Procedimiento de Informes y Escalación de Riesgo Cibernético

Revisiones de Riesgo Operativo: Revisiones [PERSONALIZAR: Weekly] realizadas por [PERSONALIZAR: Security Operations / IT Operations] para evaluar nuevos riesgos, actualizar las calificaciones de riesgo existentes y revisar el progreso del tratamiento.

Revisiones de Riesgo Gerencial: Revisiones [PERSONALIZAR: Monthly] realizadas por [PERSONALIZAR: CISO / Cyber Risk Team] para consolidar los insumos operativos, evaluar las tendencias de riesgo y preparar los informes gerenciales.

Revisiones de Riesgo Ejecutivo: Revisiones [PERSONALIZAR: Quarterly] realizadas con [PERSONALIZAR: Executive Risk Committee] para revisar la postura empresarial de riesgo cibernético, aprobar decisiones de tratamiento y asignar recursos.

Revisiones de Riesgo de la Junta Directiva: Sesiones informativas [PERSONALIZAR: Quarterly] para el [PERSONALIZAR: Board Risk Committee] sobre la postura de riesgo cibernético, desarrollos significativos y consideraciones estratégicas de riesgo.

Revisiones Ad Hoc: Activadas por incidentes significativos, inteligencia de amenazas que indica riesgo inminente o cambios materiales en el entorno de riesgos.

Los riesgos deberán priorizarse utilizando los siguientes criterios evaluados en combinación:

Nivel de Riesgo Residual: Basado en la metodología de evaluación de riesgos (probabilidad x impacto después de controles), los riesgos calificados como Críticos o Altos reciben atención prioritaria.

Velocidad: Los riesgos con potencial de materialización rápida (que podrían materializarse dentro de [PERSONALIZAR: 30 days]) se escalan independientemente del nivel general de riesgo.

Impacto en el Negocio: Los riesgos que afectan [PERSONALIZAR: customer-facing services, regulatory compliance, financial operations] reciben prioridad elevada.

Dirección de la Tendencia: Los riesgos con tendencias en deterioro (probabilidad o impacto creciente) durante [PERSONALIZAR: two or more] períodos de reporte se marcan para atención mejorada.

Agregación: Los riesgos relacionados que individualmente parecen moderados pero colectivamente representan una exposición material se identifican y reportan como riesgo agregado.

Se aplican los siguientes criterios de escalación:

Los informes ejecutivos de riesgos deberán incluir las siguientes secciones estándar:

1. Resumen de la Postura de Riesgo: Estado general de riesgo (VERDE/ÁMBAR/ROJO), cambio respecto al período anterior y factores clave del cambio.

2. Principales Riesgos: Los [PERSONALIZAR: top 10] riesgos cibernéticos clasificados por prioridad con calificaciones actuales, indicadores de tendencia y estado de tratamiento.

3. Tablero de KRI/KPI: Valores actuales frente a umbrales con indicadores de tendencia.

4. Resumen de Incidentes: Cantidad y clasificación de incidentes en el período de reporte con incidentes notables detallados.

5. Estado de Cumplimiento: Resumen de la postura de cumplimiento regulatorio con hallazgos abiertos y progreso de remediación.

6. Progreso del Tratamiento: Estado de las iniciativas aprobadas de tratamiento de riesgos frente a los hitos planificados.

7. Riesgos Emergentes: Riesgos nuevos o en evolución identificados durante el período que pueden requerir atención estratégica.

8. Estado de Recursos y Presupuesto: Utilización de recursos del programa de riesgo cibernético y estado del presupuesto.

9. Decisiones Requeridas: Decisiones específicas de tratamiento de riesgos o solicitudes de asignación de recursos para acción ejecutiva.

Todas las decisiones de tratamiento de riesgos tomadas por los órganos de gobernanza deberán documentarse en el [PERSONALIZAR: GRC tool/risk register] dentro de [PERSONALIZAR: 5 business days] de la decisión.

Cada registro de decisión deberá incluir: identificador del riesgo, fecha de la decisión, tomador de la decisión, opción de tratamiento seleccionada, responsable asignado, fecha objetivo de finalización y cualquier condición o control compensatorio.

El progreso del tratamiento deberá reportarse en cada reunión de gobernanza subsiguiente hasta que el tratamiento se complete y se valide.

Los tratamientos que se retrasen más de [PERSONALIZAR: 30 days] respecto al cronograma deberán escalarse automáticamente al siguiente nivel de gobernanza.