Argumentos para la gestión integrada de riesgos


Los profesionales de TI son cada vez más conscientes de que el gobierno de TI, el riesgo y el cumplimiento (GRC) deben estar más estrechamente alineados con la organización. De acuerdo con una serie de artículos del Computer Weekly Security Think Tank, TI puede utilizar un enfoque ascendente de riesgo y cumplimiento para filtrar métricas comerciales relevantes …

para los tomadores de decisiones de alto nivel en un idioma, Ellos pueden entender.

Un enfoque operativo o de abajo hacia arriba otorga importancia a cada negocio que asume la responsabilidad de la gestión de riesgos. Simon Persin, Director de Turnkey Consulting cree que si todos los riesgos se capturan y filtran en el nivel relevante más bajo, aquellos que tienen el mayor impacto son visibles de manera natural o sistemática más arriba en la cadena.

"Se trata más de procesos de gestión de riesgos que de tecnología", dice. "Para ser efectivos, los gerentes de riesgos operativos deben comprender los objetivos estratégicos de la compañía y comprender cómo se ven afectados por los riesgos identificados. Del mismo modo, los gestores de riesgos necesitan claridad sobre cómo deben identificarse y clasificarse los riesgos. Sin esto, los riesgos pueden ser inconsistentes y la claridad general disminuye. "

Persin cree que no se trata de aumentar el riesgo estratégico desde el nivel más bajo del negocio, sino de comprender los riesgos que son importantes para cada función.

"Los que están en la cima de una organización están interesados ​​en los riesgos comerciales estratégicos que tienen un impacto significativo en la capacidad de la empresa para comerciar o crecer de acuerdo con su estrategia", dice. "Muchos aspectos diferentes influirán en estos riesgos. Algunos, por ejemplo, la eficiencia de los procesos, pueden ser controlados por la empresa, otros, como la política gubernamental, no.

Según Persin, las decisiones operativas requieren información detallada sobre el riesgo. Sin embargo, dice que estos riesgos son generalmente de naturaleza general y están determinados por actividades más detalladas que pueden tener lugar más adelante y en las que los objetivos y las perspectivas serán muy diferentes.

"Para tomar una decisión más operativa basada en el riesgo involucrado se requiere información mucho más detallada".

Por ejemplo, si un sistema de TI falla, Persin indica que existe una estrategia estratégica de arriba hacia abajo. La visión puede ser tan simple como verificar que los activos de TI están adecuadamente controlados para operar la empresa o si Existe un riesgo significativo de compromiso.

"Si bien este es un tema delicado", dice, "no es suficiente para cumplir con la planificación de recursos, lo que puede requerir información mucho más detallada: ¿qué sistemas operativos se ejecutan en qué activos? los activos que se ven afectados cuando se encuentra una vulnerabilidad; Qué datos se almacenan en qué servidor y cuál es el riesgo si se ven afectados. "

El impacto de las métricas del sistema

Con la creciente definición de software de los sistemas de TI, las métricas y los datos se pueden recopilar y procesar en uno Eoin Keary, CEO de Edgescan . Esto conduce a un enfoque de gobernanza definido por software que puede ayudar a las empresas a respaldar una estrategia integrada de gestión de riesgos.

Un enfoque definido por software proporciona una visión holística del riesgo y la gobernanza desde un único punto de vista, que a su vez puede dar como resultado una respuesta rápida y una visión general en una organización en constante cambio. Las métricas correctas ayudan con la toma de decisiones estratégicas y operativas. El análisis de estas métricas informa la estrategia de gobierno, mientras que las métricas en tiempo real respaldan el gobierno operativo. "Los profesionales de seguridad de la información pueden ayudar al enfocarse en las métricas porque no podemos mejorar lo que no podemos medir", dice. "Muchas métricas de valor en el mundo de la seguridad de la información se superponen con la gestión de riesgos y la estrategia general. Elementos como la estabilidad del sistema, el tiempo de inactividad, la densidad de vulnerabilidad y el tiempo de resolución de problemas se pueden usar para enfocar el presupuesto en tomar las medidas adecuadas para mover el dial en una dirección positiva. "

Lo que importa entonces, cree Keary, requiere que los profesionales de seguridad de la información examinen la correlación e integración de estas métricas con otros aspectos comerciales habituales de la organización. "Las integraciones de métricas y alertas pueden proporcionar ideas estratégicas para pensar y ayudar a los ejecutivos a pensar dónde asignar su presupuesto y recursos", dice. "Por ejemplo, una unidad de negocios con una gran cantidad de agujeros de seguridad puede requerir capacitación o mejoras en mantenimiento o implementación. Al reconocer el síntoma, podemos intentar comprender la causa raíz y actuar en consecuencia. "

De acuerdo con la experiencia de Keary, el enfoque tradicional de gobernanza y cumplimiento, por el cual la organización recibe informes de auditoría de asesores internos o externos que no han descubierto problemas de cumplimiento, abordan estos problemas y luego vuelven a probar la auditoría, es demasiado lento para cumplir con el Tasa de cambio en un entorno moderno.

Según Keary, un enfoque integrado se superpone a la gobernanza, el cumplimiento y la seguridad de TI. "Podemos analizar las tendencias generales y comprender mejor las causas técnicas y fundamentales de los síntomas, dándonos puntos de vista operativos y estratégicos sobre el mismo tema", dice.

El desafío es que, si bien las métricas son muy relevantes para un enfoque de gestión de riesgos basado en activos de TI y pueden contribuir directamente al riesgo operativo de no lograr los objetivos de cumplimiento, estos datos no son directamente útiles a nivel ejecutivo. El hecho de que un riesgo esté definido en la jerga no significa que no sea relevante para el negocio. "Puede identificar un evento que mata negocios como un ciberataque o una vulnerabilidad de día cero", dice Persin de Turnkey Consulting.

Por otro lado, las personas con enfoque técnico pueden crear riesgos comerciales estratégicos legítimos, pero crean una falsa sensación de criticidad porque les importan, o los definen en términos que son demasiado técnicos para la organización en su conjunto.

"La clave es configurar los filtros correctos para capturar información de manera centralizada mientras se mantiene una comprensión coherente del riesgo, sin importar de dónde provenga", agrega Persin.

Gestión de riesgos de arriba hacia abajo y de abajo hacia arriba

Un enfoque de arriba hacia abajo para la gestión integrada de riesgos requiere que la alta gerencia y la gerencia recopilen información precisa y la informen constantemente para tomar las decisiones apropiadas. Por el contrario, un enfoque operativo o ascendente generalmente evalúa que cada unidad de negocio asume la responsabilidad de la gestión de riesgos.

Según Persin la conexión entre estos dos mundos es el elemento crucial de un enfoque integrado de gestión de riesgos.

"No se trata de que todos sepan todo acerca de todo el negocio, se trata de entender a cada compañía cómo es parte de un todo y dónde está impactando, las personas deberían ser capaces de correr riesgos allí pero no deben ser conscientes de ello, por ejemplo, en una organización que es culturalmente reacia al riesgo, o para proteger su reputación si surgen problemas relacionados en una fecha posterior ", dice.

"En la mayoría de los casos, la solución óptima es una función de gestión de riesgos administrada centralmente que incluye aportes y representaciones en todas las unidades de negocios para informar sobre los riesgos y luego actuar como un filtro, detectar duplicados y facilitar la integración en la agenda estratégica más amplia".



Software almacen de Cea Ordenadores