GR.1 Adoptar una metodología de Evaluación de Riesgo
Requisito GR.1 | Adoptar una metodología de Evaluación de Riesgo |
---|---|
Objetivo | Establecer un proceso de evaluación de riesgo en base a una metodología que permita guiar a la organización por las buenas prácticas de la evaluación del riesgo a nivel tecnológico y de procesos; permitiendo establecer su apetito de riesgo, la tolerancia sobre las desviaciones, calcular la probabilidad de ocurrencia y el impacto potencial sobre la materialización de las vulnerabilidades. |
Controles | Nivel 1
Nivel 2
Nivel 3
Nivel 4
|
Guía de implementación | Se debe adoptar una metodología de evaluación de riesgo basado en la identificación de amenazas y vulnerabilidades, que pueda aplicarse a todos los aspectos tecnológicos, y que esté alineada a la gestión de riesgos de negocio de la organización. Dentro de los riesgos a identificar, deberán incluirse los riesgos positivos (es decir, las oportunidades estratégicas); de manera de permitir la discusión de estos aspectos en las evaluaciones de riesgos de ciberseguridad. Política Aprobación y difusión |
Instituciones de salud | No aplica |
Instituciones Emisoras de Dinero Electrónico (IEDE) | El órgano de dirección de la institución definirá, aprobará y supervisará todas las disposiciones relacionadas con el marco de gestión del riesgo. Los líderes de la organización son responsables de los riesgos de ciberseguridad y fomentan una cultura consciente de los riesgos, manteniendo una mejora continua en los procesos de gestión de riesgos. La institución cuenta con un seguro que cubre costos asociados a ciberataques. |
Guía de evidencia para auditoría |
|
Normativa asociada | No aplica |