Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

La jerga de GRC empresarial que está abandonando en 2015

A pesar de un año difícil lleno de ciberamenazas y violaciones de datos en abundancia, muchas organizaciones aún compran gran parte de los conceptos erróneos de gobernanza empresarial, riesgo y cumplimiento (GRC) y seguridad que flotan en el éter. Para empezar, existe el mito de que mientras tengamos antimalware y firewalls estacionados en nuestro perímetro, nuestros datos estarán seguros. ¿O qué tal otro mito bien difundido: la promesa de un proveedor de una fantástica solución GRC que resolverá todos sus problemas de seguridad de una sola vez?

Y aunque muchas empresas aún no han sido violadas con éxito, los participantes de Twitter #GRCChat de SearchCompliance coincidieron en que la creencia equivocada en falsas promesas y jerga es peligrosa en medio del creciente número de riesgos de seguridad cada vez más sofisticados. Estas amenazas incluyen TI en la sombra, amenazas persistentes avanzadas, herramientas de seguridad obsoletas y los errores humanos que desempeñaron un papel en tantas infracciones bien publicitadas, incluidas Target y Home Depot.

La avalancha de filtraciones de datos que asoló a las empresas en 2014 fue reciente en el editor gerente senior de SearchCompliance Rachel Lebeauxpiensa cuando sugirió el término empresarial GRC que desea jubilar este año:

Una de las razones por las que la noción tradicional de un «perímetro seguro» se está erosionando es porque traen su propio dispositivo, como resultado de la necesidad de los clientes internos y externos de acceder a los datos de forma segura en cualquier momento, en cualquier lugar y en cualquier dispositivo. Es por eso que Nathan McBride, vicepresidente de TI de AMAG Pharmaceuticals Inc., tuvo que cambiar ese perímetro en su organización. «Eliminamos la seguridad alrededor del perímetro corporativo y erigimos perímetros alrededor de cada empleado. Y lo más importante, erigimos perímetros alrededor de los datos en sí», dijo.

CONTENIDO RELACIONADO  Las plataformas IIoT optimizan el análisis de datos industriales

¿Otra razón? Las organizaciones están empezando a darse cuenta de que dependen demasiado de herramientas como firewalls perimetrales y antivirus, y que es hora de nuevas tecnologías y capas adicionales de protección. «A pesar de que estas tecnologías no brindan una protección adecuada y avanzada contra amenazas persistentes, las empresas han tardado en adaptarse al entorno cambiante de riesgos de seguridad de la información», escribió el experto en SearchSecurity Nick Lewis.

Lebeaux también criticó un término usado en exceso que transmite la idea de que existe una herramienta de seguridad única para todos:

Seguidor Mark Underwood estuvo de acuerdo, señalando la reciente violación de datos de Home Depot como un ejemplo de una empresa que confía demasiado en una tecnología de seguridad, en este caso, el software de detección de malware de FireEye. A pesar de tener una herramienta capaz, Home Depot no respondió a sus alertas, lo que hizo que la inversión de la compañía en la tecnología fuera discutible.

Un gran error que cometen las empresas al comprar herramientas GRC es que a menudo son incompatibles con los requisitos únicos de su infraestructura y cultura corporativa, dijo Norman Marks, autor y ex director ejecutivo de auditoría. «Si necesita mejorar la gestión de auditoría, aborde eso. Si tiene una variedad de necesidades, enumere y priorícelas, luego obtenga la mejor solución general», dijo.

Seguidor Forvalaka, por otro lado, no tenía ningún término de GRC que quisiera jubilarse, y por una buena razón:

Para un marco GRC holístico y sin fisuras, las organizaciones deben centrarse en construir una arquitectura que demuestre que cumplen, según el consultor John Weathington. ¿Cómo debería funcionar un sistema así? «Los objetivos estratégicos de la empresa generarán un proceso de gobernanza para asegurarse de que se cumplan los objetivos. Estos objetivos están sujetos a riesgos, o eventos inciertos, que pueden descarrilar los objetivos. Para mitigar el riesgo, se construyen reglas y, posteriormente, se controlan poner en marcha para asegurarse de que se sigan las reglas «, subrayó.

En el otro lado de la moneda, Forvalaka cree que las empresas deben aferrarse a términos que enfaticen cuán crítico es GRC para los procesos comerciales y el resultado final:

De hecho, los obstáculos legales, éticos y financieros con los que deben lidiar las empresas de hoy han hecho de la seguridad de la información un ingrediente clave hacia arriba y hacia abajo en la escala corporativa. «Necesitamos tomar la seguridad e integrarla en el desarrollo, integrar la seguridad en nuestra gestión de proyectos, en nuestros procesos comerciales, en nuestras relaciones con los proveedores», explicó Kevin Johnson, director ejecutivo de Secure Ideas LLC. No es de extrañar que la necesidad de profesionales de seguridad y GRC que dominen un idioma que transmita esta realidad haya aumentado en el último año.

La gestión de big data está desempeñando un papel más importante en los procesos de GRC, y las ventajas de los programas de cumplimiento se están expandiendo más allá de la mera auditoría o litigio, según Derek Gascon, director ejecutivo del Consejo de Cumplimiento, Gobernanza y Supervisión. «En el futuro, estamos empezando a ver que las organizaciones se dan cuenta de que los programas de gobernanza son en realidad un comienzo para aprovechar los datos que tienen», dijo. Esa es una de las razones por las que, como señala Underwood a continuación, la narración debe entrar en juego cuando se transmite el valor de GRC:

La forma de presentar con éxito las ventajas de procesos de GRC más sólidos a los ejecutivos es similar a cómo lo hacen los analistas de inteligencia empresarial: comience con datos cualitativos, luego siga con cifras cuantitativas, explicó Tony Bodoh en la Cumbre Ejecutiva de TDWI 2014 en Boston. «La emoción se dispara medio segundo antes de que la lógica pueda actuar; la lógica sigue a la emoción», dijo.

Y finalmente, para algo alegre y no relacionado con GRC, un término que en realidad tiene orígenes irónicos:

Tu turno: ¿Qué términos de seguridad, GRC y TI empresarial eres tú? fervientemente evitando este año? (Sí, también fuimos allí). Díganos en la sección de comentarios a continuación.

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )

También te puede interesar...

Noticias, tendencias y análisis de HIMSS 2019

Nota del editor La conferencia HIMSS 2019 llega en un momento de transición dentro de la industria de la salud. El gobierno federal continúa impulsando la idea de que los pacientes deben tener un acceso

Cómo descifrar una contraseña

Dado que la seguridad y el cumplimiento son prioridades importantes para la mayoría de las organizaciones, puede parecerme irresponsable escribir sobre los puntos más finos del descifrado de contraseñas. Sin embargo, existen circunstancias en las

¿Puede un DBA de Oracle entrar en SAP Basis?

Actualmente estoy trabajando como un DBA de SQL Server / Oracle con cinco años de experiencia en este dominio, trabajando para una base de datos … consultoría. Quiero cambiarme al dominio de SAP. Sin embargo,

Qué está cubierto y qué no

Los datos rastreados y recopilados por la tecnología de salud portátil que muchas personas piensan que deberían estar cubiertos por HIPAA pueden, de hecho, no estarlo. «Las cosas que usted cree que son datos de

El botón de Inicio de Windows que falta

Como habrá escuchado, Windows Server 2012 no tiene un botón de Inicio de Windows. Cuando inicia sesión en Windows Server 2012, el sistema operativo lo coloca inicialmente en el modo de escritorio, que se parece

Kaleao rediseña la HCI basada en ARM para empresas

Kaleao se topó con un obstáculo al intentar convencer que sus sistemas hiperconvergentes basados ​​en ARM encajan bien con las empresas tradicionales. Si bien sus características y servicios pueden adaptarse a las empresas, la caja

Más aplicaciones asesinas para IoT industrial

La aplicación asesina es un concepto poderoso. Es el vehículo para impulsar la adopción de cualquier tecnología nueva, y el IoT, especialmente el IoT industrial, necesita ese catalizador. En muchos sentidos, arroja luz sobre las

Explore los servicios de edge computing en la nube

Con la informática de punta, las organizaciones pueden lograr el rendimiento más rápido posible sin costos elevados de transferencia de datos ni riesgos de seguridad. Amazon Web Services, Microsoft Azure y Google Cloud ofrecen servicios

¿Qué funciones ofrece SAP Flexible Real Estate Management?

(RE-FX). Los escenarios de negocios inmobiliarios pueden incluir la compra, venta, arrendamiento o alquiler de terrenos o edificios. SAP Flexible Real Estate Management, un componente disponible en ERP Central Component (SAP ECC), está destinado a

¿Cuáles son los componentes centrales de SAP IBP?

Maksim Samasiuk – Fotolia SAP Integrated Business Planning, o SAP IBP, es la gestión de la cadena de suministro basada en la nube, de extremo a extremo, impulsada por HANA … software y plataforma destinados

¿Cómo puedo evitar errores comunes de virtualización?

Cuando se implementa correctamente, la virtualización de servidores puede generar una serie de beneficios. Puede reducir los costos de hardware, mejorar la disponibilidad para las cargas de trabajo de misión crítica y permitirle aumentar o

Deja un comentario