👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
TSC: Seguridad (Common Criteria): Principio 7, 16 y 17 del Marco COSO, y los criterios CC7.1 y CC7.3.
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a dar un seguimiento adecuado y auditable a la corrección de las vulnerabilidades identificadas en el ejercicio de Ethical Hacking y/o en los escaneos de vulnerabilidades. Este plan es la evidencia de que tu organización no solo identifica las debilidades, sino que actúa para solucionarlas.
💡 El ejercicio de Ethical Hacking te brinda información más detallada, por lo que lo más recomendable es realizar estas pruebas de forma periódica y complementarlas con escaneos automatizados.
¿Qué tengo que hacer? 🚀
Antes de comenzar, es importante que cuentes con el reporte de Ethical Hacking y/o los resultados de los escaneos. El objetivo aquí es registrar, planificar y llevar un seguimiento oportuno de las acciones de remediación. Para ello, debes recopilar y registrar, por lo menos, la siguiente información para cada hallazgo:
Sistemas o aplicaciones afectadas: Indica los sistemas en el alcance de tu reporte SOC 2 que fueron evaluados.
Descripción de la vulnerabilidad: Esta información la obtendrás directamente de los reportes.
Gravedad de la vulnerabilidad: Los reportes de Ethical Hacking suelen proporcionar una criticidad, lo que te permite priorizar la remediación. La clasificación típicamente usada es la siguiente:
Clasificación | Descripción |
Crítica | Permiten la propagación de amenazas sin intervención del usuario. Deben ser remediadas de inmediato. |
Alta | Pueden poner en riesgo la confidencialidad, integridad y/o disponibilidad de los datos o servicios. Deben ser remediadas lo antes posible. |
Media | No son aprovechables en todo su potencial o son sencillas de combatir. Su remediación puede esperar hasta que las críticas y altas hayan sido tratadas. |
Baja | Son muy difíciles de aprovechar por un atacante y su impacto es mínimo. Su remediación puede postergarse. |
Estado actual de la vulnerabilidad: Indica si está Pendiente, En remediación o Remediada.
Responsables asignados: Asigna colaboradores con el conocimiento suficiente para remediar la vulnerabilidad.
Acciones de remediación: Documenta las acciones técnicas que se implementaron o implementarán para solucionar el hallazgo.
Fecha de remediación: Indica la fecha de cierre para completar el seguimiento.
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu plan fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Recuerda que para atender las vulnerabilidades, debes seguir el “Procedimiento de Gestión de Vulnerabilidades” definido por la empresa.
Realiza nuevas pruebas (retest) y/o escaneos para garantizar que las vulnerabilidades fueron realmente remediadas. Esta es una evidencia clave para SOC 2.
Planifica los ejercicios de Ethical Hacking para obtener, por lo menos, un reporte anual.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.