1

Más elementos que debe evaluar en su gestión de riesgo

La rapidez de la evolución de las tecnologías es un factor de complejidad en la gestión de riesgo porque coloca la actualización sobre la mesa.

CIO AMÉRICA LATINA | Por Elibeth Eduardo | @ely_e

Atender el riesgo tecnológico dentro de su organización, como ya hemos visto, supone en principio la identificación de las áreas de valor/información que requiere resguardar.

Pero, también para establecer prioridades. Aunque se quisiera que los fondos para la seguridad sean infinitos, ciertamente la transformación e innovación también requieren recursos así que los recursos y presupuestos siempre serán finitos.

La priorización es un componente clave para gestionar el riesgo en escenario de presupuestos limitados.

La realidad es que no puede hacerse todo. Es tan importante decidir explícitamente lo que no harás como lo que harás.

Llegar con las prioridades establecidas puede ayudarle a mantenerse constante cuando las decisiones difíciles deben ser hechas.

La métricas como referencia

Otro factor que no puede ser desestimado es el hecho de que la gestión de riesgos tiene una tendencia a ser más que una actividad un proceso impulsado por resultados. Use métricas para evaluar la efectividad de los controles que está utilizando.

Por ejemplo, encontrar nuevos problemas de seguridad a través de la revisión del código o las pruebas de penetración, en realidad, no mejora la postura de un riesgo de la organización.

Aprenda a contar correcciones, no sólo pruebas y hallazgos.

Concéntrese en los resultados, no en la promoción

Los descubrimientos de intrusiones y fallos, así como nuevos bichos suele obtener titulares, en general.
Pero, para efectos de la seguridad práctica, es información post-mortem: cuando lo que se debía evitar ya ha ocurrido.

Considere cuál es su objetivo deseado para cualquier control de gestión de riesgos, y asegúrese de que lo está logrando con su estrategia.

Por ejemplo, un mejor ajuste para encontrar y corregir las vulnerabilidades de las aplicaciones web puede ser una prueba de penetración crowdsourced o crear una partida de recompensa para los privados que encuentran errores.

Identifique las habilidades que necesita

¿Su equipo de gestión de riesgos entiende el desarrollo ágil? ¿CI / CD? ¿Tienen claro las implicaciones de seguridad de migrar las operaciones a la nube?

Si la forma en que su organización genera productos está cambiando, entonces los conjuntos de habilidades requeridos para gestionar el riesgo asociado también deben cambiar y eso supone renovar a su equipo: ya sea con nuevas personas o apoyando que los actuales “adquieran” estas nuevas skills.

Abrazar el cambio

A medida que las empresas cambian la forma en que construyen productos, los atacantes evolucionan la manera en que intentan quebrar las aplicaciones existentes.

Del mismo modo, ahora que los departamentos de TI trasladan sus operaciones a la nube, la gestión de riesgos debe centrarse más en las aplicaciones que en las redes.

Continúe haciendo pruebas frecuentes y abrazando nuevos enfoques de gestión de riesgos, como la seguridad crowdsourced.

Los cibercriminales están en evolución permanente. Aprenda eso de ellos.