Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

Seis pasos para construir un programa eficaz de gestión de riesgos empresariales

Como muchas organizaciones que manejan grandes volúmenes de transacciones financieras, Airlines Reporting Corporation (ARC) debe cumplir con los requisitos de cumplimiento del Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) para mejorar los controles de protección de datos de los titulares de tarjetas y reducir el fraude con tarjetas de crédito.

Estas actividades de cumplimiento de PCI DSS son necesarias, pero arrojan poca información sobre la realidad del riesgo y cómo impacta el negocio en general. Por ejemplo, las auditorías de PCI DSS brindan un vistazo a las prácticas de seguridad de las tarjetas de crédito, pero la atención se centra solo en una parte del programa de seguridad y protección de datos de ARC.

Además, las evaluaciones de certificación PCI son solo eventos anuales y no ofrecen visibilidad del entorno de control continuo y la postura de seguridad de la organización. El seguimiento y la medición del desempeño de forma regular requiere un esfuerzo constante para reunir la documentación para ejecutivos y auditores, especialmente cuando el proceso se maneja manualmente con hojas de cálculo y SharePoint.

Una de las mejores formas en que un CISO puede comenzar a cambiar la conversación es comenzar poco a poco y expandirse aprovechando los marcos y programas existentes.

Las organizaciones pueden beneficiarse al cambiar la cultura corporativa de una que se enfoca en cumplir con las obligaciones de cumplimiento de TI a una que tenga como objetivo la reducción general del riesgo operativo. Como guardián de los datos que impactan en todos los aspectos del negocio, el CISO a menudo se encuentra en la posición óptima para impulsar esta transición en toda la organización.

Una de las mejores formas en que un CISO puede cambiar la conversación es comenzar poco a poco y expandirse aprovechando los marcos y programas existentes. A continuación, se incluyen seis pasos para crear un programa de gestión de riesgos empresariales eficaz:

Elige un marco

Para respaldar este enfoque de arriba hacia abajo, ARC seleccionó la norma ISO 27001 como marco de referencia. El estándar del sistema de gestión de seguridad de la información proporciona un conjunto holístico de políticas, procesos y sistemas para gestionar el riesgo de la información. Automatizamos el proceso de certificación ISO 27001 y las evaluaciones continuas de riesgos utilizando nuestra herramienta GRC de terceros. Esto estableció una plataforma sobre la cual construir un programa exitoso de gestión de riesgos empresariales. La herramienta GRC hizo que la información relacionada con los riesgos estuviera fácilmente disponible y accesible para la organización. Por ejemplo, un mapa de calor ilustra el riesgo residual y puede usarse para identificar áreas vulnerables. Hay muchos marcos buenos disponibles, como ISO 27001, pero el truco consiste en elegir uno que se adapte mejor a su organización y sus objetivos.

Definir alcance

Dado que estábamos tratando de ampliar nuestra discusión sobre la gestión de riesgos a una visión de toda la empresa, ARC definió el alcance a nivel de procesos comerciales. ARC aprovechó la información de recuperación ante desastres y continuidad comercial para definir el alcance del programa, incluida la priorización e identificación de técnicas comerciales críticas y riesgos relacionados.

Por ejemplo, nuestro plan de continuidad comercial identifica todos los procesos comerciales y los clasifica en orden de importancia. Nuestro plan de recuperación ante desastres hace lo mismo para los sistemas de tecnología que respaldan las prácticas comerciales identificadas en el plan de continuidad. Definimos el alcance de nuestros esfuerzos para incluir trece procesos críticos para el negocio identificados en la lista de continuidad del negocio. Esto ayudó a concentrar nuestros esfuerzos de gestión de riesgos empresariales en lo que más importaba a la organización desde una perspectiva comercial y operativa.

Riesgo del mapa

Los procesos comerciales críticos y su riesgo asociado se identificaron aprovechando las metodologías descritas por organizaciones como ISACA, el Instituto SANS y el Instituto Nacional de Estándares y Tecnología. Evaluamos las amenazas al negocio e identificamos los riesgos potenciales que plantean esas amenazas, junto con los posibles controles para mitigar esos riesgos. Los riesgos identificados se evaluaron en términos de su probabilidad e impacto. El objetivo era determinar qué amenazas podrían poner en peligro los objetivos comerciales o la estrategia crítica. Luego se evaluaron los controles para compensar estos riesgos y se clasificaron los riesgos residuales. Cuanto más alta era la clasificación del riesgo residual, que para ARC se centró en la documentación, el acceso, la supervisión y los controles de seguridad, más urgente era abordar el riesgo.

Desarrollar un plan de acción

Luego, ARC creó un plan de tratamiento de riesgos para resolver cualquier brecha identificada. Como se mencionó anteriormente, se clasificó cada riesgo residual. Aquellos que se consideró que estaban por encima de nuestra tolerancia al riesgo se agregaron a nuestra lista de proyectos para esfuerzos adicionales de determinación del alcance y reducción. Cualquier acción por debajo de nuestra tolerancia al riesgo se designó como «riesgo aceptable» y se documentó, sin que se tomaran más acciones sobre estos riesgos hasta el próximo proceso de evaluación.

Trate, mida y controle

Luego, ARC determinó los pasos detallados para aliviar el riesgo y estableció un conjunto consolidado de métricas para los eventos de riesgo operativo. Estos procesos se controlan de forma regular. Las métricas determinan cómo está progresando el programa de gestión de riesgos empresariales, cómo varía de la política, el número de incidentes de riesgo operativo y las deficiencias clave de control. Cada métrica se produce mensualmente, se analiza con el equipo ejecutivo y se almacena utilizando nuestra herramienta GRC. Mediante el uso del modelo de madurez de capacidad (CMM), pudimos establecer objetivos del programa de gestión de riesgos empresariales provisionales y a largo plazo que describen la mejora.

Automatizar

Siempre que sea posible, ARC utiliza una herramienta GRC para automatizar procesos manuales ineficientes e ineficaces. La gestión de vulnerabilidades, las evaluaciones de riesgos, el seguimiento de deficiencias y la corrección son ejemplos de actividades que solían ser manejadas por una hoja de cálculo o correo electrónico. Estos procesos ahora ocurren dentro de un sistema centralizado, automatizado, totalmente accesible y responsable. Al elegir una herramienta GRC, busque una que sea fácil de implementar sin mucha ayuda de consultores. También ayuda si la herramienta GRC se utiliza en toda una organización y apunta a controles y procesos para una variedad de departamentos. Esto permite a la empresa vincular fácilmente los procesos de riesgo y ver el impacto comercial general.

Es importante cambiar la conversación de gestión de riesgos empresariales de una conversación de abajo hacia arriba con el cumplimiento como el único objetivo a un enfoque de toda la empresa. La visibilidad de la postura de seguridad general de la organización es la piedra angular para establecer este nuevo diálogo, así como para desarrollar un lenguaje común de gestión de riesgos con los componentes internos y externos clave.

Sobre el Autor:
Rich Licato tiene más de 20 años de experiencia en riesgos de seguridad de TI y cumplimiento, gestión de riesgos operativos y empresariales y desarrollo de sistemas. Licato es director ejecutivo de seguridad de la información en Airlines Reporting Corporation, con sede en Arlington, Virginia, donde sus responsabilidades incluyen la seguridad de la información, la seguridad física y la continuidad del negocio. Rich también es miembro del Consejo Asesor de CISO Executive Network, una organización de igual a igual dedicada a lograr que los ejecutivos de seguridad de la información, gestión de riesgos de TI, privacidad y cumplimiento tengan más éxito.

Háganos saber lo que piensa sobre la historia; Email Ben Cole, editor del sitio. Para obtener más noticias y actualizaciones sobre cumplimiento normativo durante la semana, síganos en Twitter @ITCompliance.

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )
CONTENIDO RELACIONADO  Mejores prácticas para sistemas de gestión de bases de datos en la nube

También te puede interesar...

Por qué debe ascender para ofrecer valor real

Dentro de muchas organizaciones de TI, los administradores y gerentes de sistemas siempre se han enfocado bastante bajo en la pila de software, lidiando con las minucias de brindar servicios o aplicaciones individuales a cada

Pasos clave para ahorrar tiempo al probar microservicios

Un enfoque de microservicios para el desarrollo de software da como resultado componentes pequeños y reutilizables que los equipos pueden usar para ensamblar software. Los microservicios permiten la reutilización del código (para que sea adaptable),

Nuance y MModal jockey en la convención AHIMA 2015

NUEVA ORLEANS — Uno de los mayores desafíos que Charlotte Barrett ha enfrentado como vicepresidente asistente para la integridad de la información de salud en el Sistema de Salud de la Universidad de Miami ha

Por qué los HIE probablemente no bloquean datos

Las acusaciones de bloqueo de datos han estado flotando en el mundo de la TI de la salud durante un tiempo. Figuras públicas bien conocidas, desde la secretaria del Departamento de Salud y Servicios Humanos

¿Qué es la sobreasignación de memoria de VMware?

La sobreasignación de memoria es la función de asignación de memoria para Vmware. La sobreasignación de memoria de VMware funciona tomando recursos compartidos de máquinas que no los utilizan y asignando esos recursos compartidos a

La DR nativa de Azure de JetStream finalmente despega

Después de meses de demoras, el producto de recuperación ante desastres como servicio nativo de Azure de JetStream finalmente hizo su última llamada de abordaje. Esta semana, JetStream DR para Azure VMware Solution (AVS) estuvo

¿Qué es BERT (modelo de lenguaje) y cómo funciona?

BERT es un marco de aprendizaje automático de código abierto para el procesamiento del lenguaje natural (NLP). BERT está diseñado para ayudar a las computadoras a comprender el significado del lenguaje ambiguo en el texto

Ganador de Agile Operations and Automation 2018

Fuente: Píxel/Adobe Stock Diseñador: megan cassello La categoría Operaciones ágiles y automatización reconoce productos que ayudan a los equipos de operaciones a implementar y dar soporte a aplicaciones, así como aquellos productos que monitorean, rastrean

¿Qué es Microsoft System Center 2012?

Microsoft System Center 2012 es un conjunto de productos de administración de sistemas que ofrece herramientas para monitorear y automatizar entornos virtualizados, incluidas nubes privadas basadas en Microsoft Hyper-V. Si bien todos los productos de

Agarre el nuevo DriverStore Explorer de GitHub

A lo largo de los años, he escrito repetidamente sobre una herramienta fantástica de los desarrolladores expertos Kannan Ramanathan y Teddy Zhang. Se llama DriverStore Explorer, también conocido por su nombre ejecutable: RAPR.exe. Hace unos

¿Qué es Citrix FlexCast?

Citrix FlexCast es una tecnología de entrega que permite a un administrador de TI personalizar escritorios virtuales para cumplir con los requisitos de rendimiento, seguridad y flexibilidad de los usuarios finales. Actualmente, hay cinco modelos

Dispositivos UTM de la serie SRX de Juniper Networks

La serie SRX de Juniper Networks de cajas de administración de amenazas unificadas es probablemente la más completa de funciones de cualquier producto UTM, y ofrece la mayor cantidad de opciones y soporte para elementos

Acelere su transformación digital en cinco pasos

Existen incentivos convincentes para que una organización innove y se transforme, incluido el crecimiento de los ingresos, nuevos mercados, eficiencias operativas, ahorros de costos y la obtención de la capacidad de obtener valor de los

Contáctenos – SearchSecurity

Envíanos tus comentarios SearchSecurity agradece sus comentarios. Nuestro objetivo es crear el mejor sitio web específico sobre seguridad de la información. Una forma de hacerlo es escuchando sus comentarios. Intentaremos abordar todos los comentarios caso

Retrasar MACRA o no es la cuestión

Ocho congresistas de alto rango están pidiendo a los funcionarios federales de atención médica que consideren «flexibilidades» al administrar la nueva ley de atención médica MACRA, particularmente en lo que se refiere a los consultorios

La clase de Wi-Fi de Windows 10 está en sesión

Para muchas empresas, la conectividad Wi-Fi es como las ruedas de un automóvil; sin él no hay forma de que los usuarios avancen. Con aplicaciones que dependen en gran medida de esta conexión, la mayor

Qué salió mal para Citrix VDI-in-a-Box

El fin de Citrix VDI-in-a-Box llegará pronto, y aunque aún no se ha llegado a conocer oficialmente el fin de la venta, se confirmó en la llamada de ganancias trimestrales del cuarto trimestre de 2014

Uso de banners de inicio de sesión con VMware View 4

Casi todas las agencias gubernamentales, ya sean federales, estatales o locales, o cualquier organización que se adhiera a estrictos estándares de seguridad (como los hospitales), utilizan pancartas o renuncias de responsabilidad durante el proceso de

Recursos e información de SAP HANA

SAP HANA Noticias 16 de diciembre de 2021 dieciséis Dic’21 Las iniciativas de seguridad pueden acelerar una migración S / 4HANA En esta sesión de preguntas y respuestas, Juan Pablo Perez-Etchegoyen, CTO de Onapsis, analiza

Deja un comentario