El camino de los ladrillos amarillos hacia la gestión de riesgos



Comenzar el viaje hacia la gestión de riesgos puede ser abrumador, pero proteger su negocio vale cada paso.

La mayoría de nosotros hemos visto la película o leído el libro. El mago de Oz. Dorothy Gale y sus amigos se enfrentaron, y superaron, enormes obstáculos mientras seguían el camino de ladrillos amarillos hacia la Ciudad Esmeralda. En el acelerado mundo de hoy, las organizaciones enfrentan una variedad de obstáculos mientras intentan hacer crecer sus negocios. Y comparten un gran obstáculo con Dorothy en su camino para alcanzar este objetivo: la gestión de riesgos.

El riesgo es unavoidable y las organizaciones deben tener una forma de gestionarlo, porque el riesgo que no se gestiona puede convertirse en vulnerabilidades que los malos actores pueden aprovechar. Y esto puede resultar en la pérdida de reputación, finanzas y confianza de los clientes y socios. Aquí es donde entra en juego la gestión de riesgos, a menudo con un marco specific que se sigue para lograrlo, como el camino de ladrillos amarillos.

Definición de gestión de riesgos
La gestión de riesgos es definido como el proceso de identificar, evaluar y controlar las amenazas a una organización. Puede administrar el riesgo de su organización, ya sea eliminando o reduciendo su gravedad, mediante la implementación de controles. Estos controles normalmente están guiados por un marco, como el Instituto Nacional de Estándares y Tecnología (NIST) Marco de gestión de riesgos (RMF) o el Organización Internacional de Normalización (ISO) 31000 Serie Gestión de riesgos.

Una gran parte de la gestión de riesgos es proteger la privacidad y los datos confidenciales de su empresa y sus clientes. Y estos requisitos no son nuevos. Por ejemplo, la primera versión de la publicación especial de NIST 800-53, que cubre los pasos en el RMF que abordan la selección de regulate de seguridad y privacidad para los sistemas de información federales, se publicó en 2005 15 años después, está en su quinta revisión. Otros requisitos de cumplimiento, como el Reglamento standard de protección de datos de la Unión Europea (GDPR) y el Ley de privacidad del consumidor de California (CCPA) lanzado en 2018, y Certificación del modelo de madurez en ciberseguridad (CMMC) lanzado en 2020, están aumentando el enfoque en la gestión de este tipo de riesgos de privacidad y datos y la necesidad de marcos para ayudar con eso. Ahora, como resultado de la pandemia world de COVID-19, las organizaciones tienen que adoptar algún tipo de estrategia y marco de gestión de riesgos para ayudarlas a hacer frente a los nuevos procesos operativos, como el personal que trabaja de forma remota en redes domésticas desprotegidas.

¿Qué estándares y marcos son adecuados para su negocio?
Las organizaciones pueden elegir entre una variedad de estándares y marcos de gestión de riesgos. Lo que elija dependerá de varias variables exclusivas de su organización: presupuesto, procesos actuales implementados y necesidades. No implementar el adecuado podría llevar a perder un contrato o tener que pagar una multa reglamentaria. Por ejemplo, las empresas que busquen contratos con el Departamento de Defensa que procesen datos confidenciales deberán implementar la Certificación del Modelo de Madurez de Ciberseguridad. Las empresas estadounidenses que deseen asociarse con organizaciones japonesas deben tener Acreditación ISO 27001, un estándar de gestión de seguridad de la información que es diferente de ISO 31000.

Si su organización no tiene un organismo regulador que imponga el problema, aún debe considerar la posibilidad de implementar un marco para administrar mejor los riesgos y ayudar a proteger su negocio de los piratas informáticos y otras amenazas de ciberseguridad. Estas situaciones pueden tener y tienen resultados comerciales adversos en el mundo genuine, incluido el desmantelamiento de su negocio de comercio electrónico o la confiscación de todos sus datos a través de un ataque de ransomware.

El primer paso que debe tomar al emprender el camino hacia la gestión de riesgos es elegir un marco que complemente, en lugar de interrumpir, sus prácticas existentes y satisfaga sus necesidades comerciales. A continuación, se muestran algunos de los marcos más comunes y los tipos de organizaciones que normalmente los utilizan.

Marco de referencia

Caso de uso

Marco de gestión de riesgos

Agencias federales

Marco de ciberseguridad

Organizaciones no gubernamentales

Programa Federal de Gestión de Autorizaciones y Riesgos (FedRAMP)

Proveedores de servicios en la nube

ISO 27001

Industria privada

Marco de privacidad de NIST

Todas

Próximos pasos
Existe una variedad de herramientas para ayudarlo a implementar el mejor marco y estrategia de gestión de riesgos para sus necesidades comerciales. La mayoría de las organizaciones utilizan una herramienta o un recurso de terceros, como el software package de gobernanza, riesgo y cumplimiento (GRC) que se puede alinear con el marco que elija o servicios profesionales que pueden ayudarlo a navegar por los diferentes requisitos. Algunas herramientas de GRC son servicios administrados que combinan un computer software como solución con private experto que maneja el proceso. Estos enfoques pueden ofrecerle visibilidad y handle sobre sus decisiones de riesgo y desarrollar la gestión de riesgos y los programas de seguridad del sistema alineados con su estrategia comercial.

Comenzar el viaje por el camino de los ladrillos amarillos de la gestión de riesgos puede resultar abrumador. Pero proteger su negocio vale la pena en cada paso del camino.

Andrew Lowe se desempeña como consultor senior de seguridad de la información para TalaTek, una empresa de gestión de riesgos integrada en el norte de Virginia. Tiene más de 10 años de experiencia en seguridad de la información, incluida la gestión de riesgos y el desarrollo e implementación de programas de cumplimiento, … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first