¿Gestión de riesgos?



Probablemente el tener la mejor capacidad en seguridad informática no se encuentra dentro de los principales objetivos de las empresas. El objetivo principal de una aerolínea, por ejemplo, es garantizar que los pasajeros sean transportados de manera segura desde el punto A al punto B. La prioridad de una compañía petrolera o de gas, es extraer y refinar las fuentes de energía que venden.

Aún así, la ciberseguridad se ha convertido en un problema crítico que ataca todas las industrias que buscan ayudar a lograr esos objetivos clave y que normalmente se discute a nivel directivo, esto se debe, en parte al gran aumento de regulaciones que han definido como deben de usarse los activos, datos e información. Además los sistemas interconectados, las tecnologías emergentes como IoT y la migración a servicios basados en nube plantean importantes desafíos de ciberseguridad. El panorama de amenazas cibernéticas esta cambiando y expandiéndose rápidamente, lo que expone un nuevo número de riesgos para las organizaciones, independientemente de la industria.

Integre la gestión de riesgos cibernéticos.


La implementación de un marco de gestión de riesgos eficaz proporciona una plataforma para que los equipos de seguridad TI registren sus riesgos cibernéticos en toda la organización y los prioricen comparando cada una de sus puntuaciones de riesgo. Los marcos de práctica industrial notables que se pueden adoptar incluyen ISO 27001 y el marco de ciberseguridad de NIST. Los marcos de gestión de riesgos son particularmente útiles si su organización se divide en varias compañías operativas o si necesita evaluar los riesgos asociados con proveedores externos.

Una vez que los riesgos han sido identificados y analizados, se pueden informar al director de seguridad de la información (CISO) o un líder de seguridad similar antes de integrarlos en una discusión de gestión de riesgos a nuvel empresarial. Un comité que supervisa el proceso de gestión de riesgos de una empresa puede compilar los riesgos reunidos de todos los departamentos de la organización antes de presentar los principales al CEO.

Implemente un marco de gestión de riesgos.


Existen tres pasos recomendados para implementar con éxito un marco de gestión de riesgo:

  • Complete una evaluación de actividades. Las áreas de impacto a evaluar incluyen seguridad, operación, reputación y financiero.
  • Adopte un marco de ciberseguridad. Debe incluir un registro de riesgo que describa los controles, las tolerancias y los puntajes de riesgo, es decir, los puntajes de riesgo inherente, residuales y objetivo.
  • Automatice el proceso. Debe incluir la adquisición o desarrollo de una solución de gestión de riesgos para definir, recopilar y analizarlos.

La implementación de la gestión de riesgos garantiza que los riesgos se consideren y mitiguen cuando sea necesario para proteger a la organización sin perder de vista los objetivos comerciales principales o bloquear cualquier proyecto de innovación o transformación digital. A través de este proceso, las empresas pueden construir un perfil de riesgo y compararlo con los riesgos comerciales a los que se enfrenta.

La gestión de riesgos puede ayudar a tomar decisiones de inversión.