👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
TSC: Seguridad (Common Criteria): Principios COSO 1, 5, 11, 12, 13, 14, 15 y los criterios CC6.1, CC6.4, CC6.5, CC6.6, CC6.7, CC6.8, CC7.1 y CC8.1.
TSC: Confidencialidad: C1.1 y C1.2.
TSC: Privacidad: P2.1 y P3.1.
¿Para qué me sirve esta actividad? 📚
Esta actividad te sirve para establecer las directrices y el compromiso de la organización para proteger la información y los sistemas. Esta política es el documento maestro de tu programa de cumplimiento de SOC 2; define el "entorno de control" y da una visión general de cómo cumplirás con tus objetivos de seguridad, disponibilidad, confidencialidad, privacidad e integridad. Es la principal evidencia del "tono desde la cúpula" que un auditor de SOC 2 buscará.
¿Qué tengo que hacer? 🚀
Para crear tu política de seguridad de la información, te recomendamos comenzar leyendo este artículo y el template que te proporcionamos. El objetivo es consolidar en un solo documento los lineamientos de alto nivel para los diferentes dominios de control que exige SOC 2.
A continuación, te detallamos los temas clave que tu política debe abordar, junto con ejemplos de los lineamientos que deberás definir y adaptar a tu empresa.
Gobernanza y responsabilidad
Esta sección establece el compromiso de la organización con la seguridad. Define las responsabilidades generales y formaliza el marco para la toma de decisiones.
Lineamientos clave: Establecer y mantener contacto con instituciones de seguridad relevantes (como equipos de respuesta a incidentes), definir las responsabilidades del personal en materia de seguridad y establecer los procesos de comunicación interna y externa.
Gestión de riesgos y activos
La base de un programa de SOC 2 es entender qué necesitas proteger y de qué lo necesitas proteger. La política establece los lineamientos para:
Gestión de activos: La obligación de mantener un inventario de activos, asignarles un propietario y clasificarlos según su nivel de confidencialidad (por ejemplo, público, interno, confidencial).
Gestión de riesgos: El requisito de realizar evaluaciones de riesgos periódicas para identificar, analizar y tratar las amenazas a la organización, definiendo un umbral de riesgo aceptable.
Controles de acceso lógico y físico
Esta sección define las reglas para asegurar que solo las personas autorizadas accedan a la información y a los sistemas.
Lineamientos clave: Implementar un usuario único por persona, exigir el uso de autenticación multifactor (MFA), realizar revisiones de acceso periódicas (por ejemplo, trimestrales), aplicar el principio de mínimo privilegio, y establecer políticas de contraseñas robustas (longitud, complejidad, rotación). También cubre los controles para proteger las instalaciones físicas.
Seguridad operacional
Aquí se establecen las directrices para la operación segura del día a día de la tecnología.
Lineamientos clave: Mantener los sistemas actualizados y parchados, implementar defensas contra malware (antivirus), realizar respaldos de información (backups) periódicos, monitorear los registros de eventos (logs) para detectar anomalías, y gestionar las vulnerabilidades identificadas a través de un Ethical Hacking.
Desarrollo y gestión de cambios
Esta sección define las reglas para construir y modificar sistemas de forma segura.
Lineamientos clave: Mantener ambientes separados para desarrollo, pruebas y producción, asegurar que no se utilicen datos de clientes en entornos de no producción, y seguir un procedimiento formal de gestión de cambios para autorizar, probar y desplegar modificaciones en el entorno productivo.
Criterios de confidencialidad y privacidad
Esta sección aborda los requisitos específicos para proteger la información sensible.
Lineamientos clave de confidencialidad: Definir cómo se identifica la información designada como "confidencial" y establecer métodos seguros para su destrucción (shredding, borrado criptográfico) cuando ya no es necesaria.
Lineamientos clave de privacidad: Establecer el compromiso de comunicar las prácticas de privacidad a través de un aviso de privacidad claro y obtener el consentimiento de los individuos antes de recopilar o procesar su información personal.
💡Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Enfócate en la evidencia operativa: A diferencia de ISO 27001, que se centra en la existencia de un sistema de gestión, SOC 2 se enfoca en la efectividad operativa de los controles a lo largo de un período (generalmente de 6 a 12 meses). Asegúrate de que tu política se traduzca en registros y evidencias demostrables (logs, tickets, actas).
Adapta la política a tus operaciones: El documento debe considerar las necesidades de seguridad específicas de tu empresa y sus limitaciones. No intentes implementar un control que no sea aplicable a tu negocio.
La alta dirección debe expresar su compromiso: Es vital su participación en la elaboración, revisión y mantenimiento de esta política para demostrar un "tono desde la cúpula" fuerte y claro.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.