La auditoría SOC 2: ¿qué, cómo y por qué?

22 Ago 2019

Como ya habrás visto en el blog de Eugene Kaspersky o en nuestro comunicado de prensa oficial, hemos superado con éxito la auditoría SOC 2. Si no sabes de qué hablamos ni por qué era necesario, te ponemos al corriente de la situación.

¿Qué es una auditoría SOC 2?

Los Controles de servicio y organización 2 (SOC 2) son una auditoría de los procedimientos de control en las organizaciones de TI que ofrecen servicios. En resumen, se trata de un estándar internacional de generación de informes sobre los sistemas de gestión de los riesgos de ciberseguridad. Este estándar, desarrollado por el Instituto americano de contables públicos certificados (AICPA, por sus siglas en inglés), se actualizó en marzo del 2018.

En esta publicación nos centramos en la autoría SOC 2 Tipo 1 (superada con éxito) que certifica que los mecanismos de control de seguridad se han establecido de forma eficiente en un sistema único. Es decir, recibimos a auditores de terceros que examinaron nuestro sistema de gestión de riesgos, para ello observaron qué prácticas hemos implementado, si seguimos de cerca los procedimientos establecidos y cómo registramos los cambios en el proceso.

¿Por qué tenemos que someternos a auditorías?

Cualquier empresa que ofrezca un servicio puede plantear una amenaza a sus clientes. Incluso una empresa que sea totalmente legítima podría convertirse en un eslabón de la cadena de suministro mediante la cual se puede dirigir un ataque. Pero las empresas que trabajan en el campo de la seguridad informática tienen aún más responsabilidad, ya que sus productos deben contar con el nivel de acceso más alto a los sistemas de información del usuario.

Por ello, de vez en cuando los clientes, sobre todo las grandes empresas, se preguntan cosas como: ¿podemos confiar en estos servicios? ¿Con qué tipo de políticas internas contamos para los servicios que utilizamos? ¿Podría dañarnos alguien con sus productos o servicios correspondientes?

Pero las respuestas no importan, ya que las respuestas que ofrecemos nosotros o cualquier otra compañía siempre pueden sonar convincentes. Por ello recurrimos a auditores de terceros para una opinión experta externa. Para nosotros es importante que nuestros clientes y socios no pongan en duda la confianza de nuestros productos y servicios. También pensamos que es importante que nuestros procesos internos cumplan con los estándares internaciones y con las mejores prácticas.

¿Qué examinan los auditores?

La mayor preocupación siempre es el mecanismo que se utiliza para enviar información a los ordenadores del cliente. Nuestras soluciones abarcan varios sectores del mercado e industrias y la mayoría de ellas utilizan un motor antivirus como tecnología de defensa central para analizar los objetos en busca de signos de ciberamenaza. Entre sus muchas tecnologías, el motor utiliza funciones hash rapidísimas, la emulación en un entorno aislado y modelos matemáticos de aprendizaje automático que son altamente resistentes a la mutación. Todo ello requiere una actualización regular de las bases de datos de los antivirus para que sean eficaces contra las ciberamenazas actuales.

Los auditores independientes han estudiado nuestro sistema para la gestión de estas bases de datos y nuestros métodos para supervisar la integridad y autenticidad de las actualizaciones de las bases de datos de los productos antivirus para servidores Linux y Windows. También se han encargado de verificar que nuestros métodos de control funcionen correctamente y de comprobar el proceso de desarrollo y el lanzamiento de las bases de datos de antivirus en busca de cualquier posibilidad de manipulación no autorizada.

¿Cómo llevan a cabo su estudio?

Los auditores observan cómo los procesos de los proveedores cumplen con cada uno de los cinco principios fundamentales de seguridad: protección (¿está bien protegido el proceso contra los accesos sin autorización?), disponibilidad (¿suele resultar funcional este proceso?), integridad del proceso (¿están a salvo los datos que se envían al cliente?), confidencialidad (¿puede acceder alguien más a estos datos?) y privacidad (¿almacenamos datos personales? De ser así, ¿cómo?).

En nuestro caso, los auditores examinaron:

  • Qué ofrecen nuestros servicios.
  • Cómo interactúan nuestros sistemas con usuarios y posibles socios.
  • Cómo implementamos el control de procesos y cuáles son sus limitaciones.
  • Con qué herramientas de control cuentan los usuarios y cómo interactúan con nuestras herramientas de control.
  • A qué riesgos se enfrenta nuestro servicio y qué herramientas de control disminuyen estos riesgos.

Para ello, estudiaron los mecanismos, el personal y la estructura de la organización. Les interesaba conocer cómo realizamos la verificación de antecedentes cuando contratamos a nuevos empleados. Analizaron cómo nos enfrentamos a los cambios que sufren los requerimientos de seguridad. Estudiaron el código fuente del mecanismo que utilizamos para enviar de forma automática las actualizaciones a la base de datos de antivirus y, lo que es más importante, les interesaba conocer qué oportunidades hay de realizar cambios sin autorización en el código. Comprobaron muchas otras cosas, por lo que, si deseas más información sobre la auditoría, visita el enlace que encontrarás al final de esta publicación para descargar el informe completo.

¿Quién ha realizado el estudio y dónde puedo leer el informe?

La encargada de realizar la auditoría ha sido una de las empresas de las Big Four. Como habrás comprobado, no indicamos en ninguna parte de cuál se trata. Pero eso no quiere decir que los auditores fueran anónimos. Simplemente es habitual evitar mencionar los nombres. Aunque, evidentemente, el informe está firmado.

Al final, los auditores concluyeron que nuestros procesos de desarrollo y lanzamiento de bases de datos están suficientemente protegidos contra la manipulación sin autorización. Para obtener conclusiones más detalladas, una descripción del proceso de investigación y otros detalles, puedes leer el informe completo aquí en inglés (requiere una suscripción gratuita).