Reporte de riesgos cibernéticos

El reporte de riesgos cibernéticos proporciona una visión estructurada de los riesgos de ciberseguridad de una organización, la postura de seguridad actual y las estrategias de mitigación de riesgos. Utilice este reporte para obtener claridad, transparencia e información procesable sobre los riesgos de ciberseguridad y su impacto potencial en los objetivos comerciales.

Este reporte sirve como una herramienta de comunicación estratégica que cierra la brecha entre las operaciones técnicas de ciberseguridad y la toma de decisiones empresariales. Permite a la gerencia tomar decisiones fundamentadas y basadas en el riesgo y alinea las iniciativas de ciberseguridad con los objetivos empresariales generales.

Cree su tablero de mando de análisis utilizando las funciones personalizables de elaboración de informes. Ajuste los elementos visuales y el diseño, y agregue narraciones para los debates de la junta. También puede compartir su tablero de mando con los sitios de Boards, lo que permite compartir y publicar informes sin problemas dentro de la plataforma Diligent One.

Acceso a las plantillas de informes en el Centro de Actividades

Prerrequisito

Las plantillas de informes deben estar desplegadas y habilitadas para usted en su Centro de Actividades. Si necesita ayuda, póngase en contacto con su ejecutivo de cuentas.

Para obtener información sobre cómo acceder y usar la plantilla de informes en el Centro de actividades, consulte .

Conexión de los tableros de mando a los sitios de Boards

Para obtener información sobre cómo conectar los tableros de mando del Centro de Actividades a los sitios de Boards, consulte Diligent One: Conexión de tableros de mando del Centro de actividades con sitios de Boards

Comprender la estructura del tablero de mando

El reporte de riesgos cibernéticos ofrece varias características clave diseñadas para proporcionar información completa sobre los riesgos cibernéticos y facilitar la toma de decisiones basada en datos. La estructura del tablero de mando consta de seis fichas que le permiten elaborar una narrativa y presentar los resultados a su junta directiva. Incluye imágenes y KPI que indican las amenazas cibernéticas actuales y emergentes y las vulnerabilidades, una vista histórica del rendimiento de la ciberseguridad de la organización y las mejoras. Seleccione cada ficha para obtener más información.

Esta ficha presenta una descripción general concisa de los conocimientos críticos de ciberseguridad adaptados para las discusiones de la junta. Puede ver información contextual junto con métricas clave seleccionadas de otras secciones del reporte, lo que garantiza que la junta directiva pueda tomar decisiones fundamentadas con base en una narrativa clara y enfocada.

Efectos visuales disponibles

En esta sección encontrará los siguientes efectos visuales:

Resumen ejecutivo

Utilice esta sección para proporcionar un contexto estratégico, destacar tendencias y detallar los esfuerzos de mitigación de riesgos, para facilitar una rápida toma de decisiones ejecutivas.

Panorama de amenazas

Estas imágenes presentan información sobre el panorama actual de amenazas de ciberseguridad, con un resumen de las amenazas relevantes a las que se enfrenta la organización.

Comparaciones

En esta sección, se destacan las clasificaciones históricas de riesgo de ciberseguridad de plataformas como BitSight, lo que permite comparaciones con los estándares de la industria.

  • Clasificaciones de riesgo de BitSightLas clasificaciones de riesgo de BitSight son puntuaciones numéricas que van de 250 a 900, con base en datos en tiempo real, objetivos y no intrusivos recopilados de fuentes disponibles públicamente. Utilice los gráficos de líneas para ver las clasificaciones históricas de ciberseguridad de la organización. Esta visualización lo ayuda a hacer un seguimiento de la tendencia de la efectividad de la ciberseguridad a lo largo del tiempo.
  • Madurez del marco de seguridad cibernética del NISTEl marco de madurez, desarrollado por el NIST (Instituto Nacional de Estándares y Tecnología), proporciona directrices estructuradas, prácticas recomendadas y estándares para ayudar a la organización a manejar y reducir los riesgos de ciberseguridad. Estos niveles de madurez van desde “Adhoc” hasta “Optimizado”, lo que indica el progreso de las prácticas iniciales no estructuradas a los procesos de ciberseguridad totalmente optimizados e integrados.

Riesgos clave

Obtenga detalles de los riesgos de ciberseguridad más apremiantes, lo que incluye su estado y las acciones necesarias para mitigarlos.

  • ResumenPrepare una descripción general concisa de los riesgos más críticos que se han identificado, sus tendencias y cualquier cambio desde la última revisión.
  • Registro de riesgosDestaque los riesgos críticos que han presentado cambios importantes desde su última revisión. La tabla incluye los riesgos que se consideran críticos en función de la gravedad, los factores de calificación de riesgo y otros criterios acordados. Describe esfuerzos como los planes de remediación, el propietario del riesgo y el cronograma para abordar los riesgos.
  • Riesgo crítico atrasadoEsta representación visual resalta el estado de los riesgos críticos y distingue entre los que se completaron a tiempo y los que se atrasaron.

Incidentes

En esta sección, se resumen la frecuencia y naturaleza de los incidentes de ciberseguridad reportados y se presenta esta información en un formato comprensible.

  • ResumenResuma el número de incidentes críticos reportados en cada trimestre, junto con las acciones tomadas para resolverlos y las acciones pendientes.
  • Incidentes por trimestreEste gráfico ilustra el número de incidentes cibernéticos que se registraron y reportaron en cada trimestre del año.

Iniciativas

Obtenga detalles de las iniciativas de ciberseguridad en curso o propuestas que tienen el objetivo de mejorar la postura de seguridad de su organización.

  • Completadas y resultadosDestaque las iniciativas importantes que se han completado y su impacto.
  • PriorizadasDestaque algunas iniciativas clave o estratégicas que se priorizaron en el siguiente trimestre y su impacto.

Esta pestaña proporciona definiciones y explicaciones de todos los términos clave, KPI y conceptos técnicos incluidos en el reporte de riesgos cibernéticos para una consulta rápida. Le permite tener una comprensión común y accesible del lenguaje complejo o técnico utilizado en otras partes del reporte, lo que permite una comunicación clara y una toma de decisiones más eficaz.

En esta sección, se explicará la siguiente terminología:

  • Administración de la vulnerabilidad: es un proceso proactivo dirigido a identificar, evaluar, mitigar y monitorear vulnerabilidades en los sistemas, las redes y el software de una organización para reducir los riesgos de ciberseguridad.

  • Herramientas de escaneo: se utilizan para identificar vulnerabilidades y evaluar los riesgos de seguridad dentro de la infraestructura de TI de una organización. Estas herramientas ayudan en el monitoreo y análisis continuos de los sistemas para detectar debilidades de seguridad que los atacantes podrían aprovechar.

  • Pruebas de penetración: identifican vulnerabilidades, debilidades y brechas de seguridad en la infraestructura de TI de una organización y ayudan a evaluar las defensas de seguridad, determinar posibles vectores de ataque y ayudar a las organizaciones a mitigar los riesgos antes de que los atacantes reales puedan aprovecharlos.

  • SIEM (Software de administración de eventos e incidentes de seguridad): consolida la información y los eventos de seguridad de una organización en tiempo real. Desempeña un papel vital en la identificación y administración de los incidentes de seguridad y la respuesta ante ellos porque proporciona una visión completa de la postura de seguridad de una organización.

  • Administración de incidentes: es un proceso estructurado para minimizar el impacto de los incidentes de seguridad, restaurar rápidamente las operaciones normales y evitar que ocurran en el futuro.

  • Marco de Ciberseguridad CSF del NIST: es un marco de trabajo que proporciona directrices estructuradas, prácticas recomendadas y estándares para identificar y detectar amenazas cibernéticas y brindar protección, respuesta y recuperación ante ellas.

Esta pestaña lo ayuda a hacer un seguimiento del estado de las auditorías en todos los productos o servicios, haciendo referencia a marcos comunes como SOC 2 (Controles de Sistema y Organización 2) y la HIPAA (Ley de Portabilidad y Responsabilidad de Seguros Médicos). Obtenga un resumen de los resultados de las auditoría recientes, identifique áreas de incumplimiento y vea qué productos o dominios han aprobado su verificación.

Efectos visuales disponibles

En esta sección encontrará los siguientes efectos visuales:

Cumplimiento/auditoría

Utilice esta sección para registrar el estado de sus reportes de auditoría por producto o servicio.

Estado del reporte de auditoría (por producto/servicio)Este gráfico ilustra el estado de las auditorías realizadas en diversos productos o servicios. Muestra qué producto o servicio ha sido auditado, los diversos marcos de auditoría utilizados, como SOC2 y la HIPAA, y el estado de estas auditorías.

Capacitación en seguridad

Utilice esta sección para realizar un seguimiento de sus análisis de capacitación en seguridad y preparar su reporte de finalización de campaña de concientización sobre seguridad.

Finalización de la campaña de concientización sobre seguridad: este gráfico muestra la finalización de los programas de concienciación sobre seguridad e indican el porcentaje de empleados o contratistas que han completado la capacitación obligatoria o voluntaria en ciberseguridad.

Pruebas de penetración

Utilice esta sección para resumir los problemas identificados pendientes por gravedad y el tiempo medio para remediar los problemas de alto riesgo.

  • Problemas identificados pendientes por gravedad: este gráfico muestra la intensidad de los problemas pendientes identificados durante las auditorías o comprobaciones de cumplimiento. La gravedad se mide como crítica, alta, media o baja. Esto ayuda a entender la proporción de los problemas según su gravedad.

  • Tiempo medio para remediar los problemas de alto riesgo: esta medida registra el tiempo promedio que se tarda en solucionar los problemas de alto riesgo identificados durante las auditorías, y proporciona información sobre la eficiencia de la respuesta de su organización a las vulnerabilidades críticas.

Esta pestaña demuestra la solidez del plan de respuesta a incidentes de la organización. Está respaldado por datos cuantitativos y enfatiza la detección, el diagnóstico, la remediación y la prevención de incidentes.

Efectos visuales disponibles

En esta sección encontrará los siguientes efectos visuales:

Administración de incidentes

Utilice esta sección para identificar, resaltar y explicar los períodos con aumentos o disminuciones significativos y poco característicos en los incidentes de ciberseguridad de la organización. Puede incluir comentarios y datos capturados del sistema de administración de incidentes de la organización.

Tendencia trimestral de los incidentesObtenga una medida de alto nivel de generación de alertas o del número de incidentes registrados durante un período específico, ya sea mensual, trimestral o semestral. Los riesgos en este gráfico se categorizan en función de su nivel de gravedad en una escala de crítico, alto, medio y bajo.

Identificación de incidentes

Utilice esta sección para preparar una medida de alto nivel de generación de alertas o del número de incidentes registrados durante un período específico, ya sea mensual, trimestral o semestral.

Tendencia trimestral de los incidentesEn este gráfico, se categorizan los incidentes en función de las fuentes de donde se recogieron. La información representada en este gráfico proviene de las siguientes fuentes:

  • Auditoría: se refiere a incidentes identificados durante las auditorías de seguridad.

  • Monitoreo continuo: son incidentes identificados a través de sistemas automatizados que monitorean continuamente la red y los sistemas de la organización para detectar anomalías o infracciones de seguridad.

  • Reportados por los clientes: son incidentes que los clientes reportaron. Esto podría incluir comentarios o quejas de clientes que han tenido problemas que pueden indicar un incidente de seguridad.

  • Reportados por los empleados: son incidentes reportados por los empleados. Los empleados pueden notar actividades sospechosas o posibles infracciones de seguridad y reportarlas al equipo de TI o de seguridad.

Divulgación de incidentes

Utilice esta sección para reportar y analizar incidentes de ciberseguridad que se consideran importantes en función de factores cuantitativos y cualitativos.

Divulgación de 8K se refiere a un reporte exigido por la SEC (Comisión de Bolsa y Valores) de EE. UU. Todas las empresas que cotizan en bolsa deben presentar este reporte para declarar eventos importantes que podrían afectar a los accionistas o inversores. El propósito de la divulgación de 8K es garantizar la transparencia y la generación oportuna de reportes de eventos corporativos importantes, incluidos los incidentes de ciberseguridad que se consideran importantes.

  • Última actualización muestra la fecha más reciente en la que se actualizó el reporte de divulgación de una empresa.

  • Fecha de divulgación muestra la fecha en la que se presentó el reporte de divulgación de una empresa.

  • Empresa muestra el nombre de la empresa que presentó el reporte de divulgación.

Esta ficha se centra en el proceso proactivo de identificación, evaluación, mitigación y monitoreo de vulnerabilidades dentro de los sistemas, redes y software de la organización.

Efectos visuales disponibles

En esta sección encontrará los siguientes efectos visuales:

Administración de la vulnerabilidad

Describa las vulnerabilidades actuales dentro de la organización, destacando los activos de alto riesgo y las vulnerabilidades críticas que requieren atención inmediata.

Vulnerabilidades de producciónUtilice el gráfico para obtener una visualización de los datos históricos que muestra la proporción de vulnerabilidades abiertas frente a las remediadas para evaluar la asignación de recursos hacia la remediación. La línea roja representa las vulnerabilidades abiertas y la línea gris representa las vulnerabilidades remediadas.

Capacidad de respuesta a las vulnerabilidades

Evalúe la rapidez y eficacia con que la organización responde a las vulnerabilidades identificadas.

Vulnerabilidades de producción abiertasEste gráfico proporciona una visualización de la capacidad de respuesta de la organización ante los resultados de las vulnerabilidades reportadas. El gráfico incluye medidas como el tiempo medio hasta la acción o el tiempo medio hasta la remediación, medido en función de un SLA definido en su Política de administración de vulnerabilidades, para demostrar su capacidad de respuesta.

SLA de remediación

Proporcione actualizaciones sobre los SLA, que son acuerdos formalizados que definen las responsabilidades y los plazos previstos para abordar y resolver las vulnerabilidades identificadas.

Vulnerabilidades de infraestructura altas y críticas: cumplimiento de SLAEste gráfico ilustra la proporción de vulnerabilidades remediadas en el plazo requerido, en función de la gravedad del riesgo.

Utilice esta sección para centrarse en evaluar y gestionar los riesgos que plantean sus proveedores y los sistemas de información de terceros. En esta sección, se evalúa el progreso de la organización en la identificación de estos riesgos y las medidas adoptadas para manejarlos.

Efectos visuales disponibles

En esta sección encontrará los siguientes efectos visuales:

Clasificación de terceros y vendedores

Categorice a los proveedores en función de la importancia de los servicios que brindan, como riesgo crítico, alto, medio o bajo. Esta clasificación ayuda a priorizar los esfuerzos en la administración de relaciones más riesgosas.

Vendedores por clasificaciónUtilice esta representación visual para categorizar a los proveedores en función del nivel de riesgo que representan para la organización. Este gráfico clasifica a los proveedores en categorías como riesgo crítico, alto, medio y bajo.

Evaluaciones de riesgo de terceros y proveedores

Identifique el riesgo asociado con proveedores externos mediante la inclusión de métricas como el número y el porcentaje de proveedores dentro de los SLA de evaluación de riesgos.

Proveedores dentro del SLA de evaluación de riesgosUtilice este gráfico para identificar si las evaluaciones de riesgo para proveedores externos se están llevando a cabo dentro de los plazos acordados del SLA (Acuerdo de Nivel de Servicio). El SLA determina la frecuencia y los plazos para llevar a cabo evaluaciones de riesgo, particularmente para los proveedores identificados como de riesgo alto o crítico.