Gobernanza de Riesgo Cibernético

La organización ha publicado una estrategia de riesgo cibernético que está alineada con las estrategias tecnológica y de negocio.

La organización ha establecido un marco de riesgo cibernético (por ejemplo, un conjunto completo de elementos que incluye políticas, estándares, roles y responsabilidades, procesos de gestión de riesgos, taxonomía de riesgos, apetito de riesgo y amenazas y tecnologías emergentes) en apoyo de la estrategia de riesgo cibernético, y la gestión continua de amenazas, riesgos e incidentes.

La organización realiza revisiones regulares de la estrategia de riesgo cibernético y el marco de riesgo cibernético, para asegurar el cumplimiento de los requisitos legales y regulatorios.

La organización considera los requisitos de cumplimiento de riesgo cibernético, los riesgos identificados, las amenazas actuales y emergentes, y los posibles impactos relacionados con incidentes en las operaciones y servicios, como insumos para la planificación y priorización de proyectos, programas y presupuestos de riesgo cibernético.

La organización ha designado un ejecutivo responsable de la estrategia de riesgo cibernético, el marco de riesgo cibernético y de la conciencia y conocimiento del riesgo cibernético a nivel ejecutivo.

La organización ha documentado políticas de riesgo cibernético para explicar los roles, responsabilidades, reglas y restricciones del personal y contratistas, así como las posibles sanciones por incumplimiento.

Los roles y responsabilidades de cada una de las tres líneas de defensa y otras partes interesadas están claramente descritos dentro del marco de riesgo cibernético.

Se han establecido indicadores clave de riesgo y desempeño, así como umbrales, para los riesgos y controles cibernéticos clave de la organización. Los indicadores de riesgo deben alinearse con el apetito de riesgo cibernético según lo establecido en el marco de riesgo cibernético.

Los riesgos cibernéticos para la organización y sus programas o clientes se revisan regularmente, se priorizan, se escalan y se explican a los ejecutivos o alta dirección apropiados, y esos riesgos se priorizan para su mitigación.

La segunda línea de defensa proporciona regularmente una revisión independiente de las diversas evaluaciones de riesgo cibernético y otras actividades de control realizadas por la primera línea de defensa.

La organización asegura que se hayan implementado verificaciones de antecedentes para el personal/contratistas y en los proveedores de terceros, proporcionales a la sensibilidad y las necesidades de riesgo cibernético de los activos organizacionales que se gestionan.

La organización ha implementado un proceso formal para la aceptación de riesgos que se mide, rastrea y reporta.

La organización ha asignado recursos suficientes y capacitados para el sostenimiento de los programas, sistemas, roles y servicios de riesgo cibernético.

La organización ha identificado sus activos tecnológicos críticos y ha implementado controles apropiados para asegurar la confidencialidad, integridad y disponibilidad. Los controles se revisan y prueban regularmente.