👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
TSC: Seguridad (Common Criteria): CC8.1.
TSC: Integridad del Procesamiento: PI1.1 y PI1.2.
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a documentar la metodología específica que sigue tu empresa para el desarrollo de software, asegurando que se apliquen las mejores prácticas de seguridad y control en cada una de las etapas. Es el "manual de operaciones" para tu equipo de desarrollo.
💡La implementación de esta metodología te permite tener un mejor control y trazabilidad sobre los cambios realizados al código de tus sistemas, identificar y asignar a los responsables más capacitados, y estandarizar tus procesos para cumplir con los exigentes requisitos de SOC 2.
¿Qué tengo que hacer? 🚀
La documentación de esta metodología debe abarcar todas las actividades del desarrollo, desde la definición de los requerimientos, hasta el paso a producción y el monitoreo posterior.
Define la metodología de desarrollo
Para comenzar, debes definir formalmente qué metodología de desarrollo de software utiliza tu empresa.
💡 Algunas de las metodologías ágiles más utilizadas son:
Scrum: Basada en iteraciones cortas y fijas (sprints) para conseguir entregables funcionales en cada ciclo.
Kanban: Consiste en visualizar el flujo de trabajo en un tablero para gestionar las tareas y optimizar la entrega.
Lean: Enfocada en la eficiencia, la eliminación de desperdicios y la mejora continua.
Documenta las actividades de cada etapa
Una vez identificada la metodología, debes documentar las actividades que se realizan en cada etapa. Tomando Scrum como ejemplo, las actividades a documentar podrían ser:
Solicitud de un nuevo requerimiento.
Priorización de los requerimientos (backlog grooming).
Planificación del sprint (sprint planning).
Seguimiento diario (daily).
Demostración del desarrollo (sprint review).
Aplicación de pruebas.
Paso a producción.
Comunicación.
Integra las medidas de seguridad y control
Al tener las etapas documentadas, puedes definir más fácilmente las medidas de seguridad y control que se aplican en cada una para cumplir con los criterios de SOC 2:
Escaneos del código fuente: Utilizar herramientas especializadas para identificar errores y vulnerabilidades antes del despliegue.
Revisión y autorización de los pasos a producción: Parte central del proceso de CC8.1.
Registro de los cambios: Mantener un historial de todas las modificaciones para tener trazabilidad.
Análisis de riesgos: Evaluar los riesgos de seguridad y de negocio antes de implementar cambios.
Pruebas de Integridad del procesamiento: Definir la obligatoriedad de realizar pruebas que verifiquen que los cambios no afectan la exactitud de los datos. Esto es crucial si el cambio modifica algoritmos de cálculo, flujos de datos o reportes.
Asignación de responsables: Definir claramente quién hace qué en cada etapa del proceso.
Esta metodología debe estar alineada a la “Política de Desarrollo Seguro” de la organización.
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu metodología fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Utiliza la metodología más adecuada para tus operaciones. Incluso puedes ajustarla a tus necesidades, siempre y cuando se alinee a las mejores prácticas de la industria.
Capacita y entrena periódicamente a tus colaboradores en las mejores prácticas de desarrollo. ¡Recuerda que para ello puedes apoyarte en el taller de "Capacitación de Desarrollo Seguro"!
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.