En nuestra entrada titulada cómo el CISO y el CEO pueden hablar el mismo idioma acabamos diciendo que la seguridad no es una persona al lado de un
firewall, es desarrollar programas de gestión de riesgos que estén alineados
con las necesidades del negocio.
A la hora de analizar cómo abordar el reto de la seguridad en una
organización es importante tener en cuenta estos 3 elementos o aspectos:
1. Las principales 4 preocupaciones del negocio desde el punto de vista de la
seguridad
Ante un incidente de seguridad, las principales preocupaciones para el
Director General, el Director Financiero o el Director de Operaciones son que se produzca:
- Una pérdida de reputación, confianza de los clientes.
- Una parada en la operativa del negocio.
- Una violación de cumplimiento.
- Una una pérdida financiera.
2. Los 3 aspectos que debemos tener en cuenta para disponer de un nivel adecuado (responsable) de la seguridad en nuestra organización:
- Nuestro negocio. Permitirá conocer qué riesgos corremos y qué leyes (riesgos legales) genéricas o específicas de nuestro sector debemos cumplir.
- Nuestra madurez tecnológica. Permitirá conocer qué medidas técnicas, organizativas y procedimentales tenemos implementadas, y qué medidas no, que permitan eliminar o reducir dichos riesgos y cumplir con los requisitos legales que debemos cumplir.
- Nuestras capacidades disponibles. Permitirá conocer si tenemos los recursos necesarios, capaces de gestionar los riesgos existentes y futuros.
3. El entorno económico global o particular en el que se mueve nuestra organización
Este entorno determinará que las medidas que tomemos para gestionar
adecuadamente los riesgos TIC que afectan a nuestro negocio sean más o menos
conservadoras o innovadoras. Introducir la variable económica es fundamental
para saber de qué estamos hablando. Es fundamental para poder comparar el impacto económico asociado
al riesgo, con el coste necesario para reducirlo o eliminarlo. De esta manera
podemos decidir focalizarnos en implementar aquellas medidas y disponer de
aquellas capacidades mínimas que traten aquellos riesgos (incluidos los
legales) más importantes, o intentar proporcionar valor a la organización a
través de medidas y capacidades más robustas y mejoradas.
Para hablar de todo ello, ofrecemos 3 workshops formativos que
combinan la parte teórica con la aplicación práctica en tu organización.
El objetivo es formar y analizar a
alto nivel, cómo complementar los objetivos de negocio con un nivel adecuado
(responsable) del riesgo y de la seguridad de los sistemas y tecnologías de la
información, que considere el impacto económico asociado.
Workshopos formativos sobre seguridad.pdf
No hay comentarios:
Publicar un comentario