Cuando se trata de ciberseguridad, la gobernanza, el riesgo y el cumplimiento (GRC) a menudo es un segundo pensamiento y se considera que la burocracia se interpone en el camino de la prevención de amenazas. Sin embargo, su importancia no debe ser subestimada.
Un programa GRC enfocado establece las bases para permitir que las organizaciones cumplan con sus objetivos de seguridad y cumplimiento. Si se hace bien, este enfoque proactivo para la ciberseguridad puede minimizar la respuesta reactiva a incidentes para las empresas.
Los programas de ciberseguridad están incompletos sin GRC
La seguridad cibernética en su conjunto se compone de tres componentes: personas, procesos y tecnología. De los tres, la tecnología a menudo se centra en la mayoría, ya que es posiblemente el elemento más fácil de implementar. Sin embargo, para que una empresa alcance con éxito sus objetivos de seguridad, los tres elementos deben considerarse con un enfoque programático, flexible y escalable.
Para lograr esto, un programa eficaz de GRC es crucial, ya que garantiza que se haya tomado una visión holística, mientras se aborda la desalentadora misión de la ciberseguridad. Después de todo, automatizar un proceso mal pensado con tecnología de punta no mejora el proceso en sí o el resultado resultante.
Tomemos, por ejemplo, un empleado de operaciones de seguridad que se enfrenta a cuatro eventos para monitorear y mitigar. Sin un programa GRC, no tendrían contexto sobre el riesgo comercial o el impacto de cumplimiento de los eventos, lo que significa que tendrían que depender únicamente de la tecnología. Como consecuencia, corren el riesgo de priorizar incorrectamente el tema menos importante de una manera que no tendrían con un programa GRC en funcionamiento.
GRC tiene una relación simbiótica
Si bien la gobernanza, el riesgo y el cumplimiento a menudo se consideran funciones separadas, adoptar una visión holística de estos componentes fundamentales demuestra la relación simbiótica que comparten.
La gobernanza garantiza que las actividades de la organización estén alineadas de una manera que respalde los objetivos comerciales de la organización. El riesgo asociado con cualquier actividad organizacional se identifica y aborda de una manera que respalde los objetivos comerciales de una organización. El cumplimiento permite que todas las actividades organizacionales se operen de una manera que cumpla con las leyes y regulaciones que afectan esos sistemas. Y los tres aspectos trabajan juntos para crear un enfoque que permitirá que la arquitectura de seguridad, la ingeniería y las operaciones se alineen con los objetivos comerciales más amplios, al tiempo que gestiona eficazmente el riesgo y cumple los objetivos de cumplimiento.
Pero, ¿cómo se escala un programa GRC y se asegura de que esté integrado en su organización?
Cómo escalar un programa GRC
Un tamaño no sirve para todos cuando se trata de GRC y no tiene que ser así; La profundidad y amplitud de los programas variará de un negocio a otro. Sin embargo, independientemente de la complejidad de un programa, se puede transformar o escalar para la adopción de servicios en la nube, tecnologías emergentes y futuras innovaciones aún desconocidas, siempre que siga las mejores prácticas.
Gobernancia
Para establecer una base de gobierno, es vital identificar primero los requisitos de cumplimiento. Esto significa investigar y comprender las obligaciones contractuales, los marcos de cumplimiento e identificar los estándares requeridos o elegidos que deben implementarse.
Después de esto, debe realizar una evaluación del programa para comprender las capacidades y la madurez de su perfil actual, determinar cuál es su perfil objetivo y crear un plan para lograrlo. Su estrategia debe considerar la adquisición, DevSecOps, gestión, seguridad y asignación de recursos humanos, incluida la definición y asignación de funciones, roles y responsabilidades.
Finalmente, debe actualizar y publicar sus nuevas políticas, procesos y procedimientos para educar a sus empleados y garantizar que se respete la ciberseguridad y la gobernanza. Sus políticas deben alinearse claramente con sus objetivos comerciales. Si bien sus procesos deben especificar cómo actualizar las tecnologías antiguas para la adopción de técnicas modernas de organización y administración, y cómo sus procedimientos integran los servicios en la nube y otras tecnologías emergentes.
Riesgo
La segunda etapa para escalar su política de GRC es analizar su gestión de riesgos. Realizar una evaluación de riesgos para cada aspecto de su organización y cada línea de negocio y tipo de activo es primordial. Una vez hecho esto y tenga una comprensión total sobre el riesgo dentro de su negocio, puede implementar un plan para mitigar, evitar, transferir o aceptar el riesgo en cada nivel, línea de negocio y activo.
Los marcos de gestión de riesgos se pueden usar para rastrear los sistemas seleccionando controles y riesgos que se pueden monitorear y ajustar continuamente a medida que el negocio crece y aumenta el panorama de amenazas. La etapa final es incorporar información de riesgos en la toma de decisiones de liderazgo. En pocas palabras, debería convertirse en una rutina preguntar "cuál es el riesgo financiero, cibernético, legal y de reputación para nuestro negocio de tomar esta decisión". Al incorporar este enfoque en su cultura, puede asegurarse de tener una visibilidad completa sobre su riesgo posición, cuando toma decisiones comerciales críticas e impulsa el crecimiento de la empresa.
Conformidad
Vinculado directamente a la gobernanza, el cumplimiento ayuda a establecer las políticas, estándares y controles de seguridad por los que será monitoreado. Junto con los informes generados por la supervisión de control, debe reevaluar proactivamente sus capacidades de seguridad y asegurarse de que satisfagan las necesidades de su negocio. Esto significa automatizar las pruebas de seguridad de la aplicación y los escaneos de vulnerabilidad, realizar autoevaluaciones a partir del muestreo de los controles, así como ser demasiado crítico con los cambios minuciosos, las banderas rojas y los eventos que podrían representar un riesgo significativo.
Además, también debe estar dispuesto a adaptar sus procesos en respuesta a eventos y cambios al riesgo. A medida que evoluciona la sofisticación de las amenazas, también debería evolucionar su postura de seguridad. Integrar sus operaciones de seguridad con el equipo de cumplimiento para la gestión de respuestas es clave para esto, al igual que establecer procedimientos operativos estándar para responder a cambios no intencionales.
Priorizando la gobernanza, el riesgo y el cumplimiento en su negocio
Crear una estrategia fuerte de ciberseguridad es imposible sin un programa GRC efectivo. Como tal, es vital que las empresas lo pongan en primer plano si quieren cumplir sus objetivos de seguridad y cumplimiento. Al hacerlo, pueden asegurarse de contar con los componentes para escalar, adaptarse y evolucionar a medida que crece su negocio y cambian las regulaciones.
Al trabajar con un proveedor de la nube, como AWS, que puede respaldar, implementar y asesorar sobre un programa GRC, las empresas pueden asegurarse de contar con la gobernanza, el riesgo y el cumplimiento que protegerán y contra las amenazas más sofisticadas, ahora y en el futuro.
Por Ian Massingham es, de tecnología de desarrollo en Amazon Web Services