Programa de Revisión de Riesgo Cibernético de Segunda Línea
Control de Gobernanza: Revisión Independiente de Segunda Línea
1. Propósito
Definir el programa de la segunda línea de defensa para revisar y cuestionar de manera independiente las evaluaciones de riesgo cibernético, actividades de control y prácticas de gestión de riesgos realizadas por la primera línea de defensa.
2. Alcance
Este programa cubre todas las actividades de revisión independiente de segunda línea relacionadas con la gestión de riesgo cibernético de primera línea, incluyendo evaluaciones de riesgo, autoevaluaciones de controles, decisiones de aceptación de riesgos, gestión de incidentes y actividades de cumplimiento.
3. Contenido del Programa
3.1 Mandato del Programa e Independencia
La función de [PERSONALIZAR: Cyber Risk Management / Enterprise Risk Management / Compliance], operando como la segunda línea de defensa, tiene el mandato de proporcionar supervisión independiente de las actividades de gestión de riesgo cibernético de primera línea.
La independencia de segunda línea se mantiene a través de: líneas de reporte separadas de las operaciones de primera línea, autoridad para acceder a toda la información y personal relevante, y la capacidad de reportar directamente a [PERSONALIZAR: Executive Risk Committee / Board] sin filtrado de primera línea.
La gerencia de primera línea deberá cooperar con las revisiones de segunda línea y proporcionar acceso oportuno al personal, documentación y sistemas según se solicite.
3.2 Alcance y Cobertura de Revisiones
La segunda línea deberá realizar los siguientes tipos de revisiones en un calendario basado en riesgo:
| Tipo de Revisión | Alcance | Frecuencia | Producto |
|---|---|---|---|
| Revisión de Calidad de Evaluación de Riesgos | Evaluar la completitud, precisión y cumplimiento metodológico de las evaluaciones de riesgo de primera línea | [PERSONALIZAR: Quarterly] | Cuadro de mando de calidad e informe de hallazgos |
| Revisión de Efectividad de Controles | Pruebas independientes de controles de seguridad críticos para validar las autoevaluaciones de primera línea | [PERSONALIZAR: Semi-annually] | Informe de efectividad de controles |
| Revisión de Aceptación de Riesgos | Revisar decisiones de aceptación de riesgos para autoridad apropiada, completitud y validez continua | [PERSONALIZAR: Quarterly] | Informe de revisión de aceptación |
| Revisión de Monitoreo de Cumplimiento | Verificar el cumplimiento de primera línea con políticas, estándares y requisitos regulatorios | [PERSONALIZAR: Monthly/Quarterly] | Informe de estado de cumplimiento |
| Revisión de Gestión de Incidentes | Evaluar la calidad del manejo de incidentes, análisis de causa raíz e implementación de lecciones | [PERSONALIZAR: After major incidents / Quarterly] | Hallazgos de revisión de incidentes |
| Revisión Temática | Revisión profunda de dominios de riesgo específicos o áreas de riesgo emergente | [PERSONALIZAR: 2-3 per year] | Informe de revisión temática |
3.3 Metodología de Revisión
Las revisiones deberán realizarse utilizando una metodología documentada que incluya: planificación y alcance de la revisión, recopilación y análisis de información, pruebas y validación independientes, desarrollo de hallazgos y calificación de riesgo, e informes y recomendaciones.
Los hallazgos deberán calificarse utilizando los siguientes niveles de severidad: Crítico (falla material de control o incumplimiento regulatorio que requiere acción inmediata), Alto (brecha significativa que requiere remediación dentro de [PERSONALIZAR: 60 days]), Medio (mejora necesaria dentro de [PERSONALIZAR: 120 days]), Bajo (recomendación de mejores prácticas dentro de [PERSONALIZAR: 180 days]).
Todos los hallazgos deberán incluir: descripción del hallazgo, análisis de causa raíz, implicación de riesgo, recomendación y plan de remediación acordado con responsable y fecha objetivo.
La gerencia de primera línea deberá proporcionar una respuesta formal a todos los hallazgos dentro de [PERSONALIZAR: 15 business days] de la emisión del informe.
3.4 Informes
La segunda línea deberá reportar los resultados de las revisiones a [PERSONALIZAR: CISO / Executive Risk Committee] al menos [PERSONALIZAR: quarterly], incluyendo: resumen de revisiones completadas, hallazgos clave y temas, estado de remediación de hallazgos abiertos y evaluación de la efectividad de la gestión de riesgo de primera línea.
Un informe anual sobre la efectividad general de la gestión de riesgo cibernético de primera línea deberá presentarse al [PERSONALIZAR: Board Risk Committee / Board Audit Committee].
Los hallazgos críticos deberán reportarse a [PERSONALIZAR: CISO / Executive Risk Committee] inmediatamente al ser identificados, sin esperar al ciclo regular de informes.
4. Cumplimiento
El cumplimiento de este programa es obligatorio para todo el personal y funciones dentro de su alcance. El cumplimiento será monitoreado a traves de auditorías periódicas, revisión de la gerencia y supervisión de la segúnda linea de defensa.
Las excepciones a este programa deben documentarse con una justificación de negocio, ser aprobadas por [PERSONALIZAR: CISO/Comite Ejecutivo de Riesgos], y revisarse al menos anualmente.
5. Revisión y Actualización
Este programa será revisado al menos anualmente por [PERSONALIZAR: CISO/Propietario del Documento] y actualizado según sea necesario para reflejar cambios en el panorama de amenazas, requisitos regulatorios, estructura organizaciónal o apetito de riesgo.
Todas las revisiónes serán documentadas con número de version, fecha, autor y descripción de los cambios.
Aprobación del Documento
Aprobado Por
Cargo
Fecha
Control de Documentos