Estrategia de Riesgo Cibernético
EstrategiaDeclaración del Control
La organización ha publicado una estrategia de riesgo cibernético que está alineada con las estrategias tecnológica y de negocio.
Descripción
Una estrategia formal de riesgo cibernético establece el enfoque de la organización para gestionar el riesgo cibernético en apoyo directo de los objetivos de negocio y la dirección tecnológica. La estrategia articula cómo la organización identificará, evaluará, mitigará y monitoreará las amenazas y vulnerabilidades cibernéticas de una manera que apoye el marco más amplio de gestión de riesgos empresariales. Asegura que las inversiones, prioridades y decisiones de tolerancia al riesgo en ciberseguridad estén impulsadas por las necesidades del negocio en lugar de operar de forma aislada.
Actividades Clave de Implementación
- 1 Definir y documentar una estrategia de riesgo cibernético que haga referencia explícita y apoye la estrategia de negocio empresarial y la hoja de ruta tecnológica
- 2 Establecer objetivos estratégicos de riesgo cibernético con resultados medibles vinculados a la preservación y habilitación del valor del negocio
- 3 Asegurar que la estrategia de riesgo cibernético aborde el panorama de amenazas de la organización, incluyendo riesgos geopolíticos, específicos de la industria y impulsados por la tecnología
- 4 Comunicar la estrategia a todas las partes interesadas relevantes incluyendo el liderazgo ejecutivo, la junta directiva y los equipos operacionales
- 5 Alinear las prioridades de inversión en ciberseguridad con los procesos críticos del negocio y las áreas de mayor riesgo identificadas en la estrategia
Ejemplos de Evidencia
- Documento de estrategia de riesgo cibernético aprobado con firma ejecutiva y fecha de publicación
- Documento de mapeo que muestre la alineación entre los objetivos de la estrategia de riesgo cibernético y las estrategias empresariales de negocio/tecnología
- Actas de la junta directiva o comité ejecutivo que documenten la revisión y aprobación de la estrategia
- Documentación de actualización anual de la estrategia que muestre actualizaciones basadas en cambios en la dirección del negocio o el panorama de amenazas
Niveles de Madurez
Las actividades de riesgo cibernético existen pero son reactivas y no están guiadas por una estrategia formal. No hay alineación documentada con los objetivos de negocio o tecnología.
Una estrategia formal de riesgo cibernético está documentada, aprobada por el liderazgo ejecutivo y explícitamente alineada con las estrategias de negocio y tecnología. La estrategia se comunica a las partes interesadas y se revisa periódicamente.
La estrategia de riesgo cibernético se refina continuamente basándose en inteligencia de amenazas, cambios del negocio y métricas de desempeño. Está profundamente integrada con los ciclos de planificación estratégica empresarial e informa las decisiones de asignación de recursos.
Plantillas de Documentos
Requisitos de Evidencia Ver toda la evidencia
| Tipo | Elemento de Evidencia | Frecuencia | Nivel |
|---|---|---|---|
| Documento | Documento de Estrategia de Riesgo Cibernético aprobado con firma ejecutiva/de la Junta Directiva | Revisado anualmente | |
| Documento | Mapeo de alineación de la estrategia de negocio con la estrategia de riesgo cibernético o matriz de trazabilidad | Actualizado con cada revisión de estrategia | |
| Documento | Mapeo de alineación de la estrategia tecnológica con la estrategia de riesgo cibernético | Actualizado con cada revisión de estrategia | |
| Registro | Actas de reunión de la Junta Directiva o Comité Ejecutivo que documentan la revisión y aprobación de la estrategia | Por ciclo de revisión (al menos anualmente) | |
| Registro | Registros de comunicación de la estrategia (correos de distribución, asistencia a sesiones informativas, publicación en intranet) | Por actualización de estrategia | |
| Registro | Documentación de actualización anual de la estrategia que muestre las aportaciones del panorama de amenazas y cambios del negocio | Anualmente |