👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
TSC: Seguridad (Common Criteria): Principio 16 del Marco COSO y CC7.1, CC7.3
¿Para qué me sirve esta actividad? 📚
Esta actividad consiste en aplicar pruebas de seguridad proactivas a tus sistemas y aplicaciones para identificar vulnerabilidades y brechas de seguridad antes de que un atacante real pueda explotarlas. La detección proactiva de vulnerabilidades es una de las mejores prácticas para robustecer tu entorno de control y es un requisito fundamental en una auditoría de SOC 2.
¿Qué tengo que hacer? 🚀
Antes de comenzar, es importante comprender la diferencia entre un Ethical Hacking y un escaneo de vulnerabilidades, ya que ambos son parte de un programa de monitoreo robusto, como lo espera el Principio 16 de COSO.
El Ethical Hacking (o pentesting) es una evaluación separada y manual que simula un ciberataque real. Un experto intenta penetrar tus sistemas para encontrar vulnerabilidades complejas que afectan a la lógica del negocio.
Un Escaneo de Vulnerabilidades es un proceso automatizado, considerado una evaluación continua, que busca debilidades y vulnerabilidades conocidas en tus sistemas de forma periódica.
Si deseas conocer más sobre estas prácticas, te recomendamos leer el artículo “¿Qué es el Ethical Hacking o Pentesting?” de nuestro blog 🤓.
Como puedes ver, un escaneo de vulnerabilidades no ahonda mucho en el testeo de funcionalidades, no detecta vulnerabilidades que afecten a la lógica del negocio, o que requieran del pensamiento lateral de un hacker.
Por lo que, teniendo claros los conceptos para cada una de estas prácticas, debes tener en cuenta que para lograr esta actividad lo ideal es realizar un ejercicio de Ethical Hacking.
Si deseas contratar nuestro servicio de Ethical Hacking, no dudes en contactar a tu Customer Success Manager para más información ✨.
Si adicionalmente cuentas con escaneos de vulnerabilidades periódicos, ¡mejor! Para lograrlo, te recomendamos seguir estos pasos:
Solicita el Ethical Hacking
Contrata el servicio con Hackmetrix o con tu proveedor de preferencia.
Analiza los resultados y planifica la remediación
Una vez que recibas el reporte de resultados, analiza las vulnerabilidades encontradas y planifica cómo las solucionarás. Debes establecer las acciones, priorizar las más críticas y asignar responsables, todo alineado con tu “Procedimiento de Gestión de Vulnerabilidades”.
Realiza un retest
Después de aplicar las correcciones, es fundamental realizar un retest (una nueva prueba) para garantizar que las acciones de remediación fueron efectivas y que las vulnerabilidades fueron realmente solucionadas.
Monitorea y documenta el plan de remediación
El plan de remediación debe ser un documento vivo. Para ello te recomendamos incluir por lo menos:
Sistemas afectados.
Descripción y gravedad de las vulnerabilidades.
Estado actual (pendiente, en proceso, remediada).
Responsables y acciones de remediación.
Fecha de remediación.
Dentro del plan de acción de Hackmetrix, debes dar continuación a este plan de remediación en la actividad “Remediaciones Ethical Hacking + Escaneo de Vulnerabilidades”.
💡 Si durante una auditoría aún tienes vulnerabilidades sin remediar, ¡no te asustes! Lo más importante es que tengas un plan de remediación documentado y puedas justificar por qué no se han solucionado (por ejemplo, por presupuesto, complejidad técnica, etc.), demostrando que tienes un proceso de gestión maduro.
💡Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Para el cumplimiento de SOC 2, debes aplicar un Ethical Hacking por lo menos una vez al año.
Planifica con tiempo la remediación de las vulnerabilidades encontradas y asigna a los responsables más adecuados.
Mantente siempre al tanto del estado de las acciones de remediación, ya que esto es de suma importancia durante una auditoría.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.