Recursos y Competencias de Riesgo Cibernético
RecursosDeclaración del Control
La organización ha asignado recursos suficientes y capacitados para el sostenimiento de los programas, sistemas, roles y servicios de riesgo cibernético.
Descripción
La efectividad de todo el programa de gestión de riesgo cibernético depende de contar con recursos humanos, financieros y técnicos adecuados con las habilidades y experiencia necesarias. Este control requiere que la organización evalúe las necesidades de recursos contra los requisitos del programa, aborde las brechas de habilidades a través de contratación, capacitación o servicios gestionados, y asegure que los niveles de recursos sean suficientes para sostener las operaciones continuas en lugar de solo la implementación inicial. La insuficiencia de recursos es una causa raíz común de fallas en los controles e incidentes de seguridad.
Actividades Clave de Implementación
- 1 Realizar una evaluación de recursos y habilidades comparando las capacidades actuales del equipo de riesgo cibernético contra los requisitos del programa y el panorama de amenazas
- 2 Desarrollar una estrategia de recursos que aborde las brechas identificadas a través de una combinación de contratación, capacitación, formación cruzada y uso estratégico de servicios gestionados o consultores
- 3 Establecer requisitos de competencia basados en roles y programas de desarrollo profesional continuo para el personal de riesgo cibernético
- 4 Monitorear la utilización de recursos y la capacidad para identificar riesgos de agotamiento, puntos únicos de falla y áreas donde la demanda excede la capacidad
- 5 Incluir consideraciones de sostenibilidad de recursos en los ciclos anuales de planificación y presupuesto, asegurando que las necesidades operacionales continuas estén financiadas, no solo los proyectos
Ejemplos de Evidencia
- Documentación de evaluación de brechas de recursos y habilidades con hallazgos y recomendaciones
- Organigrama de riesgo cibernético que muestre roles ocupados, vacantes y estructura de reporte
- Registros de capacitación y certificación del personal de riesgo cibernético que demuestren desarrollo profesional continuo
- Documentación presupuestaria que muestre financiamiento dedicado para personal, herramientas y servicios de riesgo cibernético
- Documentación de planificación de fuerza laboral que aborde la sucesión, retención y transferencia de conocimiento
Niveles de Madurez
Las responsabilidades de riesgo cibernético se asignan a personal con experiencia relevante limitada o como funciones adicionales. Los presupuestos son insuficientes para los requisitos del programa. Las brechas de habilidades no se abordan.
Los recursos dedicados de riesgo cibernético están asignados con roles definidos y requisitos de competencia. Los presupuestos soportan el sostenimiento del programa. Los programas de capacitación y desarrollo abordan las brechas de habilidades identificadas.
La planificación de recursos es dinámica, informada por análisis de carga de trabajo y cambios en el panorama de amenazas. La organización invierte en desarrollo de habilidades avanzadas, gestión del conocimiento y programas de retención. La adecuación de recursos se mide contra métricas de desempeño del programa.
Plantillas de Documentos
Requisitos de Evidencia Ver toda la evidencia
| Tipo | Elemento de Evidencia | Frecuencia | Nivel |
|---|---|---|---|
| Documento | Evaluación de brechas de recursos y competencias con hallazgos y recomendaciones | Anualmente | |
| Documento | Organigrama de riesgo cibernético que muestre roles ocupados, vacantes y estructura de reporte | Vigente | |
| Documento | Documentación presupuestaria que muestre financiamiento dedicado para personal, herramientas y servicios de riesgo cibernético | Anualmente | |
| Registro | Registros de capacitación y certificación para el personal de riesgo cibernético | Rastreado continuamente | |
| Registro | Documentación de planificación de fuerza laboral que aborde la sucesión y transferencia de conocimiento | Revisado anualmente | |
| Registro | Requisitos de competencia basados en roles y descripciones de puesto para posiciones de riesgo cibernético | Revisado anualmente |