Kudo

COR-1 - Programa de Gestión de Riesgos y Ciberseguridad

Control de gobernanza estratégica de ciberseguridad y riesgo organizacional

Definición de Control

Es necesario crear un Sistema de Gestión de Seguridad de la Información, definiendo su alcance a partir del contexto organizacional y las necesidades de sus grupos de interés, y designar un responsable de ciberseguridad con roles, recursos y una estructura de gobierno revisada periódicamente por la alta dirección. Es necesario documentar, aprobar y comunicar las políticas, procesos y procedimientos del sistema de gestión, e implementar una metodología de gestión de riesgos que permita identificarlos, priorizarlos y asignarles un responsable y un plan de tratamiento. Es necesario alinear las iniciativas de ciberseguridad con los objetivos del negocio mediante un roadmap priorizado, reportar periódicamente su avance y los indicadores de gestión a la alta dirección, e impulsar desde el liderazgo la mejora continua del sistema.

Requisitos

Requisito 1

Creamos el Sistema de Gestión de Seguridad de la Información (SGSI).

Requisito 2

Definimos el alcance del SGSI considerando el contexto, los stakeholders y su conexión con otras organizaciones.

Requisito 3

Identificamos los factores del entorno interno, externo y de terceras partes que pueden afectar el SGSI y el logro de sus metas.

Requisito 4

Identificamos los stakeholders del SGSI.

Requisito 5

Identificamos las necesidades y expectativas de los stakeholders del SGSI.

Requisito 6

Determinamos cuáles necesidades y expectativas de los stakeholders serán atendidas por el SGSI.

Requisito 7

Designamos un responsable de Ciberseguridad en la compañía.

Requisito 8

Definimos los roles y responsabilidades o la matriz RACI del SGSI.

Requisito 9

Garantizamos que el SGSI cuente con los recursos necesarios para su funcionamiento.

Requisito 10

Creamos una política de seguridad de la información que se ajuste a lo que hace y necesita la organización.

Requisito 11

Creamos una política de seguridad de la información que incluye objetivos claros de seguridad o que sirve como guía para definirlos.

Requisito 12

Creamos una política de seguridad de la información que incluye el compromiso de cumplir con todas las reglas, requisitos y stakeholders que defina la organización.

Requisito 13

Creamos una política de seguridad de la información que incluye el compromiso de mejorar constantemente el sistema de gestión.

Requisito 14

Creamos y mejoramos continuamente los documentos sobre las políticas de la compañía.

Requisito 15

Creamos y mejoramos continuamente los documentos sobre los procesos de la compañía.

Requisito 16

Creamos y mejoramos continuamente los documentos sobre los procedimientos de la compañía.

Requisito 17

Documentamos los dominios, controles y requisitos del SGSI.

Requisito 18

Aprobamos, comunicamos y versionamos los documentos del SGSI.

Requisito 19

Garantizamos que los interesados reconozcan y conozcan los documentos del SGSI.

Requisito 20

Integramos los requisitos del SGSI a los procesos de la organización.

Requisito 21

Establecemos un procedimiento para la gestión y recolección centralizada de evidencias para los requisitos y controles de Ciberseguridad, garantizando su disponibilidad para los stakeholders.

Requisito 22

Implementamos una metodología para la gestión de los riesgos.

Requisito 23

Declaramos el apetito de riesgos de la organización.

Requisito 24

Declaramos la tolerancia de riesgos de la organización.

Requisito 25

Incorporamos en la metodología de riesgos criterios de valoración de activos, amenazas y vulnerabilidades.

Requisito 26

Asignamos a cada riesgo un propietario, un nivel de riesgo residual y un plan de tratamiento.

Requisito 27

Formulamos un roadmap de ciberseguridad.

Requisito 28

Priorizamos las iniciativas de ciberseguridad con responsables y fechas de implementación.

Requisito 29

Alineamos las iniciativas de ciberseguridad a los objetivos del negocio.

Requisito 30

Registramos los riesgos identificados en un repositorio centralizado.

Requisito 31

Revisamos anualmente la estructura de gobierno y la sometemos a aprobación de la alta dirección.

Requisito 32

Realizamos comités de seguridad o reportes con una frecuencia programada a la alta dirección.

Requisito 33

Incluimos en los reportes y revisiones gerenciales el estado de riesgos críticos, el avance del roadmap, los indicadores de incidentes, el cumplimiento regulatorio, el desempeño de controles, las tendencias en incumplimientos, los resultados de mediciones y auditorías, el cumplimiento de objetivos, los resultados de la evaluación de riesgos, el avance del plan de tratamiento de riesgos y el avance de mejoras.

Requisito 34

Definimos y hacemos seguimiento a los OKRs de seguridad de la información y ciberseguridad.

Requisito 35

Definimos y hacemos seguimiento a los KPIs de seguridad de la información y ciberseguridad.

Requisito 36

Mejoramos continuamente el SGSI, revisamos y actualizamos los documentos con una frecuencia programada junto con sus interesados.

Requisito 37

Impulsamos desde el liderazgo la mejora continua del SGSI.

On this page