Políticas de Riesgo Cibernético
MarcoDeclaración del Control
La organización ha documentado políticas de riesgo cibernético para explicar los roles, responsabilidades, reglas y restricciones del personal y contratistas, así como las posibles sanciones por incumplimiento.
Descripción
Las políticas documentadas de riesgo cibernético establecen las expectativas de comportamiento y las obligaciones de cumplimiento para todo el personal que interactúa con los sistemas de información y datos organizacionales. Las políticas efectivas articulan claramente lo que se espera del personal y contratistas, qué acciones están prohibidas, cómo se asignan los roles y responsabilidades, y qué consecuencias siguen a las violaciones de política. Estas políticas deben comunicarse, reconocerse y aplicarse para ser efectivas, y forman la base contractual y disciplinaria para abordar el incumplimiento.
Actividades Clave de Implementación
- 1 Desarrollar y mantener un conjunto integral de políticas de riesgo cibernético que cubran uso aceptable, manejo de datos, control de acceso, reporte de incidentes y otros dominios relevantes
- 2 Definir claramente los roles y responsabilidades para todas las categorías de personal incluyendo empleados, contratistas, personal temporal y usuarios de terceros
- 3 Especificar reglas, restricciones y actividades prohibidas con suficiente claridad para apoyar una aplicación consistente
- 4 Documentar las consecuencias del incumplimiento incluyendo acciones disciplinarias, sanciones contractuales e implicaciones legales potenciales
- 5 Implementar un proceso de reconocimiento de políticas que asegure que todo el personal confirme que ha leído, comprendido y acepta cumplir con las políticas
Ejemplos de Evidencia
- Conjunto completo de políticas de riesgo cibernético con firmas de aprobación, fechas de vigencia e historial de versiones
- Registros de reconocimiento de políticas que muestren firmas de personal y contratistas con fechas
- Matriz RACI o de responsabilidades que mapee los roles de riesgo cibernético a individuos o posiciones específicas
- Registros de aplicación de incumplimiento que demuestren que las consecuencias se aplican consistentemente
- Registros de distribución y comunicación de políticas (notificaciones por correo, publicaciones en intranet, sesiones de capacitación)
Niveles de Madurez
Algunas políticas existen pero están incompletas, desactualizadas o no se comunican efectivamente. Los roles y responsabilidades son ambiguos. Las consecuencias del incumplimiento no están definidas o no se aplican.
Un conjunto integral de políticas se mantiene, comunica a todo el personal y se reconoce formalmente. Los roles, reglas y consecuencias están claramente documentados. Las políticas se revisan y actualizan en un calendario definido.
Las políticas se mejoran continuamente basándose en lecciones de incidentes, retroalimentación de cumplimiento y mejores prácticas de la industria. El monitoreo automatizado de cumplimiento verifica la adherencia a las políticas. La efectividad de las políticas se mide a través de métricas y pruebas.
Plantillas de Documentos
Requisitos de Evidencia Ver toda la evidencia
| Tipo | Elemento de Evidencia | Frecuencia | Nivel |
|---|---|---|---|
| Documento | Conjunto completo de políticas de riesgo cibernético con firmas de aprobación, fechas de vigencia y control de versiones | Revisado según el calendario de políticas | |
| Documento | Matriz RACI o de responsabilidades que mapee los roles de riesgo cibernético a individuos/posiciones | Revisado anualmente | |
| Registro | Registros de reconocimiento de políticas con firmas de personal y contratistas con fechas | Re-reconocimiento anual | |
| Registro | Registros de distribución y comunicación de políticas | Por actualización de política | |
| Registro | Acciones de cumplimiento por incumplimiento que demuestren la aplicación consistente de consecuencias | Por incidente | |
| Registro | Registros de revisión y actualización de políticas que muestren actualizaciones periódicas | Por ciclo de revisión de políticas |