La mayoría de industrias están bajo presión regulatoria, por lo que toman un enfoque basado en el cumplimiento de los requisitos mínimos de seguridad. Sin embargo, con frecuencia, los requisitos de conformidad son estáticos y prescriptivos, de acuerdo con los ejecutivos en seguridad. El cumplimiento otorga a las empresas un falso sentido de seguridad que puede ser engañoso y proporciona un panorama de una sola vez.
La gestión de riesgos de seguridad es más importante que nunca
Puede ser fácil desplegar tecnología en seguridad y pensar que se ha mitigado el riesgo en un negocio. Lamentablemente, la inversión en tecnología no es una garantía de protección contras las amenazas recientes.
Diversos estudios indican que a pesar de los grandes esfuerzos de inversión empresarial en equipos de seguridad modernos, aún hay un incremento de 58 % año tras año de incidentes con malware. De acuerdo con el «Estudio sobre el costo de la filtración de información del 2016» del Instituto Ponemon, el costo total promedio de la filtración de información aumentó de $ 3, 79 millones en el 2015 a $ 4 millones en el 2016; esto se basa en respuestas de 383 empresas de 12 países que participaron en el estudio.
La gestión de riesgos ayuda a mitigar este coto. El cambio hacia un enfoque de gestión de riesgos de seguridad se ha estado desarrollando por algún tiempo, según el Estudio CISO Insights. Los líderes en seguridad están notando que simplemente marcar casillas para abordar los requisitos de seguridad ya no es una estrategia suficiente. Estos líderes que incrementan la curva de madurez están transformando sus programas para que se basen en verdad en riesgos al utilizar un enfoque sofisticado para determinar riesgos y priorizar las inversiones en seguridad.
A continuación, se mostrarán más requisitos claves que deben poseer los programas gestión de riesgos de seguridad.
1. El cumplimiento es solo un factor
El cumplimiento no debe desaparecer en su totalidad incluso en un programa basado en riesgos. Las normas están ahí, pero los jefes y gerentes de un departamento deben empezar a pensar en términos de niveles de riesgo aceptables frente a requisitos de cumplimiento. Este es un cambio en el lenguaje y es el momento cuando todos entienden que la diferencia es la transformación de toda la empresa.
2. La tolerancia al riesgo evoluciona con el tiempo
Se espera que un plan de evaluación y un perfil de riesgo cambien con el tiempo. Además, es difícil para las empresas evaluar de manera adecuada el riesgo antes de encontrar un problema. Sin embargo, las conversaciones frecuentes sobre con qué están cómodos los gerentes senior y los jefes promueven la conciencia de riesgos en todas las líneas del negocio.
3. Hacer funcionar la gestión de riesgos
La gestión de riesgos se divide en tres áreas distintas: estratégica, táctica y operativa. A medida que una empresa se traslada hacia un enfoque basado en riesgos, puede explorar plataformas de evaluación, trabajar para crear perfiles de riesgo y asociarse con proveedores para realizar una evaluación de riesgos.
Exploración de las herramientas y metodologías de evaluación de riesgos
Los equipos de seguridad están adoptando varios marcos de gobierno y de control. Está claro que los miembros están utilizando una combinación de controles y marcos en lugar de depender en solo uno. Los marcos utilizados varían desde los más adoptados ISO 2700 y COBIT hasta enfoques híbridos personalizados según las necesidades de la empresa.
Los marcos se están volviendo la herramienta estratégica de elección para evaluar riesgos, priorizar amenazas, asegurar el progreso de la inversión y de la comunicación para las iniciativas de seguridad más urgentes.
Transformación del programa de seguridad
IBM resaltó diez prácticas esenciales para lograr una postura más fuerte en seguridad. Estas prácticas serán evaluadas en base a un nivel de madurez:
- Establezca operaciones inteligentes de seguridad y una respuesta rápida a amenazas
- Garantice la colaboración en el lugar de trabajo
- Desarrolle productos ricos en seguridad, por diseño
- Gestione las TI de manera higiénica
- Cree una red rica en seguridad y resistente
- Aborde la complejidad de la seguridad en la nube y la virtualización
- Gestione el cumplimiento de seguridad de una tercera parte
- Garantice la seguridad y la privacidad de la información
- Gestione el ciclo de vida de la identidad digital
Alinear lo anterior con un modelo de madurez ofrece una evaluación prescriptiva de la empresa frente a las mejores prácticas.
Los servicios de seguridad ayudan a los clientes a optimizar su programa de seguridad con habilidades para abordar riesgos modernos. Las empresas pueden acceder a las habilidades correctas, reducir la complejidad, obtener acceso a inteligencia de amenaza global, construir sistemas conectados seguros y modernizar los programas de seguridad existentes en las personas, los procesos y la tecnología con consultoría en gestión de riesgos, servicios de gestión y sistemas de integración.
En IBM, este servicio se construye sobre seis competencias:
- Estrategia en seguridad, riesgo y cumplimiento: Gobernanza automatizada, programas de riesgo y cumplimiento.
- Inteligencia en seguridad y operaciones: Construir y gestionar operaciones de seguridad y centros de fusión de seguridad
- Respuesta y evaluación de ciberseguridad: Establecer una evaluación de seguridad robusta y programas de gestión de incidentes
- Gestión de identidades y de accesos: Modernizar la gestión de identidades y de accesos para la era de la nube y los dispositivos móviles.
- Seguridad de la información y de aplicaciones: Desplegar programas de protección de información crítica y establecer la seguridad de aplicaciones a lo largo del ciclo de vida.
- Seguridad de la infraestructura y de endpoints: Redefinir las soluciones para la infraestructura y los endpoints con redes seguras definidas por un software.
Un enfoque de seguridad basado en el negocio
Está claro que los programas de gestión de riesgos de seguridad proporcionan a las empresas mucha flexibilidad, pero la implementación aún requiere una gran cantidad de esfuerzo. Un enfoque basado en riesgos no elimina los requisitos de cumplimiento y los gerentes de mayor rango, los gerentes de seguridad y los jefes de división tienen que aprender a comunicar sus objetivos para que todos puedan llegar a un acuerdo sobre el equilibrio correcto. La gestión de riesgos de seguridad requiere acuerdos de todas las partes para que haya apoyo a las nuevas iniciativas y los nuevos procesos.
A medida que una empresa asegura los procesos de su negocio, un enfoque basando en el negocio necesita convertirse en la influencia rectora para garantizar que todos los dominios de seguridad diferentes funcionen juntos de una manera holística alineados con los objetivos del negocio. De otro modo, la postura hacia el riesgo de la empresa se vuelve vulnerable debido a la desalineación de las prioridades entre las TI y la estrategia de negocio.
Alinear la seguridad en las TI con el enfoque basado en el negocio también puede poner a la empresa en la posición de lograr que los objetivos únicos del negocio alcancen el cumplimiento en lugar de que el cumplimiento conduzca al negocio. Muchas empresas invierten gran cantidad de tiempo y dinero en cumplir con las normas de la industria y del gobierno solo para descubrir demasiado tarde que sus procesos clave aún son vulnerables a los ataques. Aprovechar la gestión de seguridad desde una perspectiva basada en el negocio permite a una empresa asegurar con éxito esos procesos de una manera que proporcione de forma inherente la evidencia necesaria para demostrar el cumplimiento.
GERENS ofrece el «Diplomado internacional gestión integral riesgos con enfoque en seguridad y salud«. Si quiere saber más este diploma, no dude en escribir a su formulario de contacto.