El gran debate: controlar el cumplimiento frente a la gestión de riesgos

Cuando se trata de administrar y mitigar el riesgo tecnológico, los equipos de TI se han basado tradicionalmente en enfoques operativos, de control y cumplimiento centrados en la seguridad de la información. Mientras tanto, el resto del negocio probablemente ha adoptado marcos de gestión de riesgos más amplios y centrados en el negocio. Esta desconexión a veces puede inhibir la capacidad de los líderes de TI para articular de manera efectiva el riesgo tecnológico a las partes interesadas del negocio, lo que puede afectar las decisiones de inversión.

Para gestionar eficazmente el riesgo de TI, hay espacio para ambos enfoques, porque hay beneficios en cada método.

Control de cumplimiento

Uno de los beneficios clave de un enfoque de cumplimiento de control es la mayor comprensión y conciencia obtenidas con respecto a las deficiencias de control de bajo nivel que están presentes dentro del estado tecnológico. Como podemos ver en las diversas entradas de puerta trasera exitosas en todas las industrias, a menudo es un sistema sin parches o un error de configuración menor lo que permite a un pirata informático ingresar. Por lo tanto, una comprensión más profunda de las deficiencias de control actuales puede aumentar la probabilidad de detectar una pequeña vulnerabilidad explotable que puede conducir a un ataque de puerta trasera.

Además, al tener una evaluación más formulada de los controles (por ejemplo, una evaluación basada en ISO 27001), hay menos margen para perderse los detalles. Al utilizar un marco de mejores prácticas de la industria para evaluar los controles, existe al menos la tranquilidad de saber que los controles evaluados son los que se requieren en general para proteger ciertos dominios de seguridad. Además, para los administradores de riesgos con menos experiencia, esta metodología proporciona una base segura para trabajar y proporciona un cierto nivel de orientación, al menos en términos de dominios de seguridad.

He visto este tipo de marcos de seguridad de la información reconocidos por la industria que se utilizan como base para los marcos de riesgos tecnológicos, lo que para mí plantea la pregunta: ¿Qué pasa con la identificación de controles que quedan fuera del panorama de seguridad y, lo que es más importante, los riesgos comerciales asociados? ? En mi experiencia, una evaluación estricta centrada en controles puede pasar por alto la exposición al riesgo real de la empresa. Una ruta muy definida tampoco proporciona una forma de identificar riesgos nuevos y emergentes, ya que los riesgos se han decidido por adelantado.

Los riesgos de seguridad de la información existen dentro de todas las organizaciones en las que he trabajado. Pero no son los únicos riesgos relacionados con la tecnología a los que se enfrenta la empresa.

Copyright © 2021 IDG Communications, Inc.

Related Stories

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí