Uncategorized

Las mejores prácticas sobre la gobernanza de la seguridad de la información

Las violaciones de datos ocurrirán. No es cuestión de si, sino de cuándo. Se trate de delincuentes que accedan ilegalmente a Sony Pictures o atacantes que causen una violación masiva de datos en Anthem Medical, todas las industrias son vulnerables a un ciberataque. El impacto a menudo es muy dañino: responsabilidades legales, baja en la reputación de la marca, falta de confianza de los clientes y socios y, en última instancia, merma de los ingresos. El costo promedio de una violación de datos se ubica actualmente hasta en 4 millones de dólares, según un estudio de Ponemon de 2016.

A medida que el uso de datos sigue creciendo, las organizaciones enfrentan el desafío de crear adecuadamente estrategias, estructuras y políticas para mantener seguros los datos sensibles. Entretanto, los delincuentes desarrollan tácticas nuevas y sofisticadas para apuntar a datos valiosos.

La seguridad es, y debería serlo, una preocupación para todos los empleados de una organización. Sin embargo, el liderazgo debe ser responsable de establecer y mantener una estructura para la gobernanza de la seguridad de la información. La gobernanza de la seguridad de la información se define como un subconjunto de la gobernanza empresarial que proporciona dirección estratégica, garantiza que se alcancen los objetivos y maneja riesgos, al mismo tiempo que supervisa el éxito o fracaso del programa de seguridad de una empresa.

Independientemente de que sea la junta directiva, gerencia ejecutiva o un comité directivo —o todos ellos—, la gobernanza de la seguridad de la información requiere planificación estratégica y toma de decisiones.

Mejores prácticas

Pese a las amenazas de ataques y violaciones de datos, las organizaciones pueden tomar medidas para estar en una mejor situación a fin de que la gobernanza de la seguridad de la información tenga éxito. A continuación, se describen las cinco mejores prácticas estratégicas para la gobernanza de la seguridad de la información:

1. Adoptar un enfoque integral

La estrategia de seguridad se trata de alinearse y conectarse con negocios y objetivos de TI. Un enfoque integral puede proporcionar liderazgo con más niveles de control y visibilidad.

¿Cuáles datos necesitan protección? ¿Cuáles son los riesgos? Adopte una visión unificada sobre cómo la seguridad de la información afecta a su organización y cómo los empleados ven la seguridad. Obtenga una temprana aceptación de las partes interesadas clave, tales como los departamentos de TI, ventas, mercadeo, operaciones y legal. Identifique cuáles datos se deben proteger y cómo ello encaja en el cuadro general.

2. Aumente la concienciación y la capacitación

Aunque fue desarrollada por el liderazgo, la gobernanza de la seguridad de la información se dirige a todos los empleados de la organización y requiere un nivel constante de concienciación. La gobernanza crea políticas y asigna responsabilidades, pero cada miembro es responsable de seguir las normas de seguridad.

Una capacitación y educación constantes sobre las mejores prácticas de seguridad son vitales. El panorama de las amenazas cibernéticas está cambiando rápidamente y la capacitación de los empleados y la empresa deben mantenerse al día. De esta manera, si surgen nuevas amenazas, su organización estará preparada.

3. Supervisar y medir

La gobernanza de la seguridad de la información nunca debería tener un enfoque estilo “establecerla y luego olvidarla”. Se trata de evaluación y medición constantes. La supervisión garantiza que los objetivos se alcancen y que los recursos se administren adecuadamente. ¿Cuáles políticas de gobernanza de la seguridad funcionan? ¿Cuáles políticas no funcionan?

Plantee escenarios de violación de datos simulada para probar la eficacia de los equipos corporativos y los planes de respuesta a incidentes de la empresa. Los resultados de la prueba pueden revelar eslabones fuertes y débiles —en qué debe concentrarse una organización y cuáles políticas de gobernanza de la seguridad funcionan adecuadamente bajo presión.

4. Fomente una comunicación abierta

Las partes interesadas deberían sentir que pueden comunicarse abierta y directamente con el liderazgo, incluso al comunicar malas noticias. La comunicación abierta promueve la confianza y brinda un nivel más alto de visibilidad a lo largo y ancho de la organización.

El compromiso es esencial. Considere crear un comité directivo conformado por la gerencia ejecutiva y líderes de equipo clave (TI, mercadeo, finanzas, relaciones públicas, operaciones, etc.) para revisar y evaluar riesgos de seguridad actuales.

5. Promover la agilidad y la adaptabilidad

Atrás quedaron los días de gobernanza monolítica y engorrosa; las organizaciones deben adaptarse rápidamente para enfrentar el cambiante espectro de las amenazas de seguridad. La gerencia de TI, que suele ocuparse de tomar decisiones tácticas para disminuir los riesgos de seguridad, podría tener cierta experiencia práctica y opiniones sobre la efectividad de una política de seguridad específica, pero sus recomendaciones no podrán avanzar sin el apoyo de los altos ejecutivos. El liderazgo debe determinar rápidamente cómo implementar cambios sugeridos en toda la organización. Y si una política de gobernanza de la seguridad es ineficaz, el liderazgo debe estar dispuesto a desecharla.

En general, una gobernanza de la seguridad de la información exitosa involucra un proceso continuo de aprendizaje, revisión y adaptación. Las organizaciones deben ser proactivas y estratégicas en su posición de seguridad. Las amenazas y los incidentes son inevitables, pero poner una gobernanza de la seguridad estratégica al frente de su organización puede ayudar a proteger información valiosa.

Descargue el Libro Blanco completo de Diligent: Las cinco mejores prácticas para la gobernanza de la seguridad de la información.

 

BLOGS DESTACADOS