Gobernanza (ID.GO)
Las políticas, procedimientos y procesos para gestionar y monitorear los requisitos regulatorios, legales, ambientales y operativos de la organización, son comprendidos y se informa a las gerencias sobre los riesgos de ciberseguridad.
| Subcategoría | Nivel 1 | Nivel 2 | Nivel 3 | Nivel 4 |
|---|---|---|---|---|
ID.GO-1. La política de seguridad de la información se encuentra establecida. | Se cuenta con una política de seguridad de la información aprobada por la Dirección. La política de seguridad de la información se difunde al personal. | Se definen formalmente políticas sobre temas específicos que dan soporte a la política de seguridad de la información.
| La política de seguridad de la información y las políticas específicas son revisadas cuando ocurren cambios significativos (ambiente de negocio, ambiente técnico, normativa, etc.) para analizar su vigencia, idoneidad y pertinencia, siendo deseable que las mismas sean revisadas formalmente a intervalos regulares. El resultado de estas revisiones de documentan y comunican al CSI y demás partes interesadas. | Se ha desarrollado un conjunto razonable de políticas y procedimientos específicos alineados al Marco de Ciberseguridad y a la guía de implementación conformando un SGSI. Se definen indicadores para medir la efectividad del SGSI y se planifica y realiza la revisión formal de éste por parte del CSI. |
ID.GO-2. Los roles y las responsabilidades de la seguridad de la información están coordinados y alineados con roles internos y socios externos. | El RSI coordina las actividades de seguridad de la información de su organización.
| El RSI es referente de la temática ante su organización y participa en la gestión de incidentes y la gestión de riesgos de seguridad. El RSI, o quien este determine, oficia como punto de contacto con el CERTuy o CSIRT según corresponda. | El RSI, o quien este determine, coordina las tareas de gestión de riesgos con los responsables de gestión de riesgos de seguridad y con los propietarios de los activos de información. | El RSI coordina las actividades del plan anual (las cuales se documentan) con los principales actores involucrados de su organización (directores de área, gerentes, otros RSI, etc.). |
ID.GO-3. Los requisitos legales y regulatorios sobre la ciberseguridad, incluyendo las obligaciones de privacidad son comprendidos y se gestionan. | Se identifican los requisitos normativos relacionados a seguridad de la información y ciberseguridad, protección de datos personales, acceso a la información pública y propiedad intelectual. | Las pautas que ha definido la organización relacionadas con seguridad de la información están alineadas o hacen referencia a la normativa vigente en la materia. | Se realizan revisiones basadas en la normativa aplicable para detectar desvíos de cumplimiento. El resultado es comunicado a la RSI y/o al CSI. | Se realizan actividades de control interno para verificar el cumplimiento del SGSI. Los resultados de las revisiones se utilizan para la mejora continua del SGSI y apoyan a la toma de decisiones. |
ID.GO-4. Construcción de procesos de gobernanza y administración de riesgos dirigidos a atender los problemas de ciberseguridad. | El área responsable de del centro de datos realiza las actividades de gestión de riesgo para apoyar sus procesos en base a su experiencia y apreciación de la ciberseguridad.
| Se establece un responsable de la gestión de riesgo, el cual se encarga de desarrollar una metodología unificada para la evaluación de riesgos de ciberseguridad de la organización. Los riesgos de ciberseguridad son evaluados para toda la organización. Se incorporan los actores críticos de cada área, que serán los encargados de implementar los controles definidos. | Se establece la política de gestión de riesgo. El proceso de gestión de riesgos se encuentra centralizado, por lo que se analiza de forma integral los riesgos de ciberseguridad (operativos, de negocio, etc.) de todas las áreas de la organización. | La gestión de riesgos está en línea con los objetivos de negocio. Se elaboran informes y reportes que sirven que permiten elaborar métricas e indicadores de cumplimiento de la organización, ayudando a reducir los efectos no deseados de los riesgos evaluados. Se retroalimenta el proceso con auditorías internas o externas que ayudan a evitar desviación en el proceso. |