Buenas prácticas para gestionar los riesgos cibernéticos desde

COSO ERM

Los ejemplos aquí enunciados no pretenden abarcar todas las situaciones. Es

necesario que se realice un análisis y se determine la mejor práctica de acuerdo
con la gestión de riegos en ciberseguridad, desde los principios de COSO ERM.

Práctica SI NO N/A

Definir un programa de gestión de riesgos

cibernéticos.

Involucrar a la Junta y la alta gerencia en el

programa de gestión de riesgos cibernéticos.

Incluir dentro del plan estratégico la gestión del

riego cibernético, partiendo del análisis del
contexto empresarial.

Establecer una estrategia cibernética, que

incluya los recursos financieros, tecnológicos y
humanos requeridos.

Solicitar la supervisión cibernética como parte

de los proyectos estratégicos para la
organización.

Establecer el apetito de riesgo frente al riesgo

cibernético y la estrategia.

Considerar ajustar el apetito de riesgo frente a

los nuevos desarrollos tecnológicos y nuevas
estrategias.

www.auditool.org
 Práctica SI NO N/A

Identificar los efectos de los factores internos y

externos sobre el riesgo cibernético.

Identificar y evaluar los riesgos cibernéticos que

pueden impactar el cumplimiento de la
estrategia y de los objetivos.

Dar prioridad a la gestión de riesgos según su

criticidad y el apetito de riesgo de la
organización.

Realizar un inventario de activos críticos

(información y sistemas), frente a los riesgos
cibernéticos y el logro de los objetivos, de tal
forma que se puedan gestionar.

Identificar los motivos, técnicas y herramientas

que se podrían utilizar en un potencial ataque,
para implementar controles y acciones
preventivas, así como el que los mitiguen en
caso de su materialización.

Supervisar la respuesta dada a los riesgos,

incluyendo las prácticas implementadas.

Apoyar la gestión del riesgo cibernético con

información de fuentes internas y externas.

Periódicamente revisar los riesgos en seguridad

generados por capturar, procesar y administrar
información.

www.auditool.org
 Práctica SI NO N/A

Considerar dentro del riesgo cibernético la

perdida de datos, negocios, daño reputacional,
así como litigios y sanciones económicas.

Actualizar y fortalecer las habilidades de los

miembros de la Junta Directiva frente a las
amenazas cibernéticas, para optimizar los
resultados de sus evaluaciones frente a los
programas de la organización.

Supervisar por parte de la Junta la estrategia de

seguridad cibernética implementada.

Supervisar el apetito en ciberseguridad e

informar sus resultados a la Junta.

Asignar el perfil de riesgo en seguridad

cibernética que tiene la organización.

Alinear la estrategia de seguridad cibernética

con la estrategia comercial.

Considerar el riesgo cibernético como riesgo

empresarial por parte de la Junta Directiva y por
tanto la supervisión.

Vincular la cultura de la seguridad cibernética

dentro de la cultura global de la organización,
promoviendo la conciencia en ciberseguridad,
así como la capacitación para la prevención de
ataques.

www.auditool.org
 Práctica SI NO N/A

Alinear el programa de gestión de riesgo

cibernéticos con los valores de la organización.

Concientizar a los colaboradores sobre la

importancia de sus acciones para mantener la
ciberseguridad.

Demostrar por parte de la alta gerencia las

acciones y ejemplos esperados para promover la
ciberseguridad.

Promover las acciones de seguridad que los

empleados deben considerar durante el
desarrollo de su trabajo, para la prevención de
ataques.

Vincular por parte de la Junta asesores expertos

en seguridad cibernética.

Asignar un líder responsable de la seguridad

cibernética.

Implementar un Comité de Seguridad

Cibernética compuesto por el responsable de
seguridad, el director financiero, el director de
riesgos, el asesor legal y el director de la
organización, entre otros.

Desarrollar por el Comité de Seguridad una

evaluación de los riesgos cibernéticos, un plan
de gestión de dichos riesgos, así como asignar el
presupuesto para su gestión.

www.auditool.org
 Práctica SI NO N/A

Reportar periódicamente al Comité de Auditoría

las amenazas identificados y los resultados en la
gestión de riesgos, por parte del Comité de
Seguridad.

Vincular asesores externos en ciberseguridad,

para la identificación de brechas en los
programas implementados.

Conocer los riesgos en ciberseguridad asociados

a nuevas plataformas y/o proyectos de
tecnología.

Implementar un programa para la gestión de

datos, que incluya la administración y retiro de
estos una vez no son utilizados, el tratamiento
de los accesos otorgados y las contraseñas, entre
otros, reduciendo las vulnerabilidades en
seguridad frente a información no utilizada.

Segregar las funciones y responsabilidades

tanto del personal de seguridad como de los
accesos a todos los sistemas de información de
la organización, en los diferentes niveles.

Revisar periódicamente la estrategia y los

objetivos comerciales propuestos, junto con el
soporte tecnológico y de ciberseguridad para su
cumplimiento, identificando cualquier
desviación.

Actualizar la evaluación de riesgos cibernéticos,

desde el comercio electrónico, la
implementación de aplicaciones y la protección
e integridad de la información.

www.auditool.org
 Práctica SI NO N/A

Determinar el impacto de los riesgos

cibernéticos desde la perspectiva legal.

Identificar los riesgos y tendencias en

ciberataques de la industria.

Evaluar cómo un potencial ciberataque

impactaría la estrategia, los objetivos
comerciales y el apetito, y considerar realizar
cambios en cada uno de los mismos.

Implementar un modelo de seguridad

cibernética desde el apetito de riesgo definido,
el cual permita la gestión de los riesgos
identificados.

Establecer indicadores de gestión para

monitorear el cumplimiento de los objetivos
asociados a la ciberseguridad.

Desarrollar programas de educación continua

que promuevan la formación en planes de
continuidad de negocio, seguridad de datos y
recuperación frente a ciberataques.

Establecer un protocolo de comunicación

interna con los colaboradores y las áreas
responsables de gestionar la ciberseguridad,
frente a la identificación de un potencial ataque.

Definir el procedimiento interno para el reporte

de incidentes en ciberseguridad.

www.auditool.org
 Práctica SI NO N/A

Tener un protocolo de comunicación, para el

reporte a entes externos de control o
gubernamentales de un potencial ataque.

Revisar los cambios de la legislación local, frente

a las obligaciones de la organización para
reportar eventos cibernéticos, dando
cumplimiento a la norma y actualizando las
políticas y procedimientos internos.

Definir los informes clave frente a

ciberseguridad que deben ser emitidos por cada
nivel, junto con su periodicidad.

Diseñar cada uno de los informes de

ciberseguridad de acuerdo con los destinatarios,
evaluando el nivel técnico y de detalle que debe
tener.

www.auditool.org