Cumplimiento de SSAE

Cumplimiento de SSAE, También conocida como Declaración sobre normas para compromisos de certificación y cumplimiento, es una colección de normas de auditoría y orientación que utiliza normas publicadas por la Junta de Normas de Auditoría (ASB) del Instituto Americano de Contadores Públicos Certificados (AICPA).

Estas normas definen cómo las empresas de servicios informan sobre sus controles y procesos de cumplimiento. SSAE 16 (SOC 1) se publicó en abril de 2010 como la norma de informe para todos los registros de los auditores de servicios y se emitió para reemplazar la Declaración sobre Normas de Auditoría N.º 70. Si está familiarizado con SOC 1 Si está realizando auditorías, probablemente esté familiarizado con la SSAE 16. Desafortunadamente, la SSAE 16 tuvo varios puntos de falla y fue reemplazada el 1 de mayo de 2017 por la SSAE 18, que fue diseñada para abordar esas brechas.

La SSAE 18 es la norma vigente. Los auditores siguen las prescripciones de la SSAE 18 al realizar evaluaciones SOC 1 a 3, independientemente del Tipo I (evaluación puntual de los controles) o del Tipo II (revisión de los controles durante un período de 9 a 12 meses).

La SSAE 18 introdujo cambios importantes en el tratamiento de las organizaciones de subservicios. Anteriormente, los controles y las pruebas de las organizaciones de subservicios (subcontratadas o subcontratadas) quedaban fuera del alcance de la auditoría, lo que dejaba deficiencias críticas en las pruebas.

Fuentes: TechTarget, Otava

Términos relacionados: SOC 1, SOC 2, SOC 3

¿Qué significa esto para una PYME?

Las PYMES deben desarrollar un programa de ciberseguridad auditable con controles en torno a la gestión de acceso, el mínimo privilegio, la rendición de cuentas, la formación, la gobernanza y la tecnología. Cada una de estas áreas requiere controles y procesos que generen artefactos disponibles para inspección. De esta manera, cualquier PYME se prepararía para una inspección externa mediante una evaluación SSAE 18. Inicialmente, las organizaciones deben realizar una inspección SOC 1 (o puntual) de sus controles. Esto les permite corregir las deficiencias y realizar remediaciones con una menor inversión de tiempo y dinero. Una vez que se haya obtenido una evaluación SOC 1 SSAE 18 exitosa, la PYME debe pasar rápidamente a una SOC 2 para validar el funcionamiento de los procesos a lo largo del tiempo.

Una PYME que pueda pasar con éxito una evaluación SSAE 18 SOC 2 Tipo II debería estar bien posicionada para pasar otros tipos de auditorías, aunque puede haber prescripciones exclusivas de HIPAA y PCI que vayan más allá de los controles existentes.

El mensaje más importante de este artículo sobre las auditorías SSAE es que inspeccionar los procesos y controles de negocio es sumamente valioso. Tanto el NIST como CyberHoot recomiendan establecer un Marco de Gestión de Riesgos en cualquier Organización. Al hacerlo, se asegura de invertir su valioso tiempo y dinero limitados en las actividades más importantes de mitigación de riesgos. Es tiempo y dinero bien invertidos.

CyberHoot puede desempeñar un papel importante en la preparación de las empresas para dicha auditoría mediante su gestión de políticas y procesos, programas de capacitación, pruebas de phishing e incluso las evaluaciones que puede utilizar para autoevaluarse antes de una evaluación externa. ventas@cyberhoot.com para obtener mas informacion!  

Para obtener más información sobre SSAE y las auditorías SOC, mire este breve video:

¿Está haciendo lo suficiente para proteger su negocio?

Regístrate hoy en CyberHoot y duerme mejor sabiendo que tu

¡Los empleados están capacitados en ciberseguridad y en guardia!

¡Suscríbete hoy!