Las brechas en la propiedad del riesgo de ciberseguridad
El aumento de los ataques cibernéticos a las empresas a través de sus proveedores ha puesto de relieve la necesidad de una propiedad y responsabilidad adecuadas de los riesgos de ciberseguridad. Muchas organizaciones enfrentan una brecha en la responsabilidad entre el rol de Gerente de Seguridad de TI (ITSM) y los ejecutivos de nivel C, lo que puede resultar en una falta de conciencia y acción hacia los riesgos de ciberseguridad. Esta brecha de propiedad puede dejar a las empresas vulnerables a las violaciones de seguridad de la información, tanto internamente como a través de terceros, lo que puede dañar la reputación de la organización y, en última instancia, afectar el precio de las acciones.
Responsabilidad
En la parte superior de la cadena de rendición de cuentas, la junta directiva tiene la responsabilidad final de garantizar que una violación de la seguridad de la información no afecte negativamente el precio de las acciones de la empresa. A su vez, el CEO es operacionalmente responsable de los riesgos de ciberseguridad en la organización.
Responsabilidad
Otros ejecutivos de nivel C son responsables de los riesgos de ciberseguridad en sus respectivas áreas, y es crucial comprender su exposición al riesgo.
Cuando hay uno, el Director de Seguridad de la Información (CISO) es responsable de comunicar los riesgos de seguridad de la información a los otros ejecutivos de nivel C y a la junta. El CIO es responsable de los riesgos de seguridad de la información relacionados con los sistemas de TIC, mientras que los ITSM son responsables de abordar los riesgos de seguridad de la información de los sistemas de TIC.
La primera laguna(s)
Si no se realiza ningún rol de CISO, la responsabilidad de entregar la seguridad de la información se realiza por defecto al CEO. Si el CIO es responsable de informar sobre el riesgo contenido en las TIC, existe una posible falta de experiencia y conflicto de intereses. Las áreas fuera de las TIC a menudo tienen control sobre la información sobre los sistemas internos y externos que ellos mismos administran sin tener el conjunto de habilidades para informar del riesgo que esta información está trayendo a la empresa.
Es importante tener en cuenta que la seguridad de la información no se limita a los sistemas TIC de la empresa. Abarca todas las áreas de los datos de la empresa, por ejemplo, la información controlada por Finanzas, Legal, Ventas y Recursos Humanos y los proveedores que utilizan. A menudo, estos terceros no están a la vista de los CIO o ITSM y no pueden influir en la ciberseguridad que se les aplica.
La segunda brecha
Los terceros y proveedores a menudo son responsables de algunos de los controles de seguridad de la información aplicados a los datos de la empresa, compartidos con ellos, como la seguridad física, el hardware, los entornos virtuales, los sistemas operativos, la seguridad de algunas aplicaciones y parte de los controles de acceso. La compañía es responsable de asegurar que estas responsabilidades se cumplan.
Sin embargo, la empresa que utiliza el servicio sigue siendo responsable de aspectos como la configuración de la aplicación, los controles de acceso, la gestión de accesos, la respuesta a incidentes de ciberseguridad, el monitoreo de eventos de seguridad, la conciencia de ciberseguridad de los usuarios y la verificación de antecedentes de los empleados. También es vital recordar que las empresas no pueden externalizar su responsabilidad, tener seguros y contratos no es suficiente.
Propiedad
La brecha de propiedad en la responsabilidad de los riesgos de ciberseguridad es un problema importante que debe ser abordado por las empresas. Los ITSM no son responsables de la seguridad de la información para toda la empresa, y los ejecutivos de nivel C pueden no ser conscientes de que esta responsabilidad recae sobre sus hombros. En última instancia, la responsabilidad se detiene en la puerta del CEO y la junta, y es crucial cerrar esta brecha para garantizar la propiedad adecuada y la responsabilidad de los riesgos de ciberseguridad. Al hacerlo, las empresas pueden tomar las medidas necesarias para protegerse contra las violaciones de la seguridad de la información y salvaguardar su reputación y el precio de sus acciones.
Abordar las dos brechas en tres pasos.
Paso 1: Asigne formalmente las responsabilidades del rol de CISO a individuos o a un solo individuo con líneas directas de reporte de riesgos al CEO. Esto incluye poseer un programa de mejora continua de la seguridad e informar sobre el riesgo de seguridad de la información en toda la organización.
Paso 2: Asegúrese de que la política de seguridad sea integral, firmada por el CEO y aplicada en toda la organización. Educar a los empleados sobre su existencia y sus responsabilidades como parte del programa de concientización sobre seguridad.
Paso 3: Asegúrese de que todos los aspectos de la gestión de la ciberseguridad se llevan a cabo adecuadamente cuando se involucran terceros, por ejemplo, la gestión del acceso a las cuentas de Facebook. Gestione a sus proveedores/terceros y realice la debida diligencia de ciberseguridad en todos sus proveedores con los que comparte información. Asegúrese de estar completamente al tanto de los riesgos que puedan traer, tenga en cuenta los riesgos de terceros y los cambios en el perfil de riesgo. Ayudar a los proveedores a mejorar su ciberseguridad.
Trudexia
Con Trudexia, puede administrar fácilmente a todos sus proveedores y realizar una diligencia debida exhaustiva de ciberseguridad en todos sus socios que comparten información. Aléjese de los enfoques ad hoc y fragmentados y adopte la evaluación continua de todos sus proveedores para mejorar su rendimiento de ciberseguridad. Trudexia le permite personalizar su enfoque para garantizar que todos los riesgos se gestionen de manera efectiva. Mejore la seguridad de los proveedores con planes de acción automáticos y evalúe, supervise e informe continuamente sobre su rendimiento.