Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

Aprender a gestionar los controles internos basados ​​en riesgos debe ser una prioridad

Sin controles internos, que proporcionan estructura y funcionalidad, la mayoría de las empresas no pueden operar con éxito. Según ISACA, los controles internos generalmente se componen de políticas, procedimientos, prácticas y estructuras organizacionales que se implementan para reducir los riesgos de una organización. Las auditorías basadas en riesgos se realizan normalmente para probar y validar si una organización se está desempeñando de acuerdo con sus controles.

Se pueden definir varios tipos de controles, todos los cuales están vinculados a un riesgo, amenaza o vulnerabilidad que enfrenta la organización. Incluyen preventivo (para identificar y prevenir una situación antes de que ocurra), detective (para determinar la naturaleza del evento) y correctivo (para mitigar el impacto de un incidente y remediar la situación). La siguiente tabla proporciona ejemplos de situaciones basadas en riesgos que pueden abordarse mediante uno o más tipos de control:


Tipo de control

Control basado en riesgos

Riesgo / amenaza abordado
Preventivo

Lleve a cabo verificaciones de antecedentes para los posibles empleados.

Contratar a una persona no calificada o potencialmente peligrosa.

Instale controles de acceso en las entradas de los edificios y en habitaciones específicas.

Evite que personas no autorizadas ingresen a áreas específicas.

Cierre la sesión de la documentación antes de usarla.

Evitar el robo, reproducción o destrucción de información crítica.

detective

Instale un sistema de detección de intrusos.

Identifique códigos potencialmente dañinos o maliciosos, por ejemplo, gusanos.

Escanee los informes de cuentas vencidas.

Identifique las cuentas morosas para minimizar la pérdida de ingresos.

Analizar las funciones de auditoría interna.

Identifique los problemas relacionados con el proceso para minimizar los costosos errores.

Correctivo

Utilice procesos de gestión de cambios.

Asegúrese de que los cambios realizados en los sistemas funcionen correctamente.

Coloque guardias de seguridad en áreas de alto riesgo.

Minimice la amenaza de acceso no autorizado a áreas críticas.

Promulgar procedimientos de respaldo de datos.

Minimice la amenaza de pérdida de datos almacenando datos críticos en sitios alternativos.

Fuente: Manual de revisión CISA de ISACA, 2009

La implementación de controles basados ​​en riesgos es especialmente importante en entornos de TI. La siguiente lista de la Guía del Manual CISA 2009 de ISACA es una muestra de controles de TI:

  • Garantizar la integridad de los sistemas operativos y sus entornos.
  • Garantice la integridad de las aplicaciones y sus entornos.
  • Garantice la validación y autenticación de los usuarios de recursos de TI.
  • Garantice la disponibilidad de recursos de TI cuando sea necesario.
  • Garantice la protección de las infraestructuras de TI con planes de gestión de incidentes y recuperación ante desastres.

Gestionar controles internos

La mayoría de las organizaciones establecen políticas para gobernar sus funciones más básicas y definir cómo lograrán sus objetivos corporativos. Una vez establecidas y aprobadas, la gestión de las políticas incluye documentarlas y difundirlas en toda la organización para que todos los empleados sepan qué se espera de ellas. Las políticas necesitan ser revisadas periódicamente, por ejemplo, auditadas y posiblemente actualizadas para que estén continuamente alineadas con los objetivos de la firma.

Los procedimientos son los pasos de acción que realiza una empresa para lograr sus objetivos. Estos pueden variar desde cómo los recepcionistas responden el teléfono hasta los pasos necesarios para fabricar un componente. La documentación de los procedimientos asegura que no habrá malentendidos sobre lo que se espera. Al igual que con las políticas, se esperan revisiones y actualizaciones periódicas de los procedimientos en una organización viable para que pueda mantener su postura competitiva.

Las prácticas son descripciones amplias de cómo se deben realizar las actividades. A menudo son el precursor de los procedimientos y pueden basarse en información, reglamentos y normas de la competencia. Al igual que con los procedimientos, las prácticas deben documentarse, difundirse y revisarse periódicamente para mantener la coherencia con los objetivos comerciales.

Sin una estructura organizativa, la mayoría de las empresas no pueden operar. Estas estructuras proporcionan vínculos a través de varios elementos de la organización, como administración, recursos humanos, legal, operaciones, seguridad, ventas y marketing, lo que ayuda a formar una entidad cohesiva. Las empresas pueden estar organizadas jerárquicamente, planas o como algo intermedio. Las revisiones y análisis regulares de las estructuras pueden ayudar a garantizar que sean óptimas para lograr los objetivos corporativos.

El cumplimiento de estándares, regulaciones y otras pautas establecidas es otro ejemplo de control basado en riesgos. Anteriormente, sugerí que las empresas apunten al cumplimiento para:

  • Demostrar que la empresa se gestiona de forma eficaz y de acuerdo con las mejores prácticas y los estándares y regulaciones establecidos.
  • Asegúrese de que la empresa mejore y perfeccione continuamente sus operaciones comerciales, como el desempeño, el compromiso y la motivación del personal.
  • Mejore el rendimiento general, elimine las incertidumbres y amplíe las oportunidades del mercado.
  • Demuestre a los clientes que se puede confiar en que la empresa cumplirá sus promesas.
  • Reducir la probabilidad de posibles auditorías internas y externas de clientes clave, proveedores y otras partes interesadas.
  • Satisfaga los requisitos de los principales clientes que necesitan evidencia de un desempeño competente.

Podemos tomar los requisitos anteriores y considerar cada uno de ellos controles para dejar en claro que la gestión de controles basados ​​en riesgos es una parte esencial de una organización bien gestionada.

Directrices para una gestión de control eficaz

Los siguientes pasos pueden ayudarlo a administrar adecuadamente sus controles internos basados ​​en riesgos:

Comprenda el negocio. Una vez que conoce los objetivos comerciales de la administración, es más fácil identificar los controles necesarios para lograrlos.

Comprenda los riesgos. Como cualquier organización, su empresa se encuentra constantemente en algún nivel de riesgo. Lleve a cabo evaluaciones de riesgo periódicas para identificar y validar las amenazas externas, así como las vulnerabilidades existentes dentro de la empresa.

Desarrollar y documentar controles basados ​​en riesgos. Dependiendo de cómo se desarrollen las discusiones con la alta gerencia y la gerencia de la unidad de negocios, desarrolle, documente, pruebe e implemente controles según sea necesario. Asegúrese de documentar los controles para posibles auditorías basadas en riesgos y requisitos legales.

Evaluar / auditar regularmente los controles. ¿Cómo sabe una empresa que sus controles son efectivos? Las auditorías de primera, segunda y tercera parte pueden identificar variaciones con los controles y sugerir soluciones, y deben programarse anualmente. Los cambios recomendados deben implementarse, validarse y documentarse lo antes posible.

La mayoría de los controles internos se basan en algún nivel de riesgo, por lo que las organizaciones deberían hacer de la gestión de estos controles basados ​​en el riesgo una actividad empresarial crítica. Demostrar un compromiso con la gestión de control refuerza el compromiso de una empresa con la gestión de una empresa exitosa. Esto es algo que los clientes, así como las partes interesadas, apreciarán.

Paul F. Kirvan, FBCI, CBCP, CISSP, tiene más de 20 años de experiencia en la gestión de la continuidad empresarial como consultor, autor y educador. También es secretario del Capítulo de Estados Unidos del Business Continuity Institute. Háganos saber lo que piensa sobre la historia; Email [email protected]. Seguir @ITCompliance para obtener noticias sobre cumplimiento durante la semana.

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )
CONTENIDO RELACIONADO  ¿Qué es un dispositivo de almacenamiento externo?

También te puede interesar...

Términos del RGPD de la UE que debe conocer

El Reglamento general de protección de datos, comúnmente conocido como GDPR, es una legislación de privacidad que estandariza las leyes de privacidad de datos en la Unión Europea y tiene como objetivo brindar a las

WUMT funciona con UUP – Windows Enterprise Desktop

El 8 de diciembre, Microsoft lanzó su primera versión importante de Windows 10 utilizando la nueva Plataforma de actualización unificada. Hasta ahora, muchos usuarios, incluido el tuyo de verdad, experimentan la descarga suspendida con un

Cuestionario 201 de virtualización y gestión del aula

Este cuestionario le permite poner a prueba sus conocimientos sobre virtualización de servidores y cubre las plataformas de virtualización, las herramientas de gestión y el rendimiento de la infraestructura de virtualización. ¡Haz clic para puntuar

¿Qué es el archivo independiente del proveedor (VNA)?

Un archivo neutral del proveedor (VNA) es una tecnología que almacena imágenes médicas en un formato e interfaz estándar, haciéndolas accesibles a los profesionales de la salud, independientemente del sistema propietario que las haya creado.

PowerShell Core 6.1 ofrece muchas pequeñas mejoras

PowerShell Core 6.1 no tiene las funciones que acaparan los titulares de PowerShell Core 6.0, pero muchas de sus nuevas funciones, aunque más pequeñas, hacen que valga la pena actualizarla. El lanzamiento de enero de

Las razones para usar (o no usar) sidecars en Kubernetes

Kubernetes introdujo contenedores sidecar para resolver un desafío fundamental: cuando implementa una aplicación a través de Kubernetes, puede ser difícil integrar directamente esa aplicación con las diversas herramientas de monitoreo externo, sistemas de registro y

¿Qué es la comunicación de campo cercano (NFC)?

Near Field Communication (NFC) es un estándar de conectividad inalámbrica de corto alcance (Ecma-340, ISO / IEC 18092) que utiliza la inducción de campo magnético para permitir la comunicación entre dispositivos cuando se tocan entre

¿Qué es el análisis de causa raíz?

El análisis de la causa raíz es una forma de determinar cómo ocurrió un evento problemático al examinar por qué, cómo y cuándo ocurrieron los factores casuales después del hecho. Cuando un sistema se rompe

Cambiar a UEFI Boot aumenta la estabilidad

El día bisiesto (29/2) hice el cambio de mi PC de escritorio de producción anterior a un reemplazo recién construido. Durante los primeros 10 días, más o menos, luché con la construcción que había creado.

¿Qué es el localizador de registros de pacientes?

Un localizador de registros de pacientes es un servicio informático que permite a los médicos y enfermeras obtener los registros de salud electrónicos de un paciente, incluidos los registros médicos electrónicos, los registros médicos ambulatorios

¿Qué es el contenido para picar?

El contenido que se puede comer es contenido de un sitio web que está diseñado para que los lectores puedan consumirlo y compartirlo fácilmente. Las empresas con sitios web orientados al cliente a menudo necesitan

8 casos de uso de IA emergentes en la empresa

A medida que las empresas avanzan a partir de los cambios comerciales radicales que les impuso la pandemia COVID-19, los casos de uso de la IA empresarial están evolucionando: mientras que muchos de los casos

Cómo guardar una instantánea de Amazon EBS en S3

Guardar volúmenes de Elastic Block Store en S3 es simple y económico y puede preservar datos críticos. Pero hacer una copia de seguridad de los datos es fundamental para evitar un desastre. Tomar instantáneas frecuentes

Por qué los profesionales geoespaciales necesitan la nube

A diferencia de algunas aplicaciones tradicionales de IoT, que suelen tener puntos finales equipados con sensores como fuente principal de recopilación de datos, la tecnología geoespacial aprovecha las redes de ubicación GPS / GNSS para

Socios comerciales – SearchCloudComputing

SearchCloudComputing.com es solo un portal específico de TI en la red de Krypton Solid. Millones de profesionales de TI confían en nuestros sitios para resolver problemas, obtener las últimas noticias o investigaciones y comprar productos.

¿Qué es Azure Bot Service?

Azure Bot Service es el chatbot de inteligencia artificial (AI) de Microsoft que se ofrece como un servicio en el mercado de servicios en la nube de Azure. Azure Bot Service ofrece la capacidad de

La nube pronto obstaculizará el IoT

Las plataformas y sistemas de IoT actuales se crean o mejoran para ser nativos de la nube. La nube aporta ventajas en velocidad de comercialización, escalabilidad, innovación creativa y experimentación, que son ventajas empresariales a

Algunas formas de configurar Linux firewalld

Inicialmente, firewalld parece difícil de usar, pero en realidad no lo es. Los servicios y las zonas facilitan la unión de las piezas y la configuración de los firewalls de Linux. Aunque también funciona con

Deja un comentario