🚀 Nuevas herramientas online y gratuitas de CiberseguridadDale un vistazo 👀 →

Dominio COR

COR - Coherencia Organizacional

Controles COR

COR-01 - Programa de Gestión de Riesgos y Ciberseguridad COR-02 - Mapeo de Cumplimiento Regulatorio COR-03 - Evaluación Independiente basada en Riesgos COR-04 - Mejora Continua y Acciones Correctivas

Herramientas COR

COR-01 - Programa de Gestión de Riesgos y Ciberseguridad

Control de gobernanza estratégica de riesgos y ciberseguridad organizacional

🎯 Objetivo del Control

Establecer un programa formal y estructurado de gestión de riesgos de ciberseguridad que integre el gobierno corporativo, estrategia de negocio y gestión de riesgos de TI, asegurando que las decisiones estén alineadas con el apetito y tolerancia al riesgo de la organización.

📋 Descripción

Este control establece el marco de gobierno que integra la ciberseguridad en la estrategia empresarial mediante:

Definición de estructura de gobernanza de ciberseguridad
Metodología de identificación, análisis y tratamiento de riesgos
Alineación de objetivos de ciberseguridad con objetivos de negocio
Asignación de roles, responsabilidades y autoridad en ciberseguridad
Comunicación y reporte a la alta dirección y junta directiva

🛡️ Controles Requeridos

Estructura de Gobernanza

Comité de Seguridad de la Información (presidido por C-level)
Rol de CISO (Chief Information Security Officer) definido formalmente
Matriz RACI para responsabilidades de ciberseguridad
Políticas de gobierno corporativo de ciberseguridad aprobadas por directorio
Líneas de reporte claras desde seguridad hasta CEO/Board

Programa de Gestión de Riesgos

Metodología de evaluación de riesgos documentada (ISO 27005, NIST RMF, FAIR)
Universo de riesgos de ciberseguridad identificado y actualizado
Matriz de riesgos corporativa con valoración inherente y residual
Declaración de apetito y tolerancia al riesgo aprobada
Plan de tratamiento de riesgos con responsables y fechas

Estrategia de Ciberseguridad

Estrategia de ciberseguridad alineada con objetivos de negocio
Roadmap de ciberseguridad con iniciativas priorizadas
Presupuesto de ciberseguridad aprobado anualmente
KPIs y métricas de ciberseguridad definidas
Revisión trimestral de avance de estrategia

Integración con Negocio

Participación de seguridad en decisiones estratégicas de TI
Análisis de riesgos en proyectos y nuevas iniciativas
Integración con gestión de continuidad de negocio
Consideración de riesgos en fusiones y adquisiciones
Ciberseguridad incluida en planificación estratégica corporativa

Comunicación y Reporte

Dashboard ejecutivo de ciberseguridad
Reportes trimestrales a junta directiva
Métricas de madurez de ciberseguridad (CMMI, NIST CSF)
Comunicación de incidentes significativos a C-level
Reporte de tendencias y amenazas emergentes

📊 Métricas e Indicadores

Índice de madurez de gobernanza de ciberseguridad (objetivo: nivel 4/5)
Porcentaje de riesgos críticos/altos dentro de tolerancia (objetivo: 100%)
Cobertura de controles sobre riesgos identificados (objetivo: mayor a 90%)
Tiempo promedio de tratamiento de riesgos críticos (objetivo: menos de 30 días)
Nivel de conocimiento de ciberseguridad en directorio (evaluación anual)
Porcentaje de cumplimiento de roadmap de ciberseguridad (objetivo: mayor a 85%)

🔗 Herramientas Recomendadas

GRC Platforms: ServiceNow IRM, RSA Archer, MetricStream, LogicGate
Risk Management: RiskLens (FAIR), Resolver, Fusion Framework
Frameworks: NIST Cybersecurity Framework, ISO 27001, COBIT 2019
Maturity Assessment: CMMI Cybermaturity, NIST CSF Self-Assessment
Board Reporting: Dashboards ejecutivos en Power BI, Tableau

📚 Referencias

Gobernanza Corporativa de Ciberseguridad
Gobernanza de Seguridad de la Información
Modelo de Roles de Gobernanza
Matriz de Riesgos de Ciberseguridad
Plan de Tratamiento de Riesgos
NIST Cybersecurity Framework 2.0
ISO 31000 - Risk Management
COBIT 2019 - Governance Framework
COSO Enterprise Risk Management Framework

✅ Checklist de Implementación

Aprobación formal de estructura de gobernanza por junta directiva
Nombramiento de CISO con línea de reporte a C-level
Creación y formalización de Comité de Seguridad
Definición de metodología de gestión de riesgos
Realización de evaluación inicial de riesgos
Aprobación de declaración de apetito al riesgo
Desarrollo de estrategia de ciberseguridad (3-5 años)
Definición de KPIs y métricas ejecutivas
Implementación de plataforma GRC
Establecimiento de rutina de reportes a directorio
Capacitación en ciberseguridad para junta directiva
Documentación de políticas de gobierno de ciberseguridad

¿Te ha resultado útil esta página?

Última modificación: 24 de noviembre de 2025

COR - Coherencia Organizacional

Que lo que esté en papel sea una realidad

COR-02 - Mapeo de Cumplimiento Regulatorio

Control de gestión integral de obligaciones legales, regulatorias y contractuales

On this page

🎯 Objetivo del Control 📋 Descripción 🛡️ Controles Requeridos Estructura de Gobernanza Programa de Gestión de Riesgos Estrategia de Ciberseguridad Integración con Negocio Comunicación y Reporte 📊 Métricas e Indicadores 🔗 Herramientas Recomendadas 📚 Referencias ✅ Checklist de Implementación