Cómo Cumplir con SOC 2 CC6 Controles de Acceso Privilegiado — Una Guía Práctica
La preparación de SOC 2 Type II es una maratón. La mayoría de las organizaciones superan la documentación de políticas, los cuestionarios de riesgo de proveedores y los diagramas de segmentación de red sin demasiado dolor. Entonces llegan a CC6 — Controles de Acceso Lógico y Físico — y la auditoría se vuelve difícil.
CC6 es donde los auditores pasan más tiempo y donde las empresas reciben excepciones con más frecuencia. Cubre quién tiene acceso a sus sistemas, cómo se controla ese acceso, cómo se monitorea y cómo se revisa. Si su respuesta de gestión de acceso privilegiado es "usamos VPN más RDP con credenciales de administrador compartidas", no va a pasar.
Aquí está exactamente qué requiere CC6, qué preguntan los auditores y cómo producir la evidencia.