Cada vez con más frecuencia, las organizaciones disponen de servicios tercerizados y, es por ello, por lo que nacen los estándares ISAE (en inglés, International Standards for Assurance Engagements).

Se trata, por tanto, de estándares internacionales para trabajos de aseguramiento, entre los que destacan ISAE 3402 o ISAE 3000.

Además de esto, y sobre todo desde que comenzó la pandemia del COVID-19 en marzo de 2020, la implantación de normas de seguridad de la información, como la ISO 27001, está mucho más extendido y valorado en el tejido empresarial.

¿Qué es la ISO 27001?

Hoy en día, el panorama de amenazas de seguridad está constante evolución y las consecuencias de ello son cada vez más duras para las organizaciones.

Así, evitar o disminuir estos problemas o fallos de seguridad, como por ejemplo los ciberataques, se ha convertido en una necesidad, para lo cual las empresas implantan un sistema de gestión de seguridad de la información.

Se trata de una norma certificable, de carácter internacional y de aplicación voluntaria, con gran reconocimiento a nivel mundial y que es aplicable a cualquier tipo de organización.

En esta norma, destacan fundamentalmente los 114 controles divididos en 14 capítulos del Anexo A, los cuales se implementarán en función del tipo de actividad de la empresa.

¿Qué es ISAE 3402 e ISAE 3000?

Ambos estándares, ISAE 3402 e ISAE 3000, sirven como herramientas para el aseguramiento de terceros (proveedores de servicios), a través de la emisión de informes de aseguramiento por parte de las organizaciones de servicio o proveedores.

ISAE 3402 tiene como alcance principal los procedimientos y controles financieros, mientras que ISAE 3000 es para trabajo de aseguramiento distintos de auditorías o revisiones de información financiera histórica.

Estos informes de aseguramiento se denominan SOC (del inglés, Service Organization Control) y se dividen en tres clases, en función del tipo de alcance y/o propósito:

  • SOC 1: cuando los controles financieros que ejecuta la organización de servicio o proveedor, son relevantes para la organización usuaria desde el punto de vista financiero. En este caso, se utiliza el estándar ISAE 3402 (o bien el SSAE18, dependiendo de la empresa y del país).
  • SOC 2: cuando la organización usuaria requiere conocer y validar los controles sobre el manejo de la información. Para elaborarlo, se puede utilizar el ISAE 3000.
  • SOC 3: también está referido a los servicios de tecnología, pero son informes simplificados y poco detallados que pueden ser distribuidos e incluso publicados en la web.

Relación con la ISO 27001

Como se puede observar, tanto SOC 2 como SOC 3, son reportes elaborados mediante ISAE 3000 que, a su vez, están referidos a la información o la tecnología.

Específicamente, consideran cinco criterios de seguridad de la información, denominados criterios de servicios de confianza, que son la seguridad, la disponibilidad, la integridad del procesamiento, la confidencialidad y la privacidad.

En general, ISO 27001 permite a las organizaciones demostrar que han implementado controles de seguridad de la información bajo un marco de gestión de riesgos en forma de sistema de gestión certificable.

Ambas se refieren a seguridad de la información, pero con ISAE 3000 y el informe de aseguramiento SOC 2, hay una atestación formal al final de la eficacia de los controles, y no sólo un certificado de cumplimiento como en el caso de la ISO 27001.

Resumiendo, el tipo de amenazas al que se enfrentan las organizaciones sigue evolucionando, al igual que los requisitos de garantía externos e internos, por lo que ISAE 3000 mediante el reporte SOC proporciona un marco perfecto para poder abordar estas nuevas necesidades.