Evaluación de riesgos SOC 2: marco, proceso y mejores prácticas

La evaluación de riesgos es la base sobre la que se construye todo su entorno de control SOC 2. Sin ella, sus controles son conjeturas — medidas de seguridad elegidas porque parecían razonables en lugar de porque abordan amenazas documentadas para su negocio SaaS específico. Los auditores conocen la diferencia, y también los compradores empresariales sofisticados que revisan su informe.

Los Common Criteria CC3.1 a CC3.4 exigen un proceso formal y documentado de evaluación de riesgos. No son directrices vagas. Requieren que defina objetivos, identifique amenazas, analice la severidad del riesgo, considere el fraude y evalúe el impacto de cambios significativos. Las empresas SaaS que tratan la evaluación de riesgos como un ejercicio de marcar casillas de una sola vez luchan consistentemente con hallazgos de auditoría — porque sus controles no se remontan a riesgos identificados, y su registro de riesgos parece una plantilla genérica en lugar de un documento vivo.

Esta guía recorre el proceso completo de evaluación de riesgos SOC 2: lo que los criterios realmente requieren, cómo construir un marco adaptado a las operaciones SaaS y los errores específicos que hacen tropezar a las organizaciones orientadas a la ingeniería.

Requisitos de evaluación de riesgos de SOC 2

Los requisitos de evaluación de riesgos se encuentran dentro de los Common Criteria (CC3), que forman parte del criterio obligatorio de Seguridad. Todo informe SOC 2 — independientemente de los Criterios de Servicio de Confianza que seleccione — incluye estos requisitos.

CC3.1: Especifica objetivos adecuados

Qué significa: Su organización debe definir los objetivos que su entorno de control está diseñado para proteger. Estos objetivos son la base para identificar qué puede salir mal.

En la práctica: Para las empresas SaaS, los objetivos típicamente incluyen proteger la confidencialidad de los datos de los clientes, mantener la disponibilidad del servicio según los SLAs, asegurar la precisión del procesamiento y cumplir con las obligaciones regulatorias. Sus objetivos deben alinearse directamente con los Criterios de Servicio de Confianza que ha seleccionado para su alcance SOC 2.

Ejemplo SaaS: Una plataforma de analítica B2B podría definir objetivos como: “Los conjuntos de datos de los clientes son accesibles solo para usuarios autorizados del inquilino,” “La plataforma mantiene un 99,9% de disponibilidad durante horario laboral,” y “El procesamiento del pipeline de datos produce resultados precisos y completos.”

CC3.2: Identifica y analiza riesgos

Qué significa: Una vez definidos los objetivos, debe identificar sistemáticamente los riesgos que podrían impedirle alcanzarlos, luego analizar esos riesgos para determinar cómo gestionarlos.

En la práctica: Este es el núcleo de la evaluación de riesgos — identificación de amenazas, estimación de probabilidad, análisis de impacto y calificación de riesgos. Los auditores esperan ver una metodología estructurada, no una sesión de lluvia de ideas sin rigor analítico.

CC3.3: Considera el riesgo de fraude

Qué significa: Su evaluación de riesgos debe abordar explícitamente el potencial de fraude — incluyendo la anulación de controles por parte de la dirección. Este es un requisito que muchas empresas SaaS pasan por alto por completo.

En la práctica: El riesgo de fraude va más allá de los atacantes externos. Incluye escenarios donde los empleados o ejecutivos hacen mal uso de su acceso, manipulan datos o eluden controles para beneficio personal. Los auditores preguntarán específicamente cómo consideró el fraude durante su evaluación de riesgos.

CC3.4: Identifica y evalúa cambios significativos

Qué significa: Debe tener un proceso para identificar cambios — internos o externos — que podrían impactar significativamente su entorno de control, y para evaluar las implicaciones de riesgo de esos cambios.

En la práctica: Lanzar un nuevo producto, adquirir una empresa, cambiar de proveedor de nube, duplicar su equipo de ingeniería o enfrentar nuevos requisitos regulatorios son todos cambios que podrían introducir riesgos que sus controles existentes no abordan.

Construcción de su marco de evaluación de riesgos

Una evaluación de riesgos que cumpla con SOC 2 no es un ejercicio de una tarde. Es un proceso estructurado con cinco pasos distintos, cada uno produciendo documentación que su auditor examinará.

Paso 1: Definir alcance y objetivos

Antes de identificar riesgos, necesita establecer qué está protegiendo y por qué.

Alinee con el límite de su sistema SOC 2. El alcance de su evaluación de riesgos debe coincidir con la descripción del sistema en su informe SOC 2. Si su SOC 2 cubre su plataforma SaaS de producción, su evaluación de riesgos cubre las amenazas a esa plataforma — no su sitio web de marketing o sistemas internos de RRHH (a menos que estén en el alcance).

Cubra todos los Criterios de Servicio de Confianza seleccionados. Si ha incluido Disponibilidad en su SOC 2, su evaluación de riesgos debe identificar riesgos para la disponibilidad — no solo riesgos de seguridad. Revise la guía de Criterios de Servicio de Confianza para asegurar que sus objetivos se mapeen a cada criterio que ha seleccionado.

Incluya amenazas internas y externas. Muchos equipos SaaS se enfocan exclusivamente en ataques externos. Su evaluación de riesgos también debe cubrir amenazas internas, fallas operativas, dependencias de proveedores y riesgos comerciales.

Documente su metodología. Escriba cómo realiza las evaluaciones de riesgos — quién participa, qué marco utiliza, con qué frecuencia se actualiza y cómo los resultados alimentan las decisiones de control. Los auditores quieren ver un proceso repetible, no un análisis ad hoc.

Paso 2: Identificación de riesgos

Aquí es donde cataloga todo lo que podría salir mal. La identificación exhaustiva requiere pensamiento estructurado a través de múltiples categorías de amenazas.

Categorías de amenazas para empresas SaaS:

Ataques externos — Ransomware, DDoS, compromiso de la cadena de suministro, relleno de credenciales, abuso de API, explotación de día cero. Considere las amenazas específicas de su pila tecnológica: si ejecuta en Kubernetes, la fuga de contenedor es una amenaza relevante. Si utiliza dependencias de código abierto intensamente, los ataques a la cadena de suministro merecen atención dedicada.
Amenazas internas — Tanto maliciosas (exfiltración de datos por un empleado descontento) como negligentes (ingeniero que accidentalmente expone una base de datos a internet). La distinción importa porque requieren diferentes controles: las amenazas internas maliciosas requieren monitoreo de acceso y mínimo privilegio, mientras que las negligentes requieren capacitación y salvaguardas.
Riesgos de terceros y proveedores — Su SaaS depende de proveedores de nube, procesadores de pagos, proveedores de identidad, herramientas de monitoreo y docenas de otros proveedores. Un incidente de seguridad en cualquiera de estos proveedores puede convertirse en su incidente. Consulte nuestra guía de gestión de proveedores para saber cómo evaluar y monitorear estos riesgos.
Fallas operativas — Interrupciones del servicio causadas por errores de despliegue, corrupción de base de datos, agotamiento de capacidad o fallas de infraestructura. Para empresas SaaS, el riesgo operativo a menudo es más probable que se materialice que los ataques externos sofisticados.
Riesgos de cumplimiento — Nuevas regulaciones, cambios en regulaciones existentes (tendencias de aplicación del RGPD, leyes de privacidad estatales) o requisitos específicos de la industria que podrían requerir cambios en sus prácticas de manejo de datos.
Riesgos comerciales — Dependencia de personas clave (el único ingeniero que entiende el sistema de facturación), escalamiento rápido que supera la capacidad de su equipo de seguridad o actividad de fusiones y adquisiciones que introduce nuevos sistemas y flujos de datos.

Métodos para la identificación de riesgos:

Talleres — Sesiones multifuncionales con partes interesadas de ingeniería, producto, seguridad y negocio. Cada equipo ve diferentes riesgos.
Entrevistas — Conversaciones individuales con propietarios de sistemas e ingenieros senior que comprenden la arquitectura profundamente.
Modelado de amenazas — Análisis estructurado de la arquitectura de su sistema (STRIDE, PASTA o árboles de ataque) para identificar amenazas específicas de su diseño.
Inteligencia de amenazas de la industria — Revise informes de la industria (Verizon DBIR, panorama de amenazas ENISA) para amenazas que afectan a organizaciones similares a la suya.
Análisis histórico — Revise su propio historial de incidentes, casi-incidentes y tickets de soporte para patrones que indiquen riesgos no abordados.

Paso 3: Análisis de riesgos

Una vez identificados los riesgos, necesita evaluar su severidad para priorizar su respuesta. Aquí es donde muchas empresas SaaS caen en la trampa de simplificar demasiado (todo es “medio”) o complicar demasiado (construir un modelo cuantitativo que no pueden mantener).

Matriz de probabilidad x impacto: El enfoque estándar utiliza una matriz donde cada riesgo se califica en dos dimensiones. Una matriz 5x5 proporciona suficiente granularidad sin volverse inmanejable:

	Despreciable (1)	Menor (2)	Moderado (3)	Significativo (4)	Severo (5)
Casi seguro (5)	5	10	15	20	25
Probable (4)	4	8	12	16	20
Posible (3)	3	6	9	12	15
Improbable (2)	2	4	6	8	10
Raro (1)	1	2	3	4	5

Riesgo inherente vs. riesgo residual. El riesgo inherente es el nivel de riesgo antes de aplicar cualquier control. El riesgo residual es lo que queda después de que sus controles están implementados. Ambos importan. El riesgo inherente le dice por qué existe el control. El riesgo residual le dice si el control es suficiente. Los auditores esperan ver ambos documentados.

Enfoques cualitativos vs. cuantitativos. La mayoría de las empresas SaaS utilizan análisis cualitativo (Alto/Medio/Bajo o la matriz 5x5 anterior) porque es práctico de mantener. El análisis cuantitativo (asignar valores monetarios a la probabilidad y el impacto) es más preciso pero requiere datos que muchas organizaciones no tienen. Cualquiera de los dos enfoques es aceptable para SOC 2 — la clave es la consistencia y la documentación.

Para la evaluación de impacto específica de SaaS, considere:

Exposición de datos de clientes — Número de clientes afectados, sensibilidad de los datos, obligaciones de notificación regulatoria
Disponibilidad del servicio — Duración y alcance de la interrupción, violaciones de SLA, impacto comercial para el cliente
Reputación — Cobertura mediática, riesgo de abandono de clientes, impacto en el pipeline empresarial
Financiero — Costos directos (forense, legal, notificación), costos indirectos (acuerdos perdidos, primas de seguro aumentadas)
Regulatorio — Multas, acciones de cumplimiento, órdenes de remediación obligatorias

Paso 4: Tratamiento de riesgos

Para cada riesgo identificado, debe decidir una estrategia de tratamiento y documentarla.

Aceptar — Reconocer el riesgo y elegir no tomar ninguna acción adicional. Esto es válido cuando el costo de la mitigación excede el impacto potencial, o cuando el riesgo residual está dentro de su apetito de riesgo. La aceptación del riesgo debe ser aprobada por la dirección y documentada con una justificación clara. Los auditores aceptan las decisiones de aceptación de riesgos — lo que no aceptan es un riesgo no documentado sin decisión explícita.

Mitigar — Implementar controles para reducir la probabilidad o el impacto del riesgo. Este es el tratamiento más común. Mapee cada mitigación a controles SOC 2 específicos para que su auditor pueda rastrear desde el riesgo hasta el control y la evidencia. Por ejemplo, el riesgo de “acceso no autorizado a producción” se mapea a controles como la aplicación de MFA, el acceso basado en roles, las revisiones trimestrales de acceso y el registro de acceso a producción.

Transferir — Trasladar el riesgo a un tercero, típicamente a través de seguros (seguro de responsabilidad cibernética) o arreglos contractuales. La transferencia reduce su exposición financiera pero no elimina el riesgo en sí — aún necesita controles detectivos para identificar cuándo se materializan los riesgos transferidos.

Evitar — Eliminar el riesgo eliminando la actividad o sistema que lo crea. A veces esta es la respuesta correcta — si un sistema heredado introduce un riesgo significativo y proporciona un valor mínimo, descomisionarlo elimina el riesgo por completo.

Rastree la implementación del tratamiento. Cada tratamiento debe tener un propietario, una fecha objetivo de finalización y un estado. Los auditores preguntarán si las mitigaciones identificadas se implementaron realmente dentro del período de observación. Una mitigación no implementada es peor que ninguna mitigación — sugiere que su organización identifica riesgos pero no actúa sobre ellos.

Paso 5: Registro de riesgos

El registro de riesgos es el repositorio central que une toda su evaluación de riesgos. Es el documento que su auditor pasará más tiempo revisando, y sirve como evidencia clave de auditoría.

Campos requeridos para cada entrada de riesgo:

ID del riesgo — Identificador único para seguimiento y referencias cruzadas
Descripción del riesgo — Descripción clara y específica de lo que podría salir mal (no “ataque cibernético” sino “ataque de inyección SQL contra la API orientada al cliente que conduce al acceso no autorizado a datos”)
Categoría del riesgo — Clasificación para análisis e informes (ataque externo, amenaza interna, operativo, etc.)
Probabilidad — Calificada usando su escala definida
Impacto — Calificado usando su escala definida
Puntuación de riesgo inherente — Calculada a partir de la probabilidad e impacto antes de los controles
Controles existentes — Controles actualmente implementados que mitigan este riesgo
Puntuación de riesgo residual — Puntuación de riesgo después de considerar los controles existentes
Tratamiento del riesgo — Aceptar, mitigar, transferir o evitar
Detalles del tratamiento — Acciones específicas planificadas o tomadas
Propietario del riesgo — El individuo responsable de gestionar este riesgo (no “equipo de ingeniería” sino una persona nombrada)
Estado — Abierto, en tratamiento, aceptado, cerrado
Última revisión — Fecha en que el riesgo fue evaluado por última vez

Documento vivo — actualice continuamente, no solo anualmente. El mayor error que cometen las empresas SaaS es crear un registro de riesgos durante la preparación de la auditoría y dejar que acumule polvo hasta la próxima auditoría. Su registro de riesgos debe actualizarse cuando surjan nuevas amenazas, cuando ocurran incidentes, cuando cambie su arquitectura y cuando se incorporen nuevos proveedores. Los auditores que prueban CC3.4 (cambio significativo) buscarán evidencia de que su registro de riesgos refleja los cambios que ocurrieron durante el período de observación.

Consideración de riesgo de fraude (CC3.3)

CC3.3 es el requisito que más a menudo pasan por alto las empresas SaaS. Las organizaciones orientadas a la ingeniería tienden a enfocarse en amenazas técnicas y pasan por alto la posibilidad de que personas dentro de la organización actúen maliciosamente.

Áreas a evaluar:

Manipulación de informes financieros — Incluso las empresas SaaS privadas tienen obligaciones de informes financieros ante inversionistas y consejos. ¿Podría alguien manipular cifras de ingresos, inflar el número de clientes o tergiversar datos financieros?
Robo de datos de clientes — ¿Podría un empleado con acceso a la base de datos exportar datos de clientes para venderlos o para ventaja competitiva?
Acceso no autorizado — ¿Podría un ingeniero escalar sus propios privilegios más allá de lo que requiere su rol?
Ingeniería social — ¿Podría un atacante externo hacerse pasar por un ejecutivo para autorizar transferencias bancarias, cambios de acceso o exportaciones de datos?
Anulación de controles por la dirección — Esto se menciona explícitamente en los criterios. ¿Podría un fundador, CTO o VP eludir los flujos de trabajo de aprobación, fusionar código sin revisión o acceder a datos de producción sin supervisión? Su evaluación de riesgos debe abordar los controles que previenen o detectan la anulación por parte de la dirección.

Riesgos de fraude específicos de SaaS:

Manipulación de facturación — Empleados que ajustan facturas de clientes o extienden pruebas sin autorización
Exportación de datos no autorizada — Ingenieros que descargan bases de datos de clientes para fines no autorizados
Escalación de privilegios — Usuarios que se otorgan acceso elevado fuera de los flujos de trabajo de aprovisionamiento establecidos
Empleados o proveedores fantasma — Entradas ficticias de nómina o cuentas de proveedores utilizadas para desviar fondos

Lo que significa para sus controles: El riesgo de fraude debe impulsar controles como la segregación de funciones, la aprobación dual para operaciones sensibles, el registro de auditoría con almacenamiento a prueba de manipulaciones y las revisiones regulares de acceso. Estos controles deben documentarse como respuestas a riesgos de fraude específicos en su registro de riesgos.

Evaluación de riesgos por cambios (CC3.4)

Su evaluación de riesgos no puede ser estática porque su negocio no es estático. CC3.4 requiere un proceso documentado para identificar y evaluar los riesgos introducidos por cambios significativos.

Disparadores comunes para la evaluación de riesgos por cambios:

Nuevos proveedores o sub-encargados — La incorporación de un nuevo servicio en la nube, procesador de pagos o sub-encargado de datos introduce riesgo de terceros que debe evaluarse antes de que el proveedor entre en producción
Nuevos productos o funcionalidades — Lanzar una funcionalidad que recopila nuevos tipos de datos, entra en un nuevo mercado o cambia la arquitectura de su sistema
Fusiones y adquisiciones — Integrar los sistemas, datos y personal de otra empresa
Crecimiento significativo — Duplicar su base de clientes o el número de empleados puede tensar los controles diseñados para una escala menor
Cambios regulatorios — Nuevas leyes de privacidad, regulaciones de la industria o guías de aplicación que afectan sus obligaciones de cumplimiento
Cambios de infraestructura — Migrar proveedores de nube, adoptar nuevas plataformas de despliegue o reestructurar la arquitectura de su red

Proceso para la evaluación de riesgos por cambios:

Identifique el cambio — Documente qué está cambiando, cuándo y por qué
Evalúe el impacto en los controles existentes — Determine si los controles actuales siguen siendo efectivos dado el cambio
Identifique nuevos riesgos — Determine si el cambio introduce riesgos no identificados previamente
Actualice el registro de riesgos — Añada nuevos riesgos y actualice las puntuaciones de riesgo existentes según sea necesario
Implemente nuevos controles — Si el cambio introduce riesgos que los controles existentes no abordan, implemente controles adicionales y documéntelos
Comunique a las partes interesadas — Asegúrese de que el equipo de respuesta a incidentes, el equipo de seguridad y el auditor (si está a mitad del período de observación) estén al tanto de los cambios significativos

Documente todo. Los auditores que prueban CC3.4 preguntarán: “¿Qué cambios significativos ocurrieron durante el período de observación y cómo evaluó el impacto del riesgo?” Si migró a un nuevo proveedor de nube y su registro de riesgos no muestra entradas relacionadas, eso es un hallazgo de auditoría.

Errores comunes

Tratar la evaluación de riesgos como papeleo anual. La evaluación de riesgos realizada una vez al año durante la preparación de la auditoría es un ejercicio de cumplimiento, no una práctica de seguridad. Su entorno cambia continuamente — nuevas funcionalidades, nuevos proveedores, nuevos empleados, nuevas amenazas. Su evaluación de riesgos debe reflejar esa realidad. Las revisiones mensuales del registro de riesgos y las reevaluaciones basadas en eventos (activadas por incidentes, cambios o nueva inteligencia) son el estándar que los auditores esperan para un programa maduro.

Usar plantillas genéricas sin riesgos específicos de SaaS. Las plantillas descargadas de evaluación de riesgos son un punto de partida, no un producto terminado. Si su registro de riesgos incluye “desastre natural que afecta al centro de datos” pero no “ataque a la cadena de suministro a través de un paquete npm comprometido,” su evaluación no refleja su panorama de amenazas real. Personalice cada riesgo a su arquitectura específica, pila tecnológica y modelo de negocio.

No involucrar a los equipos de ingeniería y producto. Los equipos de seguridad no pueden identificar todos los riesgos de forma aislada. Los ingenieros saben dónde está la deuda técnica, dónde están las brechas de monitoreo y qué sistemas son más frágiles. Los gerentes de producto saben qué funcionalidades manejan los datos más sensibles. Inclúyalos en el proceso de identificación de riesgos — su perspectiva es esencial para una evaluación completa.

No conectar la evaluación de riesgos con las decisiones reales de control. Su evaluación de riesgos debe impulsar su entorno de control. Cada control debe remontarse a un riesgo, y cada riesgo significativo debe tener un control correspondiente o una decisión explícita de aceptación. Si su registro de riesgos y su matriz de controles no se referencian mutuamente, tiene dos documentos desconectados en lugar de un programa integrado de gestión de riesgos. Los auditores notan esta brecha inmediatamente.

No documentar las decisiones de aceptación de riesgos. Aceptar un riesgo es una estrategia de tratamiento legítima. Pero “decidimos no abordarlo” sin documentación es una falla de control. La aceptación de riesgos requiere una justificación escrita, aprobación de la dirección y revisión periódica para confirmar que la aceptación sigue siendo apropiada. Cuando un auditor pregunta sobre un riesgo que no tiene un control correspondiente, “la dirección aceptó este riesgo en [fecha] basándose en [justificación]” es una respuesta válida. El silencio no lo es.

Cómo ayuda GRCTrail

GRCTrail proporciona a los equipos SaaS las herramientas y la estructura para ejecutar un proceso de evaluación de riesgos que satisfaga a los auditores y proteja genuinamente el negocio.

Flujo de trabajo guiado de evaluación de riesgos que orienta a su equipo a través de cada paso — desde la definición de objetivos hasta la finalización del registro de riesgos — sin necesidad de un consultor que interprete los criterios
Biblioteca de riesgos SaaS pre-poblada con escenarios de amenazas específicos para empresas SaaS nativas de la nube, cubriendo riesgos de infraestructura, aplicación, proveedores y operativos para que comience desde amenazas relevantes en lugar de plantillas genéricas
Registro de riesgos con mapeo automático de controles que vincula los riesgos identificados con los controles SOC 2, mostrando a los auditores una traza clara desde la amenaza hasta la mitigación
Seguimiento de cambios que activa la reevaluación — cuando incorpora nuevos proveedores, despliega funcionalidades importantes o modifica la infraestructura, GRCTrail solicita una revisión de riesgos para que CC3.4 se mantenga actualizado
Documentación de riesgos lista para auditoría formateada para coincidir con lo que las firmas de CPA esperan, reduciendo las idas y venidas durante el examen

Comience con GRCTrail →

Cookie Name	Purpose	Duration
grctrail_consent	Stores your cookie preferences	1 year
grctrail_user_id	Maintains your session state	1 year

Cookie Name	Purpose	Duration
_ga	Google Analytics - Distinguishes unique users	2 years
_ga_*	Google Analytics 4 - Maintains session state	2 years
_gid	Google Analytics - Distinguishes users	24 hours