Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Estrategia
Ciberseguridad
BANCO X
PASO 1 – PRIORIZAR Y ALCANCE
3
PASO 1 – PRIORIZAR Y ALCANCE
DRIVER #1 DRIVER #2 DRIVER #3
DATOS DE CLIENTE SOPORTE E-BANKING ASOCIADO A BIA NIVEL DE
MACRO PROCESO PROCESO ALCANCE
(3) Alto volumen (2) Medio (3) soporte directo (2) soporte (3) Bia < 4h (2) 4h - 24h (1) 24h CRITICIDAD
volumen (1) bajo volumen parcial (1) soporte limitado - mas
4
PASO 2 – ORIENTAR
PROCESO ACTIVO DE INFORMACIÓN
5
PASO 2 – ORIENTAR
OBJETIVO DE NEGOCIO REQUERIMIENTO NIVEL DE IMPORTANCIA ALCANCE
6
PASO 2 – ORIENTAR
4 Critico 16
3 Alto 12
2 Medio 8
1 Bajo 4
7
PASO 3 – PERFIL ACTUAL
1 BASICO
2 EN DEFINICIÓN
3 MEDIBLE
4 MONITOREADO
5 OPTIMIZADO
2.2
8
PASO 3 – PERFIL ACTUAL 1
2
3
BASICO
EN DEFINICIÓN
MEDIBLE
NIVEL CRITICIDAD PERFIL ACTUAL 4 MONITOREADO
1. IDENTIFICAR (ID) 2.2 5 OPTIMIZADO
1. Gestión de activos (ID.AM) CRITICO 2
2. Entorno empresarial (ID.BE) BAJO 2
3. Gobernanza (ID.GV) BAJO 2
4. Evaluación de riesgos (ID.RA) ALTO 3
5. Estrategia de gestión de riesgos (ID.RM) ALTO 3
6. Gestión del riesgo de la cadena de suministro (ID.SC) ALTO 1
2. PROTEGER (PR) 2.7
1. Gestión de identidad, autenticación y control de acceso (PR.AC) CRITICO 4
2. Concienciación y capacitación (PR.AT) ALTO 3
3. Seguridad de los datos (PR.DS) ALTO 1 FOCO EN CAPACIDADES
4. Procesos y procedimientos de protección de la información (PR.IP) CRITICO 2
5. Mantenimiento (PR.MA) MEDIO 3 CRITICAS ASOCIADAS A
6. Tecnología de protección (PR.PT)
3. DETECTAR (DE)
CRITICO 3
2.3
NIVEL DE MADUREZ BAJO
1. Anomalías y Eventos (DE.AE) CRITICO 3
2. Monitoreo Continuo de la Seguridad (DE.CM) CRITICO 1
3. Procesos de Detección (DE.DP) CRITICO 3
4. RESPONDER (RS) 1.8
1. Planificación de la Respuesta (RS.RP) CRITICO 3
2. Comunicaciones (RS.CO) CRITICO 1
3. Análisis (RS.AN) CRITICO 2
4. Mitigación (RS.MI) CRITICO 2
5. Mejoras (RS.IM) CRITICO 1
5. RECUPERAR (RC) 2.0
1. Planificación de la recuperación (RC.RP) ALTO 3
2. Mejoras (RC.IM) ALTO 1
3. Comunicaciones (RC.CO) ALTO 2
2.2 9
PASO 3 – PERFIL ACTUAL
10
PASO 3 – ARQUITECTURA ACTUAL
11
PASO 4 – GESTION DE RIESGOS
Impacto Nivel de
Escenario de riesgo P I
Negocio Riesgo
12
PASO 5 – PERFIL OBJETIVO PROPÓSITO
Situación actual VISIÓN: MISIÓN:
Promover la eficiencia y la estabilidad Fortalecer la resiliencia
del sistema financiero a través de sólidas cibernética del sistema
capacidades de seguridad cibernética y financiero canadiense contra
experiencia, colaboración e intercambio un entorno de amenazas en
REQUERIMIENTO de información, y supervisión integral. evolución
13
PASO 5 – PERFIL OBJETIVO
NIVEL CRITICIDAD PERFIL ACTUAL PERFIL OBJETIVO
1. IDENTIFICAR (ID) 2.2 4.3
1. Gestión de activos (ID.AM) CRITICO 2 5
2. Entorno empresarial (ID.BE) BAJO 2 3
3. Gobernanza (ID.GV) BAJO 2 3
4. Evaluación de riesgos (ID.RA) ALTO 3 5
5. Estrategia de gestión de riesgos (ID.RM) ALTO 3 5
6. Gestión del riesgo de la cadena de suministro (ID.SC) CRITICO 1 5
2. PROTEGER (PR) 2.7 3.5
1. Gestión de identidad, autenticación y control de acceso (PR.AC) CRITICO 4 4
2. Concienciación y capacitación (PR.AT) ALTO 3 3
3. Seguridad de los datos (PR.DS) ALTO 1 3
4. Procesos y procedimientos de protección de la información (PR.IP) CRITICO 2 3
5. Mantenimiento (PR.MA) MEDIO 3 3
6. Tecnología de protección (PR.PT) CRITICO 3 5
3. DETECTAR (DE) 2.3 5.0
1. Anomalías y Eventos (DE.AE) CRITICO 3 5
2. Monitoreo Continuo de la Seguridad (DE.CM) CRITICO 1 5
3. Procesos de Detección (DE.DP) CRITICO 3 5
4. RESPONDER (RS) 1.8 4.2
1. Planificación de la Respuesta (RS.RP) CRITICO 3 5
2. Comunicaciones (RS.CO) CRITICO 1 3
3. Análisis (RS.AN) CRITICO 2 5
4. Mitigación (RS.MI) CRITICO 2 5
5. Mejoras (RS.IM) CRITICO 1 3
5. RECUPERAR (RC) 2.0 4.3
1. Planificación de la recuperación (RC.RP) ALTO 3 5
2. Mejoras (RC.IM) ALTO 1 5
3. Comunicaciones (RC.CO) ALTO 2 3
2.2 4.3 14
PASO 5 – PERFIL OBJETIVO
JUSTIFICACIÓN:
• Proceso de gestión de
riesgo
• Nuevo entorno requiere madurez
de gestión de cara a riesgos en
productos digitales.
15
PASO 5 – PERFIL OBJETIVO
OBJ1: REDUCIR LA INCIDENCIA Y LA GRAVEDAD DE LAS INFRACCIONES DE SEGURIDAD CIBERNÉTICA
RESULTADOS CLAVE:
[1] Los Riesgos de ciberseguridad en procesos críticos y terceros son evaluados y gestionados oportunamente.
[2] El gobierno de gestión de riesgos incorpora el perfil de los proveedores y planes de acción son ejecutados oportunamente.
Indicador clave:
[1.1] % Cobertura de proveedores evaluados anualmente en su perfil de ciberriesgo. (Valor actual: 0% | Valor Objetivo: 80%).
[2.1] % de Proveedores clasificados en su perfil de riesgo. (Valor actual: 0% | Valor Objetivo: 100% proveedores.)
16
PASO 5 – ARQUITECTURA TO BE
OBJ1: REDUCIR LA INCIDENCIA Y LA GRAVEDAD DE LAS INFRACCIONES DE SEGURIDAD CIBERNÉTICA
RESULTADOS CLAVE:
[1] Los Riesgos de ciberseguridad en procesos críticos y terceros son evaluados y gestionados oportunamente.
[2] El gobierno de gestión de riesgos incorpora el perfil de los proveedores y planes de acción son ejecutados oportunamente.
Indicador clave:
[1.1] % Cobertura de proveedores evaluados anualmente en su perfil de ciberriesgo. (Valor actual: 0% | Valor Objetivo: 80%).
[2.1] % de Proveedores clasificados en su perfil de riesgo. (Valor actual: 0% | Valor Objetivo: 100% proveedores.)
17
PASO 6 – DEFINIR PRIORIZAR GAPS
NIVEL CRITICIDAD PERFIL ACTUAL PERFIL OBJETIVO GAP
1. IDENTIFICAR (ID) 2.2 4.3 2.2
1. Gestión de activos (ID.AM) CRITICO 2 5 3
2. Entorno empresarial (ID.BE) BAJO 2 3 1
3. Gobernanza (ID.GV) BAJO 2 3 1
4. Evaluación de riesgos (ID.RA) ALTO 3 5 2
5. Estrategia de gestión de riesgos (ID.RM) ALTO 3 5 2
6. Gestión del riesgo de la cadena de suministro (ID.SC) CRITICO 1 5 4
2. PROTEGER (PR) 2.7 3.5 0.8
1. Gestión de identidad, autenticación y control de acceso (PR.AC) CRITICO 4 4 0
2. Concienciación y capacitación (PR.AT) ALTO 3 3 0
3. Seguridad de los datos (PR.DS) ALTO 1 3 2
4. Procesos y procedimientos de protección de la información (PR.IP) CRITICO 2 3 1
5. Mantenimiento (PR.MA) MEDIO 3 3 0
6. Tecnología de protección (PR.PT) CRITICO 3 5 2
3. DETECTAR (DE) 2.3 5.0 2.7
1. Anomalías y Eventos (DE.AE) CRITICO 3 5 2
2. Monitoreo Continuo de la Seguridad (DE.CM) CRITICO 1 5 4
3. Procesos de Detección (DE.DP) CRITICO 3 5 2
4. RESPONDER (RS) 1.8 4.2 2.4
1. Planificación de la Respuesta (RS.RP) CRITICO 3 5 2
2. Comunicaciones (RS.CO) CRITICO 1 3 2
3. Análisis (RS.AN) CRITICO 2 5 3
4. Mitigación (RS.MI) CRITICO 2 5 3
5. Mejoras (RS.IM) CRITICO 1 3 2
5. RECUPERAR (RC) 2.0 4.0 2.0
1. Planificación de la recuperación (RC.RP) ALTO 3 5 2
2. Mejoras (RC.IM) ALTO 1 4 3
3. Comunicaciones (RC.CO) ALTO 2 3 1
RESULTADOS CLAVE:
[1] Los Riesgos de ciberseguridad en procesos críticos y terceros son evaluados y gestionados oportunamente.
[2] El gobierno de gestión de riesgos incorpora el perfil de los proveedores y planes de acción son ejecutados oportunamente.
Indicador clave:
[1.1] % Cobertura de proveedores evaluados anualmente en su perfil de ciberriesgo. (Valor actual: 0% | Valor Objetivo: 80%).
[2.1] % de Proveedores clasificados en su perfil de riesgo. (Valor actual: 0% | Valor Objetivo: 100% proveedores.)
PROYECTOS CLAVE:
[1] IDENTIFICAR: Inventario de activos (1. Gestión de activos (ID.AM)
[2] IDENTIFICAR: Gestión de riesgo de proveedores (Evaluación de riesgos (ID.RA)) Estrategia de gestión de riesgos (ID.RM) Gestión del riesgo de la cadena de suministro (ID.SC)
PASO 6 – DEFINIR PRIORIZAR GAPS
PASO 6 – DEFINIR PRIORIZAR GAPS
PROYECTOS QW Q1-23 Q2-23 Q3-23 Q4-23 Q1-24 Q2-23 Q3-23 Q4-24 Q1-25 Q2-25 Q3-25 Q4-25
IDENTIFICAR
Inventario de activos X
Cuantificación financiera de ciberriesgos X
Gestión de riesgo de proveedores
PROTEGER
Protección de canal e-banking X
Programa de cultura y prácticas de ciberseguridad en personas
Programa de Gestión de Identidades
DETECTAR
Expandir Gestión de vulnerabilidades X
SIEM en la nube
RESPONDER
Automatización de respuesta (SOAR) X
Programa de TableTops
RECUPERAR
DRP Productos digitales X
PASO 7 – IMPLEMENTAR
PROYECTOS QW Q1-23 Q2-23 Q3-23 Q4-23 Q1-24 Q2-23 Q3-23 Q4-24 Q1-25 Q2-25 Q3-25 Q4-25
IDENTIFICAR
Inventario de activos X
Cuantificación financiera de ciberriesgos X
Gestión de riesgo de proveedores
PROTEGER
Protección de canal e-banking X
Programa de cultura y prácticas de ciberseguridad en personas
Programa de Gestión de Identidades
DETECTAR
Expandir Gestión de vulnerabilidades X
SIEM en la nube
RESPONDER
Automatización de respuesta (SOAR) X
Programa de TableTops
RECUPERAR
DRP Productos digitales X
CUADRO DE MANDO
Estrategia de Ciberseguridad