👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
TSC: Seguridad (Common Criteria): Principios del Marco COSO 6, 7, 8, 10 y 11, así como los criterios CC9.1 y CC9.2.
¿Para qué me sirve esta actividad? 📚
Esta actividad te sirve para sentar las bases y establecer el "manual de instrucciones" con el que llevarás a cabo la gestión de los riesgos en tu empresa. Esta metodología es un documento fundamental para SOC 2, ya que define el proceso formal y repetible que utiliza la organización para tomar decisiones informadas sobre los riesgos que enfrenta su negocio.
¿Qué tengo que hacer? 🚀
Para realizar esta actividad, debes documentar y establecer todos los lineamientos y criterios necesarios para aplicar un análisis adecuado y completo de los riesgos.
Nuestro template te proporciona una metodología ya estructurada y alineada con el cumplimiento de SOC 2.
A continuación, te explicamos más a detalle cada una de las secciones del template:
Criterios para el inventario de activos
El proceso de riesgos comienza por entender qué es lo que se debe proteger. Esta sección establece los criterios para una correcta identificación y valorización de los activos y recursos de tu empresa.
Identificación: Define qué información se debe recopilar sobre los activos que son importantes para la prestación de tus servicios.
Valorización: Establece los criterios para definir la criticidad de cada activo, lo que te permite priorizar los esfuerzos de protección.
Criterios para la matriz de riesgos
Esta es la parte central de la metodología, donde se define el proceso de análisis y evaluación.
Identificación: Se establece cómo se deben identificar y registrar los riesgos. Esto implica pensar en las amenazas que podrían afectar a tus activos y recursos.
Evaluación: Se define el método para evaluar los riesgos. La metodología propuesta consiste en asignar un valor a la probabilidad de ocurrencia y al impacto en el negocio. La multiplicación de ambos valores determina el nivel de riesgo.
A continuación, te mostramos las escalas de valores que encontrarás en el template:
PROBABILIDAD 📈 |
Descripción | Nivel | Valor |
Es casi imposible que el riesgo ocurra (menos de una vez cada 5 años). | Muy bajo | 1 |
Es poco posible que el riesgo ocurra (una vez cada 2-5 años). | Bajo | 2 |
Es probable que el riesgo ocurra (una vez al año). | Medio | 3 |
Es muy posible que el riesgo ocurra (varias veces al año). | Alto | 4 |
Es casi seguro que el riesgo ocurra (de forma mensual o más frecuente) . | Muy alto | 5 |
IMPACTO 🔥 |
Descripción | Nivel | Valor |
Las consecuencias de la ocurrencia del riesgo son insignificantes. | Muy bajo | 1 |
Las consecuencias de la ocurrencia del riesgo son mínimas. | Bajo | 2 |
Las consecuencias de la ocurrencia del riesgo son tolerables. | Medio | 3 |
Las consecuencias de la ocurrencia del riesgo son graves. | Alto | 4 |
Las consecuencias de la ocurrencia del riesgo son desastrosas. | Muy alto | 5 |
Tratamiento: Aquí se establece qué se hará con los riesgos identificados. Las cuatro decisiones de tratamiento estándar son: mitigar (aplicar controles), aceptar, eliminar o transferir. La decisión de mitigar es la más común y consiste en seleccionar y desarrollar los controles de seguridad necesarios.
Criterios para el seguimiento y comunicación
Esta última sección define cómo se mantendrá vivo el proceso de gestión de riesgos, abordando el Principio 9 de COSO sobre la evaluación de cambios.
Lineamientos clave: Establecer la revisión periódica del inventario de activos y la matriz de riesgos (al menos anualmente), la comunicación de los resultados a la alta dirección y al comité de seguridad, y la asignación de responsables para estas tareas.
💡Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Antes de comenzar a generar tu “Inventario de Activos” o “Matriz de Riesgos”, primero documenta y aprueba esta metodología.
Involucra a la alta dirección y al comité de seguridad en la definición de esta metodología, especialmente en la definición de los criterios de impacto y los niveles de riesgo aceptable.
Define el tratamiento de los riesgos con apoyo del CISO/OSI y el comité para tomar la mejor decisión sobre las tareas a ejecutar.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.