Pruebas de seguridad y gestión de vulnerabilidades SOC 2
Los auditores SOC 2 Tipo II examinan su programa de gestión de vulnerabilidades durante todo el período de auditoría. Se acabaron los días en que los análisis puntuales satisfacían a los auditores. KENSAI proporciona el rastro de evidencia continuo que requieren las auditorías SOC 2 modernas.
Iniciar evaluación SOC 2 → Reserve una demostraciónCriterios comunes SOC 2 para la gestión de vulnerabilidades
SOC 2 se basa en los Criterios de servicios de confianza (TSC) de AICPA. La evidencia de gestión de vulnerabilidad se requiere principalmente bajo elCriterios comunes (CC)relacionados con las operaciones del sistema y la gestión de cambios:
La entidad utiliza procedimientos de detección y monitoreo para identificar cambios en las configuraciones, nuevas vulnerabilidades y anomalías. Los auditores quieren ver: escaneo continuo de vulnerabilidades, procesos documentados y evidencia de que el monitoreo es continuo, no solo trimestral.
Se identifican y responden los incidentes de seguridad (incluida la explotación de vulnerabilidades). La gestión de vulnerabilidades influye directamente en el proceso de respuesta a incidentes.
Los cambios en la infraestructura, los datos, el software y los procesos se autorizan, diseñan, desarrollan, documentan, prueban, revisan e implementan. Se espera evidencia del escaneo de vulnerabilidades después de los cambios.
La entidad selecciona y desarrolla actividades de mitigación de riesgos, incluida la identificación y remediación de vulnerabilidades. Aquí es donde se evalúan sus SLA de priorización y remediación de vulnerabilidades.
💡 Tipo I frente a Tipo II:SOC 2 Tipo I es una evaluación de un momento dado. El tipo II cubre un período (normalmente de 6 a 12 meses). Para el Tipo II, los auditores tomarán muestras de evidencia de escaneo de vulnerabilidades durante todo el período de auditoría y buscarán una ejecución consistente y repetible. Una sola exploración en el mes 11 no pasará.
Lo que realmente piden los auditores de SOC 2
Según las solicitudes comunes de los auditores en los compromisos SOC 2, esto es lo que deberá proporcionar:
| Tipo de evidencia | Frecuencia | Lo que quieren los auditores |
|---|---|---|
| Resultados del análisis de vulnerabilidades | Mensual o continuo | Marcas de tiempo, alcance, recuento de hallazgos, desglose de gravedad |
| Informe de prueba de penetración | Anual | Metodología, alcance, hallazgos, estado de remediación. |
| Seguimiento de remediación | Continuo | Ruta de emisión de billetes desde el descubrimiento hasta la reparación y la nueva prueba |
| Registros de gestión de parches | Continuo | Parches críticos aplicados dentro del SLA (normalmente 30 días) |
| Política de gestión de vulnerabilidades | en auditoría | Política escrita con definiciones de gravedad y SLA de remediación |
| Documentación de aceptación de riesgos | Por excepción | Aceptación de riesgo firmada para vulnerabilidades conocidas sin parches |
Pruebas de penetración para SOC 2
Si bien SOC 2 no exige explícitamente la frecuencia de las pruebas de penetración, prácticamente todos los informes SOC 2 creíbles incluyen evidencia de pruebas de penetración anuales. Los auditores ven esto como evidencia de un programa maduro de gestión de vulnerabilidades.
Requisitos clave para la evidencia pentest SOC 2:
- Realizado por un tercero calificado (no solo por el equipo de seguridad interno)
- El alcance cubre los sistemas dentro del alcance de SOC 2 (no solo un subconjunto)
- El informe incluye hallazgos con clasificaciones de gravedad y recomendaciones de solución.
- Corrección de hallazgos altos/críticos documentados con confirmación de nueva prueba
- Resumen ejecutivo adecuado para su inclusión en el propio informe SOC 2
Cómo KENSAI apoya el cumplimiento de SOC 2
✓ Evidencia de escaneo continuo
Los escaneos diarios o semanales con informes con marca de tiempo brindan el rastro de evidencia continuo que los auditores SOC 2 Tipo II requieren durante todo el período de auditoría.
✓ Seguimiento de SLA de remediación
Defina y realice un seguimiento de los SLA de remediación por gravedad. KENSAI genera informes que muestran el cumplimiento de sus cronogramas documentados de remediación de vulnerabilidades.
✓ Escaneo activado por cambios
Active escaneos automáticamente después de cambios en la infraestructura para cumplir con los requisitos CC8.1 para pruebas de seguridad de cambios.
✓ Informes listos para el auditor
Exporte el historial de análisis, las métricas de corrección y el análisis de tendencias en formatos diseñados para la revisión del auditor. Reduzca significativamente el tiempo de preparación de auditorías.
✓ Flujo de trabajo de aceptación de riesgos
Documente las decisiones de aceptación de riesgos para vulnerabilidades que no se pueden remediar de inmediato, con firmas de aprobadores y fechas de revisión.
✓ Informes de cobertura de activos
Demuestre a los auditores que todos los sistemas incluidos están cubiertos por su programa de gestión de vulnerabilidades con un inventario completo de activos.
Creación de un programa de gestión de vulnerabilidades preparado para SOC 2
- Defina su política de gestión de vulnerabilidades— Documentar definiciones de gravedad, SLA de remediación (p. ej., Crítico: 7 días, Alto: 30 días, Medio: 90 días)
- Inventario de todos los activos dentro del alcance— El inventario completo de activos es la base; No puedes escanear lo que no sabes
- Implementar escaneo continuo— Como mínimo exploraciones semanales; preferido diariamente para sistemas orientados a Internet
- Establecer flujos de trabajo de remediación— Boletos, propietarios, plazos y criterios de cierre con evidencia
- Pruebas de penetración anuales— Contratar a un tercero calificado al menos una vez al año
- Excepciones de documentos— Para las vulnerabilidades que no se pueden remediar de inmediato, documente la aceptación del riesgo con una justificación comercial.
- Demostrar mejora de la tendencia— Los auditores quieren ver un programa que mejore con el tiempo, no estático.
Pase su auditoría SOC 2 con confianza
KENSAI proporciona el escaneo continuo de vulnerabilidades, el seguimiento de remediaciones y los informes listos para el auditor que requiere SOC 2 Tipo II. Comience a construir su rastro de evidencia hoy.
Iniciar cumplimiento de SOC 2 → Hable con un experto en cumplimiento