El rompecabezas de la seguridad requiere un pensamiento común


Con la revolución tecnológica, las empresas de todo el mundo comienzan a ver los beneficios de la conectividad en constante expansión. Las iniciativas de digitalización tienen como objetivo eliminar los cuellos de botella en los procesos comerciales, cerrar las brechas existentes entre procesos tradicionalmente separados y permitir

el libre flujo de información a través de silos dentro de la misma organización, así como hacia y desde socios externos.

En una serie de artículos del Computer Weekly Security Think Tank, un panel de expertos discutió cómo la era digital plantea nuevos riesgos, por lo que la seguridad debe estar más integrada.

Como Sandeep Godbole en el pasado El presidente del Capítulo PAC de ISACA señala que la adopción de la tecnología ha expuesto a las organizaciones modernas al contraste de la tecnología: las oportunidades, por un lado, y los riesgos del mundo conectado, por otro. otro lado

Estas oportunidades y riesgos afectan a las organizaciones de diferentes maneras. Algunos tienen implicaciones operativas, mientras que otros pueden tener implicaciones estratégicas. "La buena gobernanza requiere oportunidades y riesgos que tienen un profundo impacto en las organizaciones para ser monitoreadas y tomar medidas", dice Godbole. "Para aprovechar las oportunidades, puede ser necesario crear las condiciones, incluidas las estructuras organizativas, las capacidades tecnológicas, la creación de capital humano y el apoyo al cambio".

Para gestionar los riesgos, controles de seguridad adecuados, Se implementan herramientas y procesos que mitigan los riesgos, dice Godbole. "Debido a que el mundo en red hecho posible por la tecnología conlleva riesgos y oportunidades para las empresas, las medidas de seguridad apropiadas juegan un papel clave en las organizaciones modernas. Combatir el riesgo y proporcionar una protección adecuada permite a las empresas aprovechar la tecnología de manera efectiva. La seguridad, por lo tanto, juega un papel importante en la estrategia organizacional.

Investigaciones recientes de Ovum han demostrado que los enfoques de las organizaciones para enfrentar y enfrentar los riesgos digitales son muy diferentes. Maxum Holt, Director de Investigación de Ovum : "Hacer frente a los nuevos riesgos es una consecuencia del aumento de la digitalización. La necesidad y la capacidad de gestionar riesgos no se detiene en los límites de una empresa en este mundo cada vez más interconectado. "

Holt advierte que ignorar o prevenir las oportunidades que ofrece la transformación digital no es una opción práctica para las funciones de seguridad de la información. Ella cree que el riesgo digital es "esencial" ya que la compañía debe correr riesgos para avanzar. Holt explica: "La organización más reacia al riesgo podría evitar la transformación digital, pero al mismo tiempo es probable que pierda su competitividad o brinde un servicio más pobre a los ciudadanos".

Para que una organización sea lo suficientemente efectiva y eficiente, Holt dice que debe Ser capaz de identificar, gestionar y mitigar los riesgos digitales. Esto requiere una mayor integración entre las funciones internas, en particular la gobernanza, el riesgo, el cumplimiento y la seguridad, y entre los socios que ofrecen o respaldan muchas de las tecnologías más nuevas que se utilizan.

Holt propone nombrar a alguien que asuma la responsabilidad El riesgo digital organizacional puede facilitar un proceso de toma de decisiones estratégicas más centrado y mejor para un enfoque más integrado para la gestión de riesgos. Según Holt, la idea de establecer un rol de Oficial de Riesgo Digital es un gran paso adelante ya que, sorprendentemente, pocas compañías tienen a alguien en ese rol.

"Se debe formar un equipo bajo la responsabilidad del Oficial de Riesgos Digitales para abordar los riesgos de los proyectos de transformación digital. Requiere experiencia en riesgo senior, cumplimiento, TI, tecnología, derecho, contabilidad y ciberseguridad ", dice, que debe apuntar a establecer una taxonomía de riesgo central para facilitar una comprensión común de cada tipo de riesgo en toda la organización

En el pasado, la gestión de riesgos por separado en casos individuales a menudo conducía al cumplimiento de las casillas de verificación. Paddy Francis, CTO de Airbus CyberSecurity explica: "La integración de todos estos diferentes aspectos de riesgo en uno only framework proporciona una mejor visión general del riesgo operativo general para la empresa y permite el desarrollo de estrategias de mitigación que funcionan para el negocio en su conjunto ".

Francis cree que los profesionales de seguridad de TI juegan un papel clave en el negocio Conversión a una R integrada debería venir a la gestión de riesgos. Francis presenta el caso cuando los equipos de seguridad consideran riesgos y mitigaciones en el contexto del negocio en lugar de solo TI. "Los profesionales de TI y otros propietarios de riesgos deben tener o adquirir una comprensión de los impulsores comerciales para que puedan ver los riesgos en el contexto correcto y hacer compromisos de mitigación de riesgos apropiados, no solo enfocándose en su propio negocio, sino también creando nuevos riesgos en otros lugares", dice él.

Francis dice que los riesgos de TI y los riesgos asociados, como la contribución de la seguridad de TI a la gestión de la continuidad del negocio y el cumplimiento del Reglamento General de Protección de Datos (DSGVO) deben agruparse en una sola estrategia integrada de gestión de riesgos.

Cuando las organizaciones buscan construir una gestión integrada de riesgos, Deshini Newman, Director Gerente de EMEA en (ISC) 2 cree que los profesionales de seguridad de la información deben integrarse en el corazón del negocio Informe de gestión de riesgos y proceso de evaluación. "Simplemente no pueden estar río abajo, pero aún tienen que trabajar de manera rápida y proactiva cuando se manifiesta un riesgo de seguridad", dice Newman.

Ovum & # 39; s Holt recomienda a los profesionales de seguridad de la información que involucren a la alta gerencia para impulsar la gestión integrada de riesgos. "Las funciones de seguridad de la información orientadas a los negocios pueden representar y comunicar la necesidad de una gestión de riesgos integrada para aquellos que pueden cambiar el enfoque de la empresa".

Enfoque de colaboración

El objetivo general debería ser proporcionar un marco de gestión de riesgos común. Enfoque de gestión de riesgo ascendente que prioriza los riesgos de toda la empresa y los aborda de acuerdo con las necesidades comerciales. Para Holt, un beneficio clave de un enfoque tan integrado es que el entorno de seguridad de la empresa se adapta mejor al entorno empresarial.

Sin embargo, como señala Francis, la implementación de un enfoque integrado de gestión de riesgos no es trivial para una empresa y dará lugar a nuevos procesos y procedimientos, que en la mayoría de los casos requieren un poco de soporte de herramientas. Él dice, "TI y la seguridad de TI juegan un papel clave en la transición de la gestión de riesgos tradicional a la gestión de riesgos integrada, pero como suele ser el caso, el liderazgo debe provenir del centro para que el proceso tenga éxito"

] Newman informa. primero, pero también una gobernanza clara, educación y una comprensión clara. "Los expertos en seguridad deben asegurarse de que las partes de la organización que no son de TI entiendan el contexto del riesgo de ciberseguridad discutido y aborden los datos más amplios y teóricos y los riesgos de cumplimiento que se identifican y comunican", dice.

Newman también recomienda que los profesionales de seguridad de la información tengan una visión vertical clara del riesgo comercial. Esto significa integrarse en otros equipos para comprender los desafíos operativos, ya sea en términos de tecnología, procesos o regulaciones. Recomienda un enfoque consistente del riesgo y dice: "Una de las mayores amenazas para la gestión del riesgo es no buscar un enfoque común de estrategia, política y proceso. Por lo tanto, documente todo y haga un plan, revíselo, compártalo con cada parte interesada y, lo más importante, sígalo, pero esté preparado para cambiar su plan a medida que cambien las necesidades comerciales. "

La buena noticia, Godbole dice: ¿Es que las plataformas que proporcionan visibilidad en múltiples áreas de TI dentro de una organización ahora están disponibles? Estas plataformas pueden ayudar a los profesionales de seguridad de TI a establecer un entorno eficiente e integrado de vigilancia y alertas de seguridad. "Las plataformas de información de seguridad y gestión de eventos (SIEM) han estado proporcionando una solución tecnológica unificada para el monitoreo de seguridad durante más de una década. Plataformas como estas han evolucionado a lo largo de los años y, por lo tanto, son integrales y eficientes. Muchas herramientas SIEM ahora admiten análisis de comportamiento del usuario que ayudan a identificar comportamientos o acciones disruptivas de manera oportuna. "

Según Godbole, tales herramientas proporcionan a los profesionales de seguridad de TI una visión unificada de la seguridad de los activos y los controles de seguridad, reduciendo el tiempo de respuesta a los riesgos y amenazas identificados por las plataformas. También proporcionan automatización, integración y análisis.

Al igual que muchos aspectos de la seguridad de TI, un enfoque integrado requiere herramientas, personas y procesos para trabajar juntos. Tal enfoque será necesario ya que el riesgo de una organización continuará aumentando. Francis de Airbus señala: "La necesidad de una gestión de riesgos integrada se destaca por el entorno empresarial cambiante, que utiliza más servicios de Internet y en la nube para proporcionar y facilitar las operaciones comerciales, y la necesidad de un enfoque más abierto y abierto para clientes y proveedores movido ". 19659026]



Control de obras 3000 de Cea Ordenadores