剣 KENSAI
← All posts · security · 2026-01-01 · 6 min

Pruebas de seguridad y gestión de vulnerabilidades SOC 2

Los auditores SOC 2 Tipo II examinan su programa de gestión de vulnerabilidades durante todo el período de auditoría. Se acabaron los días en que los análisis puntuales satisfacían a los auditores. KENSAI proporciona el rastro de evidencia continuo que requieren las auditorías SOC 2 modernas.

Iniciar evaluación SOC 2 → Reserve una demostración

Criterios comunes SOC 2 para la gestión de vulnerabilidades

SOC 2 se basa en los Criterios de servicios de confianza (TSC) de AICPA. La evidencia de gestión de vulnerabilidad se requiere principalmente bajo elCriterios comunes (CC)relacionados con las operaciones del sistema y la gestión de cambios:

CC7.1 — Monitoreo del sistema

La entidad utiliza procedimientos de detección y monitoreo para identificar cambios en las configuraciones, nuevas vulnerabilidades y anomalías. Los auditores quieren ver: escaneo continuo de vulnerabilidades, procesos documentados y evidencia de que el monitoreo es continuo, no solo trimestral.

CC7.2 — Respuesta a incidentes

Se identifican y responden los incidentes de seguridad (incluida la explotación de vulnerabilidades). La gestión de vulnerabilidades influye directamente en el proceso de respuesta a incidentes.

CC8.1 — Gestión de cambios

Los cambios en la infraestructura, los datos, el software y los procesos se autorizan, diseñan, desarrollan, documentan, prueban, revisan e implementan. Se espera evidencia del escaneo de vulnerabilidades después de los cambios.

CC9.2 — Mitigación de riesgos

La entidad selecciona y desarrolla actividades de mitigación de riesgos, incluida la identificación y remediación de vulnerabilidades. Aquí es donde se evalúan sus SLA de priorización y remediación de vulnerabilidades.

💡 Tipo I frente a Tipo II:SOC 2 Tipo I es una evaluación de un momento dado. El tipo II cubre un período (normalmente de 6 a 12 meses). Para el Tipo II, los auditores tomarán muestras de evidencia de escaneo de vulnerabilidades durante todo el período de auditoría y buscarán una ejecución consistente y repetible. Una sola exploración en el mes 11 no pasará.

Lo que realmente piden los auditores de SOC 2

Según las solicitudes comunes de los auditores en los compromisos SOC 2, esto es lo que deberá proporcionar:

Tipo de evidenciaFrecuenciaLo que quieren los auditores
Resultados del análisis de vulnerabilidadesMensual o continuoMarcas de tiempo, alcance, recuento de hallazgos, desglose de gravedad
Informe de prueba de penetraciónAnualMetodología, alcance, hallazgos, estado de remediación.
Seguimiento de remediaciónContinuoRuta de emisión de billetes desde el descubrimiento hasta la reparación y la nueva prueba
Registros de gestión de parchesContinuoParches críticos aplicados dentro del SLA (normalmente 30 días)
Política de gestión de vulnerabilidadesen auditoríaPolítica escrita con definiciones de gravedad y SLA de remediación
Documentación de aceptación de riesgosPor excepciónAceptación de riesgo firmada para vulnerabilidades conocidas sin parches

Pruebas de penetración para SOC 2

Si bien SOC 2 no exige explícitamente la frecuencia de las pruebas de penetración, prácticamente todos los informes SOC 2 creíbles incluyen evidencia de pruebas de penetración anuales. Los auditores ven esto como evidencia de un programa maduro de gestión de vulnerabilidades.

Requisitos clave para la evidencia pentest SOC 2:

Cómo KENSAI apoya el cumplimiento de SOC 2

✓ Evidencia de escaneo continuo

Los escaneos diarios o semanales con informes con marca de tiempo brindan el rastro de evidencia continuo que los auditores SOC 2 Tipo II requieren durante todo el período de auditoría.

✓ Seguimiento de SLA de remediación

Defina y realice un seguimiento de los SLA de remediación por gravedad. KENSAI genera informes que muestran el cumplimiento de sus cronogramas documentados de remediación de vulnerabilidades.

✓ Escaneo activado por cambios

Active escaneos automáticamente después de cambios en la infraestructura para cumplir con los requisitos CC8.1 para pruebas de seguridad de cambios.

✓ Informes listos para el auditor

Exporte el historial de análisis, las métricas de corrección y el análisis de tendencias en formatos diseñados para la revisión del auditor. Reduzca significativamente el tiempo de preparación de auditorías.

✓ Flujo de trabajo de aceptación de riesgos

Documente las decisiones de aceptación de riesgos para vulnerabilidades que no se pueden remediar de inmediato, con firmas de aprobadores y fechas de revisión.

✓ Informes de cobertura de activos

Demuestre a los auditores que todos los sistemas incluidos están cubiertos por su programa de gestión de vulnerabilidades con un inventario completo de activos.

Creación de un programa de gestión de vulnerabilidades preparado para SOC 2

  1. Defina su política de gestión de vulnerabilidades— Documentar definiciones de gravedad, SLA de remediación (p. ej., Crítico: 7 días, Alto: 30 días, Medio: 90 días)
  2. Inventario de todos los activos dentro del alcance— El inventario completo de activos es la base; No puedes escanear lo que no sabes
  3. Implementar escaneo continuo— Como mínimo exploraciones semanales; preferido diariamente para sistemas orientados a Internet
  4. Establecer flujos de trabajo de remediación— Boletos, propietarios, plazos y criterios de cierre con evidencia
  5. Pruebas de penetración anuales— Contratar a un tercero calificado al menos una vez al año
  6. Excepciones de documentos— Para las vulnerabilidades que no se pueden remediar de inmediato, documente la aceptación del riesgo con una justificación comercial.
  7. Demostrar mejora de la tendencia— Los auditores quieren ver un programa que mejore con el tiempo, no estático.

Pase su auditoría SOC 2 con confianza

KENSAI proporciona el escaneo continuo de vulnerabilidades, el seguimiento de remediaciones y los informes listos para el auditor que requiere SOC 2 Tipo II. Comience a construir su rastro de evidencia hoy.

Iniciar cumplimiento de SOC 2 → Hable con un experto en cumplimiento

Artículos relacionados