Kaspersky ha superado con éxito la auditoría SOC 2 (Service Organization Control for Service Organizations), que acredita la eficacia de los controles implementados para proteger el proceso de desarrollo y publicación de las bases de datos de antivirus de Kaspersky frente a cambios no autorizados. Tras anteriores auditorías de Tipo 1, Kaspersky ha superado ahora la evaluación de Tipo 2, en la que se analizaron las medidas de seguridad de la empresa durante un periodo de seis meses.
Desde 2019, Kaspersky ha superado con éxitos las auditorías SOC2 a las que se ha sometido. Desarrollado por AICPA (American Institute of Certified Accountants), el SOC (Service Organization Controls) es un informe reconocido a nivel mundial que reconoce que los controles de seguridad de la organización cumplen con los Criterios de Servicios de Confianza (TSC) del AICPA. El objetivo es certificar que las empresas disponen de mecanismos de control de seguridad efectivos. Kaspersky eligió este estándar para confirmar la fiabilidad de sus procesos y soluciones, así como su compromiso con los criterios del AICPA: seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad.
Durante la auditoría, realizada por un grupo de profesionales de un servicio independiente, se verificaron los procesos de Kaspersky utilizados para el desarrollo e implementación de bases de datos antivirus para sistemas operativos Windows y Unix, incluidos los siguientes elementos:
- Organización y gestión
- Comunicación
- Gestión de riesgos
- Monitorización de Controles
Las pruebas incluyeron entrevistas al personal directivo, managers y otros miembros de la plantilla, así como la supervisión de las actividades y operaciones de Kaspersky y la inspección de los documentos y registros de la compañía. A diferencia de las evaluaciones SOC 2 Tipo 1 realizadas anteriormente, en esta ocasión los auditores no solo analizaron la aplicación de los controles internos de la empresa en un momento específico, sino también la eficacia operativa de dichos controles durante un período de seis meses, concretamente de diciembre de 2022 a mayo de 2023. Como resultado, se concluyó que los sistemas internos de Kaspersky para garantizar las actualizaciones automáticas periódicas de las bases de datos antivirus son eficaces y que garantizan las actualizaciones periódicas y automatizadas de la base de datos de antivirus. También se certificó que el proceso de desarrollo e implementación de esas bases de datos de antivirus está debidamente protegido contra manipulaciones no autorizadas.
“La seguridad de nuestros clientes es fundamental para nosotros. Estamos muy orgullosos de recibir una vez más una certificación independiente que confirma que nuestros controles y procesos de seguridad se ejecutan correctamente y cumplen con el criterio de seguridad del AICPA. La nueva auditoría SOC 2 Tipo 2 brinda a nuestros clientes la garantía de que los mecanismos de control de seguridad se han implementado de manera efectiva y que nuestros procesos internos cumplen con los más altos estándares”, asegura Anton Ivanov, director de Tecnología de Kaspersky.
Las auditorías periódicas de procesos internos de la empresa son uno de los pilares de la Iniciativa de Transparencia Global (GTI) de Kaspersky. Su objetivo es fomentar la confianza con los clientes y partners de la empresa y confirmar el compromiso de Kaspersky con los principios de transparencia.
El informe completo se puede consultar en este enlace.
