{"id":15177,"date":"2019-08-22T01:52:53","date_gmt":"2019-08-22T07:52:53","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=15177"},"modified":"2022-05-23T12:03:03","modified_gmt":"2022-05-23T18:03:03","slug":"soc2-audit","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/soc2-audit\/15177\/","title":{"rendered":"La auditor\u00eda SOC 2: \u00bfqu\u00e9, c\u00f3mo y por qu\u00e9?"},"content":{"rendered":"
\n

ACTUALIZACI\u00d3N 18 de mayo de 2022:<\/h2>\n

En 2022, Kaspersky complet\u00f3 una vez m\u00e1s la auditor\u00eda SOC 2 Tipo 1, de Control de Organizaci\u00f3n de Servicios para Organizaciones de Servicios, a la que la empresa se someti\u00f3 en 2019. La evaluaci\u00f3n independiente fue realizada por una firma internacional de auditor\u00eda de las \u201cBig Four\u201d.<\/p>\n

Comenzando a finales de enero de 2022, la reevaluaci\u00f3n se complet\u00f3 exitosamente para finales de abril y confirm\u00f3 que el proceso de desarrollo y lanzamiento de las bases antivirus de Kaspersky est\u00e1n protegidas contra cambios no autorizados gracias a sus controles de seguridad.<\/p>\n

Durante el examen, los auditores de una de las \u201cBig Four\u201d comprobaron las pol\u00edticas y los procedimientos de la empresa relacionados con el desarrollo y la publicaci\u00f3n de bases de antivirus (AV), la seguridad f\u00edsica y web de la infraestructura utilizada en este proceso y las herramientas de supervisi\u00f3n usadas por el equipo de Kaspersky, entre otras cosas.<\/p>\n

Si la comparamos con la evaluaci\u00f3n de 2019, el alcance de la auditor\u00eda actual se ha ampliado, ya que Kaspersky introdujo desde entonces nuevas herramientas y controles de seguridad. En caso de solicitarlo, el informe completo puede ser proporcionado a nuestros clientes.<\/p><\/blockquote>\n

Como ya habr\u00e1s visto en el blog de Eugene Kaspersky<\/a> o en nuestro comunicado de prensa oficial<\/a>, hemos superado con \u00e9xito la auditor\u00eda SOC 2. Si no sabes de qu\u00e9 hablamos ni por qu\u00e9 era necesario, te ponemos al corriente de la situaci\u00f3n.<\/p>\n

\u00bfQu\u00e9 es una auditor\u00eda SOC 2?<\/strong><\/h2>\n

Los Controles de servicio y organizaci\u00f3n 2 (SOC 2) son una auditor\u00eda de los procedimientos de control en las organizaciones de TI que ofrecen servicios. En resumen, se trata de un est\u00e1ndar internacional de generaci\u00f3n de informes sobre los sistemas de gesti\u00f3n de los riesgos de ciberseguridad. Este est\u00e1ndar, desarrollado por el Instituto americano de contables p\u00fablicos certificados (AICPA, por sus siglas en ingl\u00e9s), se actualiz\u00f3 en marzo del 2018.<\/p>\n

En esta publicaci\u00f3n nos centramos en la autor\u00eda SOC 2 Tipo 1 (superada con \u00e9xito) que certifica que los mecanismos de control de seguridad se han establecido de forma eficiente en un sistema \u00fanico. Es decir, recibimos a auditores de terceros que examinaron nuestro sistema de gesti\u00f3n de riesgos, para ello observaron qu\u00e9 pr\u00e1cticas hemos implementado, si seguimos de cerca los procedimientos establecidos y c\u00f3mo registramos los cambios en el proceso.<\/p>\n

\u00bfPor qu\u00e9 tenemos que someternos a auditor\u00edas? <\/strong><\/h2>\n

Cualquier empresa que ofrezca un servicio puede plantear una amenaza a sus clientes. Incluso una empresa que sea totalmente leg\u00edtima podr\u00eda convertirse en un eslab\u00f3n de la cadena de suministro<\/a> mediante la cual se puede dirigir un ataque. Pero las empresas que trabajan en el campo de la seguridad inform\u00e1tica tienen a\u00fan m\u00e1s responsabilidad, ya que sus productos deben contar con el nivel de acceso m\u00e1s alto a los sistemas de informaci\u00f3n del usuario.<\/p>\n

Por ello, de vez en cuando los clientes, sobre todo las grandes empresas, se preguntan cosas como: \u00bfpodemos confiar en estos servicios? \u00bfCon qu\u00e9 tipo de pol\u00edticas internas contamos para los servicios que utilizamos? \u00bfPodr\u00eda da\u00f1arnos alguien con sus productos o servicios correspondientes?<\/p>\n

Pero las respuestas no importan, ya que las respuestas que ofrecemos nosotros o cualquier otra compa\u00f1\u00eda siempre pueden sonar convincentes. Por ello recurrimos a auditores de terceros para una opini\u00f3n experta externa. Para nosotros es importante que nuestros clientes y socios no pongan en duda la confianza de nuestros productos y servicios. Tambi\u00e9n pensamos que es importante que nuestros procesos internos cumplan con los est\u00e1ndares internaciones y con las mejores pr\u00e1cticas.<\/p>\n

\u00bfQu\u00e9 examinan los auditores? <\/strong><\/h2>\n

La mayor preocupaci\u00f3n siempre es el mecanismo que se utiliza para enviar informaci\u00f3n a los ordenadores del cliente. Nuestras soluciones abarcan varios sectores del mercado e industrias y la mayor\u00eda de ellas utilizan un motor antivirus como tecnolog\u00eda de defensa central para analizar los objetos en busca de signos de ciberamenaza. Entre sus muchas tecnolog\u00edas, el motor utiliza funciones hash<\/em> rapid\u00edsimas, la emulaci\u00f3n en un entorno aislado y modelos matem\u00e1ticos de aprendizaje autom\u00e1tico que son altamente resistentes a la mutaci\u00f3n. Todo ello requiere una actualizaci\u00f3n regular de las bases de datos de los antivirus para que sean eficaces contra las ciberamenazas actuales.<\/p>\n

Los auditores independientes han estudiado nuestro sistema para la gesti\u00f3n de estas bases de datos y nuestros m\u00e9todos para supervisar la integridad y autenticidad de las actualizaciones de las bases de datos de los productos antivirus para servidores Linux y Windows. Tambi\u00e9n se han encargado de verificar que nuestros m\u00e9todos de control funcionen correctamente y de comprobar el proceso de desarrollo y el lanzamiento de las bases de datos de antivirus en busca de cualquier posibilidad de manipulaci\u00f3n no autorizada.<\/p>\n

\u00bfC\u00f3mo llevan a cabo su estudio?<\/strong><\/h2>\n

Los auditores observan c\u00f3mo los procesos de los proveedores cumplen con cada uno de los cinco principios fundamentales de seguridad: protecci\u00f3n (\u00bfest\u00e1 bien protegido el proceso contra los accesos sin autorizaci\u00f3n?), disponibilidad (\u00bfsuele resultar funcional este proceso?), integridad del proceso (\u00bfest\u00e1n a salvo los datos que se env\u00edan al cliente?), confidencialidad (\u00bfpuede acceder alguien m\u00e1s a estos datos?) y privacidad (\u00bfalmacenamos datos personales? De ser as\u00ed, \u00bfc\u00f3mo?).<\/p>\n

En nuestro caso, los auditores examinaron:<\/h2>\n