Cumplimiento de la organización de servicios (SOC 2) mediante la validación de seguridad de RidgeBot™

 

 

Este documento técnico analiza cómo las capacidades de RidgeBot -incluyendo el descubrimiento de activos, la identificación de la superficie de ataque, la validación iterativa de la seguridad, las pruebas de penetración automatizadas y bajo demanda, y la explotación y corrección de vulnerabilidades- pueden ayudar a las organizaciones a cumplir con las especificaciones del Control de Organización de Servicios (SOC 2). Una certificación SOC 2 aumenta sustancialmente la confianza y la tranquilidad cuando las organizaciones contratan a proveedores o fabricantes en sus procesos de negocio, por ejemplo, muchas organizaciones centradas en la seguridad exigen el cumplimiento de SOC 2 antes de considerar un proveedor de SaaS.

Introducción

Las organizaciones rara vez operan de forma aislada. Cada vez más organizaciones de todos los tamaños subcontratan aspectos de sus operaciones para aprovechar los beneficios económicos de las relaciones comerciales con otras organizaciones -proveedores de servicios, proveedores de la cloud, socios, vendedores- para lograr sus objetivos de forma más eficiente y competitiva. Aunque estas relaciones pueden aumentar los ingresos, ampliar las oportunidades de mercado o reducir los costes de una organización, también introducen riesgos derivados de las interacciones entre los sistemas de la organización y los de la organización de servicios.

Las especificaciones SOC 2 fueron desarrolladas por el Instituto Americano de Contadores Públicos Certificados (AICPA) alrededor de 2010, y revisadas en 2013 y 2017. El AICPA es la organización profesional nacional de Contadores Públicos Certificados (CPA) en los Estados Unidos, con más de 400.000 miembros en más de 100 países en los negocios y la industria, la práctica pública, el gobierno, la educación, los estudiantes afiliados y los asociados internacionales. El Instituto se fundó en 1887 con el objetivo de establecer normas éticas para la profesión contable estadounidense, así como normas de auditoría para empresas privadas, organizaciones sin ánimo de lucro y gobiernos federales, estatales y locales.

Visión general del SOC

Los controles de sistemas y organizaciones (SOC) son un conjunto de ofertas de servicios que los contadores públicos pueden ofrecer en relación con los controles a nivel de sistema de una organización de servicios, o con los controles a nivel de entidad de otras organizaciones. El conjunto de ofertas SOC incluye:

  • SOC para organizaciones de servicios: Informes de control interno sobre los servicios prestados por una organización de servicios. Estos informes documentan información valiosa para que las organizaciones puedan evaluar y abordar los riesgos asociados a un servicio externalizado:

°    SOC 1: SOC para organizaciones de servicios-Control interno sobre la información financiera (ICFR).

°    SOC 2: SOC para Organizaciones de Servicios-Criterios de Servicios de Confianza.

°    SOC 3: SOC para Organizaciones de Servicios-Criterios de Servicios de Confianza para el Informe de Uso General.

  • SOC de Ciberseguridad: Un marco de información a través del cual las organizaciones pueden comunicar información útil relevante sobre la eficacia de su programa de gestión de riesgos de ciberseguridad, y los contadores públicos pueden informar sobre dicha información para satisfacer las necesidades de información sobre ciberseguridad de una amplia gama de partes interesadas.
  • SOC para la cadena de suministro: Un informe de control interno sobre el sistema y los controles de una entidad para producir, fabricar o distribuir bienes para comprender mejor los riesgos de ciberseguridad en sus cadenas de suministro

El resto de este documento técnico se centra en el cumplimiento de los requisitos de la norma SOC 2: Criterios de Servicios de Confianza , como se documenta aquí.

Auditoría y certificación SOC 2

El propósito de los Criterios de Confianza SOC 2 es proporcionar confianza y tranquilidad cuando las organizaciones contratan a proveedores de tercera parte en sus procesos de negocio. Para lograr la certificación SOC 2, una organización es auditada por un contador público independiente con licencia que emite un certificado tras determinar si la organización cuenta con las salvaguardas y los procedimientos adecuados.

Los auditores proporcionan un informe SOC 2 para una organización que detalla los sistemas y controles que usted tiene para el cumplimiento de la seguridad. Los auditores verifican las pruebas y comprueban si usted cumple los principios de confianza pertinentes. El informe documenta una valiosa información que permite a las organizaciones evaluar y abordar los riesgos asociados a un servicio externalizado.

Criterios de confianza SOC 2

La conformidad SOC 2 enumera criterios específicos para gestionar correctamente los datos de los clientes. Al igual que ocurre con otros requisitos legales y estándares del sector, como ISO 27001, PCI DSS e HIPAA, las especificaciones de cumplimiento de SOC 2 contienen una mezcla de requisitos de gestión organizativa, procesos y procedimientos, así como estipulaciones centradas en la tecnología.

Los criterios de confianza SOC 2 constan de 5 categorías de servicios de confianza:

  • Seguridad
  • Disponibilidad
  • Integridad del procesamiento
  • Confidencialidad
  • Privacidad

La categoría de seguridad abarca los controles de acceso para evitar ataques malintencionados, la alteración o destrucción no autorizada de datos, el uso indebido de los sistemas de la organización o el acceso o la divulgación no autorizados de información de la empresa o de los clientes. Una lista de verificación de los controles que deben implementarse incluye:

  • Controles de acceso lógicos y físicos: Restricción y gestión de los accesos lógicos y físicos para evitar accesos involuntarios y no autorizados.
  • Operaciones del sistema: Detectar y mitigar las desviaciones de los procedimientos establecidos.
  • Gestión de cambios: Es la implantación de un proceso para evitar cambios no autorizados en el sistema.
  • Mitigación de riesgos: Actividades de mitigación de riesgos para evitar las interrupciones de la continuidad del negocio.

Los Criterios de Servicios de Confianza SOC 2 están alineados con los 17 principios establecidos en el marco COSO: el Marco Integrado de Control Interno desarrollado por el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO). Además de los 17 principios del marco COSO, se comparten ciertos criterios comunes entre todas las categorías de servicios de confianza (seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad), así como ciertos criterios suplementarios añadidos aplicables a cada categoría, como se indica en la tabla siguiente.

Categoría de servicios fiduciarios

Criterios comunes

Criterios suplementarios específicos de la categoría

Seguridad

Serie CC

N/A

Disponibilidad

Serie CC

Serie A

Integridad del proceso

Serie CC

Serie PI

Confidencialidad

Serie CC

Serie C

Privacidad

Serie CC

Serie P

 

SOC 2 Esquema de contenidos

Para proporcionar una espectativa sobre dónde puede ayudar RidgeBot con el cumplimiento, el esquema estructural de los Criterios de Servicios de Confianza SOC 2 (TSP Sección 100 2017 Criterios de Servicios de Confianza para la Seguridad, la Disponibilidad, la Integridad del Procesamiento, la Confidencialidad y la Privacidad) se da a continuación, destacando las secciones específicas que se refieren a la protección de los recursos tecnológicos. El texto completo de la especificación lo puede consultar aquí.

 

Criterios comunes de COSO

  • Serie CC1: El entorno de control
°    CC1.1: Principio 1 de COSO

°    CC1.2: Principio 2 de COSO

°    CC1.3: Principio 3 de COSO

°    CC1.4: Principio 4 de COSO

°    CC1.5: Principio 5 de COSO

  • Serie CC2: Comunicación e Información
°    CC2.1: Principio 13 de COSO

°    CC2.2: Principio 14 de COSO

°    CC2.3: Principio 15 de COSO

  • Serie CC3: Evaluación de riesgos
°    CC3.1: Principio 6 de COSO

°    CC3.2: Principio 7 de COSO

°    CC3.3: Principio 8 de COSO

°    CC3.4: Principio 9 de COSO

  • Serie CC4: Supervisión de Controles
°    CC4.1: Principio 16 de COSO

°    CC4.2: Principio 17 de COSO

  • Serie CC5: Actividades de control (relacionadas con el diseño y la aplicación de controles)
°    CC5.1: Principio 10 de COSO

°    CC5.2: Principio 11 de COSO

°    CC5.3: Principio 12 de COSO

Criterios complementarios al Principio 12 de COSO

  • Serie CC6: Controles de acceso lógico y físico
°    CC6.1: Principio 12 de COSO, suplemento 6.1

°    CC6.2: Principio COSO 12, suplemento 6.2

°    CC6.3: Principio COSO 12, suplemento 6.3

°    CC6.4: Principio COSO 12, suplemento 6.4

°    CC6.5: Principio COSO 12, suplemento 6.5

°    CC6.6: Principio COSO 12, suplemento 6.6

°    CC6.7: Principio COSO 12, suplemento 6.7

°    CC6.8: Principio COSO 12, suplemento 6.8
  • Serie CC7: Operaciones del sistema
°    CC7.1: Principio COSO 12, suplemento 7.1

°    CC7.2: Principio COSO 12, suplemento 7.2

°    CC7.3: Principio COSO 12, suplemento 7.3

°    CC7.4: Principio COSO 12, suplemento 7.4

°    CC7.5: Principio COSO 12, suplemento 7.5
  • Serie CC8: Gestión del cambio
°    CC8.1: Principio COSO 12, suplemento 8.1
  • Serie CC9: Mitigación de riesgos
°    CC9.1: Principio COSO 12, suplemento 9.1

°    CC9.2: Principio COSO 12, suplemento 9.2

Criterios suplementarios aplicables a categorías específicas de fideicomisos

  • Serie A: Criterios adicionales de disponibilidad

°    A1.1: Capacidad

°    A1.2: Protecciones ambientales y copias de seguridad

°    A1.3: Procedimientos de recuperación del sistema
  • Serie C: Criterios adicionales de confidencialidad

°    C1.1: Identifica la información confidencial

°    C1.2: Eliminación de la información confidencial

  • Serie PI: Criterios adicionales para la integridad del tratamiento (sobre la prestación de servicios o la producción, fabricación o distribución de bienes)

°    PI1.1: Objetivos de calidad

°    PI1.2: Exactitud e integridad de las entradas del sistema

°    PI1.3: Resultados del sistema

°    PI1.4: Entrega de resultados

°    PI1.5: Elementos almacenados

  • Serie P: Criterios adicionales para la privacidad

°    P1.0 – P1.1: Criterios de privacidad relacionados con la notificación y la comunicación de objetivos relacionados con la privacidad

°    P2.0 – P2.1: Criterios de privacidad relacionados con la elección y el consentimiento

°    P3.0 – P3.2: Criterios de privacidad relacionados con la recogida

°    P4.0 – P4.3: Criterios de privacidad relacionados con el uso, la conservación y la eliminación

°    P5.0 – P5.2: Criterios de privacidad relacionados con el acceso

°    P6.0 – P6.7: Criterios de privacidad relacionados con la divulgación y la notificación

°    P7.0 – P7.1: Criterios de privacidad relacionados con la calidad

°    P8.0 – P8.1: Criterios de privacidad relacionados con la supervisión y la aplicación de la ley

¿Cómo RidgeBot puede ayudar?

RidgeBot le ayuda a encontrar los déficits de seguridad en sus activos, y le proporciona orientación y clasificación de prioridades sobre cómo remediar inmediatamente cualquier exposición. Además, RidgeBot le ayuda a mantener, de forma continuada y rentable, una postura de seguridad que se ajuste siempre a los últimos métodos de ataque y a la información sobre amenazas.

Algunas de las principales ventajas de RidgeBot para la seguridad de su organización son:

  • Mejorar y simplificar las actividades y procesos de seguridad

° Descubrir, inventariar y documentar los componentes del sistema, los activos y las superficies de ataque. Como RidgeBot está totalmente automatizado, puede hacer esto de forma continua, o a intervalos mucho más frecuentes, que los anteriores procesos manuales periódicos.

  • Los informes ayudan a documentar las vulnerabilidades encontradas, explotadas, remediadas y validadas.
  • Los informes proporcionan una clara clasificación de los riesgos para centrar la actividad de corrección manual en las vulnerabilidades de mayor riesgo.
  • La flexibilidad de RidgeBot le permite realizar pruebas de ataque desde el interior y el exterior de su entorno.
  • La base de conocimientos de la Plataforma de Inteligencia de Amenazas de RidgeSecurity le asegura estar siempre al día con la información sobre vulnerabilidades de seguridad líder en la industria.
  • Ejecute los ataques, escaneos y explotaciones de RidgeBot como parte estándar de su política de seguridad continua.
  • Validación continua de la seguridad
    • RidgeBot proporciona un endurecimiento iterativo y continuo y un inventario de activos sin coste alguno. Puede ejecutar diferentes escaneos y explotaciones de forma periódica o continua, ya que está totalmente automatizado y no se requiere ninguna intervención manual hasta que se notifique una vulnerabilidad.
    • La supervisión continua y el descubrimiento de activos protegen contra la intrusión de hackers causada por un empleado (o cualquier otra persona) que conecte accidentalmente o de forma maliciosa dispositivos IoT, inalámbricos u otros no autorizados al entorno.
    • Los informes de escaneo proporcionan una breve lista de vulnerabilidades explotables que deben ser documentadas y resueltas. El resultado del informe garantiza que todos los parches y actualizaciones de software necesarios para resolver las vulnerabilidades peligrosas se instalen en todos los activos afectados.
  • Desarrollo de software DevOps/SecOps y pruebas de parches/lanzamientos
    • Utilice RidgeBot durante el proceso de desarrollo de software para ayudar a garantizar que las prácticas de codificación peligrosas que introducen vulnerabilidades nunca lleguen a las nuevas versiones de software.
    • RidgeBot para reforzar los parches de software, las actualizaciones de software, los nuevos dispositivos y cualquier cambio de configuración antes de introducirlos en el entorno de producción.
  • Validación de la postura de seguridad
    • Ataque continuo e iterativo al entorno de producción para mantener la postura de seguridad y descubrir errores de configuración en dispositivos o servicios de seguridad inalámbricos o defensivos, como reglas de cortafuegos o dispositivos UTM.
    • Supervise y refuerce continuamente las credenciales de inicio de sesión en los activos sensibles.
  • Auditoría de cumplimiento
    • El escaneo continuo de descubrimiento de activos y los intentos de ataque y explotación (y los informes emitidos) significan que su entorno está siempre listo para la auditoría.
    • Utilice los informes de RidgeBot para presentar pruebas de las vulnerabilidades sondeadas, remediadas y resueltas.
  • Respuesta a incidentes de seguridad
    • Los informes de escaneo, que contienen soluciones recomendadas para cada vulnerabilidad encontrada, proporcionan información crítica a su equipo de respuesta a incidentes de seguridad/escalada.
    • La clasificación de riesgos de las vulnerabilidades alimenta las prioridades y los procedimientos de respuesta a los incidentes.
    • Los ataques de explotación de RidgeBot con IA/ML proporcionan capacidades forenses para investigar el origen y el camino seguido por una violación, así como una guía paso a paso sobre cómo resolver la vulnerabilidad del punto de entrada.

 

     

     

     

     

     

     

     

    RidgeBot incluye varias plantillas de escaneo que se pueden utilizar fácilmente, así como la

    flexibilidad para personalizar completamente sus propias exploraciones. Las plantillas del sistema incluyen:

    • Escaneo completo: Esta prueba lanza numerosas técnicas de ataque utilizadas por los hackers del mundo real. Basándose en la inteligencia de amenazas y en una base de conocimientos de exploits, RidgeBot perfila los activos, mina las vulnerabilidades y lanza ataques contra los activos objetivo, que pueden ser internos o externos a su entorno, en un entorno privado o público.
    • Análisis de ransomware: Esta prueba se centra específicamente en la lucha contra los ataques de ransomware. Lanza escaneos para 27 vulnerabilidades de puntos de entrada de ransomware de alto perfil, incluye la capacidad de atacar y explotar estas vulnerabilidades, e informa en detalle exactamente cómo se lograron las explotaciones exitosas. Con el tiempo se añadirán definiciones de más ataques de ransomware, y usted puede añadirlas a su arsenal de seguridad descargando las actualizaciones periódicas de RidgeBot.
    • Esta prueba lanza ataques directos o iterativos basados en información sensible recogida a través de credenciales débiles o vulnerabilidades de acceso no autorizadas. Los objetivos de los ataques incluyen redis, elasticsearch, ActiveMQ, base de datos, inicio de sesión web y otras aplicaciones
    • Escaneo de Struts2:Esta prueba lanza ataques directos o iterativos basados en vulnerabilidades conocidas de 1 o n días detectadas en objetivos que utilizan el marco Struts 2.
    • Escaneo de Weblogic: Esta prueba lanza ataques directos o iterativos basados en las vulnerabilidades conocidas de 1 o n días detectadas en objetivos que utilizan el middleware Weblogic.
    • Escaneo web: Esta prueba lanza ciberataques contra los sitios web objetivo, las aplicaciones web y todas las superficies de ataque relacionadas para obtener el control del sitio web objetivo, tanto para los sitios web de desarrollo propio como para los basados en sistemas de gestión de contactos.
    • Escaneo de host: Esta prueba lanza ataques directos o iterativos desde el interior de una red corporativa para validar la respuesta del sistema de seguridad a una amenaza interna. Los sistemas objetivo incluyen todos los hosts y servidores internos accesibles desde la red.

    ¿Cómo puede RidgeBot ayudar con los requisitos específicos de SOC 2?

    En esta sección sólo se enumeran los extractos pertinentes de los requisitos. El texto completo del pliego de condiciones puede consultarse aquí.

    CC1: Entorno de control

    Requisito CC1.1: Principio COSO 1-La entidad demuestra un compromiso con la integridad y los valores éticos.

    • Aborda las desviaciones de manera oportuna: las desviaciones de las normas de conducta esperadas de la entidad se identifican y remedian de manera oportuna y coherente..
    Usar RidgeBot para cumplir:
    • Los informes de escaneo y explotación pueden ayudarle a recopilar rápidamente una documentación coherente y comparable de las vulnerabilidades encontradas, la clasificación de las vulnerabilidades, las explotaciones exitosas y las medidas de mitigación y reparación adoptadas. Esta información puede ser utilizada para tomar acciones de mitigación, documentar acciones de mitigación pasadas, y/o preparar informes de gestión.
    • Los informes de exploración y explotación incluyen soluciones de mitigación recomendadas para cada vulnerabilidad. Siguiendo estas soluciones recomendadas se pueden solucionar las desviaciones de forma rápida y sencilla.

    CC2: Comunicación e información

    Requisito CC2.1: Principio COSO 13-La entidad obtiene o genera y utiliza información relevante y de calidad para apoyar el funcionamiento del control interno.

    • Captura de fuentes de datos internas y externas-Los sistemas de información capturan fuentes de datos internas y externas.
    • Procesa los datos relevantes en información-Los sistemas de información procesan y transforman los datos relevantes en información.
     Usar RidgeBot para cumplir:
    • El descubrimiento automatizado de activos puede ayudarle a recopilar y mantener un inventario de todos los activos de procesamiento de datos (fuentes de datos) y superficies de ataque (las vulnerabilidades de sus fuentes de datos).
    • Además, un escaneo de descubrimiento de activos detecta y documenta de forma iterativa los cambios en la presencia de activos que quizás puedan suponer un riesgo para sus fuentes de datos.
    • Los informes de escaneo y explotación pueden ayudarle a compilar rápidamente un resumen coherente y comparable y una documentación procesable de las vulnerabilidades encontradas, la clasificación de las vulnerabilidades, las explotaciones exitosas y las medidas de mitigación y reparación adoptadas. Esta información resume una gran cantidad de resultados de escaneo de vulnerabilidad en información procesable.

     

    CC3: Evaluación de riesgos

    Requisito CC3.1: Principio 6 de COSO-La entidad especifica los objetivos con suficiente claridad para permitir la identificación y evaluación de los riesgos relacionados con los objetivos.

    • Considera las tolerancias para el riesgo-La gestión considera los niveles aceptables de variación en relación con el logro de los objetivos de las operaciones.
    Uso de RidgeBot para cumplir:
    • Los informes de escaneo y explotación pueden ayudarle a recopilar rápidamente un resumen coherente y comparable y una documentación procesable de las vulnerabilidades encontradas, la clasificación de las vulnerabilidades, las explotaciones exitosas y las medidas de mitigación y reparación adoptadas. La información sobre la clasificación puede utilizarse para juzgar los niveles de riesgo aceptables.

    Requisito CC3.2: Principio 7 de COSO-La entidad identifica los riesgos para la consecución de sus objetivos en toda la entidad y analiza los riesgos como base para determinar cómo deben gestionarse.

    • Incluye los niveles de entidad, filial, división, unidad operativa y funcional-La entidad identifica y evalúa el riesgo en los niveles de entidad, filial, división, unidad operativa y funcional relevantes para la consecución de los objetivos.
    • Analiza los factores internos y externos: la identificación de los riesgos tiene en cuenta tanto los factores internos como los externos y su impacto en la consecución de los objetivos. externos y su impacto en la consecución de los objetivos.
    • Implica a los niveles de gestión adecuados-La entidad pone en marcha mecanismos eficaces de evaluación de riesgos que implican a los niveles de gestión adecuados.
    • Estimación de la importancia de los riesgos identificados: los riesgos identificados se analizan mediante un proceso que incluye la estimación de la importancia potencial del riesgo.
    • Determina cómo responder a los riesgos: la evaluación de riesgos incluye la consideración de cómo debe gestionarse el riesgo y si hay que aceptarlo, evitarlo, reducirlo o compartirlo.
    • Identifica y evalúa la criticidad de los activos de información e identifica las amenazas y vulnerabilidades-El proceso de identificación y evaluación de riesgos de la entidad incluye (1) la identificación de los activos de información, incluidos los dispositivos y sistemas físicos, los dispositivos virtuales, el software, los datos y los flujos de datos, los sistemas de información externos y las funciones de la organización; (2) la evaluación de la criticidad de esos activos de información; (3) la identificación de las amenazas a los activos derivadas de actos intencionados (incluidos los malintencionados) y no intencionados y los eventos ambientales; y (4) la identificación de las vulnerabilidades de los activos identificados.
    • Analiza las amenazas y vulnerabilidades de los proveedores, socios comerciales y otras partes: el proceso de evaluación de riesgos de la entidad incluye el análisis de las posibles amenazas y vulnerabilidades derivadas de los proveedores que suministran bienes y servicios, así como las amenazas y vulnerabilidades derivadas de los socios comerciales, clientes y otras personas con acceso a los sistemas de información de la entidad.
    • Considera la importancia del riesgo-La consideración por parte de la entidad de la importancia potencial de los riesgos identificados incluye (1) determinar la criticidad de los activos identificados para el cumplimiento de los objetivos; (2) evaluar el impacto de las amenazas y vulnerabilidades identificadas para el cumplimiento de los objetivos; (3) evaluar la probabilidad de las amenazas identificadas; y (4) determinar el riesgo asociado a los activos en función de la criticidad de los activos, el impacto de las amenazas y la probabilidad.
    Uso de RidgeBot para cumplir:
    • Un análisis de penetración y explotación ayuda a verificar la postura de seguridad de todos los sistemas internos, así como de cualquier activo y servicio externo alojado en la nube o en el proveedor. Los sistemas internos y externos de las filiales, los vendedores, los proveedores de servicios, los socios comerciales u otras partes pueden evaluarse en cuanto a riesgos mediante un análisis de penetración y explotación en el entorno adecuado.
    • Los informes de escaneo y explotación pueden ayudarle a recopilar rápidamente un resumen coherente y comparable y una documentación procesable de las vulnerabilidades encontradas, la clasificación de las vulnerabilidades, las explotaciones exitosas y las medidas de mitigación y reparación adoptadas. La información sobre la clasificación puede utilizarse para determinar la importancia y la probabilidad de los riesgos identificados. La información sobre las medidas correctivas/de mitigación puede utilizarse para ayudar a determinar la mejor manera de responder a los riesgos identificados, o para preparar informes de gestión sobre los riesgos y las medidas de mitigación.
    • La detección automatizada de activos puede ayudarle a recopilar y mantener un inventario de todos los activos de procesamiento de datos y superficies de ataque.
    • Un escaneo de descubrimiento de activos descubre y documenta de forma iterativa los cambios en la presencia de activos que deberían incluirse en una evaluación de riesgos o en un inventario de activos.

     

    Requirement CC3.3Principio 8 de COSO-La entidad considera la posibilidad de fraude al evaluar los riesgos para la consecución de los objetivos.

    • Considera varios tipos de fraude-La evaluación del fraude considera la presentación de informes fraudulentos, la posible pérdida de activos y la corrupción resultante de las diversas formas en que puede producirse el fraude y la mala conducta.
    • Evalúa las oportunidades-La evaluación del riesgo de fraude tiene en cuenta las oportunidades de adquirir, utilizar o disponer de activos sin autorización, alterar los registros de información de la entidad o cometer otros actos inapropiados.
    • Considera los riesgos relacionados con el uso de TI y el acceso a la información-La evaluación de los riesgos de fraude incluye la consideración de las amenazas y vulnerabilidades que surgen específicamente del uso de TI y del acceso a la información.
    Uso de RidgeBot para cumplir:
     
    • Los informes de escaneo y explotación pueden ayudarle a recopilar una documentación coherente y comparable de las vulnerabilidades encontradas, la clasificación de las mismas, las explotaciones exitosas y las medidas de mitigación y reparación adoptadas. Esta información puede utilizarse en una evaluación de las oportunidades de fraude y ayudar a tomar las medidas de mitigación adecuadas..
    • Un análisis automatizado de descubrimiento de activos verifica de forma continua que no haya nuevos dispositivos no planificados conectados a la infraestructura que puedan introducir nuevas vulnerabilidades. Por ejemplo, un atacante podría configurar un punto de acceso inalámbrico fraudulento o instalar un dispositivo IoT que permita el acceso remoto a la red interna.
    • Un escaneo de pen-test-and-exploit puede revelar puntos débiles en los procesos y sistemas de seguridad física (cámaras, sistemas de vigilancia, sistemas de registro, cerraduras de puertas controladas digitalmente, registros de auditoría) que podrían conceder a un atacante acceso físico o electrónico a sistemas o áreas seguras, o permitir la manipulación de las cámaras de vigilancia o de los registros o grabaciones almacenados.
      • Considera varios tipos de fraude-La evaluación del fraude considera la presentación de informes fraudulentos, la posible pérdida de activos y la corrupción resultante de las diversas formas en que puede producirse el fraude y la mala conducta.
      • Evalúa las oportunidades-La evaluación del riesgo de fraude tiene en cuenta las oportunidades de adquirir, utilizar o disponer de activos sin autorización, alterar los registros de información de la entidad o cometer otros actos inapropiados.
      • Considera los riesgos relacionados con el uso de TI y el acceso a la información-La evaluación de los riesgos de fraude incluye la consideración de las amenazas y vulnerabilidades que surgen específicamente del uso de TI y del acceso a la información.
      Uso de RidgeBot para cumplir:
       
      • Los informes de escaneo y explotación pueden ayudarle a recopilar una documentación coherente y comparable de las vulnerabilidades encontradas, la clasificación de las mismas, las explotaciones exitosas y las medidas de mitigación y reparación adoptadas. Esta información puede utilizarse en una evaluación de las oportunidades de fraude y ayudar a tomar las medidas de mitigación adecuadas..
      • Un análisis automatizado de descubrimiento de activos verifica de forma continua que no haya nuevos dispositivos no planificados conectados a la infraestructura que puedan introducir nuevas vulnerabilidades. Por ejemplo, un atacante podría configurar un punto de acceso inalámbrico fraudulento o instalar un dispositivo IoT que permita el acceso remoto a la red interna.
      • Un escaneo de pen-test-and-exploit puede revelar puntos débiles en los procesos y sistemas de seguridad física (cámaras, sistemas de vigilancia, sistemas de registro, cerraduras de puertas controladas digitalmente, registros de auditoría) que podrían conceder a un atacante acceso físico o electrónico a sistemas o áreas seguras, o permitir la manipulación de las cámaras de vigilancia o de los registros o grabaciones almacenados.

    Requisito CC3.4: Principio 9 de COSO-La entidad identifica y evalúa los cambios que podrían afectar significativamente al sistema de control interno.

    • Evalúa los cambios en el entorno externo: El proceso de identificación de riesgos tiene en cuenta los cambios en el entorno normativo, económico y físico en el que opera la entidad.
    • Evalúa los cambios en el modelo de negocio-La entidad considera los impactos potenciales de las nuevas líneas de negocio, las composiciones dramáticamente alteradas de las líneas de negocio existentes, las operaciones de negocio adquiridas o desinvertidas en el sistema de control interno, el rápido crecimiento, la dependencia cambiante de las geografías extranjeras y las nuevas tecnologías.
    • Evalúa los cambios en los sistemas y la tecnología: el proceso de identificación de riesgos tiene en cuenta los cambios que se producen en los sistemas de la entidad y los cambios en el entorno tecnológico.
    • Evalúa los cambios en las relaciones con los proveedores y socios comerciales-El proceso de identificación de riesgos de riesgos tiene en cuenta los cambios en las relaciones con los proveedores y socios comerciales.
    Uso de RidgeBot para cumplir:
    • Un análisis automatizado de descubrimiento de activos verifica de forma continua que no haya nuevos dispositivos no planificados conectados a la infraestructura que puedan introducir nuevas vulnerabilidades. Por ejemplo, un atacante podría configurar un punto de acceso inalámbrico fraudulento o instalar un dispositivo IoT que permita el acceso remoto a la red interna.
    • Un análisis de penetración y explotación ayuda a verificar la postura de seguridad de todos los sistemas internos, así como de cualquier activo y servicio externo alojado en la nube o en el proveedor. Los sistemas internos y externos de las filiales, los vendedores, los proveedores de servicios, los socios comerciales u otras partes pueden ser evaluados en cuanto a su riesgo mediante un escaneo de pen-test-and-exploit en el entorno apropiado. Esta evaluación de riesgos puede realizarse antes de contratar a un nuevo proveedor o socio, o puede ejecutarse de forma continua para garantizar que los procesos o entornos empresariales modificados no introduzcan nuevas vulnerabilidades.
    • Las capacidades automatizadas de pen-test-and-exploit pueden ejecutarse de forma rentable con la frecuencia necesaria, en lugar de realizar pruebas puntuales. Esto garantiza la tranquilidad de que sus activos están continuamente bloqueados y que las nuevas vulnerabilidades se detectan inmediatamente después -o a menudo antes- de que se introduzcan en su entorno de producción. Esto puede ayudar a proteger contra los riesgos y oportunidades de fraude introducidos inadvertidamente por los cambios en el entorno operativo o el modelo de negocio.

    CC4: Seguimiento de controles

    Requisito CC4.1: Principio 16 de COSO-La entidad selecciona, desarrolla y realiza evaluaciones continuas y/o separadas para determinar si los componentes del control interno están presentes y funcionan.

    • Considera una mezcla de evaluaciones continuas y separadas-La dirección incluye un equilibrio de evaluaciones continuas y separadas.
    • Considera el índice de cambio-La dirección tiene en cuenta el índice de cambio de la empresa y de los procesos empresariales a la hora de seleccionar y desarrollar evaluaciones continuas y separadas.
    • Establece la comprensión de la línea de base: el diseño y el estado actual de un sistema de control internos.
    • Considera diferentes tipos de evaluaciones continuas y separadas-La dirección utiliza una variedad de diferentes tipos de evaluaciones continuas y separadas, incluyendo pruebas de penetración pruebas de penetración, certificaciones independientes realizadas según especificaciones establecidas (por ejemplo, certificaciones ISO) y evaluaciones de auditoría interna.
    Uso de RidgeBot para cumplir:
    • La detección automatizada de activos puede ayudarle a recopilar y mantener de forma continua (con la frecuencia necesaria) un inventario de todos los activos de procesamiento de datos y superficies de ataque. La documentación del escaneo puede proporcionar una línea de base de los activos.
    • Un escaneo automatizado de descubrimiento de activos verifica de forma continua que no haya nuevos dispositivos no planificados conectados a la infraestructura que puedan introducir vulnerabilidades. Por ejemplo, un atacante podría configurar un punto de acceso inalámbrico fraudulento o instalar un dispositivo IoT que permita el acceso remoto a la red interna.

    Las capacidades automatizadas de pen-test-and-exploit pueden ejecutarse de forma rentable con la frecuencia necesaria, en lugar de, o además de, hacer pruebas ocasionales de una sola vez. Esto garantiza la tranquilidad de que sus activos están continuamente bloqueados y que las nuevas vulnerabilidades se detectan inmediatamente después -o a menudo antes  de que se introduzcan en su entorno de producción. Esto puede ayudar a proteger los activos en todo momento en un entorno de rápido cambio

    Requisito CC4.2: Principio 17 de COSO-La entidad evalúa y comunica oportunamente las deficiencias del control interno a las partes responsables de tomar medidas correctivas, incluida la alta dirección y el consejo de administración, según proceda.

    • Valora los resultados-La dirección y el consejo de administración, según proceda, valoran los resultados de las evaluaciones en curso y de las independientes.
    • Comunicación de las deficiencias: las deficiencias se comunican a las partes responsables de tomar medidas correctivas y a la alta dirección y al consejo de administración, según proceda.
    • Supervisa las medidas correctivas: la dirección hace un seguimiento de si las deficiencias se subsanan a tiempo oportunamente.
    Uso de RidgeBot para cumplir:
    • Los informes de escaneo y explotación pueden ayudarle a compilar rápidamente un resumen coherente y comparable y una documentación procesable de las vulnerabilidades encontradas, la clasificación de las vulnerabilidades, las explotaciones exitosas y las medidas de mitigación y corrección adoptadas. Esta información puede ser utilizada para tomar (o comunicar) acciones correctivas, y hacer un seguimiento de las acciones que deberían, o han sido, completadas, y/o para preparar informes de gestión de las acciones correctivas necesarias o ya implementadas.

    CC5: Actividades de control (relacionadas con el diseño y la implementación de controles)

    Requisito CC5.1: Principio 10 de COSO-La entidad selecciona y desarrolla actividades de control que contribuyen a mitigar los riesgos para la consecución de los objetivos hasta niveles aceptables.

    • Evalúa una mezcla de tipos de actividades de control: las actividades de control incluyen una gama y variedad de controles y pueden incluir un equilibrio de enfoques para mitigar los riesgos, considerando tanto los controles manuales como los automatizados, y los controles preventivos y detectivos.
    Uso de RidgeBot para cumplir:
    • El descubrimiento de activos, el escaneo y la explotación, las pruebas de penetración, el ransomware y los escaneos de contraseñas débiles pueden automatizarse y ejecutarse de forma rentable con la frecuencia necesaria para recopilar documentación, evaluar los riesgos, encontrar y explotar las vulnerabilidades, así como informar sobre las acciones de mitigación necesarias.
    • El motor de explotación con IA/ML integrado de RidgeBot utiliza la base de conocimientos de técnicas de ataque e inteligencia de RidgeSecurity, líder en el sector, y garantiza que sus activos estén siempre reforzados con la información más actualizada sobre vulnerabilidades. Es la mejor manera de estar al tanto de las vulnerabilidades técnicas emergentes de una manera estructurada y sistemática.

    Requisito CC5.2: Principio COSO 11-La entidad también selecciona y desarrolla actividades de control general sobre la tecnología para apoyar la consecución de los objetivos.

    • Establece actividades de control de la infraestructura tecnológica pertinente: la dirección selecciona y desarrolla actividades de control sobre la infraestructura tecnológica, que se diseñan e implementan para ayudar a garantizar la integridad, precisión y disponibilidad del procesamiento tecnológico..
    • Establece actividades de control del proceso de gestión de la seguridad pertinentes: la dirección selecciona y desarrolla actividades de control diseñadas e implementadas para restringir los derechos de acceso a la tecnología a los usuarios autorizados en función de sus responsabilidades laborales y para proteger los activos de la entidad de las amenazas externas.
    • Establece las actividades de control del proceso de adquisición, desarrollo y mantenimiento de la tecnología pertinente: la dirección selecciona y desarrolla actividades de control sobre la adquisición, el desarrollo y el mantenimiento de la tecnología y su infraestructura para lograr los objetivos de la dirección.
    Uso de RidgeBot para cumplir:
     
    • Las capacidades de descubrimiento de activos, escaneo y explotación, pen-test, ransomware y escaneo de contraseñas débiles pueden ser una parte clave de una actividad y estrategia de control tecnológico para cumplir con este objetivo.
    • Las capacidades automatizadas de pen-test-and-exploit pueden ejecutarse de forma rentable con la frecuencia necesaria, en lugar de realizar pruebas puntuales. Esto garantiza la tranquilidad de que sus activos están continuamente bloqueados y que las nuevas vulnerabilidades se detectan inmediatamente después -o a menudo antes- de que se introduzcan en su entorno de producción.
    • El motor de explotación AI/ML integrado de RidgeBot utiliza la base de conocimientos de técnicas de ataque e inteligencia de RidgeSecurity, líder en el sector, y garantiza que sus activos estén siempre reforzados con la información más actualizada sobre vulnerabilidades. Es la mejor manera de estar al tanto de las vulnerabilidades técnicas emergentes de una manera estructurada y sistemática.
    • Se puede ejecutar un escaneo de prueba de penetración y explotación como parte regular de su política/proceso para endurecer los parches de software, las actualizaciones de software, los nuevos dispositivos y cualquier cambio de configuración o entorno antes de ponerlos en marcha en el entorno de producción.

    Requisito CC5.3: Principio 12 de COSO-La entidad despliega las actividades de control a través de políticas que establezcan lo que se espera y en procedimientos que pongan las políticas en acción.

    • Establece políticas y procedimientos para apoyar el despliegue de las directivas de la dirección – La dirección establece actividades de control que se incorporan a los procesos empresariales y a las actividades cotidianas de los empleados mediante políticas que establecen lo que se espera y procedimientos pertinentes que especifican las acciones.
    • Adopta medidas correctivas: el personal responsable investiga y actúa sobre los asuntos identificados como resultado de la ejecución de las actividades de control.
    Uso de RidgeBot para cumplir:
    • Igual que para CC5.2.

    Criterios complementarios al Principio 12 de COSO

    CC6: Controles de acceso lógico y físico

    Requisito CC6.1: La entidad implementa software, infraestructura y arquitecturas de seguridad de acceso lógico sobre los activos de información protegidos para protegerlos de eventos de seguridad para cumplir con los objetivos de la entidad.

    • Identifica y gestiona el inventario de activos de información-La entidad identifica, inventa, clasifica y gestiona los activos de información.
    • Restringe el acceso lógico: el acceso lógico a los activos de información, incluido el hardware, los datos (en reposo, durante el procesamiento o en transmisión), el software, las autoridades administrativas, los dispositivos móviles, la salida y los componentes del sistema fuera de línea se restringe mediante el uso de software de control de acceso y conjuntos de reglas.
    • Considera la segmentación de la red: la segmentación de la red permite aislar entre sí partes no relacionadas del sistema de información de la entidad.
    • Restringe el acceso a los activos de información: se utilizan combinaciones de clasificación de datos, estructuras de datos separadas, restricciones de puertos, restricciones de protocolos de acceso, identificación de usuarios y certificados digitales para establecer reglas de control de acceso a los activos de información.
    • Gestiona las credenciales para la infraestructura y el software: la nueva infraestructura y el software internos y externos se registran, autorizan y documentan antes de que se les concedan las credenciales de acceso y se implementen en la red o el punto de acceso.
    Uso de RidgeBot para cumplir:
    • La detección automatizada de activos puede ayudarle a recopilar y mantener un inventario de todos los activos de procesamiento de datos y superficies de ataque.
    • Un escaneo automatizado de descubrimiento de activos verifica de forma continua la ausencia de dispositivos nuevos e imprevistos conectados a la infraestructura que puedan introducir vulnerabilidades. Por ejemplo, un atacante podría configurar un punto de acceso inalámbrico fraudulento o instalar un dispositivo IoT que permita el acceso remoto a la red interna.
    • Un escaneo de contraseñas débiles ejecutado contra todos los activos documenta y resuelve las vulnerabilidades de las credenciales de inicio de sesión.
    • Un escaneo de pen-test-and-exploit puede garantizar que todos los sistemas o dispositivos utilizados para documentar eventos y actividades estén seguros frente a vulnerabilidades de credenciales débiles para evitar que un hacker acceda a borrar o alterar registros, grabaciones de videovigilancia o información forense del registro de auditoría.
    • El motor de explotación AI/ML integrado de RidgeBot utiliza la base de conocimientos de técnicas de ataque e inteligencia de RidgeSecurity, líder en el sector, y garantiza que sus activos estén siempre reforzados con la información más actualizada sobre vulnerabilidades. Es la mejor manera de estar al tanto de las vulnerabilidades técnicas emergentes de una manera estructurada y sistemática.
    • Las capacidades automatizadas de pen-test-and-exploit pueden ejecutarse de forma rentable con la frecuencia necesaria para garantizar la tranquilidad de que sus activos están continuamente bloqueados y que las nuevas vulnerabilidades se detectan inmediatamente. Esto puede ayudar a garantizar que las reglas del cortafuegos y otros controles de frontera de la red a través de los diferentes segmentos de la red estén correctamente configurados y funcionen según lo previsto.

    Requisito CC6.2: Antes de emitir credenciales del sistema y conceder acceso al mismo, la entidad registra y autoriza a los nuevos usuarios internos y externos cuyo acceso es administrado por la entidad.

    • Controla las credenciales de acceso a los activos protegidos-Las credenciales de acceso a los activos de información se crean en base a una autorización del propietario de los activos del sistema o del custodio autorizado.
    Uso de RidgeBot para cumplir:
    • Un escaneo de contraseñas débiles ejecutado contra todos los activos documenta y resuelve las vulnerabilidades de las credenciales de inicio de sesión.

    Requisito CC6.4: La entidad restringe el acceso físico a las instalaciones y a los activos de información protegidos (por ejemplo, las instalaciones de los centros de datos, el almacenamiento de medios de respaldo y otros lugares sensibles) al personal autorizado para cumplir con los objetivos de la entidad.

    Uso de RidgeBot para cumplir:
     
    • Un escaneo automatizado de descubrimiento de activos verifica de forma continua que no haya nuevos dispositivos no planificados conectados a la infraestructura que puedan introducir vulnerabilidades. Por ejemplo, un atacante podría configurar un punto de acceso inalámbrico fraudulento o instalar un dispositivo IoT que permita el acceso remoto a la red interna o a un segmento de red protegido.
    • Un escaneo de pen-test-and-exploit puede revelar puntos débiles en los procesos y sistemas de seguridad física (cámaras, sistemas de vigilancia, sistemas de registro, cerraduras de puertas controladas digitalmente) que podrían conceder a un atacante acceso físico o electrónico a sistemas o áreas seguras, o permitir la manipulación de las cámaras de vigilancia o de los registros o grabaciones almacenados.
    • Un escaneo de pen-test-and-exploit puede garantizar que todos los sistemas o dispositivos utilizados para documentar eventos y actividades estén seguros frente a vulnerabilidades de credenciales débiles para evitar que un hacker acceda a borrar o alterar registros, grabaciones de videovigilancia o información forense del registro de auditoría.

    Requisito CC6.6: La entidad implementa medidas de seguridad de acceso lógico para protegerse de las amenazas procedentes de fuentes externas a los límites de su sistema.

    • Restringe el acceso-Los tipos de actividades que pueden ocurrir a través de un canal de comunicación (por ejemplo, el sitio FTP, el puerto del router) están restringidos.
    • Implementa sistemas de protección de límites: los sistemas de protección de límites (por ejemplo, cortafuegos, zonas desmilitarizadas y sistemas de detección de intrusos) se implementan para proteger los puntos de acceso externos de intentos y accesos no autorizados y se supervisan para detectar dichos intentos.
    Uso de RidgeBot para cumplir:
    • Los informes de escaneo y explotación pueden ayudarle a recopilar rápidamente un resumen coherente y comparable y una documentación procesable de las vulnerabilidades encontradas, la clasificación de las vulnerabilidades, las explotaciones exitosas y las medidas de mitigación y reparación adoptadas. Las vulnerabilidades detectadas en esta exploración incluyen puertos abiertos y otras puertas traseras por las que los hackers pueden acceder a un sistema.
    • Las capacidades automatizadas de pen-test-and-exploit pueden ejecutarse de forma rentable con la frecuencia necesaria para garantizar la tranquilidad de que sus activos están continuamente bloqueados y que las nuevas vulnerabilidades se detectan inmediatamente. Esto puede ayudar a garantizar que las reglas del cortafuegos y otros controles de frontera de la red (como IPS/IDS) en los diferentes segmentos de la red estén correctamente configurados y funcionen según lo previsto.

    Requisito CC6.8: La entidad implementa controles para prevenir o detectar y actuar ante la introducción de software no autorizado o malicioso para cumplir con los objetivos de la entidad.

    • Utiliza un proceso de control de cambios definido: un proceso de control de cambios definido por la dirección se utiliza para la implementación del software.
    • Utiliza software antivirus y antimalware: el software antivirus y antimalware se implementa y se mantiene para proporcionar la intercepción o la detección y el remedio del malware.
    • Escanea los activos de información procedentes de fuera de la entidad en busca de malware y otro software no autorizado: existen procedimientos para escanear los activos de información que han sido transferidos o devueltos a la custodia de la entidad en busca de malware y otro software no autorizado y para eliminar cualquier elemento detectado antes de su implantación en la red.
    Uso de RidgeBot para cumplir:
    • Se puede ejecutar un escaneo de prueba de penetración y explotación como parte regular de su política/proceso para endurecer los parches de software, las actualizaciones de software, los nuevos dispositivos y cualquier cambio de configuración antes de ponerlos en marcha en el entorno de producción.
    • Un escaneo de pen-test-and-exploit descubre, explota y documenta todas las vulnerabilidades encontradas. Ejecute esta exploración como parte habitual de sus procesos de desarrollo y validación de software.
    • Un escaneo de pen-test-and-exploit puede garantizar que todos los sistemas o dispositivos utilizados para documentar eventos y actividades están protegidos de las vulnerabilidades de software/malware en las que un hacker puede acceder para borrar o alterar los registros, las grabaciones de videovigilancia o la información de la pista de auditoría forense.
    • El motor de explotación AI/ML integrado de RidgeBot utiliza la base de conocimientos de técnicas de ataque e inteligencia de RidgeSecurity, líder en el sector, y garantiza que sus activos estén siempre reforzados con la información más actualizada sobre vulnerabilidades. Es la mejor manera de estar al tanto de las vulnerabilidades técnicas emergentes de una manera estructurada y sistemática.

    CC7: Operaciones del sistema

    Requisito CC7.1: Para cumplir sus objetivos, la entidad utiliza procedimientos de detección y vigilancia para identificar (1) los cambios en las configuraciones que dan lugar a la introducción de nuevas vulnerabilidades, y (2) las susceptibilidades a las vulnerabilidades recién descubiertas.

    • Supervisa la infraestructura y los programas informáticos: la entidad supervisa la infraestructura y los programas informáticos para detectar cualquier incumplimiento de las normas que pueda poner en peligro la consecución de los objetivos de la entidad.
    • Implementa mecanismos de detección de cambios-El sistema de TI incluye un mecanismo de detección de cambios (por ejemplo, herramientas de supervisión de la integridad de los archivos) para alertar al personal de las modificaciones no autorizadas de archivos críticos del sistema, archivos de configuración o archivos de contenido.
    • Detecta componentes desconocidos o no autorizados: existen procedimientos para detectar la introducción de componentes desconocidos o no autorizados.
    • Realiza escaneos de vulnerabilidad-La entidad realiza escaneos de vulnerabilidad diseñados para identificar posibles vulnerabilidades o desconfiguraciones de forma periódica y después de cualquier cambio significativo en el entorno, y toma medidas para remediar las deficiencias identificadas de forma oportuna.
    Uso de RidgeBot para cumplir:
    • Un escaneo de descubrimiento de activos descubre y documenta de forma iterativa los cambios en la presencia de activos que deberían incluirse en una evaluación de riesgos o en un inventario de activos.
    • Un escaneo automatizado de descubrimiento de activos verifica de forma continua que no haya nuevos dispositivos no planificados conectados a la infraestructura que puedan introducir vulnerabilidades. Por ejemplo, un atacante podría configurar un punto de acceso inalámbrico fraudulento o instalar un dispositivo IoT que permita el acceso remoto a la red interna.
    • Las capacidades automatizadas de pen-test-and-exploit pueden ejecutarse de forma rentable con la frecuencia necesaria, en lugar de realizar pruebas puntuales. Esto garantiza la tranquilidad de que sus activos están continuamente bloqueados y que las nuevas vulnerabilidades se detectan inmediatamente después -o a menudo antes- de que se introduzcan en su entorno de producción.
    • El motor de explotación AI/ML integrado de RidgeBot utiliza la base de conocimientos de técnicas de ataque e inteligencia de RidgeSecurity, líder en el sector, y garantiza que sus activos estén siempre reforzados con la información más actualizada sobre vulnerabilidades. Es la mejor manera de estar al tanto de las vulnerabilidades técnicas emergentes de una manera estructurada y sistemática.

    Requisito CC7.2: La entidad supervisa los componentes del sistema y el funcionamiento de dichos componentes para detectar anomalías que sean indicativas de actos maliciosos, desastres naturales y errores que afecten a la capacidad de la entidad para cumplir sus objetivos; las anomalías se analizan para determinar si representan eventos de seguridad.

    • Implementa políticas, procedimientos y herramientas de detección: se definen e implementan políticas y procedimientos de detección y se implementan herramientas de detección en la infraestructura y el software para identificar anomalías en el funcionamiento o actividades inusuales en los sistemas. Los procedimientos pueden incluir (1) un proceso de gobierno definido para la detección y gestión de eventos de seguridad que incluya la provisión de recursos; (2) el uso de fuentes de inteligencia para identificar amenazas y vulnerabilidades recién descubiertas; y (3) el registro de actividades inusuales del sistema.
    • Diseña medidas de detección: las medidas de detección están diseñadas para identificar las anomalías que podrían resultar de (1) el compromiso real o el intento de compromiso de las barreras físicas; (2) las acciones no autorizadas del personal autorizado; (3) el uso de credenciales de identificación y autenticación comprometidas; (4) el acceso no autorizado desde fuera de los límites del sistema; (5) el compromiso de las partes externas autorizadas; y (6) la implementación o conexión de hardware y software no autorizados.
    • Implementa filtros para analizar las anomalías-La dirección ha implementado procedimientos para filtrar, resumir y analizar las anomalías para identificar los eventos de seguridad.
    Uso de RidgeBot para cumplir:
    • El motor de explotación AI/ML integrado de RidgeBot utiliza la base de conocimientos de técnicas de ataque e inteligencia de RidgeSecurity, líder en el sector, y garantiza que sus activos estén siempre protegidos con la información más actualizada sobre vulnerabilidades. Es la mejor manera de estar al tanto de las vulnerabilidades técnicas emergentes de una manera estructurada y sistemática.
    • El descubrimiento de activos, el escaneo y la explotación, las pruebas de penetración, el ransomware y los escaneos de contraseñas débiles pueden automatizarse y ejecutarse de forma rentable con la frecuencia necesaria para recopilar documentación, evaluar los riesgos, encontrar y explotar las vulnerabilidades, así como informar sobre las acciones de mitigación necesarias.
    • Un escaneo de pen-test-and-exploit puede revelar puntos débiles en los procesos y sistemas de seguridad física (cámaras, sistemas de vigilancia, sistemas de registro, cerraduras de puertas controladas digitalmente) que podrían conceder a un atacante acceso físico o electrónico a sistemas o áreas seguras, o permitir la manipulación de las cámaras de vigilancia o de los registros o grabaciones almacenados.

    Requisito CC7.3: La entidad evalúa los eventos de seguridad para determinar si podrían o han dado lugar a un fallo de la entidad en el cumplimiento de sus objetivos (incidentes de seguridad) y, en caso afirmativo, toma medidas para prevenir o solucionar dichos fallos.

    • CComunica y revisa los eventos de seguridad detectados: los eventos de seguridad detectados son comunicados y revisados por las personas responsables de la gestión del programa de seguridad y se toman medidas, si es necesario.
    • Desarrolla e implementa procedimientos para analizar los incidentes de seguridad. Para analizar los incidentes de seguridad y determinar el impacto en el sistema.
    • Evalúa el impacto en la información personal: los eventos de seguridad detectados se evalúan para determinar si podrían dar lugar o dieron lugar a la divulgación o el uso no autorizado de información personal y si se ha producido un incumplimiento de las leyes o reglamentos aplicables.
    • Determina la información personal utilizada o divulgada: cuando se ha producido un uso o divulgación no autorizada de información personal, se identifica la información afectada.
    Uso de RidgeBot para cumplir:
    • Un análisis forense -quizás después de que se haya producido un incidente de seguridad- puede ayudar a determinar dónde y cómo se ha producido la brecha. A partir de ahí se puede extrapolar qué sistemas y qué datos pueden haber quedado expuestos.
    • Los informes de escaneo y explotación -que incluyen soluciones recomendadas para cada vulnerabilidad- proporcionan información crítica para que su equipo de respuesta a incidentes de seguridad/escalada o forense garantice una gestión oportuna y eficaz de todas las situaciones.

    Requisito CC7.4: La entidad responde a los incidentes de seguridad identificados ejecutando un programa definido de respuesta a incidentes para entender, contener, remediar y comunicar los incidentes de seguridad, según corresponda.

    • Mitiga los incidentes de seguridad en curso: existen procedimientos para mitigar los efectos de incidentes de seguridad en curso.
    • Acaba con las amenazas planteadas por los incidentes de seguridad: existen procedimientos para acabar con las amenazas planteadas por los incidentes de seguridad mediante el cierre de la vulnerabilidad, la eliminación del acceso no autorizado y otras acciones de reparación.
    • Obtiene la comprensión de la naturaleza del incidente y determina la estrategia de contención: se obtiene una comprensión de la naturaleza (por ejemplo, el método por el que se produjo el incidente y los recursos del sistema afectados) y la gravedad del incidente de seguridad para determinar la estrategia de contención adecuada, incluyendo (1) una determinación del marco de tiempo de respuesta adecuado, y (2) la determinación y ejecución del enfoque de contención.
    • Remediar las vulnerabilidades identificadas: las vulnerabilidades identificadas se remedian mediante el desarrollo y ejecución de actividades de corrección.
    Uso de RidgeBot para cumplir:
    • Lo mismo que en CC7.3.

    Requisito CC7.5: CC7.5 La entidad identifica, desarrolla e implementa actividades para recuperarse de los incidentes de seguridad identificados.

    • Determina la causa raíz del suceso: se determina la causa raíz del suceso.
    • Implementa cambios para prevenir y detectar recurrencias-La arquitectura adicional o los cambios en los controles preventivos y detectivos, o ambos, se implementan para prevenir y detectar recurrencias de manera oportuna.
    Uso de RidgeBot para cumplir:
    • Same Lo mismo que en CC7.3.

    CC8: Gestión del cambio

    Requisito CC8.1: La entidad autoriza, diseña, desarrolla o adquiere, configura, documenta, prueba, aprueba e implementa cambios en la infraestructura, los datos, el software y los procedimientos para cumplir sus objetivos.

    • Gestiona los cambios a lo largo del ciclo de vida del sistema-Se utiliza un proceso para gestionar los cambios del sistema a lo largo del ciclo de vida del sistema y sus componentes (infraestructura, datos, software y procedimientos) para apoyar la disponibilidad del sistema y la integridad del procesamiento.
    • Diseña y desarrolla cambios: existe un proceso para diseñar y desarrollar cambios en el sistema.
    • Documenta los cambios-Existe un proceso para documentar los cambios del sistema para apoyar el mantenimiento continuo del sistema y para apoyar a los usuarios del sistema en el desempeño de sus responsabilidades.
    • Seguimiento de los cambios del sistema: existe un proceso de seguimiento de los cambios del sistema antes de su aplicación.
    • Configura el software: existe un proceso para seleccionar e implementar los parámetros de configuración parámetros utilizados para controlar la funcionalidad del software.
    • Pruebas de los cambios del sistema: existe un proceso para probar los cambios del sistema antes de su aplicación.
    • Implementa los cambios del sistema: existe un proceso para implementar los cambios del sistema.
    • Identifica y evalúa los cambios del sistema: se identifican los objetivos afectados por los cambios del sistema y se evalúa la capacidad del sistema modificado para cumplir los objetivos a lo largo del ciclo de vida del desarrollo del sistema.
    • Identifica los cambios en la infraestructura, los datos, el software y los procedimientos necesarios para remediar los incidentes: se identifican los cambios en la infraestructura, los datos, el software y los procedimientos necesarios para remediar los incidentes a fin de seguir cumpliendo los objetivos, y el proceso de cambio se inicia tras su identificación.
    Uso de RidgeBot para cumplir:
    Se puede ejecutar un escaneo de prueba de penetración y explotación como parte regular de su política/proceso para endurecer los parches de software, las actualizaciones de software, los nuevos dispositivos y cualquier cambio de configuración antes de ponerlos en marcha en el entorno de producción.
    • Un escaneo de pen-test-and-exploit descubre, explota y documenta todas las vulnerabilidades encontradas. Ejecute esta exploración como parte habitual de sus procesos de desarrollo y validación de software.
    • Un escaneo de descubrimiento de activos descubre y documenta de forma iterativa los cambios en la presencia de activos que deberían incluirse en una evaluación de riesgos o en un inventario de activos.
    • Un escaneo automatizado de descubrimiento de activos verifica de forma continua que no haya nuevos dispositivos no planificados conectados a la infraestructura que puedan introducir vulnerabilidades. Por ejemplo, un atacante podría configurar un punto de acceso inalámbrico fraudulento o instalar un dispositivo IoT que permita el acceso remoto a la red interna.
    • Las capacidades automatizadas de pen-test-and-exploit pueden ejecutarse de forma rentable con la frecuencia necesaria, en lugar de realizar pruebas puntuales. Esto garantiza la tranquilidad de que sus activos están continuamente bloqueados y que las nuevas vulnerabilidades se detectan inmediatamente después -o a menudo antes- de que se introduzcan en su entorno de producción. Esto puede ayudar a garantizar que las reglas del cortafuegos y otros controles de frontera de la red (como IPS/IDS) a través de los diferentes segmentos de la red estén correctamente configurados y funcionen según lo previsto.

    CC9: Mitigación de riesgos

    Requisito CC9.1: La entidad identifica, selecciona y desarrolla actividades de mitigación de riesgos para los riesgos derivados de posibles interrupciones del negocio.

    • Considera la mitigación de los riesgos de interrupción del negocio-Las actividades de mitigación de riesgos incluyen el desarrollo de políticas planificadas, procedimientos, comunicaciones y soluciones de procesamiento alternativas para responder, mitigar y recuperarse de los eventos de seguridad que interrumpen las operaciones del negocio. Estas políticas y procedimientos incluyen la supervisión de los procesos, la información y las comunicaciones para cumplir los objetivos de la entidad durante los esfuerzos de respuesta, mitigación y recuperación.
    Uso de RidgeBot para cumplir:
    • Las capacidades automatizadas de pen-test-and-exploit pueden ejecutarse de forma rentable con la frecuencia necesaria, en lugar de realizar pruebas puntuales. Esto garantiza la tranquilidad de que sus activos están continuamente bloqueados y que las nuevas vulnerabilidades se detectan inmediatamente después -o a menudo antes- de que se introduzcan en su entorno de producción .
    • Las medidas correctoras recomendadas en los informes de RidgeBot demuestran que los riesgos se detectan, miden, revisan y tratan adecuadamente.
    • El motor de explotación de IA/ML incorporado en RidgeBot utiliza la base de conocimientos de técnicas de ataque e inteligencia de RidgeSecurity, líder en el sector, y garantiza que sus activos estén siempre reforzados con la información más actualizada sobre vulnerabilidades. Es la mejor manera de estar al tanto de las vulnerabilidades técnicas emergentes de una manera estructurada y sistemática.

    Requisito CC9.2: La entidad evalúa y gestiona los riesgos asociados a los proveedores y socios comerciales.

    • Evalúa los riesgos de los proveedores y socios comerciales-La entidad evalúa, de forma periódica, los riesgos que los proveedores y socios comerciales (y los proveedores y socios comerciales de esas entidades) representan para la consecución de los objetivos de la entidad.
    • Evalúa el rendimiento de los proveedores y socios comerciales-La entidad evalúa periódicamente el rendimiento de los proveedores y socios comerciales.
    • Implementa procedimientos para abordar los problemas identificados durante las evaluaciones de proveedores y socios comerciales-La entidad implementa procedimientos para abordar los problemas identificados con las relaciones de proveedores y socios comerciales.
    Uso de RidgeBot para cumplir:
    • Un escaneo de pen-test-and-exploit ayuda a verificar la postura de seguridad de todos los sistemas internos, así como de cualquier activo y servicio alojado en la nube o en el proveedor. Se puede evaluar el riesgo de los sistemas internos y externos de las filiales, los vendedores, los proveedores de servicios, los socios comerciales u otras partes.

    Criterios suplementarios aplicables a categorías específicas de fideicomisos

    Serie A: Criterios adicionales de disponibilidad

    Requisito A1.3: La entidad prueba los procedimientos del plan de recuperación que apoyan la recuperación del sistema para cumplir sus objetivos.

    • Implementación de las pruebas del plan de continuidad del negocio: las pruebas del plan de continuidad del negocio se realizan de forma periódica. Las pruebas incluyen (1) el desarrollo de escenarios de prueba basados en la probabilidad y la magnitud de las amenazas; (2) la consideración de los componentes del sistema de toda la entidad que pueden perjudicar la disponibilidad; (3) escenarios que consideran la posibilidad de la falta de disponibilidad del personal clave; y (4) la revisión de los planes y sistemas de continuidad basados en los resultados de las pruebas.
       Uso de RidgeBot para cumplir:
    • Un escaneo de pen-test-and-exploit identifica, analiza y evalúa todos los riesgos encontrados. Los informes del escaneo proporcionan una lista clasificada de las vulnerabilidades encontradas en base a la probabilidad de que cada una de ellas sea explotada, incluyendo las que fueron explotadas con éxito durante la prueba. Los informes también proporcionan una evaluación con pasos granulares para remediar cada vulnerabilidad.
    • Las capacidades automatizadas de pen-test-and-exploit pueden ejecutarse de forma rentable con la frecuencia necesaria. Esto garantiza la tranquilidad de que sus activos están continuamente bloqueados y que las nuevas vulnerabilidades se detectan inmediatamente después -o a menudo antes- de que se introduzcan en su entorno de producción.