Además de la eficacia del software, la seguridad de los datos es un criterio importante en la elección de una solución SaaS. Entre las certificaciones existentes, la SOC 2 (System and Organization Controls 2) acredita el cumplimiento de las normas de seguridad en la gestión de datos. Pero, ¿qué es la certificación SOC 2? ¿Y por qué debería tenerlo en cuenta a la hora de elegir su solución EMOS? Descifremos.
SOC 2: ¿de qué estamos hablando?
SOC 2: garantía de seguridad de los datos
La SOC 2 es una certificación desarrollada por el AICPA (American Institute of Certified Public Accountants), que cada vez se tiene más en cuenta a nivel internacional, sobre todo en Europa. Se trata de empresas que proporcionan servicios y sistemas a sus clientes, como la computación en nube, SaaS o PaaS.
¿Su objetivo? Revisar los servicios prestados por una empresa para que los usuarios puedan evaluar y abordar los riesgos asociados a un servicio externalizado.
La organización cliente puede pedir al proveedor de servicios que le proporcione un informe de auditoría, especialmente si se le confía información confidencial.
Es bueno saberlo
Como muchas certificaciones, la SOC 2 no es obligatoria. Sin embargo, es muy recomendable: su obtención es una garantía de confianza y calidad de servicio.
Los principios de la norma SOC 2
La norma SOC 2 define criterios de gestión de datos basados en los Criterios de Servicios Fiduciarios (TSC) de la AICPA. En términos más generales, se basa en los tres principios fundamentales de la ciberseguridad.
- Disponibilidad. El sistema está operativo y listo para ser utilizado según lo acordado.
- Integridad. Los datos sólo deben ser modificados por personas autorizadas y según un procedimiento definido.
- Confidencialidad. La información considerada confidencial se protege de acuerdo con los compromisos y la normativa vigente.
La trazabilidad, o seguimiento de los movimientos de datos, que a menudo olvidan los neófitos, también es esencial para garantizar que las tres condiciones anteriores se respeten y se lleven a cabo correctamente.
Hay dos tipos de informes SOC 2.
- El "Tipo 1", basado en un informe del primer año de la auditoría, cubre el diseño teórico de los controles.
- El "Tipo 2", basado en la práctica, se produce en los años siguientes y certifica que los controles realizados fueron eficaces durante un periodo completo.
Nota: la obtención de la certificación SOC 2 demuestra que la solución cumple los criterios anteriores.
SOC 2 e ISO/IEC 27001: ¿cuáles son las diferencias?
Cuando hablamos de ciberseguridad, pensamos naturalmente en la norma ISO/IEC 27001, que especifica los requisitos para los Sistemas de Gestión de la Seguridad de la Información (SGSI). Más utilizado en Europa, sirve de referencia para una certificación homónima.
Los informes SOC 2, en cambio, son más utilizados en Australia, Asia-Pacífico y América, y se refieren a los controles establecidos para la seguridad de los datos.
Las normas ISO/IEC 27001 y SOC 2 comparten requisitos de criterios comunes (CC). Se trata de un conjunto de normas reconocidas internacionalmente cuyo objetivo es evaluar la seguridad de los sistemas y programas informáticos de manera imparcial.
¿Cuál es la relación entre los datos, EMOS y los informes SOC 2?
SOC 2 es una protección reglamentaria contra las amenazas a la seguridad que pueden surgir al utilizar un EMOS. Pero, ¿cuál es la relación entre los datos, el EMOS y el SOC 2?
Recordatorio: cómo funciona un EMOS
El recolector de datos implementado en el sistema informático del cliente recuperará los datos, los alojará en la nube y los procesará en la plataforma del cliente en forma de indicadores, gráficos, etc.
Datos energéticos: información a proteger
El uso de un EMOS (o Sistema de Gestión y Optimización de la Energía) lleva a añadir, eliminar y procesar información sensible dentro del sistema SCADA del usuario. Se trata de un vector de riesgo, como una infección del proveedor en el sistema del cliente.
El reto para el usuario de EMOS es asegurarse de que el proveedor es fiable. Para ello, deben :
- Sea proactivo, defina sus propios requisitos de seguridad e impóngaselos al proveedor elegido (una opción tediosa, ya que requiere una experiencia suficiente en seguridad de sistemas de información).
- Confíe en normas internacionales fiables y elija un proveedor con certificación ISO/IEC 27001 o SOC 2.
Asegurar sus datos: una palanca de rentabilidad para la empresa
Cada empresa tiene su propio apetito de riesgo, es decir, un nivel global de riesgo que puede asumir en la consecución de sus objetivos estratégicos. Sin embargo, todo riesgo tiene un coste: éste se calcula en función del coste medio global de la realización de un riesgo y de la probabilidad media de que se produzca.
Un proveedor de servicios certificado es un elemento adicional para reducir esta incidencia y obtener el control de su nivel de riesgo. Por lo tanto, es esencial entender la seguridad informática en su empresa.
Asegurar sus datos para reducir el coste del riesgo
El coste de un ataque de phishing en una empresa puede ser relativamente alto para las empresas. Al reducir la propensión de un empleado a hacer clic en un enlace malicioso o al reducir la cantidad de datos expuestos, el coste medio del riesgo disminuye.
Ofrecer una solución EMOS altamente segura a sus clientes es una de nuestras prioridades. Certificado SOC 2 Tipo 1 en 2021 y SOC 2 Tipo 2 en 2022, siempre buscamos más garantías para sus datos energéticos. Nuestro objetivo es obtener la certificación ISO/IEC 27001 en un futuro próximo. ¿Está pensando en equiparse con un EMOS y le gustaría saber más sobre la seguridad de los datos de METRON?
Vea el SGE en acción
Vea la demostración interactiva para comprobar cómo METRON SGE puede transformar su negocio: