Auditoría SOC 2 y SSH: lo que los auditores comprueban realmente
Cumplimiento

Auditoría SOC 2 y SSH: lo que los auditores comprueban realmente

2026-02-21·11 min read·Equipo SecurSSH

SOC 2 y SSH: lo básico

Las auditorías SOC 2 Type II evalúan sus controles de seguridad durante un periodo (normalmente de 6 a 12 meses). Para la infraestructura SSH, los auditores se centran en tres áreas clave.

Lo que comprueban los auditores

1. Control de acceso (CC6.1 - CC6.3)

Los auditores quieren la prueba de que:

  • El acceso se concede sobre la base de roles, no de solicitudes ad hoc

  • Las revisiones de acceso se realizan regularmente (trimestrales como mínimo)

  • A los usuarios salientes se les revoca rápidamente el acceso

  • La autenticación multifactor está impuesta

    • Lo que hay que preparar: documentación de la política de acceso, revisiones de acceso de usuarios, prueba de configuración MFA, expedientes de offboarding.

    2. Registro y supervisión (CC7.1 - CC7.3)

    Los auditores quieren la prueba de que:

  • Todos los accesos se registran con marca temporal e identificación del usuario

  • Los registros se conservan durante el periodo de auditoría

  • Los accesos anómalos disparan alertas

  • Los registros son resistentes a la falsificación

    • Lo que hay que preparar: políticas de retención, muestras de registros de auditoría, configuración de alertas, verificación de integridad.

    3. Gestión de cambios (CC8.1)

    Los auditores quieren la prueba de que:

  • Los cambios en las políticas de acceso están documentados

  • Los cambios requieren una aprobación

  • Existen procedimientos de acceso de emergencia y están documentados

    • Lo que hay que preparar: política de gestión de cambios, expedientes de aprobación, procedimientos de acceso de emergencia.

    Cómo SecurSSH facilita SOC 2

    SecurSSH proporciona elementos de prueba listos para SOC 2 desde el principio: acceso basado en roles con consola de equipo, registros de auditoría completos con retención de 2 años (Team) o ilimitada (Enterprise), y almacenamiento de registros infalsificable. La certificación SOC 2 Type II de SecurSSH está en curso, auditoría prevista para H2 2026.

    Ready to secure your team's SSH access?

    Start free. No credit card required.

    Download

    Related articles

    RGPD y acceso SSH: la guía de cumplimiento que su equipo necesita
    2026-03-21 · 12 min

    RGPD y acceso SSH: la guía de cumplimiento que su equipo necesita

    La mayoría de los equipos europeos no se da cuenta de que su gestión de acceso SSH viola el RGPD.

    Directiva NIS2: lo que significa para su infraestructura SSH
    2026-02-07 · 10 min

    Directiva NIS2: lo que significa para su infraestructura SSH

    La directiva NIS2 amplía las exigencias de ciberseguridad en toda la UE.

    © 2026 SecurSSH. All rights reserved. Built with security in mind.