Registro de KRI/KPI de Riesgo Cibernético
Control de Gobernanza: Indicadores Clave de Riesgo y Desempeño
1. Propósito
Definir y documentar los Indicadores Clave de Riesgo (KRI) e Indicadores Clave de Desempeño (KPI) utilizados para monitorear la postura de riesgo cibernético y la efectividad de los controles de [ORGANIZACION], incluyendo niveles de umbral alineados con el apetito de riesgo aprobado.
2. Alcance
Este registro cubre todos los indicadores de desempeño de riesgo cibernético y controles que se reportan a la gerencia, liderazgo ejecutivo y la Junta Directiva como parte del programa de informes de riesgo cibernético.
3. Contenido del Registro
3.1 Indicadores Clave de Riesgo (KRI)
Los KRI miden la exposición al riesgo cibernético y proporcionan alertas tempranas cuando los niveles de riesgo se aproximan o exceden el apetito de riesgo definido.
| ID del KRI | Nombre del Indicador | Descripción | Umbral Verde | Umbral Ámbar | Umbral Rojo | Fuente de Datos | Frecuencia | Responsable |
|---|---|---|---|---|---|---|---|---|
| KRI-01 | Exposición a vulnerabilidades críticas | Cantidad de vulnerabilidades críticas/altas sin parchear en activos dentro del alcance | [PERSONALIZAR: <50] | [PERSONALIZAR: 50-100] | [PERSONALIZAR: >100] | [PERSONALIZAR: Vuln scanner] | Semanal | [PERSONALIZAR] |
| KRI-02 | Tasa de clics en phishing | Porcentaje de personal que hace clic en enlaces de phishing simulado | [PERSONALIZAR: <3%] | [PERSONALIZAR: 3-8%] | [PERSONALIZAR: >8%] | [PERSONALIZAR: SAT platform] | Por campaña | [PERSONALIZAR] |
| KRI-03 | Tiempo medio de detección (MTTD) | Tiempo promedio desde la intrusión hasta la detección en todos los incidentes | [PERSONALIZAR: <24hrs] | [PERSONALIZAR: 24-72hrs] | [PERSONALIZAR: >72hrs] | [PERSONALIZAR: SIEM/SOAR] | Mensual | [PERSONALIZAR] |
| KRI-04 | Exposición al riesgo de terceros | Porcentaje de proveedores críticos con evaluaciones de riesgo vencidas | [PERSONALIZAR: <5%] | [PERSONALIZAR: 5-15%] | [PERSONALIZAR: >15%] | [PERSONALIZAR: TPRM tool] | Mensual | [PERSONALIZAR] |
| KRI-05 | Anomalías en cuentas privilegiadas | Cantidad de eventos de acceso privilegiado fuera de patrones normales | [PERSONALIZAR: <10/month] | [PERSONALIZAR: 10-25/month] | [PERSONALIZAR: >25/month] | [PERSONALIZAR: PAM/SIEM] | Semanal | [PERSONALIZAR] |
| KRI-06 | Atraso en hallazgos regulatorios | Cantidad de hallazgos regulatorios/auditoría abiertos que han superado el plazo de remediación | [PERSONALIZAR: 0] | [PERSONALIZAR: 1-3] | [PERSONALIZAR: >3] | [PERSONALIZAR: GRC tool] | Mensual | [PERSONALIZAR] |
| KRI-07 | Eventos de pérdida de datos | Cantidad de eventos confirmados de pérdida o exposición de datos | [PERSONALIZAR: 0] | [PERSONALIZAR: 1-2] | [PERSONALIZAR: >2] | [PERSONALIZAR: DLP/incident log] | Mensual | [PERSONALIZAR] |
| KRI-08 | Antigüedad de aceptaciones de riesgo | Porcentaje de aceptaciones de riesgo que han superado su fecha de revisión | [PERSONALIZAR: <5%] | [PERSONALIZAR: 5-15%] | [PERSONALIZAR: >15%] | [PERSONALIZAR: Risk register] | Mensual | [PERSONALIZAR] |
3.2 Indicadores Clave de Desempeño (KPI)
Los KPI miden la efectividad y eficiencia de los controles y procesos de seguridad.
| ID del KPI | Nombre del Indicador | Descripción | Meta | Mínimo Aceptable | Fuente de Datos | Frecuencia | Responsable |
|---|---|---|---|---|---|---|---|
| KPI-01 | Tasa de cumplimiento de parches | Porcentaje de activos parcheados dentro del SLA | [PERSONALIZAR: >95%] | [PERSONALIZAR: 90%] | [PERSONALIZAR: Patch mgmt] | Mensual | [PERSONALIZAR] |
| KPI-02 | Finalización de capacitación en seguridad | Porcentaje de personal con capacitación vigente | [PERSONALIZAR: >98%] | [PERSONALIZAR: 95%] | [PERSONALIZAR: LMS] | Mensual | [PERSONALIZAR] |
| KPI-03 | Tiempo de respuesta a incidentes | Porcentaje de incidentes respondidos dentro del SLA | [PERSONALIZAR: >95%] | [PERSONALIZAR: 90%] | [PERSONALIZAR: SOAR/ticketing] | Mensual | [PERSONALIZAR] |
| KPI-04 | Cobertura de MFA | Porcentaje de cuentas de usuario con MFA habilitado | [PERSONALIZAR: 100%] | [PERSONALIZAR: 98%] | [PERSONALIZAR: IAM system] | Mensual | [PERSONALIZAR] |
| KPI-05 | Tasa de éxito de respaldos | Porcentaje de respaldos completados exitosamente | [PERSONALIZAR: >99%] | [PERSONALIZAR: 97%] | [PERSONALIZAR: Backup system] | Semanal | [PERSONALIZAR] |
| KPI-06 | Cobertura de evaluación de riesgos | Porcentaje de sistemas dentro del alcance con evaluación de riesgos vigente | [PERSONALIZAR: >90%] | [PERSONALIZAR: 80%] | [PERSONALIZAR: GRC tool] | Trimestral | [PERSONALIZAR] |
| KPI-07 | Tasa de reconocimiento de políticas | Porcentaje de personal con reconocimiento de políticas vigente | [PERSONALIZAR: >98%] | [PERSONALIZAR: 95%] | [PERSONALIZAR: GRC/HR system] | Mensual | [PERSONALIZAR] |
| KPI-08 | SLA de remediación de vulnerabilidades | Porcentaje de vulnerabilidades remediadas dentro de los SLA definidos | [PERSONALIZAR: >90%] | [PERSONALIZAR: 80%] | [PERSONALIZAR: Vuln scanner] | Mensual | [PERSONALIZAR] |
3.3 Informes y Escalación
Todos los KRI y KPI deberán reportarse a [PERSONALIZAR: CISO/Security Leadership] al menos [PERSONALIZAR: monthly].
Los tableros de KRI y KPI deberán proporcionarse al [PERSONALIZAR: Executive Risk Committee] al menos [PERSONALIZAR: quarterly].
Cualquier KRI que entre en el umbral Rojo deberá escalarse a [PERSONALIZAR: CISO] dentro de [PERSONALIZAR: 24 hours] con un plan de acción dentro de [PERSONALIZAR: 5 business days].
Cualquier KRI que permanezca en el umbral Rojo durante [PERSONALIZAR: two consecutive reporting periods] deberá escalarse a [PERSONALIZAR: Executive Risk Committee / Board Risk Committee].
Los KPI que se mantengan consistentemente por debajo del nivel Mínimo Aceptable activarán un análisis de causa raíz y un plan de remediación dentro de [PERSONALIZAR: 30 days].
3.4 Revisión y Calibración
Este registro deberá revisarse al menos [PERSONALIZAR: semi-annually] por [PERSONALIZAR: CISO/Cyber Risk Team] para asegurar que los indicadores sigan siendo relevantes, que los umbrales estén calibrados apropiadamente y que las fuentes de datos sean confiables.
Los umbrales deberán recalibrarse cuando la Declaración de Apetito de Riesgo sea actualizada o cuando los indicadores demuestren consistentemente que los umbrales son demasiado permisivos o demasiado estrictos.
Se agregarán nuevos indicadores cuando los cambios en el panorama de amenazas, el entorno regulatorio o las operaciones de negocio creen brechas de monitoreo.
Los indicadores retirados deberán documentarse con justificación para su eliminación.
4. Cumplimiento
El cumplimiento de este registro es obligatorio para todo el personal y funciones dentro de su alcance. El cumplimiento será monitoreado a traves de auditorías periódicas, revisión de la gerencia y supervisión de la segúnda linea de defensa.
Las excepciones a este registro deben documentarse con una justificación de negocio, ser aprobadas por [PERSONALIZAR: CISO/Comite Ejecutivo de Riesgos], y revisarse al menos anualmente.
5. Revisión y Actualización
Este registro será revisado al menos anualmente por [PERSONALIZAR: CISO/Propietario del Documento] y actualizado según sea necesario para reflejar cambios en el panorama de amenazas, requisitos regulatorios, estructura organizaciónal o apetito de riesgo.
Todas las revisiónes serán documentadas con número de version, fecha, autor y descripción de los cambios.
Aprobación del Documento
Aprobado Por
Cargo
Fecha
Control de Documentos