Guía de certificación SOC 2
SOC 2 se ha convertido en el billete de entrada para las empresas SaaS B2B que venden a empresas. Cuando el equipo de seguridad de su prospecto pregunta «¿Tienen SOC 2?», necesita decir que sí — o ver cómo el contrato se va a manos de un competidor que sí puede.
Esta guía cubre todo lo que necesita saber sobre SOC 2: qué es, cómo funciona la auditoría, cuánto tiempo tarda, cuánto cuesta y cómo llegar ahí sin descarrilar su negocio.
¿Qué es SOC 2?
SOC significa System and Organization Controls. SOC 2 es un marco de informes desarrollado por el American Institute of Certified Public Accountants (AICPA).
Un informe SOC 2 es la opinión de un auditor independiente sobre si sus controles cumplen los Criterios de Servicios de Confianza. Técnicamente es una «atestación» en lugar de una «certificación» — pero todos la llaman certificación de todas formas.
SOC 1 vs. SOC 2 vs. SOC 3
| Informe | Propósito | Audiencia | Caso de uso |
|---|---|---|---|
| SOC 1 | Controles de informes financieros | Auditores de sus clientes | Su servicio afecta a sus finanzas (nómina, contabilidad) |
| SOC 2 | Seguridad, disponibilidad, integridad del procesamiento, confidencialidad, privacidad | Clientes, prospectos, socios | Garantía general de seguridad |
| SOC 3 | Igual que SOC 2, pero resumen público | Público general | Marketing (no suficientemente detallado para los equipos de seguridad) |
La mayoría de las empresas SaaS necesitan SOC 2. SOC 1 es principalmente para servicios financieros. SOC 3 rara vez se solicita porque carece de detalle.
Tipo I vs. Tipo II
Esta es la distinción más importante:
| Aspecto | Tipo I | Tipo II |
|---|---|---|
| Qué demuestra | Los controles están diseñados apropiadamente | Los controles operaron eficazmente durante un período |
| Alcance de la auditoría | Punto en el tiempo (fecha única) | Período de tiempo (normalmente 6–12 meses) |
| Valor para el cliente | «Tienen controles» | «Sus controles realmente funcionan» |
| Tiempo para lograr | 2–4 meses | 6–12 meses |
| Coste | Menor | Mayor |
| Aceptación del cliente | Algunos aceptan, muchos prefieren Tipo II | Universalmente aceptado |
Recomendación: Empiece con Tipo I para demostrar progreso rápidamente, luego persiga el Tipo II. La mayoría de los clientes empresariales quieren el Tipo II.
Los Criterios de Servicios de Confianza (TSC)
SOC 2 evalúa los controles contra cinco Criterios de Servicios de Confianza:
| Criterio | Qué cubre | ¿Obligatorio? |
|---|---|---|
| Seguridad (Criterios Comunes) | Protección contra el acceso no autorizado | Siempre obligatorio |
| Disponibilidad | Tiempo de actividad y accesibilidad del sistema | Opcional |
| Integridad del procesamiento | El procesamiento es completo, preciso, oportuno | Opcional |
| Confidencialidad | La información designada confidencial está protegida | Opcional |
| Privacidad | Recopilación, uso, retención, eliminación de información personal | Opcional |
Para la mayoría de las empresas SaaS: Empiece solo con Seguridad. Añada Disponibilidad si tiene SLAs. Añada Confidencialidad o Privacidad según los requisitos del cliente.
Categorías de Seguridad (Criterios Comunes):
| Categoría | Descripción | Ejemplos |
|---|---|---|
| CC1 | Entorno de control | Compromiso del liderazgo, ética, supervisión |
| CC2 | Comunicación e información | Comunicación de políticas, interna/externa |
| CC3 | Evaluación de riesgos | Identificación de riesgos, riesgo de fraude |
| CC4 | Actividades de monitorización | Monitorización continua, evaluación de problemas |
| CC5 | Actividades de control | Políticas, controles tecnológicos |
| CC6 | Acceso lógico y físico | Autenticación, autorización, seguridad física |
| CC7 | Operaciones del sistema | Gestión de cambios, gestión de incidentes |
| CC8 | Gestión de cambios | Procedimientos de control de cambios |
| CC9 | Mitigación de riesgos | Gestión de proveedores, continuidad del negocio |
¿Quién necesita SOC 2?
Necesita SOC 2 si:
-
Vende a empresas
- Las ventas empresariales requieren SOC 2 en más del 70% de los contratos
- Los cuestionarios de seguridad tardan semanas sin él
- Los competidores con SOC 2 tienen una ventaja
-
Maneja datos de clientes
- Plataformas SaaS
- Servicios en la nube
- Procesamiento de datos
- Proveedores de APIs
-
Quiere escalar las ventas
- SOC 2 elimina las revisiones de seguridad por cliente
- Un informe satisface la mayoría de los requisitos
- Reduce el ciclo de ventas 2–4 semanas
-
Los auditores de sus clientes lo piden
- Bancos, atención médica, empresas públicas
- Sus auditores requieren informes SOC 2 de los proveedores
- Parte de su propio cumplimiento
Puede que no necesite SOC 2 si:
- Solo vende a consumidores (B2C)
- No maneja datos sensibles
- Sus clientes nunca lo piden
- Está sin producto o sin ingresos
- Su mercado es exclusivamente Europa (ISO 27001 puede ser más valioso)
Matriz de decisión SOC 2 vs. ISO 27001
| Su situación | Recomendación |
|---|---|
| SaaS en EE.UU., vendiendo a empresas de EE.UU. | SOC 2 primero |
| SaaS en EE.UU., expandiéndose a Europa | SOC 2 primero, añadir ISO 27001 |
| SaaS en UE, vendiendo a empresas de la UE | ISO 27001 primero |
| SaaS en UE, expandiéndose a EE.UU. | ISO 27001 primero, añadir SOC 2 |
| Clientes empresariales globales | Ambos (priorizar según la demanda actual) |
| Industria regulada (salud, finanzas) | Específico de la industria + SOC 2 |
Cómo SOC 2 ayuda al negocio
Valor directo para el negocio
| Beneficio | Impacto |
|---|---|
| Ganar contratos empresariales | A menudo un requisito obligatorio |
| Ciclos de ventas más rápidos | Reemplazar la revisión de seguridad de 2 semanas con el intercambio del informe |
| Diferenciación competitiva | Destacar entre competidores sin certificar |
| Reducir la carga de cuestionarios | El informe SOC 2 responde al 80%+ de las preguntas de seguridad |
| Descuentos en seguros | Primas de seguros cibernéticos más bajas |
Ejemplos reales
Antes de SOC 2:
- Revisión de seguridad con cada prospecto empresarial: 15–20 horas
- Cuestionarios personalizados: 100–200 preguntas cada uno
- Llamada de seguridad con su equipo: 1–2 horas por prospecto
- Contratos perdidos por preocupaciones de seguridad: 20% del pipeline empresarial
Después de SOC 2:
- Compartir el informe SOC 2 (más un breve addendum si es necesario)
- La mayoría de los clientes omiten preguntas adicionales
- Llamada de seguridad solo para seguimientos específicos
- Pérdida por preocupaciones de seguridad: menos del 5%
Impacto en los ingresos: Para una empresa con $5M en pipeline empresarial, reducir la pérdida del 20% al 5% = $750K en ingresos cerrados adicionales.
El proceso de auditoría SOC 2
Fase 1: Alcance (2–4 semanas)
Definir qué se está auditando:
| Elemento del alcance | Qué incluir |
|---|---|
| Sistema | Su plataforma SaaS, infraestructura de soporte |
| Servicios | Lo que proporciona a los clientes |
| Ubicación | Oficinas, centros de datos (o regiones en la nube) |
| Personas | Equipos con acceso a los sistemas en el alcance |
| Período de tiempo | Tipo I: fecha específica. Tipo II: ventana de 3–12 meses |
| Criterios | Seguridad (obligatorio) + cualquier criterio opcional |
Decisiones de alcance:
| Decisión | Impacto |
|---|---|
| ¿Incluir herramientas internas? | Más trabajo, normalmente no es necesario |
| ¿Incluir todos los productos? | Empiece solo con el producto principal si los recursos son limitados |
| ¿Incluir contratistas? | Si acceden a los sistemas en el alcance, sí |
| ¿Incluir la oficina física? | Las empresas nativas en la nube a menudo pueden excluirla |
Fase 2: Evaluación de preparación (3–6 semanas)
Antes de la auditoría, evalúe sus brechas.
Qué evaluar:
Para cada área de control:
- ¿Existen políticas/procedimientos?
- ¿Se implementan en la práctica?
- ¿Puede proporcionar evidencia?
- ¿Hay excepciones o brechas conocidas?
Áreas de brechas comunes:
| Área | Brechas típicas |
|---|---|
| Control de acceso | Sin revisiones de acceso, cuentas huérfanas, usuarios con exceso de privilegios |
| Gestión de cambios | Cambios no documentados, aprobaciones faltantes |
| Respuesta a incidentes | Sin plan formal, incidentes no registrados |
| Gestión de proveedores | Proveedores no evaluados, sin términos de seguridad en contratos |
| Cifrado | Datos en reposo no cifrados, TLS débil |
| Registro | Registro incompleto, retención corta |
| Procesos de RRHH | Sin verificaciones de antecedentes, seguridad ausente en la incorporación |
Fase 3: Remediación (4–12 semanas)
Corrija las brechas identificadas en la evaluación de preparación.
Marco de priorización:
| Prioridad | Criterios | Acción |
|---|---|---|
| P0 | Causará fallo en la auditoría | Corregir inmediatamente |
| P1 | Excepción significativa, afecta a múltiples controles | Corregir antes de la auditoría |
| P2 | Excepción menor, manejable | Corregir o documentar la excepción |
| P3 | Sería bueno tener | Abordar después de la auditoría |
Elementos de remediación típicos:
| Elemento | Esfuerzo | Herramientas/Enfoque |
|---|---|---|
| Documentar políticas | 2–4 semanas | Usar plantillas, personalizar |
| Implementar MFA en todas partes | 1–2 semanas | Aplicación del IdP |
| Configurar revisiones de acceso | 1 semana | Calendario trimestral, hoja de cálculo |
| Configurar el registro | 1–2 semanas | Registro nativo de la nube |
| Desplegar protección de endpoints | 1–2 semanas | Solución EDR |
| Verificaciones de antecedentes para nuevas incorporaciones | Cambio de proceso | Actualización del procedimiento de RRHH |
| Evaluaciones de seguridad de proveedores | 2–4 semanas | Priorizar proveedores críticos |
| Plan de respuesta a incidentes | 1–2 semanas | Plantilla + ejercicio de simulacro |
Fase 4: Recopilación de evidencia (continua)
SOC 2 está basado en evidencia. Los auditores muestran los controles y piden pruebas.
Tipos de evidencia:
| Tipo de evidencia | Ejemplos |
|---|---|
| Documentación | Políticas, procedimientos, diagramas de red |
| Capturas de pantalla | Configuración de MFA, ajustes de control de acceso |
| Registros | Registros de acceso, tickets de cambio, registros de incidentes |
| Informes | Escaneos de vulnerabilidades, resúmenes de revisión de acceso |
| Registros de personal | Finalización de formación, confirmaciones de verificación de antecedentes |
| Contratos | Acuerdos con proveedores con términos de seguridad |
Consejos para la recopilación de evidencia:
- Empiece pronto — No espere a que lo pidan los auditores
- Automatice — Las plataformas de cumplimiento recopilan evidencia continuamente
- Marque todo con fecha — La evidencia debe ser del período de auditoría
- Formato consistente — Facilita el trabajo del auditor
- Almacenamiento seguro — La propia evidencia contiene información sensible
Fase 5: Trabajo de campo de auditoría (2–4 semanas)
El auditor examina sus controles.
Qué ocurre:
- Solicitud de documentos — El auditor envía una lista de la evidencia necesaria
- Revisión — El auditor entrevista a los propietarios de los procesos
- Pruebas — El auditor muestrea los controles (p.ej., 25 revisiones de acceso del año)
- Identificación de problemas — Brechas o excepciones documentadas
- Respuesta de la dirección — Usted responde a los hallazgos
Tamaños de muestra:
| Control | Frecuencia | Muestra típica |
|---|---|---|
| Mensual | 12 por año | 2–5 muestras |
| Trimestral | 4 por año | 2–3 muestras |
| Por ocurrencia | Variable | 25–40 muestras |
| Anual | 1 por año | 100% |
Manejo de excepciones:
Si un control falló en algunas instancias, tendrá una excepción anotada. Opciones:
- Aceptarla (las excepciones menores son comunes)
- Mostrar la remediación (si se corrigió durante el período)
- Proporcionar contexto (por qué ocurrió, impacto)
Fase 6: Emisión del informe (2–4 semanas)
Después del trabajo de campo:
- Informe borrador — El auditor escribe el informe
- Su revisión — Verifique la descripción del sistema y las declaraciones de la dirección
- Informe final — Firmado por el auditor
- Recibir el informe — Documento PDF para compartir con los clientes
Secciones del informe:
| Sección | Contenido |
|---|---|
| I. Opinión del auditor | Su evaluación |
| II. Declaración de la dirección | Sus afirmaciones sobre los controles |
| III. Descripción del sistema | Cómo funciona su sistema |
| IV. Criterios de Servicios de Confianza | Mapeo de sus controles |
| V. Pruebas de control | Pruebas realizadas y resultados |
| Otro | Controles complementarios de la entidad usuaria (CUECs) |
SOC 2 Tipo I vs. Tipo II: el camino
Enfoque recomendado
| Fase | Plazo | Qué ocurre | Resultado |
|---|---|---|---|
| Preparación + Remediación | Meses 1–2 | Análisis de brechas, creación de políticas | Controles en su lugar |
| Auditoría Tipo I | Meses 3–4 | El auditor revisa los controles | Informe que muestra que los controles existen |
| Controles en operación | Meses 5–10 | Recopilar evidencia, demostrar operación | 6+ meses de evidencia |
| Auditoría Tipo II | Meses 11–12 | El auditor revisa el período de evidencia | Informe que muestra que los controles funcionaron con el tiempo |
Entregables del Tipo I
- Informe que indica que los controles están diseñados adecuadamente
- Instantánea a una fecha específica
- Valioso para mostrar el progreso
- Le permite entrar en los contratos
Entregables del Tipo II
- Informe que indica que los controles operaron eficazmente
- Cubre un período de revisión (6–12 meses)
- Prueba prácticas de seguridad sostenidas
- Lo que la mayoría de los clientes quieren en última instancia
Plazos y costes
Plazo por escenario
| Escenario | Tipo I | Tipo II | Total |
|---|---|---|---|
| Empezando de cero | 3–4 meses | +6–8 meses | 10–12 meses |
| Algunos controles existen | 2–3 meses | +6–7 meses | 8–10 meses |
| Programa de seguridad maduro | 1–2 meses | +6 meses | 7–8 meses |
| Usando plataforma de cumplimiento | 2–3 meses | +6 meses | 8–9 meses |
Desglose de costes
| Categoría de coste | Pequeña (menos de 50 empleados) | Mediana (50–200) | Notas |
|---|---|---|---|
| Evaluación de preparación | $5–10K | $10–20K | Consultor o interno |
| Remediación | $5–20K | $15–40K | Herramientas, implementación |
| Plataforma de cumplimiento | $10–20K/año | $20–40K/año | Vanta, Drata, etc. |
| Auditoría Tipo I | $15–25K | $25–40K | Firma CPA |
| Auditoría Tipo II | $20–35K | $35–60K | Firma CPA |
| Renovación anual | $25–40K | $40–70K | Auditoría + plataforma |
Total primer año (Tipo I + II):
- Empresa pequeña: $50K–$90K
- Tamaño mediano: $100K–$180K
Anual continuo:
- Empresa pequeña: $35K–$60K
- Tamaño mediano: $60K–$110K
Costes ocultos a presupuestar
| Coste oculto | Cantidad típica | Notas |
|---|---|---|
| Tiempo de los empleados | 100–300 horas | En todos los miembros del equipo |
| Retrasos en la remediación | $10–30K | Las cosas tardan más de lo planificado |
| Compras de herramientas | $5–20K | MDM, registro, formación |
| Solicitudes urgentes | $5–10K | Tarifas urgentes para auditores, consultores |
Elegir un auditor
Qué buscar
| Criterio | Por qué importa |
|---|---|
| Firma CPA | Obligatorio — solo los CPA pueden emitir informes SOC 2 |
| Experiencia en SOC 2 | Entiende los criterios en profundidad |
| Experiencia en la industria | Conoce su stack tecnológico |
| Coincidencia de tamaño | Big 4 para empresas, boutique para startups |
| Comunicación | Con capacidad de respuesta, expectativas claras |
| Precios | Transparente, competitivo |
Firmas CPA que hacen SOC 2
| Tipo | Ejemplos | Mejor para |
|---|---|---|
| Big 4 | Deloitte, PwC, EY, KPMG | Grandes empresas, reconocimiento de marca |
| Firmas nacionales | BDO, Grant Thornton, RSM | Empresas de mercado medio |
| Boutiques especializadas | Schellman, A-LIGN, Coalfire, BARR | Empresas tecnológicas, startups |
Para la mayoría de las startups: Las boutiques especializadas ofrecen mejor valor y comprensión tecnológica.
Proceso de selección del auditor
- Obtenga 3+ presupuestos — Los precios varían significativamente
- Verifique referencias — Pida empresas tecnológicas de tamaño similar
- Entienda el alcance — Qué está incluido vs. extra
- Aclare el plazo — La disponibilidad importa
- Pregunte sobre el proceso — ¿Cómo se comunican? ¿Qué necesitan?
- Evalúe el encaje — Trabajará con ellos anualmente
Señales de alerta
- No proporciona referencias
- Precios poco claros (muchos «depende»)
- Sin experiencia con su stack tecnológico
- Lento para responder durante el proceso de ventas
- Presiona un alcance innecesario
Hoja de ruta de preparación
Meses 1–2: Fundación
Semanas 1–2: Inicio
- Obtener el apoyo ejecutivo
- Asignar el propietario de SOC 2
- Seleccionar la plataforma de cumplimiento (si usa una)
- Definir el alcance inicial
Semanas 3–4: Evaluación de brechas
- Evaluar los controles actuales contra los Criterios de Servicios de Confianza
- Identificar brechas de documentación
- Identificar brechas técnicas
- Priorizar la remediación
Semanas 5–8: Desarrollo de políticas
- Redactar/actualizar la política de seguridad de la información
- Documentar los procedimientos de control de acceso
- Documentar el proceso de gestión de cambios
- Documentar el plan de respuesta a incidentes
- Documentar el proceso de gestión de proveedores
- Documentar los procedimientos de seguridad de RRHH
Entregables:
- Informe de análisis de brechas
- Plan de remediación priorizado
- Políticas y procedimientos básicos
Mes 3: Remediación técnica
Semanas 9–10: Controles de acceso
- Aplicar MFA en todos los sistemas
- Implementar acceso basado en roles
- Eliminar cuentas huérfanas
- Configurar el proceso de revisión de acceso
Semanas 11–12: Controles de seguridad
- Desplegar protección de endpoints
- Configurar el registro (centralizado)
- Configurar el escaneo de vulnerabilidades
- Cifrar los datos en reposo
- Verificar la configuración de TLS
Entregables:
- MFA aplicado en todas partes
- Registro configurado
- Protección de endpoints desplegada
Mes 4: Remediación de procesos
Semanas 13–14: Gestión de cambios
- Implementar el proceso de aprobación de cambios
- Configurar el seguimiento de cambios
- Documentar los procedimientos de cambio
Semanas 15–16: Proveedores y RRHH
- Evaluar los proveedores críticos
- Actualizar los contratos de proveedores
- Implementar verificaciones de antecedentes
- Actualizar la incorporación/desvinculación
Entregables:
- Gestión de cambios en su lugar
- Evaluaciones de proveedores iniciadas
- Procesos de RRHH actualizados
Mes 5: Pre-auditoría
Semanas 17–18: Recopilación de evidencia
- Reunir toda la documentación requerida
- Recopilar capturas de pantalla de las configuraciones
- Preparar ejemplos de revisiones de acceso
- Documentar las excepciones
Semanas 19–20: Compromiso con el auditor
- Seleccionar el auditor (debería empezar antes)
- Programar la auditoría Tipo I
- Completar la solicitud de información del auditor
- Realizar la revisión de preparación interna
Entregables:
- Paquete de evidencia listo
- Auditoría Tipo I programada
Meses 6–7: Auditoría Tipo I
Semanas 21–24: Auditoría
- Organizar el inicio de la auditoría
- Responder a las solicitudes de evidencia
- Participar en las revisiones
- Abordar las preguntas
- Recibir el informe borrador
- Revisar y finalizar
Entregables:
- Informe SOC 2 Tipo I
Meses 8–12: Período de operación
Actividades continuas:
- Mantener todos los controles
- Realizar revisiones de acceso trimestrales
- Registrar todos los incidentes
- Documentar todos los cambios
- Recopilar evidencia continuamente
Mes 12: Preparación del Tipo II
- Compilar la evidencia del período de operación
- Programar la auditoría Tipo II
- Realizar la revisión interna
Meses 13–14: Auditoría Tipo II
Actividades de auditoría:
- Enviar 6–12 meses de evidencia
- Apoyar las pruebas del auditor
- Abordar las excepciones
- Recibir el informe Tipo II
Entregables:
- Informe SOC 2 Tipo II
Errores comunes
Error 1: Empezar demasiado tarde
Problema: El cliente pide SOC 2, promete «pronto», pero tarda 6+ meses.
Solución: Empiece SOC 2 cuando empiece las ventas empresariales, no cuando cierre su primer contrato.
Error 2: Alcance excesivo
Problema: Incluir cada sistema, cada producto, cada oficina. Más alcance = más trabajo = mayor coste.
Solución: Empiece con el alcance mínimo viable: producto principal, infraestructura clave, ubicación principal.
Error 3: Ignorar el período
Problema: Prepararse para el Tipo II pero con controles «funcionando» solo 2 meses. El auditor necesita 6+ meses.
Solución: Empiece a operar los controles el Día 1 de su período Tipo II. Obtenga el Tipo I primero si lo necesitan los clientes.
Error 4: Ficción de documentación
Problema: Políticas hermosas que no reflejan la realidad. Los auditores prueban la práctica real.
Solución: Escriba políticas que describan lo que realmente hace (o hará). Luego hágalo.
Error 5: Acumular evidencia
Problema: Esperar hasta la auditoría para recopilar evidencia. Faltan muestras clave.
Solución: Recopilación continua de evidencia. Las plataformas de cumplimiento automatizan esto.
Error 6: Subestimar el tiempo de los empleados
Problema: «La plataforma lo hace todo.» Realidad: se necesita mucha implicación humana.
Solución: Presupueste 100–300 horas-persona en toda la organización.
Error 7: Elegir al auditor equivocado
Problema: La opción más barata = auditor sin experiencia = proceso doloroso.
Solución: Obtenga referencias, priorice la experiencia sobre el precio.
Historias reales de certificación
Historia 1: El sprint de 4 meses
Empresa: Startup SaaS de 30 personas, controles de seguridad básicos en su lugar.
Enfoque:
- Usó Vanta desde el primer día
- El CEO mandató el 10% del tiempo de ingeniería
- Externalizó la redacción de políticas a un consultor
- Empezó con Seguridad + Disponibilidad
Plazo:
- Meses 1–2: Remediación
- Mes 3: Auditoría Tipo I
- Mes 4: Informe recibido
Coste: $45K en total (Vanta + auditoría + consultor)
Conclusión clave: «Tener la plataforma de cumplimiento marcó toda la diferencia. La recopilación de evidencia estaba automatizada en un 90%.»
Historia 2: La primera vez dolorosa
Empresa: Empresa de 80 personas, programa de seguridad mínimo.
Lo que salió mal:
- Subestimó la remediación (planificó 4 semanas, tardó 12)
- Nadie era propietario del proyecto a tiempo completo
- El auditor encontró 15 excepciones en el Tipo I
- Tuvo que retrasar el Tipo II 3 meses
Lo que aprendieron:
- Asignar un propietario dedicado
- Empezar antes de lo que cree
- La plataforma de cumplimiento vale el coste
- Las excepciones del Tipo I no son el fin del mundo
Tiempo total: 14 meses (vs. los 10 planificados) Coste total: $95K (vs. los $65K planificados)
Historia 3: La renovación anual
Empresa: Empresa de 100 personas, segunda auditoría Tipo II.
Qué cambió desde el Año 1:
- La recopilación de evidencia era continua (plataforma)
- Los controles eran maduros, se necesitaban menos cambios
- El equipo sabía qué esperar
- La auditoría tardó 2 semanas vs. 4 semanas
Coste del Año 2: $50K (frente a $90K en el Año 1)
Conclusión clave: «El primer año es brutal. El año 2 es mantenimiento. El año 3 es rutina.»
Cartas puente de SOC 2
Entre auditorías anuales, los clientes pueden preguntar: «¿Sigue siendo válido su SOC 2?» Una carta puente aborda esta brecha.
¿Qué es una carta puente?
Una carta formal de su empresa (o auditor) que declara:
- Los controles descritos en el informe SOC 2 siguen vigentes
- No han ocurrido cambios significativos
- No hay problemas conocidos que afecten a la operación del control
Cuándo necesita una
| Escenario | Solución |
|---|---|
| El informe tiene 6+ meses | Carta puente de la dirección |
| El informe tiene 9+ meses | Carta puente + considerar acelerar la próxima auditoría |
| El cliente la solicita específicamente | Proporcionar carta puente |
| Ocurrió un cambio significativo | Sea transparente, puede necesitar la participación del auditor |
Plantilla de carta puente
[Membrete de la empresa]
Fecha: [Fecha]
RE: Carta puente SOC 2 Tipo II
A quien corresponda:
Esta carta sirve como puente entre el informe SOC 2 Tipo II más reciente
de [Nombre de la empresa] (con fecha [Fecha del informe], que cubre el período
del [Fecha de inicio] al [Fecha de fin]) y la fecha actual.
Confirmamos que:
1. Los controles descritos en nuestro informe SOC 2 siguen operando
como se describe.
2. No ha habido cambios significativos en nuestro entorno de control,
compromisos de servicio o requisitos del sistema desde la fecha del informe.
3. No tenemos conocimiento de ninguna deficiencia de control o incidente que
afecte materialmente a las conclusiones de nuestro informe SOC 2.
4. Nuestra próxima auditoría SOC 2 Tipo II está programada para [Mes Año],
cubriendo el período del [Fecha de inicio] al [Fecha de fin].
Si tiene preguntas, contacte con [Nombre] en [Correo electrónico].
Atentamente,
[Nombre]
[Cargo]
[Empresa]
Qué NO hacer
- No emita una carta puente si ocurrieron cambios significativos
- No deje que el auditor la firme sin que haya realizado trabajo de revisión
- No proporcione una carta puente para informes de más de 12 meses de antigüedad
Compartir su informe SOC 2
Pagó por el informe. Ahora ¿cómo lo comparte?
Enfoques de distribución
| Enfoque | Ventajas | Desventajas |
|---|---|---|
| Requiere NDA | Protege los detalles sensibles | Fricción en el proceso de ventas |
| Portal de confianza | Autoservicio, acceso rastreado | Esfuerzo de configuración |
| A petición | Máximo control | Proceso manual |
| Resumen público (SOC 3) | Sin fricción | Carece del detalle que los clientes quieren |
Enfoque recomendado
- Prospectos — Proporcionar a petición, con NDA requerido (la mayoría de las empresas aceptan el NDA mutuo estándar)
- Clientes — Incluir en la documentación de seguridad, acceso a través del portal
- Público — Resumen SOC 3 o página de seguridad
Portales de confianza
Herramientas para compartir documentación de seguridad:
| Herramienta | Coste | Características |
|---|---|---|
| SafeBase | $1K+/mes | Centro de confianza completo |
| Conveyor | $500+/mes | Compartir documentos |
| Whistic | $1K+/mes | Red de proveedores |
| DIY | Gratis | Google Drive + NDA |
Qué redactar (si es necesario)
Los informes SOC 2 normalmente no necesitan redacción. Pero considere:
- Direcciones IP específicas o detalles de red
- Nombres de subprocesadores (si son confidenciales)
- Arquitectura detallada que ayude a los atacantes
La mayoría de las empresas comparten el informe completo.
Mapeo de SOC 2 a ISO 27001
Si tiene (o quiere) ambos, existe una superposición significativa.
Superposición de controles
| Criterios SOC 2 | Equivalente ISO 27001 | Superposición |
|---|---|---|
| CC1 (Entorno de control) | A.5 (Organizacional) | ~80% |
| CC2 (Comunicación) | A.5.1, A.5.10 | ~70% |
| CC3 (Evaluación de riesgos) | Cláusula 6.1, A.5.8 | ~90% |
| CC4 (Monitorización) | Cláusula 9, A.8.16 | ~85% |
| CC5 (Actividades de control) | Varios A.5–A.8 | ~70% |
| CC6 (Acceso lógico/físico) | A.5.15–A.5.18, A.7 | ~90% |
| CC7 (Operaciones del sistema) | A.8.6, A.8.13–A.8.15 | ~80% |
| CC8 (Gestión de cambios) | A.8.32 | ~85% |
| CC9 (Mitigación de riesgos) | A.5.19–A.5.23, A.5.29–A.5.30 | ~75% |
En general: ~70–80% de superposición. Tener uno hace el otro significativamente más fácil.
Estrategia para ambos
| Su situación | Estrategia |
|---|---|
| Necesita SOC 2 primero, ISO después | Implementar con el mapeo ISO en mente |
| Necesita ISO primero, SOC después | ISO cubre la mayoría de SOC 2; añadir recopilación de evidencia |
| Necesita ambos simultáneamente | Usar un marco de control unificado |
Beneficios de la auditoría unificada
Algunos auditores ofrecen auditorías combinadas:
- Una auditoría cubre ambos estándares
- Fatiga de auditoría reducida
- Ahorro de costes (normalmente un 20–30% menos que las auditorías separadas)
- Períodos de informes alineados
Deficiencias de control comunes y soluciones
Basándose en las observaciones de los auditores, estos problemas aparecen con frecuencia:
Deficiencias de control de acceso
| Deficiencia | Impacto | Solución |
|---|---|---|
| Sin revisiones periódicas de acceso | Los usuarios retienen acceso innecesario | Revisiones trimestrales, documentadas |
| Cuentas huérfanas | Los exempleados todavía tienen acceso | Desvinculación automatizada mediante integración de RRHH |
| Cuentas compartidas | Responsabilidad perdida | Cuentas individuales para todos los usuarios |
| Acceso con exceso de privilegios | Radio de explosión aumentado | Revisión de privilegio mínimo, acceso justo a tiempo |
| Sin MFA en sistemas críticos | Compromiso de cuenta fácil | Aplicar MFA en el IdP |
Deficiencias de gestión de cambios
| Deficiencia | Impacto | Solución |
|---|---|---|
| Cambios no documentados | Sin rastro de auditoría | Requerir tickets para todos los cambios |
| Aprobaciones faltantes | Sin separación de funciones | Aplicar revisiones de PR en Git |
| Cambios de emergencia sin rastrear | Brechas en la evidencia | Proceso de documentación post-hoc |
| Sin pruebas de reversión | Riesgo de recuperación | Incluir en el proceso de cambio |
Deficiencias de gestión de incidentes
| Deficiencia | Impacto | Solución |
|---|---|---|
| Sin registro de incidentes | No se puede demostrar que los incidentes fueron manejados | Registro simple (una hoja de cálculo está bien) |
| Niveles de gravedad indefinidos | Manejo inconsistente | Documentar la matriz de gravedad |
| Sin análisis de causa raíz | Incidentes repetidos | Requerir RCA para medio+ |
| Proceso de notificación faltante | Clientes no informados | Documentar y seguir el SLA de notificación |
Deficiencias de gestión de proveedores
| Deficiencia | Impacto | Solución |
|---|---|---|
| Sin inventario de proveedores | No sabe la exposición | Construir y mantener una lista |
| Sin evaluación de seguridad | Riesgo del proveedor desconocido | Programa de evaluación por niveles |
| Sin seguridad en los contratos | Sin recurso si hay una brecha | Adendo de seguridad estándar |
| Sin monitorización continua | El riesgo del proveedor cambia | Reevaluación anual |
Deficiencias de RRHH/personas
| Deficiencia | Impacto | Solución |
|---|---|---|
| Sin verificaciones de antecedentes | Riesgo desconocido del empleado | Añadir al proceso de contratación |
| Sin formación de seguridad | Los empleados cometen errores | Formación anual + simulación de phishing |
| Sin seguridad en la desvinculación | El acceso persiste después de la salida | Lista de verificación de desvinculación |
| Sin política de uso aceptable | Expectativas poco claras | Documentar y hacer que los empleados firmen |
Controles complementarios de la entidad usuaria (CUECs)
Los informes SOC 2 incluyen CUECs — controles que SUS clientes deben implementar para que su servicio sea seguro.
CUECs comunes:
| CUEC | Qué significa |
|---|---|
| «La entidad usuaria es responsable de gestionar el acceso de los usuarios» | El cliente debe gestionar adecuadamente sus cuentas de usuario |
| «La entidad usuaria es responsable de proteger las credenciales» | El cliente debe mantener seguras sus claves API |
| «La entidad usuaria es responsable de la seguridad de la red» | El cliente debe asegurar su propia red |
Por qué importa:
- Establece expectativas con los clientes
- Limita su responsabilidad
- Aparece en su informe SOC 2
Herramientas y recursos
Plataformas de cumplimiento
| Plataforma | Precio inicial | Mejor para |
|---|---|---|
| Vanta | $10–15K/año | Startups, enfoque en SOC 2 |
| Drata | $10–15K/año | Multi-marco |
| Secureframe | $10–12K/año | Implementación rápida |
| Sprinto | $8–12K/año | Consciente del coste |
| Laika | $15–20K/año | Completo |
Plantillas de políticas
| Recurso | Coste | Enlace |
|---|---|---|
| Aptible Comply | Gratis (básico) | aptible.com |
| Blissfully | Incluido con la plataforma | blissfully.com |
| Proyecto de políticas de SANS | Gratis | sans.org/information-security-policy |
Material de lectura
| Recurso | Qué cubre |
|---|---|
| Criterios de Servicios de Confianza de AICPA | Documentación oficial de criterios |
| SOC 2 Starting 7 de Latacora | SOC 2 mínimo viable |
| Guía SOC 2 de Vanta | Recorrido completo |
Taller: planificación de SOC 2
Parte 1: Caso de negocio (1 hora)
- Contar los contratos que requerían SOC 2 el año pasado
- Estimar los ingresos retrasados o perdidos
- Calcular el tiempo dedicado a los cuestionarios de seguridad
- Comparar con la inversión en SOC 2
- Construir la presentación ejecutiva
Entregable: Caso de negocio SOC 2
Parte 2: Definición del alcance (1 hora)
- Listar todos los productos/servicios
- Identificar cuáles deben estar en el alcance (orientados al cliente)
- Listar los sistemas de apoyo (nube, herramientas)
- Determinar las ubicaciones (si aplica)
- Seleccionar los Criterios de Servicios de Confianza
Entregable: Borrador de la declaración de alcance
Parte 3: Evaluación de brechas (2–3 horas)
Para cada categoría de Servicios de Confianza, evalúe:
- ¿Existe la política? (S/N/Parcial)
- ¿Implementada? (S/N/Parcial)
- ¿Evidencia disponible? (S/N/Parcial)
- Gravedad de la brecha (Alta/Media/Baja)
Entregable: Hoja de cálculo de evaluación de brechas
Parte 4: Hoja de ruta (1 hora)
- Priorizar las brechas por gravedad
- Asignar propietarios
- Estimar el esfuerzo por elemento
- Construir el plazo
- Identificar las necesidades de recursos
Entregable: Hoja de ruta de preparación SOC 2
Cómo explicar esto al liderazgo
El discurso:
«SOC 2 es la forma estándar en que las empresas SaaS B2B demuestran su seguridad a los clientes. Ahora mismo, dedicamos 15–20 horas por prospecto empresarial a las revisiones de seguridad. Con SOC 2, compartimos un informe y seguimos adelante. También estamos perdiendo contratos frente a competidores que lo tienen.»
Los números:
«En el T4, encontramos 12 prospectos que requerían SOC 2. Perdimos 4 directamente y dedicamos 180 horas a revisiones de seguridad para los otros 8. SOC 2 habría ahorrado la mayor parte de ese tiempo y probablemente habría ganado esos 4 contratos valorados en $[X].»
La inversión:
«El coste del Año 1 es aproximadamente $60–90K incluyendo una plataforma de cumplimiento y las tasas de auditoría. El continuo es $40–60K anuales. El ROI es positivo si ganamos un contrato empresarial adicional o ahorramos 200+ horas anuales en revisiones de seguridad.»
El plazo:
«Con una plataforma de cumplimiento, podemos lograr el Tipo I en 3–4 meses y el Tipo II 6 meses después. Necesito el compromiso de [horas-persona/semana] de ingeniería, TI y RRHH, más el presupuesto para herramientas y la auditoría.»
El resultado:
«Tendremos un informe profesional que podemos compartir con cualquier cliente. La seguridad se convierte en una ventaja de ventas en lugar de un retraso.»
Conclusión
SOC 2 es la credencial de entrada para vender a empresas. Una vez que la tenga, los cuestionarios de seguridad se vuelven más cortos, la adquisición se vuelve más rápida y las conversaciones pasan de «¿podemos confiar en usted?» a «¿cuál es su hoja de ruta?».
El trabajo para llegar ahí también es el trabajo que hace su programa de seguridad más riguroso. Eso no es accidental — ese es el objetivo.
Qué sigue
Siguiente: construir un equipo de seguridad de la información — cuando es hora de ir más allá de un solo Security Champion y construir una función.