👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
PCI DSS v3.2.1: 12.2
PCI DSS v4.0: 12.3.1, 12.3.2
¿Para qué me sirve esta actividad? 📚
Esta actividad te sirve para sentar las bases con las que llevarás a cabo la gestión de los riesgos de seguridad en tu empresa, considerando todas las tareas y personas responsables involucradas en el alcance de tu certificación PCI DSS.
¿Qué tengo que hacer? 🚀
Para realizar esta actividad debes documentar y establecer todos los lineamientos y criterios necesarios para aplicar un análisis adecuado y completo de los riesgos de seguridad.
Nuestro template te proporciona una metodología ya estructurada y alineada con el uso de la plataforma Hackmetrix y el cumplimiento normativo, por lo que solo debes leer el documento, comprenderlo y ajustar pequeñas cosas, si lo consideras necesario.
Ahora bien, si te estás preguntando ¿qué voy a encontrar dentro de este template?, a continuación te explicamos más a detalle cada una de las secciones 🤓.
Criterios para la matriz de riesgos
En estas secciones encontrarás los lineamientos y criterios que te permitirán implementar una adecuada identificación, evaluación y tratamiento de los riesgos, todas alineadas al cumplimiento de los requisitos normativos y de seguridad de tu empresa.
Identificación: Al igual que la identificación de activos, aquí se establece cómo debes registrar los riesgos de seguridad y toda la información que necesitas recopilar sobre ellos para realizar un análisis correcto. Te recomendamos usar el módulo de Riesgos de nuestra plataforma para llevar este registro de forma más ágil y eficiente 💪🏼.
Evaluación: Aquí se establece el cómo se evalúan los riesgos. Lo que te proponemos en el template de esta metodología consiste en identificar, por medio de una escala de valores previamente establecida (del 1 al 5) la probabilidad de ocurrencia de los riesgos y el impacto que éstos pueden tener en tus operaciones, activos y/o servicios. La asignación de estos valores te permitirá, por medio de una multiplicación, definir el nivel del riesgo (muy alto, alto, medio, bajo o muy bajo).
A continuación te mostramos cada uno de los valores con su respectiva descripción:
PROBABILIDAD 📈 |
Descripción | Nivel | Valor |
Es casi imposible que el riesgo ocurra. | Muy bajo | 1 |
Es poco posible que el riesgo ocurra. | Bajo | 2 |
Es probable que el riesgo ocurra. | Medio | 3 |
Es muy posible que el riesgo ocurra. | Alto | 4 |
Es casi seguro que el riesgo ocurra. | Muy alto | 5 |
IMPACTO 🔥 |
Descripción | Nivel | Valor |
Las consecuencias de la ocurrencia del riesgo son insignificantes. | Muy bajo | 1 |
Las consecuencias de la ocurrencia del riesgo son mínimas. | Bajo | 2 |
Las consecuencias de la ocurrencia del riesgo son tolerables. | Medio | 3 |
Las consecuencias de la ocurrencia del riesgo son graves. | Alto | 4 |
Las consecuencias de la ocurrencia del riesgo son desastrosas. | Muy alto | 5 |
Con el siguiente mapa de calor puedes observar cómo se calculará el nivel de riesgo con base en los valores asignados de probabilidad e impacto:
💡 Este proceso de evaluación es el que lleva a cabo nuestro módulo de Riesgos y es muy importante tenerlo documentado claramente dentro de la metodología, y sobre todo, muy bien entendido ya que recordemos que la gestión de riesgos tiene un gran peso dentro del cumplimiento normativo y es esencial para lograr la certificación.
Tratamiento: Aquí se establece el qué se hará con esos riesgos, es decir las decisiones y acciones correctivas que se tomarán para reducir la probabilidad y/o el impacto previamente evaluado. La metodología más usada en la industria nos proporciona cuatro posibles decisiones de tratamiento para el riesgo; mitigar, aceptar, eliminar o transferir.
Dentro de nuestro template podrás encontrar el detalle de cada una de estas decisiones, por lo que lo único que debes hacer es leer y comprender la información, e indicar las condiciones que aplicarán a tu empresa para que la aceptación de un riesgo sea válida.
Criterios para el seguimiento y comunicación
En esta última sección debes establecer los criterios de seguimiento y comunicación para mantener el cumplimiento de los requisitos normativos y de seguridad. En nuestro template encontrarás los siguientes lineamientos, que son los mínimos indispensables que debes aplicar:
La revisión periódica, tanto del inventario de activos como de la matriz de riesgos, para asegurar que la información se encuentre actualizada y correcta.
La evaluación de riesgos anual donde debes analizar nuevamente los valores de probabilidad e impacto, los niveles de riesgo asignados y las decisiones de tratamiento para asegurar que se encuentran alineadas a las necesidades de seguridad de la empresa.
La comunicación de los resultados obtenidos de las evaluaciones a la alta dirección y comité de seguridad, y el cómo se realizará dicha comunicación.
Los responsables y encargados de llevar a cabo las actividades previamente mencionadas.
En esta parte puedes agregar otras tareas de seguimiento y comunicación, si lo consideras pertinente, para que se ajusten con el contexto y necesidades de tu empresa.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
La Metodología de Gestión de Riesgos propuesta en nuestro template está alineada con el uso de los módulos de la plataforma Hackmetrix, por lo que te recomendamos usarlos y aprovechar todas las automatizaciones que te brindan ✨.
Antes de comenzar a generar tu inventario de activos o matriz de riesgos, primero documenta esta metodología para que tengas una comprensión completa de todo lo que conlleva la gestión de riesgos.
Define el tratamiento de los riesgos con apoyo del responsable a cargo, el comité de seguridad, y de ser posible con la alta dirección, esto para poder tomar la mejor decisión en cuanto a las tareas a ejecutar para remediar o controlar los riesgos asociados.
¡Recuerda que una buena gestión de riesgos es realmente importante para tu organización!
¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.