Por qué ISO 27001 es mejor que SOC 2

Por qué ISO 27001 es mejor que
SOC 2

Por Mark Sharron • 24 de septiembre de 2022

El Microsoft Garantía de seguridad y privacidad del proveedor (SSPA) El programa requiere que sus proveedores cuenten con un programa de seguridad y privacidad adecuado para procesar datos personales o confidenciales de Microsoft.

A diciembre de 2021, Microsoft estados en su extensión de SSP que ya no aceptará SOC 2 informes; en cambio, ISO 27001 e ISO 27701 figuran como requisitos.

Versión 7, publicada en noviembre de 2020 - PÁGINAS 11, 14 y 15

Ver Apéndice A: Los informes SOC 2 (con cobertura de seguridad) no se aceptarán más allá de diciembre de 2021

Tratamiento de datos confidenciales: Presentar ISO 27001

Procesamiento de datos personales y confidenciales: Presentar ISO 27701 e ISO 27001

El “respaldo” de Microsoft a las normas ISO 27001 e ISO/IEC 27701 tiene amplias implicaciones. Cuando un líder de la industria en seguridad y privacidad de datos, como Microsoft, "respalda" formalmente un estándar sobre otro de esta manera, corresponde a otros líderes de la industria seguirlo. Esto marca un cambio significativo con respecto al requisito previamente aceptado en EE. UU. de cumplir con SOC 2.

¿Qué es el programa de garantía de seguridad y privacidad de proveedores (SSPA)?

El Programa de Garantía de Privacidad y Seguridad de Proveedores es una iniciativa corporativa emprendida por Microsoft para garantizar que los proveedores cumplan con los estrictos requisitos de protección de datos de Microsoft. Los Requisitos de protección de datos de proveedores de Microsoft ("DPR") son las instrucciones básicas de procesamiento de datos de Microsoft para proveedores.

Los Requisitos de protección de datos de proveedores (MSDRP) de Microsoft describen las instrucciones de procesamiento de datos de Microsoft, entregadas a través del Programa de garantía de seguridad y privacidad de proveedores a los proveedores que trabajan con datos confidenciales y/o datos personales de Microsoft.

El programa SSPA cubre una amplia gama de actividades de procesamiento de datos confidenciales, incluida la respuesta y la presentación de informes de auditoría; gestión de acceso a datos; gestión de incidentes de seguridad de la información; gestión de riesgos de terceros; evaluaciones de impacto en la privacidad y certificaciones de privacidad de datos de proveedores. Básicamente, el programa SSPA proporciona orientación para gestionar los riesgos relacionados con el procesamiento de datos personales para partes externas.

“La SSPA impulsa el cumplimiento de estos requisitos a través de un ciclo de cumplimiento anual; Para los nuevos proveedores, el trabajo no puede comenzar hasta que esté completo.. Si un proveedor procesa datos personales y/o datos confidenciales de Microsoft, se asociará con su patrocinador comercial para inscribirse en el programa SSPA. También se pueden seleccionar proveedores para que proporcionen garantías independientes completando una evaluación según el DPR”.

“Las prácticas sólidas de privacidad y seguridad son fundamentales para nuestra misión, esenciales para la confianza del cliente y, en varias jurisdicciones, exigidas por ley. Los estándares capturados en las políticas de privacidad y seguridad de Microsoft reflejan nuestros valores como empresa y se extienden a nuestros proveedores (como su empresa) que procesan datos de Microsoft en nuestro nombre”.

En resumen, Microsoft Supplier Security and Privacy Assurance (SSPA) es un programa para toda la empresa que garantiza que los proveedores de Microsoft estén adecuadamente protegidos en términos de seguridad y privacidad de la información para que se les permita procesar datos personales, activos de información o datos confidenciales de Microsoft de acuerdo con Microsoft. políticas.

Supongamos que Microsoft aún no autoriza un nuevo proveedor. En ese caso, debe demostrar el cumplimiento a Microsoft a través de las certificaciones ISO 27001 e ISO 27701 o someterse a una evaluación SSPA por parte de uno de los "Evaluadores preferidos" de Microsoft antes de la aprobación. Microsoft valida anualmente el cumplimiento de sus proveedores.

¿Por qué Microsoft ha abandonado SOC 2 en favor de ISO?

La afirmación de Microsoft de ISO 27001 y 27701 es un voto decisivo de confianza en el beneficio de las certificaciones ISO 27001 y 27701 para mostrar el programa integral de seguridad de la información y privacidad de su organización alineado con importantes leyes y regulaciones de privacidad como GDPR, CCPA, POPIA, APPS y APAC.

El cumplimiento de SOC no está reconocido internacionalmente, mientras que los estándares ISO sí lo están. Es importante señalar que la norma ISO 27701 aún está actualizada (publicada en 2019), lo que significa que se alinea estrechamente con las leyes y regulaciones internacionales de privacidad.

No es necesario obtener una certificación SOC 2 de un organismo de certificación independiente, lo que significa que está más abierto a la posibilidad de un nivel de deshonestidad similar a corregir su propia tarea.

Un informe SOC 2 suele tener más de 100 páginas y los terceros rara vez le prestan el escrutinio que necesita porque son muy extensos.

Es importante señalar que las auditorías realizadas por SOC 2 pueden resultar onerosas, tediosas y costosas para los proveedores.

Mantener la certificación ISO 27001 es menos costoso que mantener actualizados periódicamente los programas de certificación de auditoría SOC 2.

El costo de mantener una certificación ISO 27701 es notablemente menor que el de mantener una certificación SOC 2 Tipo 2 con Criterios de Privacidad y Confianza.

La gestión de la seguridad y la privacidad como una única construcción lógica dentro de un Sistema de gestión de información de privacidad (PIMS) ISO 27701 es notablemente más fácil que ejecutar diferentes programas uno al lado del otro.

Todas las personas a las que hemos ayudado a optar por la ISO 27001 aprobaron la primera vez. Tú también podrías.

Reserva tu demostración

¿Es ISO 27001 mejor que un informe SOC 2?

Los intrincados detalles y beneficios de ambos se han comparado ampliamente en muchos artículos en línea. La respuesta a esta pregunta siempre es insatisfactoria: "depende", es decir, depende de dónde se encuentre usted en relación con sus clientes.

En otras palabras, como dice el consejo, si la mayoría de sus clientes se encuentran en los Estados Unidos, entonces debería optar por SOC 2. Si la mayoría de sus clientes se encuentran fuera de los Estados Unidos, entonces ISO 27001 sería una buena opción. Es fundamentalmente incorrecto e ineficaz que las organizaciones transnacionales, empresas SaaS o similares sigan este consejo, ya que no funciona.

Es casi seguro que las empresas SaaS, por ejemplo, tendrán una combinación de clientes nacionales e internacionales; si no es ahora, es casi seguro que estará en la hoja de ruta en un futuro próximo.

Además, la mayoría de las empresas se están volviendo cada vez más internacionales en sus operaciones, razón por la cual dicha certificación se ha convertido en una necesidad. Además, las empresas que exigen certificaciones como la ISO 27001 en primer lugar suelen operar a nivel internacional.

El punto crítico, sin embargo, es el siguiente. Hemos trabajado en SaaS y cumplimiento a nivel mundial durante muchos años en ISMS.online. Hasta donde sabemos, no nos hemos encontrado con una situación en la que una empresa solicitó SOC 2 pero rechazó ISO 27001 cuando se la ofrecieron.

Entonces, ¿cuál es la principal diferencia? ¿No es uno tan bueno como el otro? Bueno, sí y no. Sin embargo, a nivel internacional es bastante común que ocurra lo contrario.

SOC 2 tendrá un lugar para algunas organizaciones centradas en EE. UU., pero lo inteligente es obtener ISO 27001 y, cuando corresponda, ISO 27701.

Por lo tanto, nuestra recomendación sigue siendo ISO 27001 sobre SOC 2, incluso para empresas con sede en EE. UU., cuya mayoría de clientes se encuentran en EE. UU.

Por qué ISO 27001 es la mejor opción

Es importante señalar que el marco SOC 2 se basa en cinco principios de confianza. Estos son seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad.

Para obtener un informe SOC 2, sólo necesitas implementar el primero, que es la seguridad, en tu organización. El resto son sólo medidas recomendadas que puedes tomar o no. Estas medidas no afectan a su informe si no se implementan dentro de su organización. En otras palabras, su informe no se verá afectado si sus procesos no son confidenciales o si no se procesan con integridad.

No hay duda de que esto hace que los criterios de servicios de confianza SOC 2 sean mucho más flexibles y sencillos. Sin embargo, deja la puerta abierta a nuestra tendencia natural a querer hacer lo mínimo para marcar esa casilla de cumplimiento.

Todos podemos identificarnos con ello, pero eso no significa necesariamente que sea algo bueno. Aunque marque casillas, el informe que envíe a su auditor al final del proceso no significa que sus procesos sean seguros.

Muchas empresas terminan con informes que son "ejercicios de verificación de casillas" pero que no están realmente "completados" ni son mecanismos de cumplimiento sólidos.

En otras palabras, sus informes están incompletos porque no demuestran el cumplimiento de los cinco principios de servicio de confianza dentro del marco SOC tipo i o tipo ii.

Por el contrario, ISO 27001 garantiza que los controles implementados en su organización se basen en una evaluación de riesgos de su organización y sus requisitos de seguridad de la información.

Con la implementación adecuada de un sistema de gestión de seguridad de la información, no puede salirse con la suya sin implementar todos los controles dentro de ISO 27001 sin una buena razón.

Sus controles de seguridad siempre estarán relacionados con la seguridad, la disponibilidad, la integridad del procesamiento, la confidencialidad y la privacidad durante el proceso de implementación.

Tómate un momento para reflexionar sobre esto por un momento. En términos de protección de la información de sus clientes, ¿realmente se puede esperar que se ocupe de la seguridad sin ocuparse simultáneamente de la integridad, la confidencialidad y la privacidad de los datos de los clientes?

Además, la disponibilidad es el factor más importante para sus clientes, ocupando el segundo lugar después de la seguridad en términos de sus prioridades.

Esto es particularmente importante cuando se protege información personal como números de tarjetas de crédito y números de seguro social. Lo mejor sería que tomara todas las precauciones para proteger esta información contra robo o uso indebido por parte de piratas informáticos u otras partes malintencionadas.

Qué significa esto para su negocio y próximos pasos

Debido a las numerosas ventajas que ofrece ISO 27001, ISO 27001 y 27701 son las opciones obvias si desea implementar un marco de control de seguridad de la información sólido y no solo marcar casillas relacionadas con la seguridad de la información, la seguridad cibernética y la privacidad.

La implementación de un SGSI contribuirá en gran medida a lograr el cumplimiento normativo y mitigar los riesgos de infracciones, incumplimiento o algo peor. Ayuda a identificar vulnerabilidades y debilidades en la postura de ciberseguridad de su organización antes de que se conviertan en un problema. Esto puede evitar daños a la reputación y posibles sanciones/sanciones financieras.

Listos para actuar?

Reserva tu demostración

imagen de cta

ISO 27001 impulsa las mejores prácticas y se integra con otros estándares

Uno de los componentes principales de ISO 27001 es el Anexo L de ISO, la descripción de los requisitos y características de un sistema de gestión genérico, que esencialmente describe las características y requisitos del sistema.

No se puede subestimar la importancia de este punto. Contar con un sistema de gestión para su empresa puede ir más allá de proteger los activos de información y la privacidad. Un SGSI promueve prácticas comerciales sólidas y un mejor desempeño organizacional general. Esto, a su vez, le permite prestar un mejor servicio a sus clientes y alcanzar sus objetivos comerciales de forma más rápida y eficiente.

La implementación de un SGSI le permite realizar un seguimiento de las prácticas actuales, medir el desempeño y identificar áreas de mejora a lo largo del tiempo. También le ayuda a mantener una ventaja competitiva mejorando la satisfacción del cliente, optimizando las operaciones comerciales e identificando oportunidades de crecimiento.

Aunque ISO 27001 se centra en la seguridad de la información, el Anexo L significa que se integra muy bien con otros estándares ISO que también se basan en el Anexo L. Como parte de las actividades generales de desarrollo y mejora de su sistema de gestión, es posible que desee introducir estos estándares más adelante. fecha. Existen más de 50 normas ISO, incluida la ISO 9001 para gestión de calidad y ISO 22301 para la continuidad del negocio.

Si bien no sugerimos que observe estos estándares, por ahora, la cuestión es que es posible. Los estándares ISO y la plataforma del Sistema de Gestión Integrado (IMS) de ISMS.online proporcionan una ruta de actualización, por lo que no tendrá que comprar software nuevo. Un marco de silo como SOC 2 no ofrece este beneficio.

ISO 27001 cuesta menos

Existe una idea errónea común de que la implementación del estándar ISO 27001 es más costosa que la implementación del SOC 2; de hecho, la certificación ISO 27001 es más barata de implementar y mantener que la SOC 2, y por un margen razonable.

La auditoría ISO 27001 se centra en el funcionamiento del Sistema de Gestión de Seguridad de la Información (SGSI) para confirmar la adecuada implementación de los controles del Anexo A, por lo que el costo es menor que una auditoría SOC 2. En consecuencia, la auditoría sólo toma como muestra controles técnicos (Anexo A). Debido a la falta de un SGSI, las auditorías SOC 2 se centran en evaluar los controles de seguridad del TSC en lugar del SGSI.

Un beneficio importante de la certificación ISO es que se trata de una industria competitiva, por lo que es fácil comparar precios al mejor precio.

Para realizar una auditoría SOC 2, debe encontrar una empresa con licencia como CPA (Contador Público Certificado) capaz de realizar estas auditorías. En Europa, en particular, muy pocas empresas hacen esto, y las que lo hacen suelen ser las empresas de servicios profesionales más grandes, lo que significa que cobran más.

Costos y plazos de mantenimiento y recertificación

Las organizaciones son responsables de mantener su certificación ISO a través de auditorías de vigilancia (verificación) realizadas anualmente o cada seis meses, dependiendo del tamaño y alcance de su organización en los años 2 y 3. Estas auditorías más cortas son más asequibles que la auditoría inicial para la certificación. ya que tardan aproximadamente un tercio del tiempo en completarse. Durante el cuarto año, se le pedirá que se someta a una recertificación completa y el ciclo de auditoría comenzará nuevamente.

Como parte del SOC 2, necesita una auditoría anual completa para garantizar que la certificación de la empresa de auditoría siga siendo válida. Si bien no tendrá que gastar la misma cantidad que cuando se registró con ellos por primera vez en el año 1, el informe de auditoría actualizado le costará al menos 10,000 €.

En consecuencia, si se supone que todo lo demás es igual, ISO 27001 tiene un precio más bajo que SOC 2 a largo plazo.

¿Ya tiene la certificación ISO 27001?

Si ya tiene la certificación ISO 27001, puede alinear su programa de privacidad con la guía ISO 27701 e integrarlo en su SGSI; esta actualización se conoce como Sistema de gestión de información de privacidad o PIMS. Puede comprar el estándar de privacidad y modificar el alcance de sus controles y políticas para incluir orientación PIMS. Trabaje con su auditor para ampliar el alcance de su certificación para incluir ISO 27701 en su posterior auditoría de vigilancia o recertificación.

¿Ya está certificado SOC 2?

Pasar de una certificación SOC 2 a una certificación ISO 27001 es algo complicado, pero no es demasiado desafiante. Necesitará gestionar el riesgo de manera efectiva en ISO 27001, por lo que los controles de seguridad SOC 2 que tenga implementados probablemente serán los mismos.

Se le pedirá que documente su enfoque y lo presente a un auditor externo independiente para su aprobación antes de obtener la certificación. Para las organizaciones más pequeñas, ISMS.online hace que la certificación ISO 27001 sea fácil de gestionar internamente sin necesidad de apoyo de un consultor externo.

Para organizaciones más grandes, no es raro subcontratar el proceso de certificación SGSI a un tercero independiente, ya que garantiza la calidad e imparcialidad de su documentación SGSI; Nuevamente, no necesita hacer esto con ISMS.online ya que nuestro Entrenador virtual, Adaptar, Adoptar Agregar (Marco AAA) y Método de resultados asegurados (ARM) garantizarán que tenga el apoyo necesario para lograr la certificación la primera vez.

La certificación dual SOC 2 y la certificación ISO 27001 implica principalmente superponer el SGSI ISO 27001 a sus controles existentes y modificar parte de su documentación para reflejar las diferencias en los marcos de certificación. ISMS.online proporciona una ruta de mapeo clara entre ISO 27001 y SOC 2, simplificando tanto la certificación como la atestación.

¿Ya está certificado SOC 2 (incluida la privacidad)?

Al igual que en el escenario anterior, también debe realizar la transición del programa de Privacidad a ISO 27001 junto con la transición SOC 2. Una vez más, el mapeo de SOC 2 e ISO 27701 dentro de ISMS.online simplifica la transición entre los dos.

¿No tiene certificación SOC 2 ni certificación ISO 27001?

Siempre que tenga un cliente que solicite una certificación, podrá continuar con su evaluación anual de SSPA. Es recomendable avanzar hacia la certificación ISO 27001 e ISO 27701 en un plazo de 12 meses si se le exige demostrar seguridad y cumplimiento ante otras partes interesadas.

Podría centrarse en ISO 27001 durante su primer año si está limitado por el ancho de banda y/o el presupuesto, y luego abordar ISO 27701 durante su segundo año cuando realice su primera auditoría de vigilancia si tiene los recursos y/o el presupuesto para hacerlo. .

Cómo puede ayudar ISMS.online

Como se señaló anteriormente, Microsoft ha respaldado la norma ISO 27001 sobre SOC 2, a partir de diciembre de 2021, y si bien esto puede no significar la desaparición oportuna de SOC 2, es probable que otras empresas multinacionales sigan su ejemplo con requisitos similares en sus cadenas de suministro.

ISMS.online lo prepara para la certificación ISO27001 al automatizar muchas de las tareas involucradas. Una vez que haya incorporado su empresa a ISMS.online, nuestra plataforma proporciona el plan de mapeo, herramientas, marcos, políticas, controles, documentación procesable y orientación para ayudarlo a cumplir con todos los requisitos de ISO 27001 y control SOC 2.

Haga clic aquí para RESERVAR UNA DEMOSTRACIÓN.

Descargue nuestra guía gratuita para una certificación rápida y sostenible

Obtén tu guía gratis

imagen de cta

Marcos Sharron

Mark Sharron lidera la Estrategia de Búsqueda e IA Generativa en ISMS.online. Su enfoque es comunicar cómo funcionan en la práctica las normas ISO 27001, ISO 42001 y SOC 2, vinculando el riesgo con los controles, las políticas y la evidencia con una trazabilidad lista para auditorías. Mark colabora con los equipos de producto y cliente para integrar esta lógica en los flujos de trabajo y el contenido web, ayudando a las organizaciones a comprender y demostrar la seguridad, la privacidad y la gobernanza de la IA con confianza.