Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

5 pasos para determinar el riesgo residual durante el proceso de evaluación


Los riesgos residuales relacionados con la gobernanza, el riesgo y el cumplimiento son factores de riesgo que quedan después de que una organización aplica …

controles de seguridad para asegurar el cumplimiento de las leyes y regulaciones. Es importante recordar que estos riesgos residuales pueden ser aceptables con respecto a una regulación pero no a otras.

Los riesgos residuales eventualmente podrían volverse más tolerables debido a cambios en los requisitos de datos de cumplimiento y / o metodologías de gestión de riesgos. Por ejemplo, los controles de seguridad para compensar el riesgo pueden volverse más rentables y / o tecnológicamente avanzados a medida que evolucionan las evaluaciones de riesgo, reduciendo así el nivel de amenaza.

Las organizaciones pueden determinar mejor los riesgos residuales después de realizar los siguientes esfuerzos de mitigación de riesgos:

  • identificar los activos de gobernanza, riesgo y cumplimiento (GRC), incluido el nivel de sensibilidad de software, hardware y datos;
  • identificar vulnerabilidades y amenazas;
  • completar el proceso inicial de evaluación de riesgos;
  • identificar los controles de seguridad actuales utilizados para compensar el riesgo;
  • determinar si esos controles de riesgo son preventivos, de detección, correctivos, centrados en la recuperación, directivas o disuasorias; y
  • evaluar las fortalezas y debilidades de cada control de seguridad.

Para completar la evaluación de riesgos, las organizaciones deben emprender pasos de mitigación e informar los resultados, incluido el estado de cualquier instancia de riesgo residual, al liderazgo corporativo y luego revisar los riesgos residuales y actualizarlos en consecuencia.

Aquí hay cinco pasos para manejar los riesgos residuales como parte del proceso de evaluación de riesgos.

Paso 1. Identificar los riesgos residuales

Primero, es importante identificar los riesgos iniciales, ya sea que los haya calificado como débiles, moderados o altos. Una vez completado, puede implementar controles de seguridad.

CONTENIDO RELACIONADO  5 fases del recorrido del cliente para que las empresas las comprendan

Debes considerar los riesgos residuales elevado si los controles de seguridad para los riesgos iniciales son débiles; moderar si los controles de seguridad para los riesgos iniciales altos son adecuados o si los controles de seguridad para los riesgos iniciales bajos son débiles; y bajo si los controles de seguridad para los riesgos iniciales altos, medios o bajos son fuertes o si los controles de seguridad para los riesgos iniciales de calificación media o baja son adecuados.

Paso 2. Identificar los requisitos de GRC relevantes

Debe determinar los requisitos de GRC de su organización al verificar las regulaciones relevantes de la empresa. Algunos ejemplos de requisitos reglamentarios incluyen los de la Ley Sarbanes-Oxley, la Ley Gramm-Leach-Bliley y la HIPAA. Si es relevante, se deben considerar las regulaciones de cumplimiento de privacidad, como el GDPR de la UE y la Ley de Privacidad del Consumidor de California.

Cada una de estas regulaciones, y muchas otras, tiene diferentes requisitos de retención de datos para diferentes tipos de documentos. Las organizaciones deben determinar qué requisitos de datos específicos se les aplican.

Paso 3. Identificar los controles de seguridad

El siguiente paso es identificar los controles de seguridad aplicados y cualquier riesgo residual resultante. Estos controles de riesgo incluyen lo siguiente:

  • Preventivo controles de seguridad, que están diseñados para evitar divulgaciones de información o alteración de información confidencial de GRC. Ejemplos de controles de seguridad preventivos incluyen autenticación biométrica multimodal, servidores agrupados, cifrado, cortafuegos anidados para bloquear redes no autorizadas y políticas para prohibir conexiones de red no autorizadas.
  • detective controles de seguridad, que identifican actividades no autorizadas o no deseadas después de que ha ocurrido un evento. Los ejemplos incluyen sistemas de detección de intrusos, monitoreo de registros automatizado, auditorías del sistema, escáneres de virus y verificadores de integridad de archivos.
  • Correctivo controles de seguridad, que responder y recuperarse de un incidente, así como prevenir sucesos futuros. También limitan el daño adicional de un ataque. Los controles de seguridad correctivos incluyen sistemas de respuesta a incidentes, procedimientos para eliminar un virus del sistema infectado y reglas de firewall actualizadas para bloquear una dirección IP atacante.
  • Centrado en la recuperación controles de seguridad, que devuelven el sistema al modo de producción después de un incidente.
  • Directiva controles de seguridad, que describen las acciones que se deben tomar para proteger la información confidencial. Los ejemplos incluyen políticas, procedimientos y pautas.
  • Disuasorio controles de seguridad, que desalientan las violaciones de seguridad. Un ejemplo es una política que establece que el acceso a los servidores se supervisa en un intento de desalentar el acceso no autorizado.
CONTENIDO RELACIONADO  Después de la autocrítica, Workday mejora la representación negra

Paso 4. Determine cómo manejar los riesgos residuales inaceptables

Una vez que haya revisado los controles de seguridad y determinado sus riesgos residuales, compense estas amenazas considerando las siguientes opciones:

  • reemplazar los controles de seguridad que se han quedado obsoletos o ya no están disponibles;
  • transferir la gestión de riesgos residuales a otras partes, incluidas las agencias de ciberseguro;
  • verificar los cálculos para determinar la probabilidad de que ocurran los riesgos iniciales; y
  • Actualizar la evaluación de riesgos de una organización para reflejar los cambios si las actualizaciones de los controles de seguridad, el hardware y el software son importantes debido a un riesgo residual.

Paso 5. Aplicar cualquier cambio al estado de riesgo residual

Determine la tolerancia al riesgo reuniendo una lista de riesgos residuales que son inaceptables después de haber aplicado controles de seguridad a los riesgos iniciales. Para cada uno de estos riesgos residuales, verifique periódicamente si hay cambios en los controles de seguridad aplicados.

Luego, compare los controles de seguridad alternativos y más baratos de los proveedores actuales y nuevos. Determine el ROI de cada uno y, si es posible, aplique los cambios de control de seguridad con el ROI más alto.

Seguir estos cinco pasos puede ayudarlo a determinar si debe aceptar o rechazar el riesgo residual. Recuerde mantener los ojos abiertos: los controles de seguridad rentables que actualmente no están disponibles pueden estar en el mercado durante su próxima ronda de evaluaciones de riesgos.

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )

También te puede interesar...

Gestionar la diversidad de dispositivos móviles

En un mundo perfecto, toda su fuerza laboral llevaría un dispositivo móvil estándar que podría administrarse fácilmente y … eficazmente a través de una plataforma. Lamentablemente, pocos gerentes de TI disfrutan de este lujo; la

Amazon chatbots empleará redes neuronales para CX

Amazon está probando dos variaciones de chatbots de redes neuronales para su servicio al cliente, específicamente para manejar reembolsos y cancelaciones de pedidos. Un chatbot de Amazon ayuda a los clientes con el autoservicio; el

Cómo poner en funcionamiento la tecnología de PNL

Fue una espera muy larga, anticipando el día en que las computadoras entenderían el habla humana sin un entrenamiento extenso y corrección de errores. Ahora, con Alexa, Siri y Google Home, parece que la espera

El nuevo estándar de seguridad de IoT

Es innegable que Internet de las cosas seguirá creciendo en popularidad en una amplia gama de industrias. Cada vez más aplicaciones comenzarán a implementar redes de sensores inalámbricos como parte de sus productos, servicios u

¿Qué es SaaS vertical (software como servicio)?

Vertical SaaS (Software as a Service) describe un tipo de Software as a Service solución de computación en la nube creada para una industria específica, como la venta minorista, los seguros o la fabricación de

Consejos para comenzar una práctica de canal

Las empresas de canal que buscan construir prácticas de computación cognitiva pueden elegir entre múltiples caminos. La IBM Business Partner Leadership Conference, celebrada este mes en Las Vegas, mostró la variedad de opciones de los

Consejos de carrera para mujeres en tecnología

Fuente: Jan Stafford / Krypton Solid Mientras se esfuerzan por mejorar el desequilibrio de género de los trabajadores de TI, las mujeres en tecnología a menudo tienen que cuidarse a sí mismas. Por lo tanto,

¿Qué es el m-commerce (comercio móvil)?

M-commerce (comercio móvil) es la compra y venta de bienes y servicios a través de dispositivos portátiles inalámbricos como teléfonos inteligentes. y tabletas. Como forma de comercio electrónico, el comercio móvil permite a los usuarios

¿Baterías, recolección de energía o ambos?

Las implementaciones de IoT requieren el uso de sensores de chip de silicio miniaturizados e inteligentes que transmiten datos de forma regular. Alimentar estos dispositivos que a menudo se configuran y se olvidan, a veces

Suprimir valores cero en hojas de trabajo de resumen

Con frecuencia, un libro de trabajo complejo de Microsoft Excel utilizará varias hojas de trabajo que necesitan alimentar un libro de trabajo de resumen … Ocurre un problema cuando la hoja de trabajo original contiene

VMware Project Enzo lleva la gestión de EUC a la nube

Project Enzo de VMware es una plataforma basada en la nube diseñada para que sea más rápido y menos complejo implementar y administrar aplicaciones y escritorios virtuales en dispositivos hiperconvergentes. Project Enzo funciona con VMware

Una introducción a Microsoft App-V y UE-V

¿Qué son UE-V, UPM, UPD, SCS y estados pendientes, y cómo afectan estos conceptos a App-V? La administración de aplicaciones de punto final sigue siendo un desafío importante para los administradores empresariales. La instalación, la

Definición de soluciones de movilidad

Quiero comenzar esta columna con una declaración indignante (¡ya debes estar acostumbrado a eso!), Y es que hay … realmente ya no hay diferencia entre las operaciones móviles y de escritorio en prácticamente cualquier área

Oracle RAC: pasos de reconfiguración del clúster

Pasos de reconfiguración del clúster El proceso de reconfiguración del clúster activa la IMR y un proceso de siete pasos asegura una reconfiguración completa. El servicio de nombres está congelado. El CGS contiene una base

Guía de aprendizaje de API

El modelo para la integración siempre ha sido la API o interfaz de programación de aplicaciones. La API ha pasado recientemente de sus raíces como un documento de referencia de integración de aplicaciones venerable (pero

CPU frente a GPU para cargas de trabajo de IA

Las GPU han atraído mucha atención como el vehículo óptimo para ejecutar cargas de trabajo de IA. La mayor parte de la investigación de vanguardia parece depender de la capacidad de las GPU y los

¿Qué es JUnit? – Definición de Krypton Solid

JUnit es un marco de código abierto diseñado con el propósito de escribir y ejecutar pruebas en el lenguaje de programación Java. JUnit, escrito originalmente por Erich Gamma y Kent Beck, ha sido importante en

¿Qué es FIDO (Fast Identity Online)?

FIDO (Fast ID Online) es un conjunto de especificaciones de seguridad independientes de la tecnología para una autenticación sólida. FIDO es desarrollado por FIDO Alliance, una organización sin fines de lucro que busca estandarizar la

¿Qué es el sistema de archivos virtual (VFS)?

Un sistema de archivos virtual (VFS) es una programación que forma una interfaz entre el kernel de un sistema operativo y un sistema de archivos más concreto. El VFS sirve como una capa de abstracción

¿Qué es Apple OS X Mavericks?

Apple OS X Mavericks es la versión 10.9 del sistema operativo de la computadora OS X. Las nuevas características de OS X Mavericks incluyen compresión de memoria inactiva, soporte mejorado para múltiples pantallas y iCloud

Habilitar Deshabilitar la cuenta de administrador de Win10

De forma predeterminada, Windows 10 incluye una cuenta de administrador incorporada. De hecho, se llama «Administrador». Aquí, explico aquí cómo habilitar deshabilitar la cuenta de administrador de Win10. Básicamente, hay dos formas de proceder: en

Resumen de Re: Invent: Semana 3

La parte 2020 de AWS re: Invent llegó a su fin esta semana, con un énfasis en prepararse para lo inesperado y navegar por las realidades actuales del mundo. El CTO y vicepresidente de Amazon,

Deja un comentario