👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
TSC: Seguridad (Common Criteria): Principios COSO 10, 14, 15, 17 y los criterios CC6.8, CC7.2, CC7.3, CC7.4, CC7.5 y CC9.1.
TSC: Privacidad: Criterios P6.3, P6.5 y P6.6.
TSC: Integridad del Procesamiento: Criterios PI1.1, PI1.3 y PI1.4.
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a establecer un procedimiento formal para gestionar adecuadamente los incidentes que puedan afectar a tu empresa. Para SOC 2, un "incidente" no se limita a un ciberataque, sino que es cualquier evento que comprometa la Seguridad, la Disponibilidad, la Confidencialidad, la Integridad del Procesamiento o la Privacidad de la información y los sistemas.
¿Qué tengo que hacer? 🚀
Un incidente puede ser desde un ataque de phishing hasta la caída de un servicio, una brecha de datos personales o un error que causa que los datos se procesen incorrectamente. Para documentar este procedimiento, te sugerimos considerar las siguientes actividades:
Notificación del incidente
Define claramente cómo cualquier persona (colaborador, cliente o proveedor) debe reportar un posible incidente. Se debe especificar el canal (por ejemplo, un correo a [email protected]), a quién notificar y qué información proporcionar. Esto es clave para cumplir con el requisito de concientización y reporte (CC6.8).
Clasificación del incidente
Una vez reportado, el incidente debe ser clasificado según su criticidad e impacto. Para SOC 2, el impacto no solo se mide en términos operativos, sino también en el efecto sobre:
La privacidad: ¿Se expuso información personal de los clientes?
La integridad del procesamiento: ¿El incidente causó que los datos se corrompieran o se procesaran de forma errónea?
Remediación del incidente
Aquí se definen las actividades para contener, erradicar y recuperarse del incidente. El plan de remediación debe ser flexible según el tipo de incidente:
Para incidentes de privacidad: El plan debe incluir pasos específicos para cumplir con las obligaciones legales de notificación de la brecha a los individuos afectados y a las autoridades regulatorias pertinentes (bajo GDPR o CCPA).
Para incidentes de integridad del procesamiento: El plan debe incluir acciones para corregir los datos erróneos, re-procesar transacciones si es necesario y restaurar la integridad de los sistemas.
Registro del Incidente
Todo incidente, su análisis y su resolución deben ser documentados. Este registro genera una base de conocimiento y es una evidencia fundamental para los auditores. Debe incluir, como mínimo: fecha, descripción, activo afectado, responsable, tratamiento aplicado y fecha de resolución.
Comunicación del Incidente
Define cuándo, cómo y a quién se debe comunicar el incidente. La comunicación es diferente según la audiencia y el impacto:
Comunicación interna: A las áreas afectadas y a la alta dirección/comité de seguridad.
Comunicación externa: A clientes, partes interesadas o entidades regulatorias. Para incidentes de privacidad, esta comunicación a menudo no es opcional, sino una obligación legal (P6.3).
💡Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Conoce tus Obligaciones de Notificación de Brechas: Investiga y comprende las leyes de notificación de brechas de datos (como GDPR, CCPA, etc.) que aplican a tu negocio. Estas leyes dictan plazos y métodos estrictos para la comunicación en caso de un incidente de privacidad.
Asigna a colaboradores capacitados para realizar cada una de las actividades de este procedimiento, especialmente para el análisis y la respuesta a incidentes.
Revisa, comunica y actualiza periódicamente este procedimiento para asegurar que siga siendo efectivo.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.