17 mar. 2021

NIST vs SOC 2: ¿Cuál es la diferencia?

Las Publicaciones del Instituto Nacional de Estándares y Tecnología (NIST) y el Informe de Control de la Organización de Servicios 2 (SOC 2) son caras opuestas de la misma moneda. Ambos son estándares internacionales que tienen como objetivo analizar los controles internos de una organización, pero los hacen de diferentes maneras y ponen énfasis en distintas áreas de la seguridad de los datos. Muchos confunden SOC 1, SOC 2 y SOC 3 cuando se trata de lo que se aplica a una organización de servicios.

En general, SOC 2 permite a las organizaciones obtener una certificación de cumplimiento, mientras que NIST proporciona un marco voluntario para la seguridad de la información y los controles de privacidad de un programa de ciberseguridad y ayuda a establecer controles de organización de servicios. NIST ayuda a una organización a desarrollar controles organizacionales y gestión de riesgos para un programa de seguridad de la información.

Una forma rápida de recordar cuál se aplica en cada caso:

  • Los Informes SOC 1 son controles internos relacionados con las finanzas de una organización.
  • Un informe SOC 2 analiza los controles que afectan la seguridad de la información, la disponibilidad, la integridad del procesamiento, la confidencialidad de los datos y la privacidad de la organización con los controles de cumplimiento descritos por el Instituto Americano de Contadores Públicos Certificados (AICPA).
  • Los informes SOC 2 y SOC 3 cubren el mismo tema, pero la diferencia radica en su público objetivo. Los informes SOC 3 se dirigen a un público más general y tienden a ser más breves y menos detallados que las auditorías SOC 2. A menudo se utilizan para demostrar el cumplimiento de SOC 2/3 para posibles clientes y para marketing.

La publicaciones más comunes de NIST que aprovechan las organizaciones son NIST SP 800-53 rev5 (09/2020), ya que contiene la mayor parte de los controles de seguridad; y la SP 800-30, la Guía para realizar evaluaciones de riesgos.

El Marco de Ciberseguridad (CSF) del NIST consta de las mejores prácticas, estándares y pautas para gestionar el riesgo de ciberseguridad. Este marco voluntario se creó a través de una colaboración entre la industria y el gobierno como resultado de la Executive Order (EO) 13636, "Mejora de la ciberseguridad de la infraestructura crítica", emitida en febrero de 2013. Además de ayudar a las organizaciones a gestionar y reducir los riesgos, se diseñó para fomentar el riesgo y la ciberseguridad. comunicaciones de gestión entre las partes interesadas de la organización, tanto internas como externas.

NIST CSF es un punto de partida funcional para comenzar a construir una estrategia de ciberseguridad empresarial. Es un punto de referencia clave para los estándares, las pautas y las mejores prácticas para administrar el ciclo de vida de las amenazas. En cambio, SOC se puede aplicar para guiar, evaluar, mejorar y entregar métricas de seguridad clave y establecer un enfoque de madurez para proteger la empresa.

Fuente: Reciprocity Labs

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!