A.8.25 / A.5.8 ISO 27002:2022 + OWASP SAMM
¿Se ejecuta Threat Modeling formal (STRIDE o similar) para la arquitectura del ERP/TMS y módulos críticos (DIAN, RNDC, GPS) durante la fase de planificación de features?
Solicitar documentación de Threat Modeling: actores, amenazas identificadas, mitigaciones diseñadas. Verificar que incluya módulos críticos regulatorios y multi-tenant isolation. Comprobar que al menos el 80% de las amenazas STRIDE identificadas tengan un control mitigante asignado con trazabilidad a una historia de usuario o ticket de seguridad en el backlog.
Documento de Threat Modeling versionado por módulo. Matriz de amenazas STRIDE con controles mitigantes asignados. Acta de revisión por equipo técnico. Evidencia de que hallazgos guían historias de usuario con criterios de aceptación de seguridad.
El análisis de contexto de OmniControl identifica como debilidad D4 la ausencia de modelado formal de amenazas. Las integraciones DIAN/RNDC son Catastróficas (impacto 10x7) y requieren threat modeling documentado antes del desarrollo. El modelo multi-tenant de 60 clientes amplifica todo riesgo de movimiento lateral si falla aislamiento.
- 01¿Existe Threat Modeling para los módulos críticos (DIAN, RNDC, GPS)?
- 02¿Se aplica STRIDE u otra metodología formal?
- 03¿Las amenazas identificadas tienen controles mitigantes asignados?
- 04¿Hay trazabilidad entre amenazas y el backlog de desarrollo?
- 05¿Está versionado y revisado por el equipo técnico?
Artefactos para ejecutar la prueba
La clasificación esperada está oculta para que ejecutes la prueba y descubras el hallazgo por ti mismo. Cuando hayas explorado los artefactos, puedes revelarla para contrastarla con tu juicio.
La propuesta de acción correctiva está vinculada al toggle global “Mostrar interpretación según contexto”. Ejecuta primero la prueba con los artefactos y forma tu propio juicio. Cuando estés listo, revélala para contrastar con la recomendación del equipo auditor.