SOC 2 y evaluaciones de terceros: cómo prevenir …



Las evaluaciones se pueden utilizar contra su empresa en los procedimientos judiciales. Aquí se explica cómo mitigar este riesgo potencial.

Las auditorías de SOC 2 y las evaluaciones técnicas de terceros son herramientas útiles que una organización puede utilizar para navegar los riesgos de seguridad que puede enfrentar. Pero estas hojas de ruta de seguridad también pueden proporcionar instrucciones al abogado del demandante que demanda a su organización en una demanda posterior relacionada con una violación de datos. Si la evaluación describe que su organización está plagada de vulnerabilidades de seguridad y, después de la evaluación, una de estas vulnerabilidades no reparadas se utiliza para infiltrarse en su crimson, la evaluación se convierte en una prueba de que su organización conocía el riesgo y no lo solucionó.

Por otro lado, contratar a un tercero para evaluar su riesgo de seguridad también se puede utilizar como defensa en los procedimientos judiciales, lo que demuestra que su organización contrató a terceros imparciales para determinar qué riesgos podría enfrentar. De esa manera, una evaluación puede ser una herramienta poderosa en procedimientos judiciales posteriores.

¿Cómo mitigar este potencial riesgo futuro? Aquí hay dos estrategias que puede emplear.

1. Piense detenidamente sobre a quién está comprometiendo y los servicios que brindan.
En los últimos años, ha habido una proliferación de proveedores de servicios que dicen ofrecer evaluaciones técnicas de seguridad. Al determinar a quién contratar, el presupuesto no puede ser su principal impulsor. ¿Sus propios clientes requieren que realice una auditoría SOC 2? Luego, deberá contratar una firma de contadores públicos certificados que ofrezca servicios de auditoría que cubran los Sistemas y Controles Organizacionales 2 (SOC 2) según lo presentado por el Instituto Americano de Contadores Certificados. Fuera de un SOC 2, puede involucrar a empresas técnicas para realizar evaluaciones basadas en una variedad de enfoques, incluida la matriz del Instituto Nacional de Estándares y Tecnología.

Pero tenga en cuenta que no todas las empresas técnicas se crean de la misma manera y que necesita un proveedor de confianza para presentar una evaluación. Barato a veces significa trabajo de mala calidad. Y si un proveedor de servicios está buscando una «venta» de servicios posterior, tenga en cuenta eso también. Ofrecer una variedad de servicios no es malo for every se, pero tenga en cuenta lo que podría estar motivando algunos de los hallazgos. Por ejemplo, si el proveedor vende cortafuegos y de repente su evaluación regresa sugiriendo que necesita una actualización, puede preguntarse si la evaluación fue motivada por una opinión imparcial.

Cree una lista de preguntas para llevar a cabo diligencia en los proveedores y entrevistar a múltiples proveedores. Desarrolle un rastro de documentos del proceso que involucró la participación del equipo de auditoría. Esto puede ser beneficioso más tarde para mostrar que su organización fue considerada con respecto al riesgo de seguridad y quería una opinión verdaderamente imparcial.

2. Organice el compromiso para proteger los hallazgos.
Los abogados tienen dos poderes especiales cuando se trata de confidencialidad y protección de la información. El primero es el privilegio abogado-cliente. Bajo el privilegio abogado-cliente, las comunicaciones entre un abogado y un cliente que buscan y brindan asesoramiento authorized están protegidas contra la divulgación. La segunda es una doctrina matizada llamada doctrina trabajo-producto. Según esta doctrina, un abogado puede contratar a un experto en consultoría para apoyar el trabajo authorized del abogado en nombre de un cliente. Esto también, en la mayoría de los casos, se considera confidencial y privilegiado.

Entonces, ¿qué tiene que ver todo esto con la obtención de una evaluación? Las organizaciones ahora están contratando asesores externos para trabajar con ellos en la obtención de una evaluación con el fin de proteger las evaluaciones con confidencialidad. El proceso funciona así: una organización contrata a un asesor externo para ayudarlo a revisar el riesgo de ciberseguridad de la organización. Luego, el abogado externo contrata al equipo de evaluación de terceros para proporcionar una evaluación técnica o SOC 2 al abogado. La carta de compromiso está configurada para que el abogado reciba la evaluación técnica para respaldar el trabajo legal del abogado. El abogado y el cliente discuten los resultados del informe juntos.

¿Qué hace esto? Aísla, lo mejor que podemos, los resultados de la divulgación en una demanda posterior mediante el uso del privilegio abogado-cliente y la doctrina del producto del trabajo. He visto evaluaciones que regresan con tarjetas de puntaje de 35/100. Lo último que necesita un acusado en una demanda por violación de datos es una tarjeta de puntaje de evaluación 35/100 explotada como una exhibición frente a un jurado, con un abogado apasionado del demandante hablando sobre cómo la compañía recibió una F en su evaluación y no hizo nada para repare el riesgo antes de que ocurra la violación.

Sin un abogado, no hay privilegio. Marcar el documento como «confidencial» e intercambiarlo puede mantenerlo confidencial dentro de su organización. Pero no protegerá la evaluación de ser revelada al abogado del demandante en una demanda posterior por violación de datos. La única forma de tratar de hacerlo es trabajar duro en la parte delantera de la obtención de evaluaciones y contar con un abogado involucrado en el proceso.

Contenido relacionado:

Beth Burgin Waller es una abogada que sabe cómo navegar entre la sala de servidores y la sala de juntas. Como presidenta de la práctica de ciberseguridad y privacidad de datos en Woods Rogers, asesora a clientes sobre ciberseguridad y preocupaciones sobre privacidad de datos. En esta capacidad, ella … Ver biografía completa

Más concepts





Enlace a la noticia primary