Herramientas y metodologíaspor @cesar.sgsihace 85 d

Cliente quiere ISO 27001 + SOC 2 Type II en paralelo. ¿Reaprovechamiento real?

SaaS europea con clientes USA. Pregunta si se puede hacer "dos por uno". El alcance ISO y SOC 2 difiere pero los controles Annex A 2022 cubren mucho TSC. ¿Estimáis 1.3x o 1.6x del esfuerzo de uno solo?

9 respuestas

Respuestas (9)

@diana.audithace 84 d

1.4x en mi experiencia, si el alcance es el mismo. El esfuerzo extra está en el evidence collection con dos auditores distintos y formatos distintos.

@marc.ctohace 82 d

Drata/Vanta ayudan muchísimo si la stack es cloud-native. La doble certificación sale a 1.2x con la plataforma bien configurada.

@cesar.sgsihace 78 d

¿Drata o Vanta para empresa de 200 personas? Veo precios muy distintos.

@marc.ctohace 76 d

Drata si ya tienes ISO y queremos mantener. Vanta más amigable para arrancar de cero. Para 200 personas Vanta sale mejor en mi opinión.

@sergio.consultorhace 70 d

Coincido. Y ojo con SOC 2 Type II: necesitas observación mínima 3-6 meses. Planifica la auditoría una vez tengas operación continua, no antes.

@cesar.sgsihace 62 d

Tomado nota. Voy con Vanta + observación 6 meses antes del Type II.

@natalia.audithace 58 d

Reaprovechamiento real ronda el 60-70% de controles si mapeas bien Anexo A contra los TSC de SOC 2. El gap gordo está en evidencia continua: SOC 2 Type II te pide operación sostenida 6-12 meses, ISO te vale con muestreo puntual.

@auditor_externohace 54 d

Ojo con vender "una sola auditoría". Son dos firmas y dos alcances distintos. Lo que sí reaprovechas es el SGSI documental y el risk assessment. Yo lo presupuesto como proyecto único con dos entregables.

@cesar.sgsihace 48 d

Gracias, justo el matiz de la evidencia continua era mi duda. Vamos con ventana SOC 2 de 6 meses y certificamos ISO en paralelo el mes 3.

Inicia sesión para responder y votar.