Toma de decisiones La investigación de Gartner
Enviado por Eduardo Garfias • 21 de Marzo de 2023 • Documentos de Investigación • 951 Palabras (4 Páginas) • 63 Visitas
Resumen de la lectura
La investigación de Gartner indica que muchas organizaciones tienen complicaciones para implementar prácticas de ciberseguridad efectivas y gobernanza en riesgos de seguridad.
Hay 4 principales objetivos en beneficio de los objetivos de negocio:
1. Definir y gestionar la responsabilidad y los derechos de decisión.
- La responsabilidad del propietario debe documentarse en un estatuto de seguridad de la empresa que está firmado y respaldado claramente por el director ejecutivo y la junta.
- Cuando no se puede identificar claramente la propiedad de los recursos comerciales, la responsabilidad, la propiedad del riesgo y la autoridad asociada deben recaer en el CIO u otra función central, como el COO.
- La responsabilidad detallada y los derechos de decisión para los procesos de seguridad y riesgo deben documentarse y comunicarse mediante el uso de gráficos RACI.
- No existe una plantilla única de mejores prácticas para la organización de seguridad; sin embargo, desde una perspectiva de gobernanza, es importante equilibrar de manera óptima los procesos y tareas de aseguramiento, estratégicos y operativos en un modo organizativo práctico
2. Decidir que es un riesgo aceptable.
- Esto implica empoderar a los propietarios de los recursos, al CIO y al CISO con el contexto, las habilidades y los recursos para realizar evaluaciones de riesgo adecuadas.
- Un elemento importante de la gestión del riesgo es comprender que los propietarios de recursos individuales pueden tener diferentes apetitos por el riesgo, y que estos pueden entrar en conflicto con el apetito por el riesgo corporativo formal o con los apetitos por el riesgo de otros propietarios de recursos.
- una función de gobierno clave es implementar y administrar un proceso para arbitrar entre apetitos de riesgo en conflicto
3. Habilitar el control de riesgos.
- Un programa de seguridad formal que implementa y opera los controles de seguridad.
- Una capacidad de planificación estratégica que permite a la organización desarrollar y refinar una hoja de ruta de inversiones que reconoce el cambio continuo en los entornos comerciales, tecnológicos y de amenazas.
4. Proporcionar seguridad a los ejecutivos y a las partes interesadas que el riesgo de la información se gestiona adecuadamente.
- Esto generalmente implica evaluaciones periódicas de cumplimiento de políticas y controles, incluida la evaluación del riesgo retenido y la decisión de si se requiere una inversión correctiva adicional.
- Garantizar que los controles de seguridad prescritos se integren en nuevas aplicaciones o proyectos de infraestructura, antes de que se acepten en producción.
La responsabilidad de la seguridad a menudo se descuida o se malinterpreta. Las organizaciones a menudo ven al CISO como el único rol responsable de la postura de seguridad de una organización. Sin embargo, las organizaciones maduras entienden que la responsabilidad por la posición de seguridad y riesgo de la organización recae en los altos ejecutivos que son los responsables últimos de los recursos y procesos comerciales que respaldan los resultados comerciales de la organización.
El CISO es responsable de identificar los riesgos de seguridad y de implementar controles de seguridad; sin embargo, la función de gobierno, representada típicamente
...