Función: Gobernar (GV)
GV.OC Contexto organizativo
Se comprenden las circunstancias (misión, expectativas de las partes interesadas, dependencias y requisitos legales, normativos y contractuales) que afectan a las decisiones de gestión de riesgos de ciberseguridad de la organización.
Subcategoría | Prioridad Básico | Prioridad Estándar | Prioridad Avanzado | Requisitos relacionados |
GV.OC-01: Se comprende la misión de la organización y se informa sobre la gestión de riesgos de ciberseguridad. | Baja | Media | Media | PL.1 Establecer objetivos anuales con relación a la Seguridad de la Información. |
GV.OC-02: Las partes interesadas internas y externas son comprendidas, y sus necesidades y expectativas con respecto a la gestión de riesgos de ciberseguridad son comprendidas y consideradas. | Baja | Media | Media | GR.2 Realizar de manera sistemática el proceso de evaluación de riesgos. |
GV.OC-03: Se comprenden y gestionan los requisitos legales, normativos y contractuales relativos a la ciberseguridad, incluidas las obligaciones en materia de privacidad y libertades civiles. | Baja | Media | Media | CN.1 Cumplir con los requisitos normativos.
PD.1 Principio de Legalidad.
PD.2 Principio de Veracidad.
PD.4 Principio de previo consentimiento informado.
PD.8 Derechos de los titulares de los datos. |
GV.OC-04: Se comprenden y comunican los objetivos, las capacidades y los servicios críticos de los que dependen las partes interesadas externas o que esperan de la organización. | Baja | Media | Media | CO.5 Definir las ventanas de tiempo soportadas para la continuidad de las operaciones. SO.3 Gestionar la capacidad de los servicios y recursos que se encuentran operativos. |
GV.OC-05: Se comprenden y comunican los resultados, capacidades y servicios de los que depende la organización. | Baja | Baja | Baja | OR.7 Conocer el contexto de la organización. |
GV.RM Estrategia de gestión de riesgos
Se establecen, comunican y utilizan las prioridades, las restricciones, las declaraciones de tolerancia y apetito por el riesgo y los supuestos de la organización para respaldar las decisiones sobre el riesgo operativo.
Subcategoría | Prioridad Básico | Prioridad Estándar | Prioridad Avanzado | Requisitos relacionados |
GV.RM-01: Los objetivos de la gestión de riesgos son establecidos y acordados por las partes interesadas de la organización. | Baja | Media | Media | PL.1 Establecer objetivos anuales con relación a la Seguridad de la Información. |
GV.RM-02: Se establecen, se comunican y se mantienen las declaraciones sobre el apetito de riesgo y la tolerancia al riesgo. | Baja | Media | Media | CO.5 Definir las ventanas de tiempo soportadas para la continuidad de las operaciones.
GR.2 Realizar de manera sistemática el proceso de evaluación de riesgos.
GR.3 Tratamiento o un plan de acción correctivo sobre los riesgos encontrados y, de acuerdo a su resultado, implementar las acciones correctivas y preventivas correspondientes. |
GV.RM-03: Las actividades y los resultados de la gestión de riesgos de ciberseguridad se incluyen en los procesos de gestión de riesgos de la empresa.
| Baja | Baja | Baja | GR.1 Adoptar una metodología de Evaluación de Riesgo. |
GV.RM-04: Se establece y comunica una dirección estratégica que describa las opciones adecuadas de respuesta al riesgo. | Baja | Baja | Media | GR.3 Tratamiento o un plan de acción correctivo sobre los riesgos encontrados y, de acuerdo a su resultado, implementar las acciones correctivas y preventivas correspondientes. |
GV.RM-05: Se establecen líneas de comunicación en toda la organización para los riesgos de ciberseguridad, lo que incluye a los riesgos de proveedores y otros terceros. | Baja | Baja | Baja | GI.4 Registrar y reportar las violaciones a la seguridad de la información, confirmadas o sospechadas de acuerdo a los procedimientos correspondientes.
GR.1 Adoptar una metodología de Evaluación de Riesgo.
OR.5 Pautar el uso de dispositivos móviles. |
GV.RM-06: Se establece y comunica un método estandarizado para calcular, documentar, categorizar y priorizar los riesgos de ciberseguridad. | Baja | Baja | Baja | GR.1 Adoptar una metodología de Evaluación de Riesgo. |
GV.RM-07: Se caracterizan las oportunidades estratégicas (es decir, los riesgos positivos) y se incluyen en las discusiones sobre riesgos de ciberseguridad de la organización. | Baja | Baja | Baja | GR.2 Realizar de manera sistemática el proceso de evaluación de riesgos. |
GV.RR Funciones, responsabilidad y autoridades
Se establecen y comunican las funciones, las responsabilidades y las competencias en materia de ciberseguridad para fomentar la rendición de cuentas, la evaluación del desempeño y la mejora continua.
Subcategoría | Prioridad Básico | Prioridad Estándar | Prioridad Avanzado | Requisitos relacionados |
GV.RR-01: El liderazgo organizativo es responsable de los riesgos de ciberseguridad y fomenta una cultura consciente de los riesgos, ética y de mejora continua.
| Baja | Baja | Baja | OR.2 Conformar un Comité de Seguridad de la Información.
PS.1 Adoptar una Política de Seguridad de la Información. |
GV.RR-02: Se establecen, comunican, comprenden y aplican las funciones, responsabilidades y autoridades relacionadas con la gestión de riesgos de ciberseguridad.
| Media | Alta | Alta | OR.1 Designar un Responsable de la Seguridad de la Información.
OR.2 Conformar un Comité de Seguridad de la Información.
OR.3 Definir los mecanismos para el contacto formal con autoridades y equipo de respuesta. |
GV.RR-03: Se asignan recursos adecuados de acuerdo con la estrategia de riesgos de ciberseguridad, las funciones, las responsabilidades y las políticas. | Baja | Baja | Media | GR.3 Tratamiento o un plan de acción correctivo sobre los riesgos encontrados y, de acuerdo a su resultado, implementar las acciones correctivas y preventivas correspondientes. |
GV.RR-04: La ciberseguridad se incluye en las prácticas de recursos humanos. | Media | Media | Media | GH.1 Establecer acuerdos contractuales con el personal donde figuren sus responsabilidades y las de la organización respecto a la seguridad de la información.
PD.6 Principio de reserva. |
GV.PO Política
La política de ciberseguridad de la organización es establecida, comunicada y aplicada.
Subcategoría | Prioridad Básico | Prioridad Estándar | Prioridad Avanzado | Requisitos relacionados |
GV.PO-01: La política de gestión de riesgos de ciberseguridad se establece en base al contexto organizativo, la estrategia de ciberseguridad y las prioridades, y es comunicada y aplicada. | Media | Alta | Alta | PS.1 Adoptar una Política de Seguridad de la Información. |
GV.PO-02: La política de gestión de riesgos de ciberseguridad se revisa, actualiza, comunica y aplica para reflejar los cambios en los requisitos, las amenazas, la tecnología y la misión de la organización. | Baja | Baja | Baja | PS.1 Adoptar una Política de Seguridad de la Información. |
GV.OV Supervisión
Los resultados de las actividades de gestión de riesgos de ciberseguridad en toda la organización y el rendimiento se utilizan para informar, mejorar y ajustar la estrategia de gestión de riesgos.
Subcategoría | Prioridad Básico | Prioridad Estándar | Prioridad Avanzado | Requisitos relacionados |
GV.OV-01: Los resultados de la estrategia de gestión de riesgos de ciberseguridad se revisan para informar y ajustar la estrategia y la dirección. | N/A | N/A
| N/A
|
|
GV.OV-02: La estrategia de gestión de riesgos de ciberseguridad se revisa y ajusta para garantizar la cobertura de los requisitos y riesgos de la organización | N/A | N/A
| N/A
|
|
GV.OV-03: El rendimiento de la gestión de riesgos de ciberseguridad de la organización se evalúa y revisa para realizar los ajustes necesarios. | N/A | N/A
| N/A
|
|
GV.SC Gestión de riesgos de la cadena de suministro en materia de ciberseguridad
Las partes interesadas de la organización identifican, establecen, gestionan, supervisan y mejoran los procesos de gestión de riesgos de la cadena de suministro en materia de ciberseguridad.
Subcategoría | Prioridad Básico | Prioridad Estándar | Prioridad Avanzado | Requisitos relacionados |
GV.SC-01: Las partes interesadas de la organización establecen y acuerdan un programa, estrategia, objetivos, políticas y procesos de gestión de riesgos de ciberseguridad en la cadena de suministro. | Baja | Baja | Baja | GR.1 Adoptar una metodología de Evaluación de Riesgo.
RP.2 Establecer pautas, realizar seguimiento y revisión de los servicios de los proveedores, y gestionar sus cambios. |
GV.SC-02: Se establecen, comunican y coordinan interna y externamente las funciones y responsabilidades de ciberseguridad para proveedores, clientes y colaboradores. | Baja | Media | Media | SC.6 Establecer acuerdos de no divulgación. |
GV.SC-03: La gestión de riesgos de la cadena de suministro en materia de ciberseguridad está integrada en la ciberseguridad y la gestión de riesgos empresariales, la evaluación de riesgos y los procesos de mejora. | Baja | Media | Media | GR.2 Realizar de manera sistemática el proceso de evaluación de riesgos. |
GV.SC-04: Los proveedores son conocidos y priorizados por criticidad. | Baja | Media | Alta | RP.1 Definir acuerdos de niveles de servicio (SLA) con los proveedores de servicios críticos. |
GV.SC-05: Los requisitos para abordar los riesgos de ciberseguridad en las cadenas de suministro se establecen, priorizan e integran en contratos y otros tipos de acuerdos con proveedores y otras terceras partes pertinentes. | Media | Media | Media | AD.2 Incluir requisitos de seguridad de la información para la adquisición de productos y servicios de tecnología.
RP.2 Establecer pautas, realizar seguimiento y revisión de los servicios de los proveedores, y gestionar sus cambios. |
GV.SC-06: Se llevan a cabo la planificación y la diligencia debida para reducir los riesgos antes de entablar relaciones formales con proveedores u otros terceros. | Baja | Baja | Baja | AD.2 Incluir requisitos de seguridad de la información para la adquisición de productos y servicios de tecnología.
RP.2 Establecer pautas, realizar seguimiento y revisión de los servicios de los proveedores, y gestionar sus cambios. |
GV.SC-07: Los riesgos planteados por un proveedor, sus productos y servicios y otros terceros se comprenden, registran, priorizan, evalúan, responden y monitorean a lo largo de la relación. | Baja | Baja | Baja | RP.2 Establecer pautas, realizar seguimiento y revisión de los servicios de los proveedores, y gestionar sus cambios. |
GV.SC-08: Los proveedores pertinentes y otros terceros se incluyen en las actividades de planificación, respuesta y recuperación de incidentes. | Baja | Baja | Media | GI.1 Planificar la gestión de los incidentes de seguridad de la información. |
GV.SC-09: Las prácticas de seguridad de la cadena de suministro se integran en los programas de ciberseguridad y de gestión de riesgos empresariales, y su rendimiento se monitorea a lo largo del ciclo de vida de los productos y servicios tecnológicos. | Baja | Baja | Baja | AD.2 Incluir requisitos de seguridad de la información para la adquisición de productos y servicios de tecnología.
RP.2 Establecer pautas, realizar seguimiento y revisión de los servicios de los proveedores, y gestionar sus cambios. |
GV.SC-10: Los planes de gestión de riesgos de la cadena de suministro de ciberseguridad incluyen disposiciones para las actividades que ocurren después de la conclusión de un acuerdo de colaboración o servicio. | Baja | Baja | Media | GR.3 Tratamiento o un plan de acción correctivo sobre los riesgos encontrados y, de acuerdo a su resultado, implementar las acciones correctivas y preventivas correspondientes.
RP.1 Definir acuerdos de niveles de servicio (SLA) con los proveedores de servicios críticos. |