👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
TSC: Seguridad (Common Criteria): Principios del Marco COSO 6, 7, 8, 9 y 10, así como los criterios CC9.1 y CC9.2.
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a analizar y evaluar los riesgos asociados a tu programa de cumplimiento de SOC 2, con el objetivo de conocer a qué se enfrenta tu empresa y, con ello, tomar las mejores decisiones para disminuir el impacto y la probabilidad de dichos riesgos.
💡 El análisis, evaluación y tratamiento de riesgos son ejercicios que deben realizarse periódicamente (al menos anualmente) y cuando ocurran cambios significativos dentro de la empresa, por lo que es de suma importancia comprender en su totalidad cómo se deben realizar.
¿Qué tengo que hacer? 🚀
Para realizar esta actividad, es importante ya contar con una “Metodología de Gestión de Riesgos” establecida y documentada.
Recomendamos seguir los pasos que explicamos a continuación:
¡Comienza pensando en tus activos!
Conociendo los activos definidos en tu “Inventario de Activos”, puedes identificar más fácilmente los riesgos a los que están expuestos y cuáles son los más críticos para tu negocio.
Recuerda que puedes cargar la información de todos tus colaboradores dentro de nuestro módulo de Personal para que esta asignación de responsables sea mucho más rápida ✨.
Describe uno a uno los riesgos
Dentro del contexto actual de la organización. ¡Utiliza nuestro listado de riesgos! Puedes tomar ejemplos directamente de ahí o usarlos como orientación. Te recomendamos indicar cuáles de tus activos están asociados a los riesgos que identifiques.
Asigna a un dueño responsable del riesgo
Debe ser una persona que pueda darle seguimiento a su estatus, desde la evaluación hasta la implementación de los controles de mitigación.
Evalúa el riesgo (Riesgo Inherente)
Esto consiste en indicar un nivel de impacto y uno de probabilidad. La metodología propuesta en nuestro Módulo de Riesgos utiliza una multiplicación de ambos valores. Puedes considerar las siguientes escalas:
IMPACTO 🔥 |
Descripción | Nivel | Valor |
Las consecuencias de la ocurrencia del riesgo son insignificantes. | Muy bajo | 1 |
Las consecuencias de la ocurrencia del riesgo son mínimas. | Bajo | 2 |
Las consecuencias de la ocurrencia del riesgo son tolerables. | Medio | 3 |
Las consecuencias de la ocurrencia del riesgo son graves. | Alto | 4 |
Las consecuencias de la ocurrencia del riesgo son desastrosas. | Muy alto | 5 |
PROBABILIDAD 📈 |
Descripción | Nivel | Valor |
Es casi imposible que el riesgo ocurra (menos de una vez cada 5 años). | Muy bajo | 1 |
Es poco posible que el riesgo ocurra (una vez cada 2-5 años). | Bajo | 2 |
Es probable que el riesgo ocurra (una vez al año). | Medio | 3 |
Es muy posible que el riesgo ocurra (varias veces al año). | Alto | 4 |
Es casi seguro que el riesgo ocurra (de forma mensual o más frecuente) . | Muy alto | 5 |
Define el tratamiento que le darás
Una vez evaluado el riesgo, debes decidir cómo responder, según lo exige el Principio 10 de COSO:
Decisión | Descripción |
Mitigar | Corresponde a la implementación de controles y medidas que te permitirán reforzar la seguridad, y disminuir la probabilidad y/o el impacto de ese riesgo. |
Aceptar | Corresponde a no realizar ninguna acción sobre el riesgo. Esta decisión debe tomarse posterior a un análisis de costo - beneficio donde se confirme que es más caro / difícil implementar medidas de seguridad, que asumir el costo de que el riesgo ocurra. |
Eliminar | Suprimir la causa raíz del riesgo, como descontinuar un sistema de IA o un proceso que lo origina. |
Transferir (Compartir) | Corresponde a transferir el riesgo a un tercero, como por ejemplo al proveedor, compartiendo así la responsabilidad de su mitigación y monitoreo. |
💡 Si decides "mitigar", te recomendamos identificar los Criterios Comunes (CC) y los controles específicos de tu organización que te permitirán mitigar dichos riesgos. Conocer esta información es de suma importancia durante una auditoría.
Evalúa el riesgo residual
Es el nivel de riesgo que queda después de haber implementado los controles de tratamiento. A menos que decidas eliminar el riesgo, éste nunca desaparece por completo y debe ser monitoreado periódicamente.
Puedes implementar todos estos pasos desde nuestro módulo de Riesgos de una forma muy sencilla, para que puedas aprovechar al máximo las automatizaciones que tenemos para ti.
💡Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Utiliza nuestro módulo de Riesgos y comienza a usarlo una vez que cuentes con la “Metodología de Gestión de Riesgos” documentada y tu “Inventario de Activos” terminado 🚀.
Pon en práctica todos los conocimientos obtenidos durante el “Taller de Gestión de Riesgos”.
Asigna a responsables de riesgo lo suficientemente capacitados que puedan llevar un seguimiento adecuado.
Sé lo más objetivo posible durante la evaluación del riesgo inherente y residual; no todo debe ser crítico para tu empresa, pero tampoco le restes importancia a cosas que sí o sí deben ser analizadas y protegidas correctamente.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.