COR-1 - Programa de Gestión de Riesgos y Ciberseguridad
Control de gobernanza estratégica de ciberseguridad y riesgo organizacional
Definición de Control
Es necesario crear un Sistema de Gestión de Seguridad de la Información, definiendo su alcance a partir del contexto organizacional y las necesidades de sus grupos de interés, y designar un responsable de ciberseguridad con roles, recursos y una estructura de gobierno revisada periódicamente por la alta dirección. Es necesario documentar, aprobar y comunicar las políticas, procesos y procedimientos del sistema de gestión, e implementar una metodología de gestión de riesgos que permita identificarlos, priorizarlos y asignarles un responsable y un plan de tratamiento. Es necesario alinear las iniciativas de ciberseguridad con los objetivos del negocio mediante un roadmap priorizado, reportar periódicamente su avance y los indicadores de gestión a la alta dirección, e impulsar desde el liderazgo la mejora continua del sistema.
Requisitos
Requisito 1
Creamos el Sistema de Gestión de Seguridad de la Información (SGSI).
Requisito 2
Definimos el alcance del SGSI considerando el contexto, los stakeholders y su conexión con otras organizaciones.
Requisito 3
Identificamos los factores del entorno interno, externo y de terceras partes que pueden afectar el SGSI y el logro de sus metas.
Requisito 4
Identificamos los stakeholders del SGSI.
Requisito 5
Identificamos las necesidades y expectativas de los stakeholders del SGSI.
Requisito 6
Determinamos cuáles necesidades y expectativas de los stakeholders serán atendidas por el SGSI.
Requisito 7
Designamos un responsable de Ciberseguridad en la compañía.
Requisito 8
Definimos los roles y responsabilidades o la matriz RACI del SGSI.
Requisito 9
Garantizamos que el SGSI cuente con los recursos necesarios para su funcionamiento.
Requisito 10
Creamos una política de seguridad de la información que se ajuste a lo que hace y necesita la organización.
Requisito 11
Creamos una política de seguridad de la información que incluye objetivos claros de seguridad o que sirve como guía para definirlos.
Requisito 12
Creamos una política de seguridad de la información que incluye el compromiso de cumplir con todas las reglas, requisitos y stakeholders que defina la organización.
Requisito 13
Creamos una política de seguridad de la información que incluye el compromiso de mejorar constantemente el sistema de gestión.
Requisito 14
Creamos y mejoramos continuamente los documentos sobre las políticas de la compañía.
Requisito 15
Creamos y mejoramos continuamente los documentos sobre los procesos de la compañía.
Requisito 16
Creamos y mejoramos continuamente los documentos sobre los procedimientos de la compañía.
Requisito 17
Documentamos los dominios, controles y requisitos del SGSI.
Requisito 18
Aprobamos, comunicamos y versionamos los documentos del SGSI.
Requisito 19
Garantizamos que los interesados reconozcan y conozcan los documentos del SGSI.
Requisito 20
Integramos los requisitos del SGSI a los procesos de la organización.
Requisito 21
Establecemos un procedimiento para la gestión y recolección centralizada de evidencias para los requisitos y controles de Ciberseguridad, garantizando su disponibilidad para los stakeholders.
Requisito 22
Implementamos una metodología para la gestión de los riesgos.
Requisito 23
Declaramos el apetito de riesgos de la organización.
Requisito 24
Declaramos la tolerancia de riesgos de la organización.
Requisito 25
Incorporamos en la metodología de riesgos criterios de valoración de activos, amenazas y vulnerabilidades.
Requisito 26
Asignamos a cada riesgo un propietario, un nivel de riesgo residual y un plan de tratamiento.
Requisito 27
Formulamos un roadmap de ciberseguridad.
Requisito 28
Priorizamos las iniciativas de ciberseguridad con responsables y fechas de implementación.
Requisito 29
Alineamos las iniciativas de ciberseguridad a los objetivos del negocio.
Requisito 30
Registramos los riesgos identificados en un repositorio centralizado.
Requisito 31
Revisamos anualmente la estructura de gobierno y la sometemos a aprobación de la alta dirección.
Requisito 32
Realizamos comités de seguridad o reportes con una frecuencia programada a la alta dirección.
Requisito 33
Incluimos en los reportes y revisiones gerenciales el estado de riesgos críticos, el avance del roadmap, los indicadores de incidentes, el cumplimiento regulatorio, el desempeño de controles, las tendencias en incumplimientos, los resultados de mediciones y auditorías, el cumplimiento de objetivos, los resultados de la evaluación de riesgos, el avance del plan de tratamiento de riesgos y el avance de mejoras.
Requisito 34
Definimos y hacemos seguimiento a los OKRs de seguridad de la información y ciberseguridad.
Requisito 35
Definimos y hacemos seguimiento a los KPIs de seguridad de la información y ciberseguridad.
Requisito 36
Mejoramos continuamente el SGSI, revisamos y actualizamos los documentos con una frecuencia programada junto con sus interesados.
Requisito 37
Impulsamos desde el liderazgo la mejora continua del SGSI.