Evaluación de Recursos y Competencias de Riesgo Cibernético
Control de Gobernanza: Recursos y Competencias de Riesgo Cibernético
1. Propósito
Proporcionar la plantilla para evaluar la adecuación de los recursos de riesgo cibernético (personal, competencias y presupuesto) frente a los requisitos del programa, identificando brechas y planificando la sostenibilidad de los recursos.
2. Alcance
Esta evaluación cubre todo el personal, competencias y recursos financieros asignados al programa de gestión de riesgo cibernético de [ORGANIZACION], incluyendo equipos internos y capacidades externalizadas.
3. Contenido del Evaluación
3.1 Inventario de Recursos Actuales
Documentar el estado actual de los recursos de riesgo cibernético:
| Rol/Función | Personal Aprobado | Ocupados | Vacantes | Contratista/Externalizado | Competencias Clave |
|---|---|---|---|---|---|
| [PERSONALIZAR: CISO / Head of Cyber Risk] | [PERSONALIZAR] | [PERSONALIZAR] | [PERSONALIZAR] | [PERSONALIZAR] | Estrategia, gobernanza, comunicación ejecutiva |
| [PERSONALIZAR: Security Operations / SOC] | [PERSONALIZAR] | [PERSONALIZAR] | [PERSONALIZAR] | [PERSONALIZAR] | SIEM, detección de incidentes, clasificación |
| [PERSONALIZAR: Incident Response] | [PERSONALIZAR] | [PERSONALIZAR] | [PERSONALIZAR] | [PERSONALIZAR] | Análisis forense, contención, recuperación |
| [PERSONALIZAR: Risk and Compliance] | [PERSONALIZAR] | [PERSONALIZAR] | [PERSONALIZAR] | [PERSONALIZAR] | Evaluación de riesgos, auditoría, regulatorio |
| [PERSONALIZAR: Security Architecture] | [PERSONALIZAR] | [PERSONALIZAR] | [PERSONALIZAR] | [PERSONALIZAR] | Seguridad en la nube, seguridad de red, diseño |
| [PERSONALIZAR: Identity and Access Mgmt] | [PERSONALIZAR] | [PERSONALIZAR] | [PERSONALIZAR] | [PERSONALIZAR] | IAM, PAM, servicios de directorio |
| [PERSONALIZAR: Vulnerability Management] | [PERSONALIZAR] | [PERSONALIZAR] | [PERSONALIZAR] | [PERSONALIZAR] | Escaneo, parcheo, remediación |
| [PERSONALIZAR: Security Awareness] | [PERSONALIZAR] | [PERSONALIZAR] | [PERSONALIZAR] | [PERSONALIZAR] | Desarrollo de capacitación, comunicaciones |
3.2 Análisis de Brechas de Competencias
Para cada rol/función, evaluar el nivel de competencia actual frente al nivel requerido:
| Área de Competencia | Nivel Requerido | Nivel Actual | Brecha | Prioridad | Plan de Remediación |
|---|---|---|---|---|---|
| Seguridad en la nube (AWS/Azure/GCP) | [PERSONALIZAR: Advanced] | [PERSONALIZAR] | [PERSONALIZAR] | [PERSONALIZAR] | [PERSONALIZAR] |
| Inteligencia y análisis de amenazas | [PERSONALIZAR: Intermediate] | [PERSONALIZAR] | [PERSONALIZAR] | [PERSONALIZAR] | [PERSONALIZAR] |
| Respuesta a incidentes y análisis forense | [PERSONALIZAR: Advanced] | [PERSONALIZAR] | [PERSONALIZAR] | [PERSONALIZAR] | [PERSONALIZAR] |
| Metodología de evaluación de riesgos | [PERSONALIZAR: Advanced] | [PERSONALIZAR] | [PERSONALIZAR] | [PERSONALIZAR] | [PERSONALIZAR] |
| Cumplimiento regulatorio | [PERSONALIZAR: Intermediate] | [PERSONALIZAR] | [PERSONALIZAR] | [PERSONALIZAR] | [PERSONALIZAR] |
| Gestión de identidad y acceso | [PERSONALIZAR: Intermediate] | [PERSONALIZAR] | [PERSONALIZAR] | [PERSONALIZAR] | [PERSONALIZAR] |
| Seguridad de aplicaciones / DevSecOps | [PERSONALIZAR: Intermediate] | [PERSONALIZAR] | [PERSONALIZAR] | [PERSONALIZAR] | [PERSONALIZAR] |
| Automatización de seguridad y scripting | [PERSONALIZAR: Intermediate] | [PERSONALIZAR] | [PERSONALIZAR] | [PERSONALIZAR] | [PERSONALIZAR] |
3.3 Evaluación de Capacidad y Sostenibilidad
Utilización de capacidad operativa actual: [PERSONALIZAR: XX%] (meta: [PERSONALIZAR: 75-85%] para permitir capacidad de respuesta ante picos de incidentes)
Puntos únicos de falla identificados: [PERSONALIZAR: list roles/functions where only one person holds critical knowledge]
Tasa de rotación de personal (últimos 12 meses): [PERSONALIZAR: XX%] (referencia de la industria: [PERSONALIZAR: XX%])
Antigüedad promedio en roles de riesgo cibernético: [PERSONALIZAR: X.X years]
Planes de sucesión documentados para: [PERSONALIZAR: list roles with succession plans / identify gaps]
Estado de la documentación de transferencia de conocimiento: [PERSONALIZAR: percentage of critical processes with documented runbooks/procedures]
3.4 Evaluación Presupuestaria
Presupuesto actual de riesgo cibernético: [PERSONALIZAR: $X,XXX,XXX] ([PERSONALIZAR: X.X%] del presupuesto de TI / [PERSONALIZAR: X.XX%] de los ingresos)
Asignación presupuestaria: Personal [PERSONALIZAR: XX%], Tecnología [PERSONALIZAR: XX%], Servicios [PERSONALIZAR: XX%], Capacitación [PERSONALIZAR: XX%]
Requisitos no financiados identificados: [PERSONALIZAR: list with estimated costs]
Evaluación de adecuación presupuestaria: [PERSONALIZAR: Sufficient / Partially Sufficient / Insufficient] basada en la comparación contra los requisitos del programa y las referencias de la industria.
Recomendaciones para ajustes presupuestarios: [PERSONALIZAR: specific recommendations with justification]
3.5 Recomendaciones y Plan de Acción
Basándose en los hallazgos de la evaluación, se recomiendan las siguientes acciones:
[PERSONALIZAR: Recommendation 1 - e.g., Hire 2 additional SOC analysts to address 24x7 coverage gap - Priority: High - Estimated Cost: $XXX,XXX - Timeline: Q2]
[PERSONALIZAR: Recommendation 2 - e.g., Invest in cloud security certification program for 5 team members - Priority: High - Estimated Cost: $XX,XXX - Timeline: Q1-Q2]
[PERSONALIZAR: Recommendation 3 - e.g., Engage managed detection and response provider to supplement SOC during off-hours - Priority: Medium - Estimated Cost: $XXX,XXX/yr - Timeline: Q1]
[PERSONALIZAR: Recommendation 4 - e.g., Develop succession plans for CISO and Security Architecture Lead - Priority: Medium - Timeline: Q2]
Esta evaluación deberá ser revisada por [PERSONALIZAR: CISO / Executive Committee] y actualizada al menos [PERSONALIZAR: annually].
4. Cumplimiento
El cumplimiento de este evaluación es obligatorio para todo el personal y funciones dentro de su alcance. El cumplimiento será monitoreado a traves de auditorías periódicas, revisión de la gerencia y supervisión de la segúnda linea de defensa.
Las excepciones a este evaluación deben documentarse con una justificación de negocio, ser aprobadas por [PERSONALIZAR: CISO/Comite Ejecutivo de Riesgos], y revisarse al menos anualmente.
5. Revisión y Actualización
Este evaluación será revisado al menos anualmente por [PERSONALIZAR: CISO/Propietario del Documento] y actualizado según sea necesario para reflejar cambios en el panorama de amenazas, requisitos regulatorios, estructura organizaciónal o apetito de riesgo.
Todas las revisiónes serán documentadas con número de version, fecha, autor y descripción de los cambios.
Aprobación del Documento
Aprobado Por
Cargo
Fecha
Control de Documentos