Controles de sistema y organización (SOC), definido por el Instituto Americano de Contadores Públicos Certificados (AICPA), es el nombre de un conjunto de informes producidos durante una auditoría. Está destinado a ser utilizado por organizaciones de servicios (organizaciones que proporcionan sistemas de información como un servicio a otras organizaciones) para emitir informes validados de controles internos sobre esos sistemas de información a los usuarios de esos servicios. Los informes se centran en los controles agrupados en cinco categorías denominadas Principios del servicio de confianza . [1] La Declaración de estándares de auditoría de AICPA sobre los estándares para los encargos de atestación núm. 18 (SSAE 18), sección 320, "Informes sobre un examen de controles en una organización de servicios relevantes para el control interno de las entidades usuarias sobre los informes financieros", define dos niveles de informes, tipo 1 y tipo 2. Los materiales de orientación adicionales de AICPA especifican tres tipos de informes: SOC 1, SOC 2 y SOC 3.
Principios del servicio de confianza
Los informes del SOC se centran en los controles abordados por cinco categorías semi-superpuestas llamadas Principios del Servicio de Confianza que también respaldan la tríada de seguridad de la información de la CIA: [1]
- Seguridad
- Cortafuegos
- Detección de intrusiones
- Autenticación multifactor
- Disponibilidad
- Supervisión del rendimiento
- Recuperación de desastres
- Manejo de incidentes
- Confidencialidad
- Cifrado
- Controles de acceso
- Cortafuegos
- Integridad de procesamiento
- Seguro de calidad
- Monitoreo de procesos
- Intimidad
- Control de acceso
- Autenticación multifactor
- Cifrado
Reportando
Niveles
Hay dos niveles de informes SOC que también se especifican en SSAE no. 18: [1]
- Tipo I, que describe los sistemas de una organización de servicios y si el diseño de controles especificados cumple con los principios de confianza relevantes. (¿Es probable que el diseño y la documentación logren los objetivos definidos en el informe?)
- Tipo II, que también aborda la efectividad operativa de los controles especificados durante un período de tiempo (generalmente de 9 a 12 meses). (¿Es la implementación apropiada?)
Tipos
Hay tres tipos de informes SOC. [2]
- SOC 1 - Control interno de la información financiera (SCIIF) [3]
- SOC 2 - Criterios de servicios de confianza [4]
- SOC 3 - Informe de criterios de servicios de confianza para uso general [5]
Además, existen informes SOC especializados para ciberseguridad y cadena de suministro.
Los informes SOC 1 y SOC 2 están destinados a una audiencia limitada, específicamente, usuarios con un conocimiento adecuado del sistema en cuestión. Los informes SOC 3 contienen información menos específica y se pueden distribuir al público en general.
Referencias
- ^ a b c "Cumplimiento de SOC 2" . imperva.com . Imperva . Consultado el 25 de febrero de 2020 .
- ^ "Controles de sistema y organización: conjunto de servicios SOC" . AICPA . Consultado el 6 de marzo de 2020 .
- ^ "SOC 1 - SOC para organizaciones de servicios: ICFR" . AICPA . Consultado el 6 de marzo de 2020 .
- ^ "SOC 2® - SOC para organizaciones de servicios: criterios de servicios de confianza" . AICPA . Consultado el 6 de marzo de 2020 .
- ^ "SOC 3® SOC para organizaciones de servicios: Criterios de servicios de confianza para el informe de uso general" . AICPA . Consultado el 6 de marzo de 2020 .