👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
TSC: Seguridad (Common Criteria): Principio 11 del Marco COSO, CC7.2 y CC8.1.
TSC: Disponibilidad: A1.1 y A1.2.
¿Para qué me sirve esta actividad? 📚
Esta actividad te sirve para definir los lineamientos de los procesos tecnológicos que son cruciales para la operación segura y la continuidad de tus servicios. Esta política establece las reglas para la gestión diaria de tu infraestructura, asegurando que los controles relacionados con la Seguridad y la Disponibilidad estén claramente definidos y sean implementados de manera consistente.
¿Qué tengo que hacer? 🚀
Esta política contiene los principales procesos de tecnología que debes establecer en tu empresa.
A continuación, te detallamos los temas que encontrarás en el template y cómo se relacionan con los criterios de SOC 2:
Gestión de cambios
Esta sección define las reglas para cualquier tipo de cambio que impacte en la infraestructura o el software de la empresa. Establecer un proceso formal para autorizar, probar y desplegar cambios es un requisito directo del criterio CC8.1.
Gestión de la capacidad
Aquí se establecen los lineamientos para asegurar que cuentas con los recursos necesarios (almacenamiento, capacidad de procesamiento, ancho de banda, etc.) para que tus servicios operen sin interrupciones y cumplan con los objetivos de disponibilidad. Esto aborda directamente el criterio A1.1 del TSC de Disponibilidad.
Gestión de respaldos
Esta parte de la política define las reglas para realizar copias de seguridad de la información crítica. Debes definir la frecuencia de los respaldos para cada sistema, lo cual es esencial para poder recuperar la información en caso de un fallo. Esto cumple con el criterio A1.2 del TSC de Disponibilidad.
Gestión de parches de seguridad
La actualización constante de los sistemas para corregir vulnerabilidades es un control tecnológico general fundamental (COSO Principio 11). La política debe establecer la obligación de gestionar y aplicar parches de seguridad de manera oportuna, y el monitoreo de este proceso es parte del criterio CC7.2.
Adquisición y mantenimiento de equipos y sistemas
Esta sección define que cualquier nueva tecnología que se adquiera debe cumplir con los requisitos de seguridad de la organización. Además, establece la necesidad de un mantenimiento periódico para garantizar el buen funcionamiento de la infraestructura, lo cual es otro control tecnológico clave.
💡Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
El área de Tecnología, los administradores de sistemas y el CTO son roles clave que deben participar en la creación y revisión de esta política.
Conoce los manuales de uso y las guías de configuración segura de los sistemas y servicios en la nube que utilizas para asegurarte de que implementas las mejores prácticas posibles.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.