ISMS Copilot
Documentación del SGSI

Gestión de Riesgos y Registro de Riesgos

ISMS Copilot mantiene un registro de riesgos exhaustivo para identificar, evaluar y mitigar los riesgos en todas nuestras operaciones. Nuestro enfoque de gestión de riesgos sigue las mejores prácticas de la industria alineadas con los marcos ISO 27001, SOC 2 y NIST.

Nuestro registro de riesgos se mantiene como código en nuestro repositorio de GitHub, lo que permite el control de versiones, la puntuación automatizada y ciclos de revisión continuos.

Categorías de Riesgos

Organizamos los riesgos en cuatro categorías principales:

  • Riesgos de Seguridad — Amenazas a la confidencialidad, integridad y disponibilidad de los datos, incluyendo controles de acceso, cifrado y seguridad de la infraestructura.

  • Riesgos Operativos — Amenazas a la continuidad del servicio, como dependencias de terceros, fallos de infraestructura y problemas de capacidad.

  • Riesgos de Cumplimiento — Obligaciones regulatorias y legales que incluyen el RGPD, la residencia de datos y las certificaciones de la industria.

  • Riesgos Específicos de IA — Desafíos únicos relacionados con nuestra plataforma de IA, incluyendo la precisión del modelo, la inyección de prompts y la gobernanza de los datos de entrenamiento de la IA.

Metodología de Evaluación de Riesgos

Cada riesgo identificado se evalúa utilizando un enfoque estructurado:

  • Probabilidad — Puntuada del 1 al 5 en función de la probabilidad de ocurrencia.

  • Impacto — Puntuado del 1 al 5 en función de las posibles consecuencias para el negocio y el cliente.

  • Puntuación de Riesgo — Calculada como probabilidad × impacto (escala del 1 al 25).

  • Clasificación de Gravedad — Crítica (20-25), Alta (15-19), Media (10-14), Baja (5-9), Mínima (1-4).

Las puntuaciones de riesgo se calculan automáticamente a partir de nuestras definiciones de riesgo basadas en YAML, lo que reduce los errores manuales y garantiza la consistencia.

Mitigación de Riesgos y Controles

Para cada riesgo, documentamos:

  • Estrategias de mitigación específicas y plazos.

  • Controles técnicos y administrativos implementados.

  • Propietario del riesgo asignado responsable del monitoreo.

  • Fechas de revisión y seguimiento del estado (Abierto, Mitigando, Aceptado, Resuelto).

Nuestro registro de riesgos se integra con nuestra documentación más amplia del SGSI (ISMS), incluyendo la gestión de cambios, respuesta a incidentes y políticas de seguridad para garantizar una cobertura integral.

Revisión y Actualizaciones

Los riesgos se revisan en ciclos programados según su gravedad y los cambios en el panorama de amenazas. Se añaden nuevos riesgos a medida que nuestro producto evoluciona, especialmente para las preocupaciones específicas de la IA propias de nuestra plataforma de automatización de cumplimiento.

Los detalles del registro de riesgos son confidenciales y se mantienen en nuestro repositorio seguro de GitHub con acceso restringido.

¿Te fue útil?