Framework de Cybersecurity y GRC: el aliado más confiable en tu empresa

Publicado por Equipo de Investigación ORCA el 18 de febrero de 2019

Vivimos en un mundo altamente competitivo, cuya exigencia es la de siempre estar listos para cumplir los objetivos planteados de la manera más eficiente posible. Nuestro Framework de Cybersecurity y GRC es precisamente el aliado que te ayudará a cumplir con estas metas, ya que va más allá de la cyberseguridad. Conócelo.

¿Qué es nuestro Framework de Cybersecurity y GRC?

Como su nombre lo indica, es un marco integral de soluciones en seguridad y control de riesgos enfocadas en las necesidades reales de tu organización para minimizar vulnerabilidades y amenazas, haciendo un análisis transversal de todos sus niveles e identificando los principales riesgos y brechas para así conseguir el fortalecimiento general del manejo de información a través de una cultura de seguridad que robustece a la organización misma. Para ello, actuamos en cinco momentos, que a su vez se despliegan en diferentes aspectos del negocio:

Framework-de-Cybersecurity-y-GRC-Comprension-del-negocio.

Comprensión de la organización. Es el momento fundacional. Aquí se indaga sobre el contexto del negocio: situación del sector, mercado en el que se compite, previsiones y antecedentes, etc. En cuanto a las acciones sobre los diferentes aspectos de la empresa, operamos de la siguiente manera:

·Personas: se comprende la estructura organizacional con enfoque en roles y responsabilidades. Se ahonda en las estructuras de control (en caso de existir).

·Procesos: se conocen los procesos nucleares y los procesos claves en su relación con los activos que se manejan.

·Normativas: se revisa el marco normativo y de control aplicable.

·Ejecución: se recaba información sobre la capacidad de respuesta.

Framework-de-Cybersecurity-y-GRC-Analisis

Análisis. Una vez obtenida toda la información precitada, se pasa a su análisis, mismo que se despliega sobre los aspectos previamente mencionados.

·Personas: se investiga quién tiene responsabilidad sobre determinada información. Asimismo, se diagnostica la cultura de seguridad existente y se compara la estrategia y política de seguridad de la organización contra las prácticas realmente llevadas a cabo.

·Procesos: se analizan los objetivos operativos y se contrastan con los impactos que sobre ellos tienen las medidas de control. Se hace también un análisis de riesgos en el proceso productivo así como la postura de la organización ante ellos.

·Normativas: se verifica el nivel de aplicación del marco normativo con arreglo al modelo de evaluación y control de riesgos y se establecen mejores prácticas.

·Ejecución: se analizan los sistemas de información usados para conocer sus vulnerabilidades y brechas, así como los procedimientos de manejo de incidentes de seguridad y manejo de crisis, para al final, elaborar una estrategia para la defensa en profundidad.

Framework-de-Cybersecurity-y-GRC-Alineacion

Alineación. Momento de comenzar a ajustar los objetivos de manera coherente para mejorar la coordinación de las distintas partes de la estructura organizacional.

·Personas: comienza el proceso de construcción de una cultura de seguridad, alineando las estrategias y políticas corporativas con los objetivos de control y los objetivos comerciales, estableciendo o reforzando la estructura de roles y responsabilidades en relación con los sistemas de información.

·Procesos: se clasifica la información, identificando, tipificando y priorizando los activos. Se mapean los procesos y se contraponen con las mejores prácticas.

·Normativas: se calibra el modelo de control de riesgos con los objetivos y las métricas del desempeño para alinearse posteriormente con el marco normativo. Se analizan las mejores prácticas aplicables.

·Ejecución: se aplican las mejoras de prioridad crítica. El modelo de gestión y escalamiento se alinea con los objetivos superiores de la organización dando como resultado una arquitectura de seguridad alineada.

Framework-de-Cybersecurity-y-GRC-Operacion

Operación. Se pone en práctica todo lo analizado en las fases de arriba mencionadas, aspecto por aspecto, como se describe a continuación.

·Personas: se integran los órganos internos de gobierno y control, con prácticas de control de acceso y segregación de roles. Se establece una cultura de seguridad que esté en armonía con el marco de control establecido.

·Procesos: se implementan las mejoras operativas. Administración y manejo de los activos de información, TICs y RRHH.

·Normativas: implementación de modelo de control de riesgos en los procesos operativos, ponderando los activos. Se asegura la aplicación del marco normativo a través de la mejores prácticas.

·Ejecución: se establecen las prácticas de prevención e inteligencia en seguridad y se ajusta el proceso de manejo de incidentes logrando así fortalecer los sistemas de seguridad y defensa perimetral.

Framework-de-Cybersecurity-y-GRC-Fortalecimiento

Fortalecimiento. Esta es la parte recursiva del Framework de Cybersecurity y GRC, la cual propicia que el ejercicio de control de riesgos y de seguridad sea una práctica cotidiana de la organización como un todo, y no acciones aisladas para problemas manifiestos.

·Personas: se revisa periódicamente la efectividad de los órganos internos de control y se calibran según se necesite. Permanentemente hay revisiones aleatorias, así como una activa concienciación basada en el marco de control y objetivos de la organización.

·Procesos: mantenimiento activo del inventario así como clasificación de activos.

·Normativas: se aplican métricas de desempeño en seguridad usando indicadores clave de riesgo, atendiendo el marco normativo. Se llevan a cabo revisiones regulatorias y auditorías. Mejora incremental permanente.

·Ejecución: mediciones continuas de la efectividad de los procesos y medidas de seguridad implementadas a través de simulaciones para fortalecer de manera constante las TICs. Monitoreo y control permanente de infraestructura.

Como apoyo fundamental para nuestro modelo, utilizamos la tecnología ORCA software GRC SaaS, plataforma para concentrar toda la información, métricas, efectividad de controles, tareas y responsables que hacen posible la debida ejecución, facilitando el proceso completo.

Nuestro modelo es cíclico y busca la seguridad en todos los niveles de la organización, en cada proceso, en cualquier momento.

Para una comprensión cabal de cómo se puede aplicar a tu organización en específico, pide asesoría haciendo clic en el botón de abajo y descubre un nuevo nivel de control y seguridad con el aliado más confiable.

SOLICITA ASESORÍA