Guía de Auditoria del Marco de Ciberseguridad 5.0

Gestión de riesgos 

 

Requisito GR 1 - Adoptar una metodología de evaluación de riesgo.  

  1. Procedimiento operativo, matriz de riesgos separada por servicio o componente, actas de evaluación, informes técnicos, reportes de consultoría o cualquier otro registro que evidencie la aplicación diferenciada del proceso de gestión de riesgos a servicios críticos o componentes del centro de procesamiento de datos. 

  1. Manual metodológico, instructivo operativo, plantilla con criterios aplicados, presentaciones de capacitación interna o informes de aplicación práctica que describan la metodología de gestión de riesgos de seguridad de la información (identificación, evaluación, tratamiento, seguimiento y comunicación a los interesados) utilizada por la organización.  

  1. Resolución, registros u otro mecanismo que evidencie la aprobación de la Política de gestión de riesgos de seguridad de la información por el CSI o la dirección. 

  1. Registro de correos institucionales, actas, firma de acuse de recibo, publicaciones internas, sitio institucional u otros mecanismos que evidencien que la política fue comunicada a todas las partes interesadas. 

  1. Versionado de la metodología, actas de revisión, informes de ajuste, análisis comparativo de versiones, o minutas que demuestren que la metodología fue revisada y ajustada en función de resultados previos, cambios normativos o de contexto, y oportunidades de mejora identificadas. 

 

 

Requisito GR 2 - Realizar de manera sistemática el proceso de evaluación de riesgos.  

  1. Matrices de riesgo, planillas, informes de evaluación o reportes generados por herramientas donde conste la identificación de riesgos, su impacto estimado y probabilidad de ocurrencia. 

  1. Planillas, FODA, informes de análisis de riesgos o salidas de herramientas de gestión que detallen las amenazas y vulnerabilidades identificadas, así como los controles actuales implementados para su mitigación. 

  1. Matriz de riesgos, sistema de gestión o planilla donde se detallen los riesgos asociados a cada activo de información de la organización. 

  1. Resoluciones, actas del Comité de Seguridad o informes validados por la dirección donde se establezcan el apetito de riesgo y la tolerancia al riesgo de la organización. 

  1. Informes de evaluación de riesgos o matrices donde se incluyan explícitamente riesgos relacionados con proveedores, contratos, servicios tercerizados o interdependencias externas. 

  1. Registros que evidencien que incidentes ocurridos fueron utilizados como insumo para la actualización de riesgos, como su incorporación en matrices, informes de reevaluación o ajustes en planes de tratamiento. 

  1. Actas, registros de revisión o informes donde conste que la tolerancia al riesgo fue revisada y ajustada ante cambios normativos, tecnológicos o estratégicos. 

  1. Versiones anteriores y actualizadas de la matriz de riesgos o listado equivalente, con registro de fecha, responsable y cambios realizados, acompañadas de actas, tickets o informes que respalden la revisión periódica realizada. 

 

Requisito GR 3 - Tratamiento o un plan de acción correctivo sobre los riesgos encontrados y, de acuerdo a su resultado, implementar las acciones correctivas y preventivas correspondientes.  

  1. Correos, tickets, actas o informes que evidencien la toma de acciones puntuales para reducir riesgos identificados. 

  1. Planes de tratamiento de riesgos, matrices o registros que incluyan acciones definidas para riesgos que superan los límites aceptables. 

  1. Registros de planes de tratamiento de riesgos que detallen cada acción, su responsable designado y el plazo previsto para su ejecución. 

  1. Actas, correos de aprobación, tickets o plataformas colaborativas donde se evidencie que quienes ejecutan las acciones validaron el contenido del plan de tratamiento de riesgos antes de su implementación. 

  1. Planillas, tableros o dashboards o informes donde se incluyan métricas e indicadores definidos para hacer seguimiento del avance de los planes de tratamiento. 

  1. Resoluciones, actas o comunicaciones donde la Dirección establezca el orden de ejecución de acciones o controles. 

  1. Informes de verificación, pruebas de control, auditorías internas o matrices actualizadas con análisis del riesgo residual, junto con registros de validación por las partes interesadas. 

  1. Presupuesto institucional, partidas asignadas, plan financiero, resoluciones de asignación de fondos o planillas presupuestales que evidencien que existe una línea presupuestal específica (o rubro identificado) destinada a implementar medidas del plan de tratamiento de riesgos de seguridad de la información. 

  1. Versionado de planes, informes de seguimiento, actas o herramientas que reflejen la revisión de los planes en forma periódica, incluyendo fecha y responsables de la actualización. 

  1. Actas del CSI, correos formales, informes ejecutivos o presentaciones que evidencien que los cambios o resultados de revisión fueron compartidos con las partes interesadas relevantes. 

Requisito GR.4 - Inteligencia de amenazas  

  1. Registro de las fuentes utilizadas para recibir inteligencia de amenazas, como CERTuy, portales oficiales, fuentes sectoriales o comunitarias. 

  1. Registros de asistencia a capacitaciones, materiales de formación o certificados vinculados a cursos específicos sobre análisis o uso de inteligencia de amenazas recibidos por el personal.  

  1. Registros que demuestren la recepción periódica de información sobre amenazas (como alertas por correo, boletines, feeds RSS o reportes de herramientas SIEM, entre otros), junto con planillas, tickets o sistemas internos donde se almacene dicha información para su análisis posterior.  

  1. Manuales de responsabilidades y funciones, resolución, organigramas, o flujos de proceso donde se identifiquen claramente los responsables de recibir, filtrar y analizar la información de amenazas. 

  1. Informes, matrices, presentaciones o actas donde se haya evaluado el posible efecto de amenazas recientes o nuevas tendencias sobre activos o servicios que también utiliza la organización. 

  1. Registros de reuniones, actas del comité de seguridad, actualizaciones del análisis de riesgos, informes de evaluación o matrices de riesgo donde se evidencie que los datos provenientes de inteligencia de amenazas han sido utilizados como insumo para ajustar la probabilidad, impacto o tratamiento de riesgos de seguridad de la información. 

  1. Procedimiento formal vigente, manual operativo, instructivo o política específica que describa cómo se gestionan las fuentes de inteligencia de amenazas, incluyendo los mecanismos para su recepción, criterios para el filtrado y validación, métodos de análisis y clasificación de la información, y su utilización. 

  1. Planes de tratamiento de riesgos, informes de análisis, actas de comité de seguridad, registros de revisión de controles o reportes de adecuación que demuestren que la información proveniente de inteligencia de amenazas ha sido utilizada para ajustar controles existentes o diseñar nuevos controles. 

  1. Actas, registros de revisión o informes donde se evalúe la vigencia, confiabilidad y relevancia de las fuentes utilizadas. 

  1. Matrices de riesgo, planes de tratamiento o informes de reevaluación donde consten actualizaciones realizadas en función de nueva información proveniente de inteligencia de amenazas, incluyendo fecha del cambio y fuente que lo motivó. 

  1. Presentaciones, informes ejecutivos o registros de reuniones donde se utilicen patrones o tendencias observadas en la inteligencia de amenazas como base para decisiones estratégicas. 

 

Etiquetas

Gestión y auditoría de Seguridad de la Información Marco de Referencia Políticas de Ciberseguridad Ciberseguridad Seguro te conectás Herramientas para organismos Política Digital del Uruguay