Marco de Riesgo Cibernético
MarcoDeclaración del Control
La organización ha establecido un marco de riesgo cibernético (por ejemplo, un conjunto completo de elementos que incluye políticas, estándares, roles y responsabilidades, procesos de gestión de riesgos, taxonomía de riesgos, apetito de riesgo y amenazas y tecnologías emergentes) en apoyo de la estrategia de riesgo cibernético, y la gestión continua de amenazas, riesgos e incidentes.
Descripción
Un marco integral de riesgo cibernético proporciona la base estructural para todas las actividades de gobernanza de ciberseguridad. Traduce la estrategia de alto nivel de riesgo cibernético en componentes accionables: políticas que establecen expectativas, estándares que definen requisitos, roles que asignan responsabilidad, procesos que permiten una gestión de riesgos consistente, una taxonomía que asegura un lenguaje común, y una declaración de apetito de riesgo que guía la toma de decisiones. El marco también debe tener en cuenta la naturaleza dinámica del entorno de amenazas, incluyendo amenazas emergentes y nuevas tecnologías que pueden introducir o alterar los perfiles de riesgo.
Actividades Clave de Implementación
- 1 Desarrollar y mantener un conjunto integral de políticas, estándares y procedimientos de riesgo cibernético que implementen colectivamente la estrategia de riesgo cibernético
- 2 Definir y documentar una taxonomía de riesgo cibernético que proporcione un lenguaje común para categorizar, evaluar y comunicar riesgos en toda la organización
- 3 Establecer una declaración formal de apetito de riesgo aprobada por el liderazgo ejecutivo que defina niveles aceptables de riesgo cibernético en diferentes áreas de negocio
- 4 Implementar procesos de gestión de riesgos que cubran la identificación, evaluación, tratamiento, monitoreo y reporte de riesgos
- 5 Integrar el monitoreo de amenazas y tecnologías emergentes en el marco para asegurar que permanezca vigente y con visión de futuro
Ejemplos de Evidencia
- Documentación completa del marco de riesgo cibernético incluyendo todas las políticas, estándares y procedimientos componentes
- Declaración de apetito de riesgo aprobada con umbrales definidos y criterios de escalamiento
- Documento de taxonomía de riesgos que muestre el esquema de categorización y alineación con la gestión de riesgos empresariales
- Documentación de procesos para el monitoreo de amenazas, evaluación de riesgos y flujos de trabajo de gestión de incidentes
- Evidencia de ciclos de revisión del marco e historial de versiones que muestre actualizaciones por amenazas y tecnologías emergentes
Niveles de Madurez
Pueden existir políticas o procedimientos individuales pero no están organizados en un marco cohesivo. El apetito de riesgo es informal o indefinido. No se utiliza una taxonomía de riesgos estándar.
Un marco integral está documentado y aprobado, abarcando políticas, estándares, roles, procesos de riesgo, taxonomía y apetito de riesgo. Las amenazas emergentes se monitorean y el marco se revisa en un calendario definido.
El marco está completamente integrado con la gestión de riesgos empresariales, actualizado continuamente basándose en inteligencia de amenazas y cambios tecnológicos, y su efectividad se mide a través de indicadores clave vinculados al apetito de riesgo.
Plantillas de Documentos
Requisitos de Evidencia Ver toda la evidencia
| Tipo | Elemento de Evidencia | Frecuencia | Nivel |
|---|---|---|---|
| Documento | Documento completo del Marco de Riesgo Cibernético con todos los elementos componentes | Revisado anualmente | |
| Documento | Declaración de Apetito de Riesgo aprobada con umbrales definidos | Revisado anualmente | |
| Documento | Documento de Taxonomía de Riesgos con esquema de categorización | Revisado anualmente | |
| Documento | Inventario de políticas y estándares que muestre todos los documentos componentes del marco con fechas de revisión | Mantenido continuamente | |
| Documento | Documentación del proceso de gestión de riesgos (identificación, evaluación, tratamiento, monitoreo, reporte) | Revisado anualmente | |
| Registro | Historial de versiones del marco que muestre actualizaciones por amenazas y tecnologías emergentes | Por actualización | |
| Registro | Lista de vigilancia de amenazas emergentes con registros de revisión | Trimestral |