Skip to content

Un proveedor te envía un informe SOC 2. ¿Qué deberías comprobar en realidad?

Respuesta breve

Un informe SOC 2 solo te aporta garantía si lo lees de verdad: confirma que es del tipo correcto (el Tipo II prueba la eficacia operativa a lo largo del tiempo, el Tipo I solo el diseño en un momento), revisa el alcance y qué criterios de servicios de confianza cubre, que el periodo es actual y no tiene huecos, qué opinión emitió el auditor (sin salvedades o con salvedades) y examina las excepciones señaladas más los controles complementarios de la entidad usuaria (CUEC) que te corresponden. Limitarse a confirmar que el informe existe —o juzgarlo por el logo de la portada o el número de páginas— no dice nada sobre la eficacia real de los controles del proveedor ni sobre tus obligaciones residuales.

Un informe SOC 2 es un artefacto de garantía de un tercero, pero recibir uno no te garantiza nada por sí solo. El valor está por completo en leerlo de forma crítica, porque un informe puede existir y aun así revelar problemas serios, huecos de alcance u obligaciones que recaen sobre ti.

Qué comprobar en realidad

Tipo: Un informe Tipo II prueba si los controles operaron eficazmente durante un periodo (normalmente de 6 a 12 meses); un Tipo I solo describe el diseño en un único momento. El Tipo II ofrece una garantía mucho más sólida. Alcance: Qué criterios de servicios de confianza se cubren —la Seguridad es la base, pero ¿incluyeron Disponibilidad, Confidencialidad, Integridad del procesamiento o Privacidad si eso importa para tu uso? ¿El alcance cubre el servicio real que consumes? Periodo: ¿Es actual y hay un hueco entre la fecha de fin del informe y hoy (puede hacer falta una carta puente)? Opinión: ¿El auditor emitió una opinión sin salvedades ("limpia") o con salvedades que señala deficiencias? Excepciones: Lee las excepciones de las pruebas —controles que fallaron durante el periodo—. CUEC: Sobre todo, revisa los controles complementarios de la entidad usuaria —cosas que el informe asume que harás (p. ej., gestionar tus propios accesos, configurar el cifrado) para que los controles del proveedor sean eficaces—.

Por qué fallan las respuestas incorrectas

"Solo que el informe existe" es la trampa: la posesión no es garantía, y tratar la recepción como suficiente deja pasar el riesgo. "El logo de la portada" y "el número total de páginas" son no-señales: no dicen nada sobre el diseño de los controles, su eficacia operativa, el alcance ni tus obligaciones residuales. Un informe grueso con opinión con salvedades vale menos que uno corto y limpio.

El criterio que se evalúa

El entrevistador busca a alguien que trate el riesgo de terceros como diligencia activa, no como marcar casillas. Una respuesta senior nombra la distinción Tipo I frente a Tipo II, ata el alcance a cómo usas realmente al proveedor, se toma en serio las excepciones y la opinión del auditor y —la señal de experiencia real— destaca los CUEC, porque los controles de un proveedor solo te protegen si operas tu parte. Leer el informe, y no coleccionarlo, ese es el control.

Posibles preguntas de seguimiento

  • ¿Cuál es la diferencia entre un SOC 2 Tipo I y Tipo II, y por qué te importa?
  • ¿Qué son los controles complementarios de la entidad usuaria y qué pasa si los ignoras?
  • ¿Cómo gestionas un informe con una opinión con salvedades o un hueco de cobertura anterior al inicio de tu contrato?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.