Para reiterar su compromiso con los más altos estándares de seguridad de datos de los clientes y desarrollo seguro de software, Kaspersky ha superado la auditoría Service Organization Control (SOC 2) Tipo II para empresas de servicios. La evaluación ha analizado la seguridad en los procesos de desarrollo y lanzamiento de la base de datos antivirus de Kaspersky, así como su protección contra alteraciones no autorizadas.
Kaspersky trabaja para ofrecer garantías sobre la integridad de sus soluciones mediante evaluaciones periódicas de terceros, incluidas auditorías SOC 2, las cuales lleva realizando desde 2019. Service Organization Controls (SOC) es un estándar internacional para sistemas de gestión de riesgos de ciberseguridad, establecido por el Instituto Americano de Contadores Públicos Certificados (AICPA, por sus siglas en inglés), que evalúa los procesos de control de seguridad en función de cinco principios fundamentales: seguridad, disponibilidad, integridad de procesos, confidencialidad y privacidad.
Por primera vez, la auditoría SOC 2 realizada por la empresa abarcó un período de un año, desde agosto de 2023 hasta julio de 2024, mientras que auditorías anteriores se centraban en períodos de 3 a 6 meses. La evaluación verificó el proceso de desarrollo e implementación de las bases de datos antivirus de Kaspersky para sistemas operativos Windows y Unix en función de los criterios de seguridad y disponibilidad, incluidos los siguientes elementos:
- Servicios de desarrollo y compilación de bases de Kaspersky Anti-Virus (AV), que se utilizan para el desarrollo y compilación del código fuente.
- Sistemas de almacenamiento y revisión del código de Kaspersky AV, utilizados para el almacenamiento código fuente y el proceso de revisión.
- Sistema de prueba y lanzamiento de bases Kaspersky AV, utilizado para la implementación de las bases antivirus.
- Sistema de prueba de bases AV de Kaspersky, utilizado para la verificación de las bases AV.
- Sistemas de información que respaldan los procesos mencionados anteriormente.
La auditoría se realizó a través de entrevistas con los responsables de la dirección, los supervisores y el personal. Además, incluyó la observación de actividades y operaciones de Kaspersky, así como la inspección de documentos y políticas de la empresa. Como resultado de la evaluación, los auditores concluyeron que los controles de Kaspersky que garantizan actualizaciones automáticas de la base de datos antivirus cumplen con los criterios de servicios de confianza aplicables, mientras que el proceso de desarrollo e implementación de las bases de datos antivirus está protegido contra manipulaciones.
“Kaspersky siempre busca brindar a sus clientes y partners garantías firmes de fiabilidad e integridad de los productos y servicios. Además de implementar estrictos controles de seguridad, para nosotros es fundamental obtener una opinión experta externa que confirme que las medidas implementadas son suficientes y cumplen con los estándares de la industria. La última auditoría SOC 2 ha confirmado una vez más que nuestros métodos de control están funcionando correctamente y que el proceso de desarrollo y lanzamiento de las bases de datos antivirus está protegido contra cambios no autorizados”, señala Alexander Liskin, jefe de investigación de amenazas en Kaspersky.
Las auditorías periódicas de los procesos internos son un componente clave de la Iniciativa Global de Transparencia (GTI) de Kaspersky, cuyo objetivo es fomentar la confianza con las partes interesadas de la empresa y demostrar el compromiso de Kaspersky con la transparencia y la rendición de cuentas. Además de la auditoría SOC 2, Kaspersky ha certificado su sistema de gestión de seguridad de la información según el estándar internacional ISO/IEC 27001:2013 y ha obtenido certificaciones Common Criteria para sus principales productos empresariales, Kaspersky Endpoint Security y Kaspersky Security Center, un dispositivo de control para todos los productos empresariales.
El informe completo de la auditoría está disponible bajo solicitud en este enlace.
