Kaspersky ha estado proporcionando continuamente garantías de la integridad de sus soluciones mediante evaluaciones periódicas realizadas por terceros, entre ellas las auditorías SOC 2, a la que la empresa se ha sometido desde 2019. El marco de Controles de la Organización de Servicios (SOC, por sus siglas en inglés) es una norma internacional de informes para sistemas de gestión de riesgos de ciberseguridad, establecido por el Instituto Americano de Contadores Públicos Certificados.
Este sistema evalúa los procesos de control de seguridad basándose en cinco principios fundamentales: seguridad, disponibilidad, integridad del proceso, confidencialidad y privacidad.
Por primera vez, la auditoría abarcó un período de un año (de agosto de 2023 a julio de 2024), mientras que las anteriores se centraron en períodos de entre 3 y 6 meses. La evaluación, realizada por un auditor de servicios independiente, verificó el proceso de desarrollo e implementación de bases de datos antivirus de Kaspersky para sistemas operativos Windows y Unix en función de los criterios de seguridad y disponibilidad, incluidos los siguientes elementos:
- Servicios de desarrollo y compilación de bases de datos Kaspersky AV que se utilizan para el desarrollo del código fuente y su compilación;
- Sistemas de almacenamiento y revisión de código de Kaspersky AV que se utilizan para el proceso de almacenamiento y revisión del código fuente.
- Sistema de prueba y lanzamiento de bases de AV de Kaspersky que se utiliza para la implementación de las bases de AV.
- Sistema de prueba de bases de AV de Kaspersky que se utiliza para la verificación de las bases de AV.
- Sistemas de información que respaldan los procesos mencionados anteriormente.
Más allá de estos análisis, se realizaron entrevistas con personal responsable administrativo, de supervisión y de plantilla. Como así también, la observación de las actividades y operaciones de Kaspersky, y la inspección de los documentos y políticas de la empresa. Como resultado de la verificación, los auditores concluyeron que los controles que garantizan las actualizaciones automáticas de las bases de datos antivirus cumplen con los criterios de servicios de confianza aplicables, en tanto que el proceso de desarrollo e implementación de las bases de datos antivirus está protegido contra manipulaciones.
“Una vez más, Kaspersky ha superado con éxito la auditoría SOC 2 Tipo II, esta vez con una evaluación aún más extensa y detallada, estableciendo un nuevo estándar en ciberseguridad y transparencia. Con este esfuerzo riguroso, Kaspersky demuestra su liderazgo en ofrecer seguridad sólida y confianza reconocida globalmente, demostrando una vez más que sus métodos de control de seguridad son rigurosos y protegen sus productos contra modificaciones no autorizadas”, señaló Claudio Martinelli, Director General para Américas en Kaspersky.
Además de la auditoría SOC 2, Kaspersky ha certificado su sistema de gestión de seguridad de la información según la norma internacional ISO/IEC 27001:2013 y ha obtenido las certificaciones Common Criteria para los productos empresariales insignia de la empresa, Kaspersky Endpoint Security y Kaspersky Security Center.
El informe completo se encuentra disponible bajo solicitud en el siguiente enlace.
