INCIBE: Tu ayuda en Ciberseguridad
Las organizaciones en general se enfrentan a desafíos relacionados con la gobernanza, el riesgo y el cumplimiento (GRC)
Esto se debe a una gestión excesiva de los programas de GRC y la implementación y configuraciones incorrectas de las tecnologías de GRC. Para asegurarse de que las organizaciones estén preparadas para capear la tormenta de regulaciones en el horizonte, necesitan construir un programa GRC que cumpla con el diseño. Un programa GRC eficaz debe estar más que centrado en la seguridad, también debe cumplir con los requisitos de privacidad, negocios y TI.
Si está buscando aumentar la efectividad de un programa GRC, los siguientes cuatro pasos lo ayudarán a construir un plan para un enfoque exitoso que reduzca el riesgo y cumpla con los objetivos organizacionales.
Entiende la situación
Cada programa de GRC debe adaptarse a las necesidades y marcos de la organización, ya sea que busquen cumplir con las regulaciones de privacidad y de la industria o reducir el riesgo corporativo para proteger los datos o la infraestructura de los clientes.
El primer paso es seleccionar un marco de seguridad de la información apropiado a seguir, como NIST CSF , FFIEC CAT , ISO 27001 , PCI DSS , HITRUST y otros. Este marco se utiliza luego para definir la estructura de políticas y procedimientos que ayudan a mantener los controles de seguridad de la información adecuados y se ajustan a los objetivos de la organización.
Luego, el marco se convierte en el modelo para la creación de un programa GRC para gestionar los riesgos y reducir las vulnerabilidades. También ayuda a la organización a asignar recursos de manera eficiente y proteger activos valiosos, mientras define y prioriza tareas que mejoran la postura de seguridad con el tiempo.
Centrarse en el riesgo
El riesgo está en el centro de GRC. Un programa GRC eficaz comienza con la definición del apetito por el riesgo, que identifica los riesgos más impactantes que enfrenta una organización y desarrolla formas de reducir ese riesgo a un nivel aceptable. Las organizaciones invierten sus recursos en los riesgos que representan la mayor amenaza operativa, por lo que deben comprender cuáles son esos riesgos para protegerse. Recomiendo que las organizaciones adopten un enfoque proactivo de decisiones basado en riesgos y dejen de gestionar la seguridad de forma reactiva.
El segundo paso es crear una hoja de ruta de seguridad que describa los programas de seguridad que la organización necesita implementar, al mismo tiempo que se alinea estrechamente con sus objetivos comerciales. Esta hoja de ruta incluye programas de seguridad existentes, además de señalar hacia dónde deben avanzar esos programas. También debe tener la previsión y la agilidad para incluir tecnologías que aún no se hayan descubierto para su uso y mejora futuros.
Integrar todos los departamentos
Una estrategia de GRC sostenible y eficaz debe integrarse en todo el negocio y alinearse con la cultura, los objetivos y los procesos corporativos. Cumplir con las regulaciones de privacidad y datos ya no es solo una casilla de verificación, las organizaciones deben tener un programa GRC como una estrategia general a seguir y utilizar para mantener las prácticas a lo largo del tiempo.
Sin embargo, la creación y gestión exitosa de este programa no es únicamente el rol del CISO y el equipo de seguridad, se requiere un enfoque multifuncional desde TI hasta legal y comunicaciones, y eso se eleva al nivel de la junta para la entrada y la presentación de informes. Las organizaciones también deben encontrar enfoques para colaborar de manera eficiente entre departamentos, al mismo tiempo que potencialmente aprovechan las herramientas para minimizar los procesos de GRC manuales y facilitar la gestión de riesgos, las auditorías y las presentaciones de la junta.
Construya para el largo plazo
Como se señaló, el propósito de un programa GRC es administrar el riesgo empresarial y el cumplimiento mientras ayuda a la empresa a lograr sus objetivos. Demasiado enfoque en el primero a expensas del segundo crea un programa que está condenado al fracaso. Los programas de GRC deben diseñarse para que sean utilizables, sostenibles y escalables.
Sin embargo, estar preparado para lo inesperado a través de un programa GRC puede reducir el impacto de las interrupciones comerciales causadas por los ataques cibernéticos, mediante la integración de la continuidad del negocio, la ciberseguridad y la resistencia de la organización. Lograr la resiliencia cibernética permite a una organización continuar las operaciones comerciales como de costumbre con una interrupción mínima, incluso durante un ataque aparentemente severo.
Una empresa ciberresiliente que comprende sus activos y puede responder rápidamente a las amenazas, minimizar el daño y continuar operando bajo ataque, es una empresa que puede crecer con confianza, proteger su reputación y fortalecer la confianza de sus clientes. Esta es la forma en que un programa GRC está diseñado para durar.
Fecha actualización el 2021-08-13. Fecha publicación el 2021-08-13. Categoria: ciberseguridad Autor: Oscar olg Mapa del sitio Fuente: helpnetsecurit