Indicadores Clave de Riesgo y Desempeño
SupervisiónDeclaración del Control
Se han establecido indicadores clave de riesgo y desempeño, así como umbrales, para los riesgos y controles cibernéticos clave de la organización. Los indicadores de riesgo deben alinearse con el apetito de riesgo cibernético según lo establecido en el marco de riesgo cibernético.
Descripción
Los Indicadores Clave de Riesgo (KRI) y los Indicadores Clave de Desempeño (KPI) proporcionan medidas cuantitativas y cualitativas que permiten a la organización monitorear su postura de riesgo cibernético y la efectividad de los controles. Los KRI sirven como señales de alerta temprana de que los niveles de riesgo se están acercando o excediendo el apetito de riesgo definido, mientras que los KPI miden si los controles y procesos de seguridad están funcionando según lo previsto. Establecer umbrales vinculados al apetito de riesgo crea puntos de activación para el escalamiento, investigación y acción correctiva, transformando la gestión de riesgos de un ejercicio periódico en una capacidad de monitoreo continuo.
Actividades Clave de Implementación
- 1 Definir KRIs que midan la exposición a riesgos cibernéticos clave y alinear los niveles de umbral con la declaración de apetito de riesgo aprobada
- 2 Definir KPIs que midan la efectividad de los controles y procesos de seguridad críticos contra los niveles de desempeño objetivo
- 3 Establecer umbrales (verde/ámbar/rojo o equivalente) que activen el escalamiento, investigación y actividades de remediación
- 4 Implementar la recopilación y reporte automatizados de datos de indicadores para permitir visibilidad oportuna del estado de riesgos y controles
- 5 Revisar y recalibrar indicadores y umbrales periódicamente para asegurar que sigan siendo relevantes a medida que evolucionan el panorama de riesgos y el apetito de riesgo
Ejemplos de Evidencia
- Registro de KRI y KPI que documente cada indicador, su definición, fuente de datos, responsable, niveles de umbral y alineación con el apetito de riesgo
- Tableros de control o informes que muestren los valores actuales de los indicadores contra los umbrales establecidos
- Registros de escalamiento que demuestren que las violaciones de umbrales activaron las acciones de respuesta definidas
- Evidencia de revisión y recalibración periódica de indicadores (actas de reunión, definiciones de indicadores actualizadas)
- Declaración de apetito de riesgo con vinculación explícita a los umbrales de KRI
Niveles de Madurez
Existen KRIs/KPIs formales limitados o nulos para el riesgo cibernético. Las métricas se recopilan de forma ad hoc y no están vinculadas a un apetito de riesgo. Los umbrales no están definidos.
Un conjunto definido de KRIs y KPIs está establecido, alineado con el apetito de riesgo y reportado a la gerencia de forma regular. Los umbrales activan acciones documentadas de escalamiento y respuesta.
Los indicadores son integrales, automatizados y proporcionan visibilidad casi en tiempo real. Se utilizan analítica predictiva y tendencias para anticipar violaciones de umbrales. Los indicadores se refinan continuamente basándose en análisis de efectividad y cambios en el apetito de riesgo.
Plantillas de Documentos
Requisitos de Evidencia Ver toda la evidencia
| Tipo | Elemento de Evidencia | Frecuencia | Nivel |
|---|---|---|---|
| Documento | Registro de KRI/KPI con definiciones, fuentes de datos, umbrales y alineación con el apetito de riesgo | Revisado semestralmente | |
| Documento | Declaración de Apetito de Riesgo que muestre vinculación explícita con los umbrales de KRI | Revisado anualmente | |
| Registro | Tableros de control o informes que muestren los valores actuales de los indicadores contra los umbrales | Mensual/Trimestral | |
| Registro | Registros de escalamiento que demuestren acciones de respuesta ante la violación de umbrales | Por evento de violación | |
| Registro | Registros de revisión y recalibración de indicadores | Semestralmente | |
| Registro | Informes de análisis de tendencias que muestren el movimiento de indicadores a lo largo del tiempo | Trimestral |