Planificación y Presupuesto Basados en Riesgos
EstrategiaDeclaración del Control
La organización considera los requisitos de cumplimiento de riesgo cibernético, los riesgos identificados, las amenazas actuales y emergentes, y los posibles impactos relacionados con incidentes en las operaciones y servicios, como insumos para la planificación y priorización de proyectos, programas y presupuestos de riesgo cibernético.
Descripción
La gestión efectiva del riesgo cibernético requiere que las decisiones de inversión estén informadas por una comprensión integral del panorama de riesgos. Este control asegura que la priorización de proyectos, el desarrollo de programas y la asignación de presupuesto estén impulsados por datos reales de riesgo en lugar de toma de decisiones ad hoc. Al incorporar sistemáticamente los requisitos de cumplimiento, los resultados de evaluación de riesgos, la inteligencia de amenazas y el análisis de impacto de incidentes en los procesos de planificación, la organización puede dirigir recursos finitos hacia las actividades de reducción de riesgo de mayor prioridad.
Actividades Clave de Implementación
- 1 Integrar los resultados de evaluaciones de riesgos, inteligencia de amenazas y análisis de brechas de cumplimiento en el proceso anual de planificación y presupuesto de ciberseguridad
- 2 Desarrollar una metodología de priorización basada en riesgos para proyectos y programas de riesgo cibernético que considere la probabilidad, impacto y velocidad de los riesgos identificados
- 3 Cuantificar los impactos operacionales y financieros potenciales de los incidentes cibernéticos para apoyar el desarrollo de casos de negocio para inversiones en reducción de riesgos
- 4 Establecer un proceso para repriorizar proyectos y reasignar presupuestos en respuesta a cambios significativos en el panorama de amenazas o la postura de riesgo
- 5 Reportar al liderazgo ejecutivo sobre cómo las inversiones en riesgo cibernético se mapean a los resultados de reducción de riesgo y las obligaciones de cumplimiento
Ejemplos de Evidencia
- Plan anual del programa de riesgo cibernético que muestre iniciativas priorizadas con justificaciones basadas en riesgos
- Documentación presupuestaria que vincule las asignaciones de financiamiento con los riesgos identificados, los requisitos de cumplimiento o la mitigación de amenazas
- Criterios de priorización basados en riesgos y documentación de metodología de puntuación
- Evidencia de decisiones de repriorización a mitad de ciclo impulsadas por amenazas emergentes o impactos de incidentes
- Reportes ejecutivos que muestren la alineación de la inversión en riesgo cibernético con los objetivos de reducción de riesgos
Niveles de Madurez
Las decisiones de presupuesto y proyectos están impulsadas por propuestas de proveedores, hallazgos de auditoría o solicitudes ejecutivas en lugar de un análisis sistemático de riesgo. Conexión limitada entre las evaluaciones de riesgos y la asignación de recursos.
Existe un proceso definido para incorporar los resultados de evaluación de riesgos, los requisitos de cumplimiento y la inteligencia de amenazas en la planificación. Los presupuestos se justifican con una fundamentación basada en riesgos y son revisados por el liderazgo.
Las inversiones en riesgo cibernético se optimizan continuamente usando análisis cuantitativo de riesgos, inteligencia de amenazas en tiempo real y resultados medibles de reducción de riesgos. Los mecanismos dinámicos de reasignación responden a los cambios en el panorama de amenazas.
Plantillas de Documentos
Requisitos de Evidencia Ver toda la evidencia
| Tipo | Elemento de Evidencia | Frecuencia | Nivel |
|---|---|---|---|
| Documento | Plan Anual del Programa de Riesgo Cibernético con priorización de proyectos basada en riesgos | Anualmente | |
| Documento | Metodología de priorización basada en riesgos y criterios de puntuación | Revisado anualmente | |
| Documento | Documentación presupuestaria que vincule las asignaciones con los riesgos identificados y los requisitos de cumplimiento | Anualmente | |
| Registro | Resultados de evaluación de riesgos utilizados como insumos de planificación (extractos del registro de riesgos, resúmenes de inteligencia de amenazas) | Por ciclo de planificación | |
| Registro | Decisiones de repriorización a mitad de ciclo con justificación documentada | Según ocurrencia | |
| Registro | Informes ejecutivos que muestren la alineación de la inversión con la reducción de riesgos | Trimestral |