Tres Líneas de Defensa - Matriz RACI de Riesgo Cibernético
Control de Gobernanza: Tres Líneas de Defensa
1. Propósito
Delinear claramente los roles y responsabilidades de cada línea de defensa y las partes interesadas clave para todas las actividades principales de gestión de riesgo cibernético, asegurando que no haya brechas ni superposiciones no intencionadas en la rendición de cuentas.
2. Alcance
Esta matriz cubre todos los procesos y actividades de gestión de riesgo cibernético a través de las tres líneas de defensa (gestión operativa, supervisión de riesgos y aseguramiento independiente), así como los órganos de gobernanza de la Junta Directiva y ejecutivos.
3. Contenido del Matriz
3.1 Definiciones RACI
R (Responsable): El rol que ejecuta la actividad o realiza el trabajo. Múltiples roles pueden compartir la responsabilidad.
A (Accountable/Rendidor de Cuentas): El único rol que responde en última instancia por la correcta finalización de la actividad. Solo un rol es rendidor de cuentas por actividad.
C (Consultado): Roles cuya opinión se solicita antes o durante la actividad. Comunicación bidireccional.
I (Informado): Roles que son notificados del resultado o decisión. Comunicación unidireccional.
3.2 Identificación y Evaluación de Riesgos
La siguiente matriz RACI aplica a las actividades de identificación y evaluación de riesgos:
| Actividad | 1.ª Línea (Operaciones) | 2.ª Línea (Riesgo/Cumplimiento) | 3.ª Línea (Auditoría Interna) | Ejecutivo/Junta Directiva |
|---|---|---|---|---|
| Realizar evaluaciones de riesgo operativo | R/A | C | I | I |
| Mantener el registro de riesgos cibernéticos | R | A | I | I |
| Realizar evaluaciones de amenazas y vulnerabilidades | R | C/A | I | I |
| Realizar evaluaciones de riesgo independientes | C | R/A | I | I |
| Informar resultados de evaluación de riesgos a gobernanza | C | R/A | I | A |
| Auditar la calidad y completitud de evaluaciones de riesgo | I | C | R/A | I |
3.3 Implementación y Monitoreo de Controles
La siguiente matriz RACI aplica a la implementación de controles y al monitoreo continuo:
| Actividad | 1.ª Línea (Operaciones) | 2.ª Línea (Riesgo/Cumplimiento) | 3.ª Línea (Auditoría Interna) | Ejecutivo/Junta Directiva |
|---|---|---|---|---|
| Implementar controles de seguridad | R/A | C | I | I |
| Realizar autoevaluaciones de controles | R/A | C | I | I |
| Monitorear la efectividad de controles (operativo) | R/A | I | I | I |
| Realizar pruebas independientes de controles | C | R/A | I | I |
| Auditar el diseño y la efectividad operativa de controles | C | C | R/A | I |
| Remediar deficiencias de controles | R/A | C | I | I |
| Rastrear e informar progreso de remediación | R | A | C | I |
3.4 Gobernanza de Políticas y Marco
La siguiente matriz RACI aplica a las actividades de gobernanza de políticas y marco:
| Actividad | 1.ª Línea (Operaciones) | 2.ª Línea (Riesgo/Cumplimiento) | 3.ª Línea (Auditoría Interna) | Ejecutivo/Junta Directiva |
|---|---|---|---|---|
| Desarrollar y mantener políticas de riesgo cibernético | C | R/A | I | A (aprobación) |
| Implementar requisitos de políticas operacionalmente | R/A | C | I | I |
| Monitorear el cumplimiento de políticas | R | A | I | I |
| Auditar el cumplimiento de políticas | I | C | R/A | I |
| Revisar y actualizar el marco de riesgo cibernético | C | R/A | C | A (aprobación) |
| Informar sobre la efectividad del marco | C | R/A | C | I |
3.5 Gestión de Incidentes
La siguiente matriz RACI aplica a la gestión de incidentes cibernéticos:
| Actividad | 1.ª Línea (Operaciones) | 2.ª Línea (Riesgo/Cumplimiento) | 3.ª Línea (Auditoría Interna) | Ejecutivo/Junta Directiva |
|---|---|---|---|---|
| Detectar y clasificar eventos de seguridad | R/A | I | I | I |
| Ejecutar procedimientos de respuesta a incidentes | R/A | C | I | I (incidentes mayores) |
| Evaluar el riesgo e impacto del incidente | R | A | I | I (incidentes mayores) |
| Notificar a reguladores y partes externas | C | R/A | I | A |
| Realizar revisiones post-incidente | R | C/A | C | I |
| Auditar la efectividad de la respuesta a incidentes | I | C | R/A | I |
3.6 Informes y Escalación de Riesgos
La siguiente matriz RACI aplica a los informes y escalación de riesgos:
| Actividad | 1.ª Línea (Operaciones) | 2.ª Línea (Riesgo/Cumplimiento) | 3.ª Línea (Auditoría Interna) | Ejecutivo/Junta Directiva |
|---|---|---|---|---|
| Informar métricas de riesgo operativo | R/A | I | I | I |
| Producir informes empresariales de riesgo cibernético | C | R/A | I | I |
| Escalar riesgos materiales a gobernanza | R | A | I | I |
| Proporcionar informes de aseguramiento independiente | I | I | R/A | I |
| Revisar y actuar sobre informes de riesgo | I | C | I | R/A |
| Aprobar cambios en el apetito y tolerancia de riesgo | I | C | I | R/A |
4. Cumplimiento
El cumplimiento de este matriz es obligatorio para todo el personal y funciones dentro de su alcance. El cumplimiento será monitoreado a traves de auditorías periódicas, revisión de la gerencia y supervisión de la segúnda linea de defensa.
Las excepciones a este matriz deben documentarse con una justificación de negocio, ser aprobadas por [PERSONALIZAR: CISO/Comite Ejecutivo de Riesgos], y revisarse al menos anualmente.
5. Revisión y Actualización
Este matriz será revisado al menos anualmente por [PERSONALIZAR: CISO/Propietario del Documento] y actualizado según sea necesario para reflejar cambios en el panorama de amenazas, requisitos regulatorios, estructura organizaciónal o apetito de riesgo.
Todas las revisiónes serán documentadas con número de version, fecha, autor y descripción de los cambios.
Aprobación del Documento
Aprobado Por
Cargo
Fecha
Control de Documentos