1. Propósito
Definir y comunicar la tolerancia de [ORGANIZACION] al riesgo cibernético en las diferentes categorías de riesgo y dominios de negocio, proporcionando los límites cuantitativos y cualitativos dentro de los cuales se toman las decisiones de gestión de riesgos.
2. Alcance
Esta declaración aplica a todas las decisiones de gestión de riesgo cibernético en [ORGANIZACION], desde la priorización de inversiones estratégicas hasta la aceptación de riesgos operativos.
3. Contenido del Política
3.1 Principios del Apetito de Riesgo
[ORGANIZACION] reconoce que cierto nivel de riesgo cibernético es inherente al logro de los objetivos de negocio y que eliminar todo riesgo no es factible ni deseable.
El apetito de riesgo se define a nivel empresarial por [PERSONALIZAR: Board of Directors / Board Risk Committee] y se desglosa a través de niveles de tolerancia de riesgo hacia las unidades de negocio y funciones operativas.
Los límites del apetito de riesgo no son estáticos y deberán revisarse al menos [PERSONALIZAR: annually] o cuando se activen por cambios significativos en el entorno de negocio, panorama de amenazas o requisitos regulatorios.
3.2 Apetito de Riesgo Cibernético Empresarial
[ORGANIZACION] tiene un apetito general [PERSONALIZAR: LOW / LOW-TO-MODERATE] para el riesgo cibernético, reflejando sus obligaciones hacia [PERSONALIZAR: customers, regulators, shareholders, and the public].
Se establecen los siguientes niveles de apetito por categoría de riesgo:
| Categoría de Riesgo | Nivel de Apetito | Justificación |
|---|---|---|
| Confidencialidad de Datos de Clientes | [PERSONALIZAR: Very Low] | Obligaciones regulatorias y requisitos de confianza del cliente |
| Integridad de Sistemas | [PERSONALIZAR: Low] | Confiabilidad de procesos de negocio y precisión de informes regulatorios |
| Disponibilidad de Servicios | [PERSONALIZAR: Low-to-Moderate] | Criticidad de los servicios e impacto de la interrupción en los clientes |
| Cumplimiento Regulatorio | [PERSONALIZAR: Very Low] | Tolerancia cero al incumplimiento deliberado; bajo apetito para brechas de cumplimiento |
| Riesgo de Terceros | [PERSONALIZAR: Low] | Dependencia de terceros para servicios críticos |
| Amenaza Interna | [PERSONALIZAR: Low] | Acceso a datos sensibles y sistemas críticos |
| Tecnología Emergente | [PERSONALIZAR: Moderate] | Necesidad equilibrada entre innovación y perfiles de riesgo desconocidos |
| Impacto Reputacional | [PERSONALIZAR: Very Low] | Valor de marca y confianza de las partes interesadas |
3.3 Umbrales de Tolerancia al Riesgo
Los umbrales de tolerancia al riesgo traducen el apetito cualitativo en límites medibles que activan la escalación y la acción:
VERDE (Dentro del Apetito): Los niveles de riesgo son aceptables. Continuar el monitoreo según la cadencia definida. No se requiere escalación.
ÁMBAR (Aproximándose al Límite del Apetito): Los niveles de riesgo tienden hacia el límite del apetito. Se requiere monitoreo mejorado. El propietario del riesgo debe desarrollar un plan de tratamiento dentro de [PERSONALIZAR: 30 days].
ROJO (Excediendo el Apetito): Los niveles de riesgo han excedido el apetito definido. Se requiere escalación inmediata a [PERSONALIZAR: CISO/Executive Risk Committee]. Se requiere un plan de tratamiento con cronograma dentro de [PERSONALIZAR: 5 business days].
CRÍTICO (Incumplimiento Material): Los niveles de riesgo representan una amenaza inmediata para la organización. Se requiere escalación inmediata a [PERSONALIZAR: CEO/Board]. Se activan los procedimientos de respuesta de emergencia.
3.4 Autoridad de Aceptación de Riesgos
Las decisiones de aceptación de riesgos deben ser tomadas por individuos con autoridad proporcional al nivel de riesgo residual:
| Nivel de Riesgo Residual | Autoridad de Aceptación | Duración Máxima | Frecuencia de Revisión |
|---|---|---|---|
| Bajo | [PERSONALIZAR: Department Manager] | 12 meses | Anual |
| Medio | [PERSONALIZAR: VP / Senior Director] | 12 meses | Semestral |
| Alto | [PERSONALIZAR: CISO / CRO] | 6 meses | Trimestral |
| Crítico | [PERSONALIZAR: Executive Committee / Board] | 3 meses | Mensual |
3.5 Aprobación y Revisión
Esta Declaración de Apetito de Riesgo es aprobada por [PERSONALIZAR: Board of Directors / Board Risk Committee].
Deberá revisarse al menos [PERSONALIZAR: annually] y actualizarse cuando la estrategia de negocio, el entorno regulatorio o los cambios en el panorama de amenazas afecten materialmente el perfil de riesgo de la organización.
Los cambios en el apetito de riesgo requieren aprobación al mismo nivel de autoridad que la declaración original.
4. Cumplimiento
El cumplimiento de este política es obligatorio para todo el personal y funciones dentro de su alcance. El cumplimiento será monitoreado a traves de auditorías periódicas, revisión de la gerencia y supervisión de la segúnda linea de defensa.
Las excepciones a este política deben documentarse con una justificación de negocio, ser aprobadas por [PERSONALIZAR: CISO/Comite Ejecutivo de Riesgos], y revisarse al menos anualmente.
5. Revisión y Actualización
Este política será revisado al menos anualmente por [PERSONALIZAR: CISO/Propietario del Documento] y actualizado según sea necesario para reflejar cambios en el panorama de amenazas, requisitos regulatorios, estructura organizaciónal o apetito de riesgo.
Todas las revisiónes serán documentadas con número de version, fecha, autor y descripción de los cambios.
Aprobación del Documento
Aprobado Por
Cargo
Fecha
Control de Documentos