La gestión de riesgos debe ir más allá de las hojas de cálculo


Un enfoque tradicional para Gestión de riesgos ve a la Junta Directiva o al Comité de Riesgos definiendo los principales riesgos que ponen en peligro el incumplimiento de sus objetivos estratégicos. Esto generalmente da como resultado una lista de 10 a 20 riesgos muy altos, como la pérdida de conocimiento de la marca o el incumplimiento de las regulaciones aplicables.

Esta lista de nivel superior debe "descomprimirse" o desglosarse en los riesgos más tangibles que podrían contribuir a ellos. Hay varias formas de hacer esto. Sin embargo, esto generalmente da como resultado que la gestión de riesgos se delegue a los propietarios del riesgo (por departamentos, unidades operativas, etc.), quienes se espera que usen respuestas relevantes para cuantificar y administrar un subconjunto de riesgos.

Las reacciones de una organización a un riesgo pueden tomar varias formas. La implementación de controles puede controlar un riesgo específico o puede existir una opción para contratar un seguro contra ese riesgo. En algunos casos, se puede reconocer que existe un riesgo, pero se acepta que es inevitable o que la probabilidad de que ocurra es mínima. "No hacer nada" es siempre una opción legítima.

La presentación de informes es uno de los mayores desafíos en la función de gestión de riesgos, que generalmente requiere mucho tiempo para recopilar información relevante y dar al comité y al consejo de administración una visión general. Esto a menudo se basa en autoevaluaciones : encuestas que se envían a los oficiales de riesgos corporativos, pidiéndoles que brinden información sobre las medidas que han tomado para responder a los riesgos conocidos y cuán efectivos son eran. En mi opinión, esta es una causa importante de error para la mayoría de las funciones de gestión de riesgos.

Un principio clave de un marco de gestión de riesgos efectivo es la taxonomía consistente. Una visión armonizada de la categorización y cuantificación de los riesgos dentro de la organización es crucial en este caso. La información debe resumirse para permitir una visión del problema a nivel de toda la organización.

Sin embargo, si el material recopilado es principalmente información de autoevaluación, incluso con una taxonomía coherente, los informes de riesgos se dejan en gran medida a los gestores de riesgos individuales y están dispuestos a ser abiertos en sus evaluaciones; Es muy probable que sobreestimen o subestimen el riesgo.

Además, las funciones de gestión de riesgos a menudo dedican una gran cantidad de tiempo a recopilar y consolidar datos de los propietarios de riesgos y a resumirlos en informes para la junta. En pocas palabras, los equipos de gestión de riesgos suelen informar de los riesgos, pero no los gestionan activamente.

¿Cómo pueden ayudar los profesionales de seguridad de la información a abordar estos problemas?

Todavía hay muchas organizaciones que recopilan e informan los riesgos de una hoja de cálculo. Las herramientas que están disponibles para facilitar la recopilación de información y la automatización de la presentación de informes en un formato consistente y repetible han sido en los últimos años. Hizo un progreso significativo. Su implementación permite que se liberen funciones de gestión de riesgos para permitir más tiempo para la gestión activa de riesgos dentro de la organización.

Estas herramientas también se pueden utilizar para enriquecer los informes de riesgos con hechos que provienen de múltiples fuentes de datos en toda la empresa. Al incorporar fuentes como el rendimiento del control o el estado de mitigación de riesgos, el aumento de la autoevaluación y la presentación de informes por parte de la junta de aumento se puede remediar con indicadores clave de riesgo que no están sujetos a un filtro humano.

La seguridad cibernética y los riesgos de seguridad de la información ocupan un lugar destacado en la agenda de la mayoría de las juntas de hoy. Los profesionales en esta área pueden proporcionar la función de gestión de riesgos y, en última instancia, la Junta Directiva con información sobre sus actividades de informes de riesgos.

Gestión integrada de riesgos

Para ilustrar esto mediante un ejemplo en un enfoque tradicional y aislado Un propietario de riesgos que completa un cuestionario de autoevaluación emitido por el equipo de gestión de riesgos podría confirmar que Se realizan actividades de detección de amenazas para identificar ataques externos en las redes de TI de la organización.

La información proporcionada podría incluir una descripción de la actividad, posiblemente con una evaluación de la medida en que esto reduce el riesgo y algunas métricas, aunque es poco probable que les dé mucho contexto. De manera crucial, es poco probable que el propietario del riesgo proporcione más detalles de los deseados, a menos que se hayan realizado cambios fundamentales en los procesos utilizados para detectar amenazas, en su lugar, utilice la tecnología de gestión de riesgos para crear un análisis de riesgos de seguridad cibernética.

Estos análisis se pueden ver en el contexto de datos de meses anteriores para ilustrar tendencias y resaltar el riesgo de violación de seguridad de TI. El número de ataques identificados puede aumentar. También es posible combinar el análisis de monitoreo de amenazas con otros datos relacionados, como: Al completar parches de software para crear un contexto adicional para la gestión general de riesgos de ciberseguridad.

Los profesionales de seguridad de la información ocupan una posición única en el negocio. Son responsables de una serie de riesgos clave relacionados con TI asociados con la alfabetización de TI para comprender cómo se pueden administrar con la tecnología.

La creciente adopción de estas herramientas por parte de las organizaciones brinda al equipo de seguridad la oportunidad ideal de demostrar a la junta el trabajo que realizan para apoyar la función de gestión de riesgos (mediante el uso efectivo de estas tecnologías) y, por lo tanto, el papel crucial que desempeñan en la protección de la empresa contra amenazas a la seguridad de la información.



Software trazabilidad de Cea Ordenadores