Tres Líneas de Defensa
SupervisiónDeclaración del Control
Los roles y responsabilidades de cada una de las tres líneas de defensa y otras partes interesadas están claramente descritos dentro del marco de riesgo cibernético.
Descripción
El modelo de tres líneas de defensa es una estructura de gobernanza que distingue entre la propiedad del riesgo (primera línea), la supervisión del riesgo (segunda línea) y el aseguramiento independiente (tercera línea). En el contexto del riesgo cibernético, la primera línea comprende la gestión operacional y los equipos que poseen y gestionan los riesgos cibernéticos día a día. La segunda línea incluye las funciones de gestión de riesgos y cumplimiento que proporcionan supervisión, establecen estándares y cuestionan a la primera línea. La tercera línea es auditoría interna, que proporciona aseguramiento independiente sobre la efectividad de la primera y segunda línea. Documentar claramente estos roles dentro del marco de riesgo cibernético previene brechas, superposiciones y fallas de responsabilidad.
Actividades Clave de Implementación
- 1 Documentar los roles, responsabilidades y límites de responsabilidad para cada línea de defensa dentro del marco de riesgo cibernético
- 2 Definir las responsabilidades de la primera línea para implementar controles, gestionar riesgos y reportar sobre la efectividad de los controles
- 3 Establecer el mandato de la segunda línea para evaluación independiente de riesgos, supervisión de políticas, monitoreo de cumplimiento y cuestionamiento de las actividades de primera línea
- 4 Asegurar que la tercera línea (auditoría interna) tenga un mandato independiente para evaluar la efectividad de las actividades de riesgo cibernético de primera y segunda línea
- 5 Definir mecanismos de coordinación y flujos de información entre las tres líneas, incluyendo protocolos de escalamiento y requisitos de reporte
Ejemplos de Evidencia
- Documentación del marco con delineación clara de las responsabilidades de las tres líneas de defensa para el riesgo cibernético
- Matriz RACI que muestre la propiedad de actividades a través de las tres líneas para procesos clave de riesgo cibernético
- Estatuto o mandato de auditoría interna que haga referencia a la cobertura de riesgo cibernético y los requisitos de independencia
- Informes de supervisión de segunda línea que demuestren revisión independiente y cuestionamiento de las actividades de primera línea
- Documentación de gobernanza organizacional que muestre las líneas de reporte que preservan la independencia de la segunda y tercera línea
Niveles de Madurez
Las líneas de defensa no están formalmente definidas para el riesgo cibernético. Las responsabilidades se superponen o tienen brechas. La segunda línea puede no tener suficiente independencia o mandato para cuestionar a la primera línea.
El modelo de tres líneas está formalmente documentado e implementado para el riesgo cibernético. Cada línea tiene responsabilidades claras, requisitos de reporte y responsabilidad. La independencia de la segunda y tercera línea está estructuralmente soportada.
Las tres líneas operan sin problemas con mecanismos de coordinación establecidos. La efectividad de cada línea se mide y reporta. El modelo se evalúa regularmente y se adapta a los cambios en la estructura organizacional y el perfil de riesgo.
Plantillas de Documentos
Requisitos de Evidencia Ver toda la evidencia
| Tipo | Elemento de Evidencia | Frecuencia | Nivel |
|---|---|---|---|
| Documento | Documentación del marco con delineación clara de las tres líneas de defensa | Revisado anualmente | |
| Documento | Matriz RACI para actividades de riesgo cibernético a través de las tres líneas | Revisado anualmente | |
| Documento | Estatuto de Auditoría Interna que haga referencia a la cobertura de riesgo cibernético y mandato de independencia | Revisado anualmente | |
| Registro | Informes de supervisión de segunda línea que demuestren revisión y cuestionamiento independiente | Trimestral | |
| Registro | Informes de auditoría interna sobre riesgo cibernético que cubran la efectividad de la primera y segunda línea | Por ciclo de auditoría | |
| Registro | Documentación de gobernanza organizacional que muestre líneas de reporte que preserven la independencia | Vigente |