Revisión de Riesgos y Escalamiento Ejecutivo
SupervisiónDeclaración del Control
Los riesgos cibernéticos para la organización y sus programas o clientes se revisan regularmente, se priorizan, se escalan y se explican a los ejecutivos o alta dirección apropiados, y esos riesgos se priorizan para su mitigación.
Descripción
Los procesos continuos de revisión y escalamiento de riesgos aseguran que los riesgos cibernéticos no permanezcan ocultos a niveles operacionales donde no pueden recibir la atención y recursos apropiados. Este control requiere un enfoque sistemático para revisar periódicamente el registro de riesgos cibernéticos de la organización, reevaluar los niveles de riesgo, priorizar los riesgos basándose en el impacto potencial para la organización, sus programas y sus clientes, y asegurar que los riesgos significativos se comuniquen claramente a los ejecutivos y alta dirección que tienen la autoridad para asignar recursos y tomar decisiones de tratamiento de riesgos.
Actividades Clave de Implementación
- 1 Realizar revisiones regulares (como mínimo trimestrales) del registro de riesgos cibernéticos para reevaluar los niveles de riesgo, identificar nuevos riesgos y retirar los riesgos mitigados
- 2 Aplicar una metodología de priorización de riesgos consistente considerando probabilidad, impacto, velocidad y alineación con la tolerancia al riesgo organizacional
- 3 Establecer criterios y rutas de escalamiento definidos que aseguren que los riesgos cibernéticos materiales lleguen al nivel apropiado de gestión y gobernanza
- 4 Preparar informes de riesgo a nivel ejecutivo que traduzcan los riesgos técnicos al lenguaje de impacto de negocio apropiado para los tomadores de decisiones
- 5 Rastrear las decisiones y acciones de mitigación de riesgos para asegurar que los riesgos priorizados reciban los recursos asignados y que los planes de mitigación avancen según lo planificado
Ejemplos de Evidencia
- Registro de riesgos cibernéticos que muestre las entradas de riesgo con fechas de evaluación, clasificaciones de prioridad, responsables de riesgo y estados de tratamiento
- Actas de reuniones trimestrales de revisión de riesgos con registros de asistencia y decisiones documentadas
- Informes de riesgo ejecutivos o tableros de riesgo de la junta directiva que muestren los riesgos cibernéticos priorizados en contexto de negocio
- Registros de escalamiento que demuestren que los riesgos materiales fueron elevados a los órganos de gobernanza apropiados
- Planes de tratamiento de riesgos con hitos, responsables y seguimiento del progreso para los riesgos priorizados
Niveles de Madurez
Las revisiones de riesgos son informales e inconsistentes. Los ejecutivos reciben reportes limitados o reactivos sobre riesgos cibernéticos, típicamente solo después de incidentes. La priorización de riesgos se basa en juicio individual en lugar de una metodología definida.
Las revisiones de riesgos programadas ocurren con resultados documentados. Los ejecutivos reciben informes de riesgo regulares con análisis de contexto de negocio. Los criterios de escalamiento están definidos y los riesgos se rastrean a través del tratamiento hasta la resolución.
Las revisiones de riesgos son continuas e informadas por inteligencia de amenazas en tiempo real y puntuación automatizada de riesgos. Los ejecutivos reciben tableros de riesgo dinámicos con análisis predictivo de tendencias. La efectividad del tratamiento de riesgos se mide y retroalimenta la priorización.
Plantillas de Documentos
Requisitos de Evidencia Ver toda la evidencia
| Tipo | Elemento de Evidencia | Frecuencia | Nivel |
|---|---|---|---|
| Documento | Registro de Riesgos Cibernéticos con fechas de evaluación, clasificaciones de prioridad, responsables y estado de tratamiento | Mantenido continuamente | |
| Documento | Documentación de criterios y rutas de escalamiento de riesgos | Revisado anualmente | |
| Registro | Actas de reuniones trimestrales de revisión de riesgos con asistencia y decisiones documentadas | Trimestral | |
| Registro | Informes de riesgos ejecutivos o tableros de la Junta Directiva que muestren riesgos priorizados en contexto de negocio | Trimestral | |
| Registro | Registros de escalamiento que demuestren que los riesgos materiales fueron elevados apropiadamente | Por evento de escalamiento | |
| Registro | Planes de tratamiento de riesgos con hitos, responsables y seguimiento del progreso | Por plan de tratamiento |