Error cardinal de la gestión de riesgos – .

Error cardinal de la gestión de riesgos – .
Error cardinal de la gestión de riesgos – .

Evite errores, aproveche las oportunidades
Error cardinal de la gestión de riesgos

proveedores sobre el tema

La seguridad de TI es uno de los temas de TI más importantes en la actualidad. A pesar de esto, muchas empresas todavía luchan por elegir los instrumentos adecuados para una gestión de riesgos de TI eficaz. ¿Qué errores deben evitar absolutamente las empresas?

Uno de los errores más comunes en la gestión de riesgos es la falta de coordinación entre las medidas de seguridad y la estrategia empresarial.

(Imagen: iQoncept – stock.adobe.com)

Los ejecutivos de las empresas dan máxima prioridad a la seguridad de TI y la ven como un riesgo estratégico que debe gestionarse. Las encuestas de ejecutivos y miembros de la junta continúan indicando que aún no están preparados para la tarea. Los expertos en seguridad de TI no están particularmente sorprendidos por estos resultados, ya que la gestión de la seguridad de TI en las empresas suele ser todavía muy inmadura y muchos ejecutivos luchan con la gestión eficaz de los riesgos de seguridad. Esto significa que muchas empresas todavía cometen muchos errores en esta área. A continuación se describen los errores cardinales más grandes que se encuentran con mayor frecuencia en la práctica:

Riesgo no es lo mismo que riesgo

Con la lista cada vez mayor de amenazas, vectores de ataque y vulnerabilidades, las organizaciones pueden verse tentadas a abordarlos todos. Sin embargo, tanto los CISO como los consultores están de acuerdo en que un enfoque tan amplio es definitivamente un error. En su lugar, se recomienda un enfoque específico. A menudo falta una idea clara de dónde y contra quién las empresas son particularmente vulnerables.

Por ello, deben pensar en las probabilidades de amenazas y su impacto. Con demasiada frecuencia, las empresas se quedan mirando los ataques más recientes y sorprendentes. Sin embargo, al analizar sus principales riesgos y saber quiénes podrían estar atacando sus ataques y qué están usando, puede diseñar un programa específico de mitigación de riesgos y concentrarse en los ataques que tienen más probabilidades de causar problemas.

Falta de alineación entre la seguridad y el negocio

Muchas empresas no analizan lo que es realmente importante para la empresa. Miden los riesgos técnicos, pero no el impacto en el negocio. Porque en su mayoría todavía están demasiado ocupados con las herramientas y contando las vulnerabilidades. Sin embargo, ¡estos no son estándares para los riesgos de una empresa! Esto significa que los responsables deben vincular el riesgo a los hechos que son importantes para la empresa. En este contexto, a menudo no se alinean las definiciones de riesgo y lo que se considera un nivel de riesgo (todavía) aceptable, lo que amplía aún más la brecha entre la seguridad y el negocio y dificulta o incluso imposibilita la gestión eficaz del riesgo.

También puede ocurrir que las empresas no evalúen los riesgos y sus posibles efectos con suficiente realismo. Debe distinguirse aquí entre el riesgo real y un riesgo residual que permanece después de la implementación de controles y medidas de reducción de riesgos. Para ello, las empresas deberán definir los riesgos asociados a los respectivos objetivos de negocio. Al mismo tiempo, se debe explicar cómo se puede reducir el riesgo, en qué medida ya qué costo. Esto permite a los CISO, por ejemplo, explicar muy fácilmente por qué una medida específica es particularmente importante para la empresa y requiere un presupuesto específico.

Resumen limitado

Los gerentes tienden a administrar los riesgos solo para partes de su empresa porque no perciben su empresa como un todo, sino solo parcialmente. Eso significa que muchos CISO no tienen un inventario de TI completo o una lista de todas las aplicaciones en la nube y de terceros utilizadas por los empleados y las unidades comerciales. Por lo tanto, muchas empresas llevan a cabo programas de evaluación de riesgos basados ​​en un inventario que no está completo. Esto puede tener diferentes razones. A veces, las empresas adquiridas no están completamente integradas con la empresa matriz. O ciertos departamentos ejecutan sus propias operaciones de tecnología y levantan muros alrededor de estos silos.

De ello se deduce que, en tales casos, los riesgos para la empresa en su conjunto difícilmente pueden evaluarse. Al mismo tiempo, la descripción general es limitada porque no se utilizan métricas para ayudar a cuantificar el riesgo y monitorear cómo cambia con el tiempo. Las pequeñas y medianas empresas a menudo no crean indicadores de riesgo debido a presupuestos restrictivos o falta de conocimientos. Mientras que las grandes empresas a veces no lo hacen porque están abrumadas por la complejidad de tal medida.

Las listas de control se convierten en un fin en sí mismas

Los desafíos y las complejidades de la gestión de riesgos han dado lugar a que las organizaciones se centren demasiado en el uso de listas de verificación de cumplimiento genéricas. Tendría más sentido comprender las necesidades únicas de su organización, alinear las iniciativas de seguridad con la estrategia comercial y llenar los vacíos en su programa de seguridad. Esto no significa un rechazo general a las listas de verificación, sino una priorización de los requisitos de la empresa y no de las listas de verificación.

Al 30/10/2020

No hace falta decir que tratamos sus datos personales de forma responsable. Si recopilamos datos personales suyos, los procesamos de conformidad con las normas de protección de datos aplicables. Puede encontrar información detallada en nuestra declaración de protección de datos.

Consentimiento para el uso de datos con fines publicitarios

Acepto que Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, incluidas todas las empresas afiliadas en el sentido de las secciones 15 y siguientes. AktG (en adelante: Vogel Communications Group) mi dirección de correo electrónico para el envío de boletines editoriales. Se puede acceder a las listas de las respectivas empresas asociadas aquí.

El contenido del boletín se extiende a los productos y servicios de todas las empresas mencionadas anteriormente, incluidos, por ejemplo, revistas comerciales y libros especializados, eventos y ferias comerciales, así como productos y servicios relacionados con eventos, ofertas y servicios de medios impresos y digitales. tales como otros boletines (editoriales), concursos, campañas principales, estudios de mercado en el área en línea y fuera de línea, portales web específicos de temas y ofertas de aprendizaje electrónico. Si también se recopiló mi número de teléfono personal, se puede utilizar para enviar ofertas de los productos y servicios antes mencionados de las empresas antes mencionadas y para estudios de mercado.

Si invoco contenido protegido en los portales de Vogel Communications Group, incluidas sus empresas afiliadas en el sentido de §§ 15 ff. AktG, tengo que registrarme con datos adicionales para acceder a este contenido. A cambio de este acceso gratuito al contenido editorial, mis datos pueden usarse de acuerdo con este consentimiento para los fines establecidos aquí.

derecho de revocación

Soy consciente de que puedo revocar este consentimiento en cualquier momento para el futuro. Mi revocación no afecta la legalidad del procesamiento realizado sobre la base de mi consentimiento hasta el momento de la revocación. Para declarar mi revocación, puedo usar el formulario de contacto disponible en https://support.vogel.de como una opción. Si ya no deseo recibir boletines individuales a los que me he suscrito, también puedo hacer clic en el enlace para cancelar la suscripción al final de un boletín. Puedo encontrar más información sobre mi derecho de desistimiento y cómo ejercerlo, así como las consecuencias de mi desistimiento, en la declaración de protección de datos, apartado Boletines editoriales.

No se tiene en cuenta la perspectiva temporal.

Aunque las auditorías de seguridad o cumplimiento pueden proporcionar a la alta gerencia una indicación de qué tan bien se está desempeñando un programa de seguridad, los expertos advierten que a menudo solo refleja el desempeño en el momento de la auditoría y no garantiza el éxito futuro. Especialmente cuando considera la rapidez con la que evolucionan las nuevas amenazas y la rapidez con la que deben cambiar las políticas de seguridad y las evaluaciones de riesgos para contrarrestarlas de manera efectiva.

A menudo, las organizaciones ejecutan procesos de auditoría de vez en cuando, pero no utilizan datos de amenazas en tiempo real para aclarar qué riesgos son relevantes para su organización en ese momento. Tendría más sentido evaluar continuamente las áreas que representan la mayor prioridad para ellos.

(DNI:48725975)

Tags: Error cardinal gestión riesgos

PREV ¿Quién está jugando por la victoria el 5 de diciembre? – .
NEXT Conflicto Taiwán-China: ¿invasión a la sombra de la Copa del Mundo? – .