👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
TSC: Seguridad (Common Criteria): Específicamente, los siguientes Principios del Marco COSO Principio 13 y Principio 16.
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a documentar los resultados de las métricas e indicadores que evalúan el desempeño de tu sistema de controles internos establecida por la organización.
💡 Este listado te ayuda a llevar un seguimiento adecuado de las métricas y sus resultados. Además, te permite planificar las próximas evaluaciones para asegurar el cumplimiento continuo con los criterios de SOC 2.
¿Qué tengo que hacer? 🚀
Para lograr esta actividad y generar tu listado correctamente, debes mantener un registro con la siguiente información para cada métrica que definas:
Identificador de la métrica: Un código para referenciarla fácilmente (por ejemplo, SEG-01, DIS-01).
Objetivo asociado: La finalidad de la métrica. Para SOC 2, esto debe estar alineado a los objetivos de los controles o a los compromisos de servicio que tienes con tus clientes.
Cálculo de la métrica: La descripción de la fórmula a utilizar. Por ejemplo: "(Total de vulnerabilidades remediadas / Total de vulnerabilidades encontradas) * 100".
Descripción de la métrica: La explicación simple del resultado. Siguiendo el ejemplo anterior: "Porcentaje de vulnerabilidades remediadas en el último trimestre".
Parámetro aceptable: El umbral que define el éxito. Por ejemplo: "Mayor o igual al 90%".
Periodicidad de la medición: La frecuencia con la que se medirá (por ejemplo, Mensual, Trimestral).
Línea base de la métrica: Los datos brutos utilizados para el cálculo. Por ejemplo: "Se remediaron 18 de las 20 vulnerabilidades altas encontradas".
Resultados: El resultado numérico obtenido, que es la evidencia clave del desempeño.
Responsables: Quién es responsable de la medición y quién del análisis de los resultados.
Acciones correctivas: Si los resultados no cumplen el parámetro aceptable, aquí se documenta el plan de acción para corregir la desviación.
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu listado fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Analiza todas las métricas que puedan estar asociadas a tus objetivos para conocer si tu sistema de controles está funcionando correctamente.
Identifica, con base en los resultados de tus métricas, cualquier oportunidad de mejora para fortalecer tu entorno de control.
Mantén siempre informada a la alta dirección y/o tu comité de seguridad sobre los resultados de estas métricas, ya que son un insumo clave para la toma de decisiones.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.