Reportes SOC: La importancia de evaluar el procesamiento de datos por terceros y servicios en nube
Reportes SOC: La importancia de evaluar el procesamiento de datos por terceros y servicios en nube
La finalidad de estos reportes es informar sobre los controles internos implementados en organizaciones de servicios, organizaciones que proveen servicios de procesamiento de información a sus clientes.
La pandemia COVID‑19 ha obligado a muchas compañías a adoptar nuevas formas de trabajo y a aprovechar las tecnologías existentes en el mercado para continuar con sus operaciones en esta coyuntura. Una de las tecnologías que ha resaltado más en este contexto es el Cloud Computing (nube) cuyo principal beneficio es el acceder a una gran cantidad de información procesada desde cualquier parte del mundo sin necesidad de contar con una gran infraestructura para ello. Una muestra de que esta tecnología está siendo consumida con mayor intensidad es que los ingresos de las principales empresas que brindan servicio en la nube como Amazon (AWS), Microsoft (Azure) y Google (Google Cloud) ha crecido en 34%, 59% y 52% respectivamente.
El uso más intensivo de esta tecnología obliga a tener un mayor control de los riesgos de asociados al registro, almacenamiento y procesamiento de datos a través de terceros (proveedores), por lo que, se requieren establecer controles adecuados para resguardar la seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad de la información que se almacena y procesa en la nube. Es por ello que, el Instituto Estadounidense de Contadores Públicos Certificados (AICPA) introduce los reportes de Control de Organización de Servicios (SOC), conocidos como SOC 1, SOC 2 o SOC 3, que son marcos establecidos para informar sobre los controles internos implementados en organizaciones de servicios (organizaciones que proveen servicios de procesamiento de información a sus clientes).
Las empresas que contraten a una organización de servicios para proveerles servicios relacionados con el registro, almacenamiento y procesamiento de datos pueden solicitarle a esta entidad un Reporte SOC, con la finalidad de asegurarse que se han implementado controles para administrar la información empresarial de manera segura. El reporte SOC es emitido por una empresa independiente (firma de auditoria) en la cual evalúa los controles internos de la organización de servicios en términos de seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad.
¿Qué reporte es el adecuado para mi organización?
En la actualidad, las organizaciones de servicios deben contar con reportes SOC independientes para mantenerse vigentes en el mercado y brindar confianza a sus clientes. Por ende, es importante seleccionar el reporte SOC más adecuado según la naturaleza del servicio que se brinda, los requisitos solicitados por los reguladores, entre otros. A continuación, la explicación de cada tipo de reporte SOC:
Reporte SOC 1
El reporte SOC 1 se centra en la evaluación independiente de los controles internos relacionados con la seguridad de los estados financieros. Las compañías están obligadas a definir sus propias actividades de control, objetivos y actividades que respondan a las necesidades de sus clientes. Esta evaluación se lleva a cabo de conformidad con la Declaración de Normas de Tareas de Atestación Nº 18 (SSAE 18) y la Norma Internacional de Compromisos de Certificación Nº 3402 (ISAE 3402).
Reporte SOC 2
El reporte SOC 2 se centra en la evaluación independiente de los controles de operación, basado en la evaluación de los principios de servicios de confianza desarrollados por el AICPA. Este reporte emite opinión sobre los siguientes aspectos de una organización de servicios:
- Seguridad
- Disponibilidad
- Integridad del procesamiento
- Confidencialidad
- Privacidad
También incluye la opinión del auditor independiente acerca del diseño y del funcionamiento de los controles definidos por la compañía; asimismo, los procedimientos de prueba del auditor y los resultados de cada control. Las organizaciones que forman parte de los reportes SOC 2 son las que se encargan de administrar datos altamente sensibles, gestionar transacciones o información clasificada, entre otros.
Es preciso mencionar que para los reportes tipo SOC 2 existen también dos tipos:
- SOC 2 Tipo 1: Evalúa solo el diseño de controles en un momento del tiempo especifico.
- SOC 2 Tipo 2: Evalúa el diseño y efectividad de los controles durante el período de tiempo cubierto.
Reporte SOC 3
El reporte SOC 3 abarca los cinco principios de servicios de confianza en materia de seguridad, disponibilidad, integridad de procesamiento, confidencialidad y privacidad. El reporte es un resumen ejecutivo del reporte de SOC 2 e incluye la opinión de un auditor independiente sobre el diseño y funcionamiento de los controles de la compañía.
Finalmente, si bien es cierto que el rubro financiero regulado por la Superintendencia de Banca, Seguros y AFP (SBS) obliga las entidades del sector contar con reportes SOC en caso realicen un procesamiento significativo de datos (reglamento SBS N.º 504-2021), cualquier empresa u organización puede solicitar este tipo de reportes a las organizaciones de servicios (proveedores de nube u otros) a fin de conocer como está siendo administrada su información empresarial.