¿Necesita Cloud Computing? Empiece ahora

¿Qué es SOC 2?

Una estrategia de seguridad sólida y positiva resulta fundamental en una época en la que proliferan los ciberataques. Las ciberamenazas, como ocurre con el ransomware y el phishing, siguen suponiendo un desafío para las empresas de todos los tamaños y sectores. Además, los ataques a la cadena de suministro se han convertido en un problema grave. Las encuestas realizadas por el Foro Económico Mundial han constatado que al 90 % de los encuestados les preocupaba la ciberresiliencia de los proveedores externos. Los marcos se diseñan con el objetivo de ayudar a las empresas durante el proceso de implementación de unas medidas de seguridad sólidas. Uno de esos marcos es SOC 2, cuya finalidad es definir los factores de riesgo y en mejorar la eficacia operativa.

¿En qué consiste el cumplimiento de los SOC 2?

Estos controles se originaron en el Instituto Americano de Contables Públicos Certificados (AICPA, del inglés American Institute of Certified Public Accountants) y estuvieron incluidos dentro de los criterios del servicio de confianza del AICPA, que facilitan la auditoría y los informes sobre los controles que utiliza una organización de servicios para proteger la información. Los informes de SOC 2 captan la seguridad, la disponibilidad, la integridad del procesamiento, la confidencialidad y la privacidad de los datos. Además, los informes de SOC 2 garantizan que los controles utilizados por la organización de servicios puedan cumplir algunos o los cinco criterios.

La gestión de riesgos también debe incluir a los terceros. SOC 2 ofrece un marco para comprobar si una organización de servicios ha logrado y puede mantener una sólida seguridad de la información y mitigar los incidentes de seguridad. SOC 2 se utiliza para auditar la estrategia de seguridad de proveedores externos con el fin de garantizar que cumplen el nivel de protección que su organización espera.

Cómo ayuda Akamai a las organizaciones a cumplir los SOC 2

Las soluciones de seguridad de Akamai proporcionan una protección inteligente e integral de los datos frente a filtraciones y exposiciones accidentales, así como para evitar el acceso no autorizado, todo ello mediante una sólida aplicación de políticas de control de acceso. Akamai ayuda a sus equipos de seguridad a maximizar la eficacia y el ROI de sus inversiones en seguridad al ir más allá de la detección tradicional de terminales para proporcionar una potente solución Zero Trust para la protección y la privacidad de los datos. 

Akamai proporciona:

  • Una plataforma de seguridad global que aplica la seguridad Zero Trust con una cobertura completa de su entorno de TI
  • Gran visibilidad de sus flujos de red, accesos y recursos
  • Una aplicación detallada de la política de seguridad y protección de la información de identificación personal (PII)

¿Cuáles son los cinco criterios del servicio de confianza de SOC 2?

Diagrama que muestra en un círculo los términos que describen los cinco criterios del servicio de confianza de la certificación SOC 2: seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad.

La auditoría de SOC 2 abarca cinco aspectos de la gestión de datos que, si se implementan correctamente, darán lugar a una estrategia de ciberseguridad coherente y sólida. El grupo de trabajo sobre integridad de la información de confianza de ASEC se ocupa de la exactitud técnica de los criterios del servicio de confianza (TSC). El Comité Ejecutivo de Servicios de Garantía de la AICPA se ocupa de los criterios del TSC, además de describir los cinco criterios del servicio de confianza del SOC 2 de la siguiente manera:

  1. Seguridad: protección de datos y seguridad del sistema contra el acceso no autorizado y la exposición de datos. La seguridad también incluye la protección frente a daños en el sistema que podrían provocar la pérdida de la disponibilidad, integridad y confidencialidad de los datos.
  2. Disponibilidad: fiabilidad de los sistemas que se necesita para que la entidad pueda seguir trabajando normalmente.
  3. Integridad del procesamiento: el procesamiento del sistema debe ser total, válido, preciso, en el momento oportuno y estar autorizado.
  4. Confidencialidad: los datos clasificados como "confidenciales" deben protegerse para que se puedan cumplir los objetivos de la entidad.
  5. Privacidad: la información debe recopilarse, utilizarse, conservarse, divulgarse y desecharse para que se puedan cumplir los objetivos de la entidad en materia de privacidad de datos.

Un proveedor de servicios que demuestre que cumple algunos o los cinco principios del servicio de confianza, según corresponda, demuestra su compromiso con la seguridad de la información.

¿Qué importancia se le da al SOC 2 en su organización?

SOC 2 se aplica a los proveedores de servicios tecnológicos o a las empresas de SaaS que almacenan, procesan o gestionan información de clientes. SOC 2 también se aplica a otros proveedores externos que gestionen o proporcionen datos y aplicaciones. Además, se utiliza para demostrar los sistemas y las protecciones que se aplican para garantizar la integridad de los datos. El cumplimiento de SOC 2 puede facilitar la toma de decisiones de compra y forma parte de los riesgos asociados a la gestión de proveedores.

Proveedores de servicios de TI y en la nube

Según Thales y 451 Research, el 66 % de las empresas almacenan hasta el 60 % de sus datos confidenciales en la nube. Además, el número de empresas que sufrieron una filtración de datos que afectara a una aplicación en la nube pasó del 35 % en 2021 al 45 % en 2022. Demostrar el cumplimiento de los controles de SOC 2 permite a un proveedor tecnológico demostrar que utiliza controles de seguridad, como la autenticación de dos factores. Se trata de un factor diferenciador frente a la competencia esencial en una época en la que la seguridad de TI y en la nube son áreas de servicio que pueden suponer un gran nivel de riesgo. Las vulneraciones de seguridad en la nube que afectan a toda la cadena de suministro son cada vez más habituales. Un proveedor de servicios de TI y en la nube que demuestre el cumplimiento de los controles de SOC 2 demostrará que la seguridad de la información para él representa un valor fundamental.

Clientes de proveedores de servicios de TI y en la nube

Al elegir un proveedor con garantía SOC 2 demostrada, su organización tendrá una auditoría transparente con informes de SOC que definen los riesgos y controles que utiliza el proveedor externo. Estos estándares y medidas de seguridad de la información pasarán a formar parte de su organización, para ofrecer la garantía de seguridad de los datos necesaria para ajustarse a los estándares internos y a los requisitos normativos.

Otros proveedores de la cadena de suministro conectados

Los ataques a la cadena de suministro aumentaron más del 600 % en 2021/2022. Ataques como el de día cero MOVEit Transfer vinieron a demostrar el efecto y el alcance de estos ataques. Durante la investigación sobre seguridad de Akamai del ataque MOVEit se detectaron cantidades alarmantes de servidores orientados a Internet vulnerables. Estos tipos de vulnerabilidades son el objetivo de los ciberdelincuentes, que utilizan proveedores de la cadena de suministro para acceder a redes lucrativas en una parte superior de la cadena. Los proveedores de la cadena de suministro que demuestran el cumplimiento de SOC 2 pueden dar fe de su compromiso con la seguridad de los datos.

Soluciones de Akamai para el cumplimiento de SOC 2

Akamai proporciona una familia de soluciones de seguridad integral Zero Trust para facilitar el cumplimiento de SOC 2, ya que proporciona los medios necesarios para cumplir los criterios del servicio de confianza de SOC 2. Nuestras soluciones de seguridad líderes son reconocidas como las mejores de su clase por nuestros clientes que utilizan Akamai para proteger los datos confidenciales en todo el entorno de TI moderno. La cartera de productos de seguridad de Akamai ha pasado de ser una colección de soluciones puntuales a una plataforma Zero Trust completa y potente. Las soluciones de primera clase de la empresa proporcionan los controles de seguridad necesarios para cumplir los requisitos de SOC 2 en materia de seguridad, disponibilidad, integridad, confidencialidad y privacidad de los datos. Akamai ofrece una amplia visibilidad de su entorno de TI, los activos críticos, los requisitos de acceso y el flujo de red en su infraestructura ampliada, incluidos los proveedores.

Seguridad Zero Trust y cumplimiento de SOC 2

El control del acceso y la autorización para utilizar los datos es un aspecto fundamental de la seguridad de la información según SOC 2. Desarrollar un enfoque de seguridad de los datos Zero Trust es una forma de aplicar los cinco criterios del servicio de confianza a medidas de seguridad sólidas.

Entre las medidas de seguridad de SOC 2 que se utilizan durante la creación de un enfoque de seguridad Zero Trust se incluyen:

  • La gestión de acceso e identidades tanto de personas como de dispositivos
  • La protección de API en todos los ecosistemas y el flujo de datos
  • La autenticación multifactorial (MFA)
  • La detección de intrusiones
  • La visibilidad y supervisión para aplicar la autorización proporcional
  • Los derechos de privilegios mínimos para minimizar el acceso a los datos
  • El cifrado de datos

Preguntas frecuentes

SOC 2 es un informe de auditoría que da fe de la eficacia de los controles de una organización de servicios relacionados con la seguridad, la disponibilidad, la integridad del procesamiento, la confidencialidad y la privacidad.

SOC1 y SOC 2 se diferencian en los conceptos básicos relativos a sus fines y alcance. SOC 1 se centra en la integridad de los controles financieros del cliente y en la precisión de los datos financieros. Por su parte, SOC 2 se centra en controles internos que protegen los datos mediante los cinco criterios del servicio de confianza. SOC 2 tiene un alcance más amplio, que abarca a todos los proveedores de servicios, incluidos los servicios en la nube.

Los proveedores de servicios que almacenen información de clientes en la nube necesitan un informe de SOC 2. Resulta fundamental en el caso de las empresas de tecnología y cloud computing. La certificación SOC 2 la realiza un auditor certificado por SOC 2, un contable público certificado (CPA) independiente afiliado al AICPA. La auditoría se realiza para algunos o todos los criterios del servicio de confianza (TSC). Los criterios que se auditen dependen del tipo de empresa. Por ejemplo, un proveedor de SaaS probablemente auditaría los criterios de seguridad, disponibilidad y confidencialidad.

El alcance de la auditoría también depende del tipo de organización. Las grandes empresas pueden optar por auditar secciones concretas de la empresa o productos específicos. El auditor solicitará documentación completa y políticas que demuestren sus modelos de seguridad. Contar con un modelo Zero Trust documentado en vigor será útil durante el proceso.

Para cumplir los controles de SOC 2 es necesario llevar a cabo auditorías anuales para ajustarse a los cinco criterios del servicio de confianza.

Por qué los clientes eligen Akamai

Akamai es la empresa de ciberseguridad y cloud computing que potencia y protege los negocios online. Nuestras soluciones de seguridad líderes en el mercado, nuestra inteligencia ante amenazas consolidada y nuestro equipo de operaciones globales proporcionan una defensa en profundidad para proteger los datos y las aplicaciones empresariales. Las soluciones integrales de cloud computing de Akamai garantizan el rendimiento y una buena relación calidad-precio en la plataforma más distribuida del mundo. Las grandes empresas confían en Akamai, ya que les ofrece una fiabilidad, una escalabilidad y una experiencia inigualables en el sector, idóneas para crecer con seguridad.

Descubra todas las soluciones de seguridad de Akamai