pero en realidad, certifica la existencia de un sistema de gestión de la seguridad. Es decir, el auditor no opina sobre si las medidas de seguridad establecidas son suficientes o no, o que nivel de seguridad existe; solo opina sobre la existencia de un sistema de gestión.
  • El informe SOC2 sí que opina sobre la efectividad de los controles implementados por la organización auditada respecto al cumplimiento de los objetivos que se hubiera establecido. En estos casos, no es suficiente con que un proveedor tenga un informe SOC2, hay que leer el informe, comprender los controles y decidir si son suficientes para el uso del servicio considerando su criticidad. Es decir, dos informes SOC2 no son comparables puesto que se depende del criterio aplicado por los auditores (y no tienen por qué ser iguales - me refiero a que los puede haber más permisivos y más exigentes).
En cualquier caso, la calificación de ciberseguridad emitida por LEET Security otorga un resultado asemejable al informe SOC2 con el valor añadido de que el resultado se objetiva en una escala de 5 niveles que permite obtener una comprensión muy específica sobre el nivel de seguridad del servicio evaluado en las tres dimensiones (confidencialidad - integridad - disponibilidad)... por eso recomendamos su uso [por cierto, perfectamente compatible con la realización de una auditoría SOC2-Tipo II]
[Entrada inspirada en el post "ISO27001 & SOC2: Apples & Oranges" de RiskCrew]
Si desea ampliar la información sobre SOC2 e ISO27001, puede consultar estas otros textos:

 

All you need is LEET!

 

Recibe nuestras notificaciones desde este enlace