En esta oportunidad, vamos a compartir algunos conceptos que surgen de la ejecución de proyectos y asesoramiento en materia de cumplimiento a clientes de diferentes industrias. Como hemos compartido en distintas oportunidades, el incremento de los requerimientos de “due diligence” a partir de 2020 se han incrementado exponencialmente, esto promovido por las brechas de seguridad provenientes de la cadena de entrega de valor y además, por la abrupta digitalización que ha requerido al COVID-19 para subsistir. No es casual entonces, que sobre todo los proveedores de servicios, estén recibiendo cada vez más cantidad de requerimientos de ciberseguridad y resiliencia por parte de sus clientes.
Si bien el título busca encender el debate acerca del cumplimiento, desde SECURETECH⚡#HacerLasCosasBien, entendemos el cumplimiento, como la forma de mostrar cómo haces las cosas, asumiendo que las mejores prácticas es el camino para hacer y mostrar lo que hacés. Como siempre decimos, aquellos que sólo quieran cumplir, probablemente no serán nuestros clientes, nosotros impulsamos el #HacerLasCosasBien, para cumplir con el menor esfuerzo adicional (si fuera el caso) posible. Los que apuestan por el “Cumplo y Miento”, nos tienen siempre en la vereda de enfrente ⛔.
Muchas Cías nos consultan acerca de qué estándar o framework deberían adoptar, y esta consulta casi siempre está impulsada por algún cliente o potencial cliente, que les preguntó acerca de SOC 2, ISO 27K, NIST Framework, etc. Y aquí nace un interesante intercambio 🛤️.
Es un reporte de auditoría de tercera parte, no es una certificación. Lo emiten distintas Cías, algunas de ellas acreditadas por AICPA, que es el creador del “Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy“, sobre el cual se emite el reporte.
Lo interesante aquí es que el cliente puede determinar, en conjunto con el auditor externo, el alcance de la auditoría, la cual nosotros recomendamos que sea relevante a los intereses del cliente destinatario o al producto/servicio que están queriendo dar soporte.
Es importante tener presente, que como cualquier otra auditoría, si se cumplen los requerimientos con la evidencia correspondiente, entonces el resultado será positivo ✅.
<aside> 💡 SOC 2 es más flexible que ISO 27001 respecto a las evidencias que son aceptadas.
</aside>
Nuestra recomendación respecto al camino de cumplimiento más efectivo, considerando efectivo a aquel que permite comenzar a tener elementos documentales de valor para el cliente, es trabajar orientado a algún estándar de referencia, pensando en generar los registros de evidencia, pero pensando en un camino en el cual SOC 2 sea el primer objetivo e ISO 27001 el segundo. En nuestra experiencia, una empresa podría emitir un reporte SOC 2 positivo y quizás no pasar una auditoría ISO 27001 o hacerlo con mucha dificultad.
Es sin dudas el estándar de gestión de la seguridad de la información más relevante y mayormente aceptado. El valor que la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) incorpora a las Cías y los negocios actuales, está ampliamente demostrado, siendo el estándar más solicitado y utilizado por múltiples leyes y regulaciones. A diferencia de SOC 2, ISO 27001 se certifica.
En este artículo no vamos a profundizar nada más respecto a ISO 27001, ya que el foco de hoy es comentar por qué entendemos que si una Cía quiere comenzar a tener elementos documentales de cumplimiento, ISO 27001 es el camino, pero no el primer paso.
En otro artículo podemos comentar respecto a la expectativa que se pone alrededor de ISO 27001 y por qué muchas veces dicha expectativa excede lo que deberíamos esperar de un estándar de mejora contínua. ¿Hacemos un Space?
ISO 27001 se evalúa en base a distintos niveles de madurez, los cuales están definidos formalmente y cuya evidencia también se encuentra debidamente definida con criterios claros. Es decir, que no es tan flexible y de libre enterpretación lo que se considera alineado con los objetivos de control definidos. Una Cía que está iniciando los primeros pasos en materia de seguridad de la información, es muy lógico que encuentre en una certificación ISO 27001, mucha dificultad en el corto plazo.
<aside> 💡 No hay que frustrarse si una certificación ISO 27001 parece algo muy complejo, tener un nivel de madurez y mantenerlo en el tiempo es un gran desafío. Pero no es imposible.
</aside>