Guía Esencial

Navegue en las secciones

BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Este contenido es parte de Guía Esencial: Guía Esencial: Evolución de la seguridad de la información
P
Resolver Problemas Consiga ayuda para problemas específicos con sus proyectos, procesos y tecnologías.

La importancia de un órgano de gobierno de seguridad de TI

Una directiva de gobierno de seguridad de TI es clave en el presupuesto de seguridad, ¿pero quién elabora este órgano? Aquí algunos tips...

Para conseguir una mejor relación al invertir en seguridad, mi organización está planeando crear un órgano de gobierno de seguridad de TI para debatir inicialmente cuáles riesgos son los más frecuentes para el negocio, y después asignar nuestro presupuesto de seguridad. ¿Quién debe pertenecer a este grupo y cómo deberían definir el riesgo?

El hecho que persigue a todos los profesionales de seguridad de la información es que nunca habrá suficientes recursos para mitigar cualquier riesgo potencial de seguridad. Es el trabajo del CISO tomar estas decisiones críticas acerca de dónde asignar los limitados recursos de la organización para mitigar al máximo los riesgos. Esta es la teoría, pero la aplicación práctica puede ser aún más difícil, ya que el equilibrio entre el riesgo de la organización y los recursos disponibles continúa cambiando. Es muy importante crear un cuerpo de gobierno de la seguridad de TI que ayude a priorizar los riesgos y crear apoyo para cuando se requieran más recursos para proteger a la organización.

La estructura del órgano de gobierno de seguridad puede variar ampliamente dependiendo de la estructura de la organización. Sin embargo, es común que los representantes provengan de estos departamentos de la organización: recursos humanos: legal, cumplimiento, auditoría interna, así como tecnologías de la información y seguridad. Esto ayuda a crear un ambiente donde cada departamento siente que tiene un papel en la creación de políticas de seguridad. El CISO puede utilizar este órgano de gobierno como una plataforma para discutir los riesgos y aumentar el apoyo para avanzar con las difíciles decisiones de seguridad de información. El órgano de gobierno ayuda al CISO a preservar el capital político y aumentar la influencia política, que es fundamental en el impulso de la política de seguridad de la información.

Una vez formado el órgano de gobierno, el siguiente reto para el CISO es presentar los riesgos de seguridad de información en este foro. Por lo general, el mejor enfoque es comenzar por la clasificación de los activos de información de la organización y hacer una valoración para su protección. Yo prefiero el método OCTAVE, pero hay muchos modelos diferentes disponibles. Utilizar un modelo permite que el CISO presente la información de riesgos no técnicos al órgano de gobierno en un formato que ellos entenderán. Por ejemplo, el valor de que la información del cliente dentro del sistema de CRM o la información financiera almacenada dentro del sistema ERP estén disponibles. El CISO puede entonces presentar al órgano de gobierno los riesgos para estos sistemas de información y los recursos necesarios para mitigarlos. El órgano de gobierno puede no estar de acuerdo con el lugar donde se están desplegando los recursos y ofrecerá nuevas aportaciones en la asignación de los recursos limitados.

La importancia de un comité de gobierno de seguridad de la información no puede ser subestimada. Es una de las primeras cosas que un CISO debe establecer en una nueva posición. Nunca habrá suficientes recursos monetarios u organizacionales para mitigar todos los riesgos potenciales para nuestros sistemas de información. Un órgano de gobierno con representación de una variedad de departamentos no técnicos ayuda a tomar decisiones difíciles sobre políticas de seguridad y consigue los mejores resultados de los limitados recursos. También ayuda a difundir la conciencia de seguridad de información por toda la organización y aumenta dramáticamente la eficacia del CISO.

Investigue más sobre Auditoría de seguridad y el cumplimiento de normas

¿Qué necesita resolver?

Por favor, añada un título para su pregunta

Obtenga respuestas de un experto de TechTarget en lo que sea que necesite resolver

Usted será capaz de añadir detalles en la siguiente página

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close