Requisitos de Evidencia de Gobernanza
Requisitos de evidencia por control para demostrar el cumplimiento de los 14 controles de gobernanza. La evidencia se clasifica por tipo, frecuencia y criticidad.
14
Controles Cubiertos
87
Elementos de Evidencia Totales
33
Evidencia Documental
54
Evidencia de Registros
Leyenda
Documento
Documento formal de política, procedimiento, plan o marco de trabajo
Registro
Actas de reunion, informes, registros, certificaciones o registros de seguimiento
Requerido
Debe producirse para cumplimiento
Esperado
Altamente recomendado para madurez
| Tipo | Elemento de Evidencia | Frecuencia | Criticidad |
|---|---|---|---|
| Documento | Documento de Estrategia de Riesgo Cibernético aprobado con firma ejecutiva/de la Junta Directiva | Revisado anualmente | |
| Documento | Mapeo de alineación de la estrategia de negocio con la estrategia de riesgo cibernético o matriz de trazabilidad | Actualizado con cada revisión de estrategia | |
| Documento | Mapeo de alineación de la estrategia tecnológica con la estrategia de riesgo cibernético | Actualizado con cada revisión de estrategia | |
| Registro | Actas de reunión de la Junta Directiva o Comité Ejecutivo que documentan la revisión y aprobación de la estrategia | Por ciclo de revisión (al menos anualmente) | |
| Registro | Registros de comunicación de la estrategia (correos de distribución, asistencia a sesiones informativas, publicación en intranet) | Por actualización de estrategia | |
| Registro | Documentación de actualización anual de la estrategia que muestre las aportaciones del panorama de amenazas y cambios del negocio | Anualmente |
| Tipo | Elemento de Evidencia | Frecuencia | Criticidad |
|---|---|---|---|
| Documento | Documento completo del Marco de Riesgo Cibernético con todos los elementos componentes | Revisado anualmente | |
| Documento | Declaración de Apetito de Riesgo aprobada con umbrales definidos | Revisado anualmente | |
| Documento | Documento de Taxonomía de Riesgos con esquema de categorización | Revisado anualmente | |
| Documento | Inventario de políticas y estándares que muestre todos los documentos componentes del marco con fechas de revisión | Mantenido continuamente | |
| Documento | Documentación del proceso de gestión de riesgos (identificación, evaluación, tratamiento, monitoreo, reporte) | Revisado anualmente | |
| Registro | Historial de versiones del marco que muestre actualizaciones por amenazas y tecnologías emergentes | Por actualización | |
| Registro | Lista de vigilancia de amenazas emergentes con registros de revisión | Trimestral |
| Tipo | Elemento de Evidencia | Frecuencia | Criticidad |
|---|---|---|---|
| Documento | Calendario de revisión definido para la estrategia y el marco | Establecido anualmente | |
| Documento | Registro de Cumplimiento Regulatorio con todos los requisitos aplicables mapeados a los componentes del marco | Actualizado trimestralmente | |
| Registro | Agendas de reuniones de revisión, actas y registros de asistencia | Por revisión | |
| Registro | Informes de análisis de brechas con hallazgos, planes de remediación y responsables | Por revisión | |
| Registro | Seguimiento de remediación que muestre el cierre de las brechas identificadas | Mensual hasta su resolución | |
| Registro | Documentos de estrategia/marco actualizados con control de versiones que muestren revisiones basadas en las revisiones | Por revisión | |
| Registro | Registros de participación del equipo legal y de cumplimiento en las actividades de revisión | Por revisión |
| Tipo | Elemento de Evidencia | Frecuencia | Criticidad |
|---|---|---|---|
| Documento | Plan Anual del Programa de Riesgo Cibernético con priorización de proyectos basada en riesgos | Anualmente | |
| Documento | Metodología de priorización basada en riesgos y criterios de puntuación | Revisado anualmente | |
| Documento | Documentación presupuestaria que vincule las asignaciones con los riesgos identificados y los requisitos de cumplimiento | Anualmente | |
| Registro | Resultados de evaluación de riesgos utilizados como insumos de planificación (extractos del registro de riesgos, resúmenes de inteligencia de amenazas) | Por ciclo de planificación | |
| Registro | Decisiones de repriorización a mitad de ciclo con justificación documentada | Según ocurrencia | |
| Registro | Informes ejecutivos que muestren la alineación de la inversión con la reducción de riesgos | Trimestral |
| Tipo | Elemento de Evidencia | Frecuencia | Criticidad |
|---|---|---|---|
| Documento | Carta de nombramiento ejecutivo, resolución de la Junta Directiva o estatuto que nombre al ejecutivo responsable | Actualizado ante cambios | |
| Documento | Estatuto del rol que defina el mandato, autoridad, responsabilidades y líneas de reporte | Revisado anualmente | |
| Registro | Organigrama que muestre la posición del ejecutivo de riesgo cibernético y la estructura de reporte | Vigente | |
| Registro | Actas de reuniones de la Junta Directiva y Comité Ejecutivo que muestren sesiones informativas regulares sobre riesgo cibernético | Por reunión (al menos trimestralmente) | |
| Registro | Actividades de concientización sobre riesgo cibernético para ejecutivos/Junta Directiva (materiales de sesiones informativas, registros de ejercicios de simulación) | Al menos anualmente | |
| Registro | Términos de referencia del Comité de Riesgos de la Junta Directiva incluyendo responsabilidades de supervisión de riesgo cibernético | Revisado anualmente |
| Tipo | Elemento de Evidencia | Frecuencia | Criticidad |
|---|---|---|---|
| Documento | Conjunto completo de políticas de riesgo cibernético con firmas de aprobación, fechas de vigencia y control de versiones | Revisado según el calendario de políticas | |
| Documento | Matriz RACI o de responsabilidades que mapee los roles de riesgo cibernético a individuos/posiciones | Revisado anualmente | |
| Registro | Registros de reconocimiento de políticas con firmas de personal y contratistas con fechas | Re-reconocimiento anual | |
| Registro | Registros de distribución y comunicación de políticas | Por actualización de política | |
| Registro | Acciones de cumplimiento por incumplimiento que demuestren la aplicación consistente de consecuencias | Por incidente | |
| Registro | Registros de revisión y actualización de políticas que muestren actualizaciones periódicas | Por ciclo de revisión de políticas |
| Tipo | Elemento de Evidencia | Frecuencia | Criticidad |
|---|---|---|---|
| Documento | Documentación del marco con delineación clara de las tres líneas de defensa | Revisado anualmente | |
| Documento | Matriz RACI para actividades de riesgo cibernético a través de las tres líneas | Revisado anualmente | |
| Documento | Estatuto de Auditoría Interna que haga referencia a la cobertura de riesgo cibernético y mandato de independencia | Revisado anualmente | |
| Registro | Informes de supervisión de segunda línea que demuestren revisión y cuestionamiento independiente | Trimestral | |
| Registro | Informes de auditoría interna sobre riesgo cibernético que cubran la efectividad de la primera y segunda línea | Por ciclo de auditoría | |
| Registro | Documentación de gobernanza organizacional que muestre líneas de reporte que preserven la independencia | Vigente |
| Tipo | Elemento de Evidencia | Frecuencia | Criticidad |
|---|---|---|---|
| Documento | Registro de KRI/KPI con definiciones, fuentes de datos, umbrales y alineación con el apetito de riesgo | Revisado semestralmente | |
| Documento | Declaración de Apetito de Riesgo que muestre vinculación explícita con los umbrales de KRI | Revisado anualmente | |
| Registro | Tableros de control o informes que muestren los valores actuales de los indicadores contra los umbrales | Mensual/Trimestral | |
| Registro | Registros de escalamiento que demuestren acciones de respuesta ante la violación de umbrales | Por evento de violación | |
| Registro | Registros de revisión y recalibración de indicadores | Semestralmente | |
| Registro | Informes de análisis de tendencias que muestren el movimiento de indicadores a lo largo del tiempo | Trimestral |
| Tipo | Elemento de Evidencia | Frecuencia | Criticidad |
|---|---|---|---|
| Documento | Registro de Riesgos Cibernéticos con fechas de evaluación, clasificaciones de prioridad, responsables y estado de tratamiento | Mantenido continuamente | |
| Documento | Documentación de criterios y rutas de escalamiento de riesgos | Revisado anualmente | |
| Registro | Actas de reuniones trimestrales de revisión de riesgos con asistencia y decisiones documentadas | Trimestral | |
| Registro | Informes de riesgos ejecutivos o tableros de la Junta Directiva que muestren riesgos priorizados en contexto de negocio | Trimestral | |
| Registro | Registros de escalamiento que demuestren que los riesgos materiales fueron elevados apropiadamente | Por evento de escalamiento | |
| Registro | Planes de tratamiento de riesgos con hitos, responsables y seguimiento del progreso | Por plan de tratamiento |
| Tipo | Elemento de Evidencia | Frecuencia | Criticidad |
|---|---|---|---|
| Documento | Estatuto o plan del programa de revisión de segunda línea con alcance, metodología y calendario | Revisado anualmente | |
| Registro | Informes de revisión de segunda línea completados con hallazgos, calificaciones y recomendaciones | Por revisión | |
| Registro | Registros de respuesta de primera línea a los hallazgos de segunda línea (planes de remediación, acciones correctivas) | Por hallazgo | |
| Registro | Registros de reuniones del comité de gobernanza que muestren el reporte de segunda línea sobre la efectividad de primera línea | Trimestral | |
| Registro | Análisis de tendencias de hallazgos de revisión a lo largo del tiempo y tasas de remediación | Anualmente | |
| Registro | Evidencia de independencia de segunda línea (estructura de reporte, documentación del mandato) | Revisado anualmente |
| Tipo | Elemento de Evidencia | Frecuencia | Criticidad |
|---|---|---|---|
| Documento | Política de verificación de antecedentes que defina los requisitos de investigación según el nivel de sensibilidad del rol | Revisado anualmente | |
| Registro | Registros de verificaciones de antecedentes completadas para empleados y contratistas (redactados según corresponda) | Por contratación/compromiso | |
| Registro | Contratos con terceros que contengan requisitos de verificación de antecedentes | Por contrato | |
| Registro | Atestaciones de cumplimiento de verificación de terceros | Anualmente por proveedor | |
| Registro | Registros de finalización de re-verificación periódica para personal de alta sensibilidad | Por ciclo de re-verificación | |
| Registro | Documentación de procesos que muestre que el aprovisionamiento de acceso está condicionado a la finalización de la verificación | Revisado anualmente |
| Tipo | Elemento de Evidencia | Frecuencia | Criticidad |
|---|---|---|---|
| Documento | Política o procedimiento de aceptación de riesgos que defina el proceso, niveles de autoridad y estándares de documentación | Revisado anualmente | |
| Registro | Formularios de aceptación de riesgos completados con análisis, justificación, controles compensatorios y aprobaciones | Por aceptación | |
| Registro | Registro de Aceptación de Riesgos que muestre todas las aceptaciones vigentes con fechas de revisión y estado | Mantenido continuamente | |
| Registro | Reportes de gobernanza que muestren métricas de aceptación (volumen, niveles de riesgo, antigüedad, revisiones vencidas) | Trimestral | |
| Registro | Registros de revisión de aceptación de riesgos que muestren decisiones de renovación, remediación o escalamiento | Por fecha de revisión | |
| Registro | Evidencia de que la autoridad de aceptación esté alineada con el nivel de riesgo residual según la matriz de autoridad | Por aceptación |
| Tipo | Elemento de Evidencia | Frecuencia | Criticidad |
|---|---|---|---|
| Documento | Evaluación de brechas de recursos y competencias con hallazgos y recomendaciones | Anualmente | |
| Documento | Organigrama de riesgo cibernético que muestre roles ocupados, vacantes y estructura de reporte | Vigente | |
| Documento | Documentación presupuestaria que muestre financiamiento dedicado para personal, herramientas y servicios de riesgo cibernético | Anualmente | |
| Registro | Registros de capacitación y certificación para el personal de riesgo cibernético | Rastreado continuamente | |
| Registro | Documentación de planificación de fuerza laboral que aborde la sucesión y transferencia de conocimiento | Revisado anualmente | |
| Registro | Requisitos de competencia basados en roles y descripciones de puesto para posiciones de riesgo cibernético | Revisado anualmente |
| Tipo | Elemento de Evidencia | Frecuencia | Criticidad |
|---|---|---|---|
| Documento | Inventario de activos críticos con clasificación, calificaciones de impacto al negocio y responsables del riesgo | Revisado semestralmente | |
| Documento | Documentación de mapeo de controles que muestre los controles de CIA asignados a cada activo crítico | Revisado anualmente | |
| Documento | Criterios de identificación de activos críticos y metodología de clasificación | Revisado anualmente | |
| Registro | Registros de revisión de controles que demuestren la evaluación regular de la efectividad de los controles | Según calendario de revisión | |
| Registro | Resultados de pruebas: escaneos de vulnerabilidades, pruebas de penetración, pruebas de recuperación ante desastres para activos críticos | Según calendario de pruebas | |
| Registro | Seguimiento de remediación para deficiencias de controles identificadas mediante revisión y pruebas | Por hallazgo | |
| Registro | Resumen anual de efectividad de controles reportado a la gobernanza ejecutiva | Anualmente |