🚀 Nuevas herramientas online y gratuitas de CiberseguridadDale un vistazo 👀 →
DivisionCero

Política de Gestión de Riesgos

Marco para identificación, evaluación y tratamiento de riesgos

Política de Gestión de Riesgos

Propósito

Proveer un enfoque estandarizado para identificar, evaluar, tratar y monitorear riesgos, asegurando la resiliencia y cumplimiento del marco de seguridad de la información en todas las Unidades de Negocio.

Configuración de Riesgos

  • Probabilidad: Alta (ya ocurrió), Media (plausible), Baja (improbable).
  • Impacto: Alto (legales/contractuales), Medio (reputacional), Bajo (mínimo).
  • Registro de Riesgos: Cada riesgo tiene propietario, partes interesadas y protocolo de respuesta definido.
  • Se utilizan objetivos de operaciones claros para guiar la asignación de recursos y la toma de decisiones.

Registro y Reporte

  • Documentar acciones y resultados de gestión de riesgos para informar decisiones y mejorar procesos.
  • Considerar sensibilidad de la información, contexto, partes interesadas, costo, frecuencia y relevancia del reporte.

Evaluación de Riesgos

  1. Identificación: Reconocer riesgos que puedan afectar objetivos; considerar fuentes, causas, eventos, vulnerabilidades, activos, oportunidades, contexto y limitaciones de información.
  2. Análisis: Evaluar naturaleza, probabilidad, consecuencias, controles existentes, complejidad, volatilidad y sesgos.
  3. Evaluación: Comparar con criterios de riesgo para decidir acciones: mantener, tratar, analizar más o reconsiderar objetivos.

Consideración Especial

Riesgos de tecnología y dispositivos críticos (ej. POI) deben evaluarse con análisis específico, frecuencia y tipo de inspección adecuados.

Tratamiento de Riesgos

  • Formular y ejecutar medidas para mitigar riesgos.
  • Opciones de tratamiento: mitigar, asumir, eliminar, cambiar probabilidad/consecuencia, distribuir o mantener riesgos de manera informada.
  • Evaluar efectividad y documentar riesgos residuales para monitoreo y acciones adicionales si es necesario.

Plan de Tratamiento

  • Define responsables, acciones, recursos, medidas de desempeño, restricciones, monitoreo y cronograma.
  • Justifica la selección de opciones y beneficios esperados.

Monitoreo y Revisión

  • Revisar regularmente la gestión de riesgos, resultados y eficacia de los tratamientos.
  • Actualizar metodologías, registrar cambios y realizar revisiones anuales para garantizar trazabilidad y mejora continua.

¿Te ha resultado útil esta página?

Última modificación: 24 de noviembre de 2025

Política de Documentos y Registros

Estándares para gestión de documentos y registros organizacionales

Política de Gestión de Cumplimiento

Aseguramiento del cumplimiento de requisitos legales y regulatorios