Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

La inversión en procesos de GRC ayuda a impulsar las estrategias de gestión de riesgos

Rich Licato, CISO de la empresa de soluciones tecnológicas Airlines Reporting Corporation, ha llevado los esfuerzos de gobierno, riesgo y cumplimiento relacionados con TI de la empresa a nuevos niveles durante los últimos años.

Implementó software para administrar la disciplina GRC, optando por el conjunto completo de funciones ofrecidas por el proveedor de software Modulo para reemplazar las hojas de cálculo. Y creó un puesto de analista de riesgos dedicado al programa GRC.

Tales inversiones son críticas para mantenerse al día con el negocio digital, expandir las regulaciones de cumplimiento y aumentar el riesgo, dijo Licato.

«Todo lo que hace en torno a GRC tiene que ver con la visibilidad. Le brinda visibilidad de sus operaciones y riesgos y le permite identificar problemas y reaccionar más rápido», dijo.

Organizaciones de todo tipo han recibido el mensaje de que la seguridad de TI es una prioridad. Como resultado, las empresas, las organizaciones sin fines de lucro y las entidades gubernamentales han reforzado sus defensas contra los ataques cibernéticos y las filtraciones de datos.

Pero eso es solo una parte de lo que se necesita. Los líderes organizacionales deben gestionar sus esfuerzos bajo el paraguas de un proceso de gobernanza, riesgo y cumplimiento de TI. Así como el proceso de GRC funciona en otras áreas organizacionales como finanzas y legal, IT GRC reúne los elementos críticos esenciales para comprender los riesgos relacionados con la tecnología de una organización, la tolerancia a esos riesgos y cómo se administran.

«Esta función está destinada a ser más estratégica y con visión de futuro para ayudar a gestionar el riesgo de TI dentro de una empresa», dijo John Wheeler, director de investigación de Gartner.

Una disciplina bien formada se centra en tres dimensiones de la gestión de riesgos: el marco, las métricas y la tecnología para permitir un sólido programa de GRC de TI.

John Wheelerdirector de investigación, Gartner

Las firmas de servicios financieros generalmente tienen las funciones de GRC más establecidas, con la madurez impulsada por la gran cantidad de regulaciones en esa industria, según Wheeler y otros consultores.

Las empresas de otras industrias se encuentran en distintos niveles de madurez del programa GRC, y muchas todavía operan en forma aislada. Los expertos dicen que muchas empresas todavía se enfocan en cumplir con las regulaciones de seguridad de datos o minimizar las vulnerabilidades de seguridad, pero no tienen una comprensión general de cómo encajan las piezas para la tolerancia al riesgo de su organización.

«Una disciplina bien formada se centra en tres dimensiones de la gestión de riesgos: el marco, las métricas y la tecnología para permitir un sólido programa de GRC de TI», dijo Wheeler. «Hay que hacer una inversión en las tres dimensiones y tiene que ser una inversión continua».

Las organizaciones que obtienen valor de su programa GRC han invertido en varios elementos clave, dijo Kennet Westby, presidente y cofundador de la firma de servicios de asesoría y evaluación de ciberseguridad Coalfire.

«Es tener un proceso en marcha y desarrollar una hoja de ruta, y poder validar que cumplen con las leyes y sus propias políticas», dijo Westby. Es el mismo enfoque que adoptan los directorios y los ejecutivos para gestionar otras áreas de riesgo, agregó.

Todas las organizaciones líderes tienen GRC en el radar de la junta y han asignado funciones de propiedad e informes de GRC, dijo. Estas organizaciones también comprenden su perfil de riesgo completo al haber evaluado sus riesgos, los impactos de esos riesgos y su capacidad para administrar esos riesgos. Entienden la correlación entre esos riesgos y su tolerancia a ellos, y utilizan ese conocimiento para dar forma a las inversiones y prioridades en ciberseguridad.

Kelly Bissell, directora general global de Accenture Security, dijo que las organizaciones deben invertir el tiempo necesario para establecer y mantener un marco de GRC. También deben invertir dinero en las aplicaciones diseñadas específicamente para respaldar un proceso GRC robusto al reunir los diversos elementos en una vista para permitir que todas las partes interesadas lo vean en una solución de software.

A medida que las empresas maduran en esta función, también deberían invertir en procesos que agrupen todas sus funciones de gestión de riesgos bajo el paraguas de la función de gobernanza empresarial, riesgo y cumplimiento, dijo Bissell.

El programa GRC demostrará cada vez más su valía a medida que las empresas se embarquen en iniciativas de transformación digital porque permite a las empresas ver los riesgos a medida que surgen, dijo Bissell. Considere, por ejemplo, un departamento que lanza una aplicación móvil para clientes que puede expandir los riesgos existentes o incluso introducir nuevos riesgos para la organización. Un sólido proceso de gestión de riesgos permite a los ejecutivos reaccionar rápidamente a esos riesgos y determinar con precisión qué pasos son necesarios para mitigarlos.

«Si tienen una buena función GRC, pueden adaptarse más fácilmente al cambio», dijo Bissell.

El software de gestión de riesgos varía en costo, según el tamaño y la complejidad de la organización y su perfil de riesgo. Las implementaciones para organizaciones grandes y complejas cuestan millones, pero ejecutan la mayoría de las organizaciones entre $ 100,000 y $ 250,000 en costos iniciales, dijo Wheeler. Las opciones en la nube generalmente cuestan entre 50.000 y 100.000 dólares por suscripción anual, añadió.

Pero las inversiones no son una sola y están hechas, dijeron los expertos. Y más allá del mantenimiento del software, las empresas también deben considerar la dotación de personal a medida que evoluciona su proceso de GRC, dijo Licato.

«[Companies] inicialmente creo que este trabajo puede ser absorbido por la organización sin ningún recurso dedicado, pero el proceso requiere cuidado y alimentación, y una posición del personal asegura que el cuidado y la alimentación del proceso ocurra ”, dijo.

Las organizaciones también necesitan revisar y ajustar sus inversiones, incluidos los recursos de personal, a medida que su negocio evoluciona y a medida que entran en vigor nuevos requisitos de cumplimiento e informes, añadió Licato.

«Todas esas piezas impulsan cuánto debería dedicarme a esto», dijo. «Eso termina impulsando la respuesta de mi presupuesto. No puedo hacerlo de manera casual. No puedo simplemente tratar de absorberlo. Tengo que dedicar mis recursos, ya sea más tiempo o dólares para software».

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )
CONTENIDO RELACIONADO  Noticias de implementación de infraestructura convergente, ayuda e investigación

También te puede interesar...

¿Qué es el tiempo medio de detección (MTTD)?

El tiempo medio para detectar o descubrir (MTTD) es una medida de cuánto tiempo existe un problema en una implementación de TI antes de que las partes apropiadas se den cuenta. MTTD es un indicador

Comprender y aprovechar los proveedores 3PL

¿Qué es un 3PL? Los proveedores de logística de terceros (más comúnmente conocidos como 3PL) son empresas que ofrecen servicios de gestión de logística subcontratados. Básicamente, los proveedores de 3PL se encargarán de la mayoría

DynamicOps lanza VMware al mercado de gestión de la nube

Fuente: Nicolás_T/Flickr El software de administración de la nube DynamicOps permite el control de múltiples hipervisores, infraestructura física y servicios de nube pública. La competencia de CloudStack, OpenStack, Red Hat, Eucalyptus y otros actores del

Decisiones de compra – SearchAWS | Página 9

Descripción general del sistema de gestión de bases de datos relacionales Oracle Database 12c Oracle Database 12c ofrece un rendimiento sólido para cargas de trabajo de misión crítica, con características y funcionalidad para diversas necesidades

Ideas para comercializar su negocio

Con todas las filtraciones de datos ampliamente publicitadas y el malware dirigido, los clientes probablemente estén pidiendo a gritos su ayuda. Entonces, ¿realmente necesita invertir mucho tiempo o recursos en servicios de seguridad de marketing?

Sitios cálidos, templados y fríos

La terminología de recuperación ante desastres (DR) puede ser confusa: términos como sitio activo, sitio tibio y sitio frío son comunes… en la jerga de RD. Cada opción es un sitio confiable de recuperación ante

¿Qué es Trusted Cloud Initiative?

Trusted Cloud Initiative es un programa del grupo de la industria Cloud Security Alliance creado para ayudar a los proveedores de servicios en la nube a desarrollar configuraciones y prácticas recomendadas por la industria, seguras

Premios Impacto en Infraestructura Moderna 2017

Nota del editor El Infraestructura moderna Los premios Impact reconocen los mejores productos, tecnologías y servicios en las áreas esenciales de tecnología que Infraestructura moderna cubiertas. Las herramientas galardonadas ayudan a administrar negocios empresariales con

Epicor CFO asume los desafíos de ERP y el futuro de la nube

Kathy Crusco es vicepresidenta ejecutiva y directora financiera de Epicor Software Corp. Recientemente habló sobre los desafíos de ERP, … así como una variedad de otras cuestiones tecnológicas y financieras con SearchFinancialApplications. Activant Solutions se

Oracle CDP va más allá de los datos de marketing

SAN FRANCISCO – Oracle ha entrado en el mercado de plataformas de datos de clientes, pero algunos observadores se preguntan si la categoría ya se encamina hacia la obsolescencia. Oracle Customer Data Platform (CDP) se

Dentro de la falla 2FA de Facebook

Escuche este podcast El podcast Risk & Repeat de esta semana analiza la controversia más reciente para Facebook, que ha estado utilizando números de autenticación de dos factores con fines publicitarios. Después de negar inicialmente

El impacto de IoT en big data

A medida que avanzamos hacia el futuro, todo en el mundo empresarial se automatiza. Y si cree que Internet ya ha cambiado su negocio, ¡piénselo de nuevo! IoT está a punto de cambiar su negocio

Crear una estrategia que funcione

Amazon Web Services hace un buen trabajo pensando en la seguridad de los datos, tanto dentro de Amazon Simple Storage Service … y las bases de datos que brindan como servicio. Esto incluye los servicios

El alojamiento en la nube híbrida se acelera

La computación en la nube continúa creciendo en las empresas y en las pequeñas y medianas empresas (PYMES), con el 67% de los encuestados diciendo que están utilizando alguna forma de computación en la nube,

Herramientas para la gestión del almacenamiento de mainframe

Cuando escribimos sobre la gestión de recursos de almacenamiento (SRM) en SearchStorageChannel.com y en sitios hermanos como SearchStorage.com … y SearchStorage.co.UK, generalmente escribimos sobre esto en el contexto del entorno de sistemas abiertos, para centros

Configuración de una red lógica

La red es una parte importante de cualquier centro de datos virtual. Red Hat Enterprise Virtualization configura una red de administración automáticamente, pero una red puede no ser suficiente. También es importante agregar al menos

¿Qué es la autenticación de sistema abierto (OSA)?

¿Qué es la autenticación de sistema abierto (OSA)? La autenticación de sistema abierto (OSA) es un proceso mediante el cual una computadora puede obtener acceso a una red inalámbrica que utiliza el protocolo Wired Equivalent

Competir en la vanguardia industrial

Al implementar un sistema de IoT industrial completo, algunos de los desafíos más grandes y más pasados ​​por alto comienzan en el borde. La generación de valor comercial requiere tecnologías bien diseñadas en capas con

El cryptojacking se avecina en medio del boom de bitcoin

Escuche este podcast En el podcast Risk & Repeat de esta semana, los editores de SearchSecurity discuten la creciente amenaza del cryptojacking y cómo los piratas informáticos pueden robar la potencia informática de los usuarios

Deja un comentario