La ciberseguridad pesa hoy en día sobre las empresas. Los problemas de ciberseguridad no sólo son cada vez más frecuentes y graves, sino que son cada vez más complejos, por lo que es difícil evitar que se produzcan, sobre todo si las organizaciones consideran que los departamentos de TI son sus únicas barreras.
Lee: «Cómo gestionar 3 grandes amenazas de ciberseguridad para los departamentos de TI».
Y aunque es importante preparar a tu departamento de TI para el éxito en la lucha contra las violaciones de datos y similares, la ciberseguridad no puede ser responsabilidad exclusiva de los departamentos de TI, al igual que la gestión de riesgos no puede ser responsabilidad exclusiva de los departamentos de gestión de riesgos, y el cumplimiento no puede ser responsabilidad exclusiva de, bueno, los departamentos de cumplimiento. Pero si todo es trabajo de todos, ¿cómo puede alguien hacer cualquier trabajo?
La integración es la clave
Es una pregunta justa. Y la respuesta es integración. Las organizaciones deben asimilar sus diferentes departamentos y unidades de negocio; consolidar y homogeneizar los datos o la información para que sea coherente y relacionable en toda la organización; e instituir y automatizar los procesos para que puedan cumplirse las políticas, lo que te permitirá estar al tanto de los riesgos, ya estén relacionados con la cibernética o con cualquier otra cosa.
Sin embargo, para conseguirlo, las organizaciones necesitan desplegar una gestión integrada de riesgos estrategia que reúna todas las áreas de riesgo de forma eficaz y eficiente. Además, una estrategia gobierno, riesgo y cumplimiento respaldado por un marco de cumplimiento unificado, debe ser inherente a la estrategia de gestión de riesgos integrada de tu organización.
«Leer, Riskonnect adquiere Aruvio, amplía la oferta de gobierno, riesgo y cumplimiento».
Esto se debe a que las empresas están constantemente en un estado fluido de gestión del riesgo en toda su empresa. Y si no están tomando decisiones en el contexto de las normativas o los marcos, entonces están en peligro.
Sin embargo, las organizaciones pueden seguir corriendo riesgos incluso cuando toman decisiones en un contexto así, porque es una verdadera lucha mantenerse al día con innumerables normativas a través de una multitud de procesos y retos empresariales, que van desde la ciberseguridad hasta los minerales conflictivos minerales conflictivos a Sarbanes y Oxley.
Pero consideremos por un momento las normativas de ciberseguridad por sí solas. De hecho, consideremos la ciberseguridad únicamente dentro del sector de los seguros, sólo para poner de relieve cómo un reto desde la perspectiva de una parte de un sector -sólo una pequeña pieza del rompecabezas- puede, aun así, dar lugar a tantas normativas.
La mayoría de las organizaciones del sector de los seguros deben tenerlo en cuenta:
- 45 CFR Parte 164 Seguridad y privacidad
- NIST 800-53r4
- ISO 27001
- Ley Modelo de Seguridad de Datos de Seguros (NAIC MDL 668)
- Normas para Salvaguardar la Información de los Clientes Reglamento Modelo (NAIC MDL 673)
- Regulación de la privacidad de la información financiera y sanitaria de los consumidores (NAIC MDL 672)
Naturalmente, existen solapamientos y lagunas entre estos requisitos. Además, a veces se modifican independientemente unos de otros. Así, mientras que dos requisitos pueden haber sido muy similares en el pasado -lo que permite utilizar el mismo marco para aplicar o mantener el cumplimiento-, incluso ligeras modificaciones pueden desencadenar un efecto dominó de cambios en los marcos de cumplimiento.
Importancia del Marco de Cumplimiento Unificado
Por eso es tan útil un marco de cumplimiento unificado. Armoniza todos los requisitos de cumplimiento aplicables en una organización y tiene la capacidad de:
- Extraer Mandatos: Define reglas para extraer Mandatos de Citas dentro de Documentos de Autoridad.
- Asignar Mandatos a Controles Comunes: Asigna Mandatos de todas las Citaciones a Controles Comunes y, cuando sea necesario, crea nuevos Controles Comunes.
- Informe Exactitud de Mapeo: Calcula el porcentaje de precisión de coincidencia al etiquetar Mandatos y asignarlos a Controles Comunes.
- Estandarizar las auditorías: Aprovecha una estructura estandarizada para auditar la aplicación de los Controles Comunes.
Sin estas cuatro capacidades, el cumplimiento unificado no puede tener lugar. Tampoco puede tener lugar sin la tecnología adecuada. Las herramientas automatizadas de cumplimiento unificado integradas en la tecnología adecuada de gestión integrada de riesgos son especialmente potentes.
Los usuarios pueden importar sus selecciones de documentos de autoridad a su sistema de información de gestión de riesgos integrado. La integración entre el Marco Unificado de Cumplimiento y el sistema de información de gestión de riesgos permite a los usuarios identificar y colmar lagunas. Además, pueden identificar solapamientos que les permitirán cumplir una sola vez múltiples mandatos. La auditoría también se simplifica enormemente.
Cuando se integran el Marco de Cumplimiento Unificado y el sistema de información de gestión de riesgos integrado adecuado, los usuarios se benefician de:
- Una experiencia de usuario sencilla
- Personalización
- Automatización
- Análisis robusto y flexible (análisis de carencias, racionalización, redundancia)
- Posicionamiento defendible
- Reducción del coste de cumplimiento
- Mayor precisión
A la luz de la constante oleada de incidentes cibernéticos y de privacidad, es fundamental institucionalizar la gestión del riesgo normativo en toda la empresa extendida. Las organizaciones que adopten un enfoque integrado del cumplimiento normativo y la gestión de riesgos e inviertan en tecnología que pueda respaldar tal esfuerzo saldrán beneficiadas.
El sistema de información de gestión de riesgos adecuado se integrará con el Marco de Cumplimiento Unificado para clasificar, operacionalizar y automatizar el cambio normativo en inteligencia procesable y posiciones defendibles, reforzando los mecanismos de defensa preventiva y la resistencia.
Escucha nuestro seminario web, «Fortalecimiento de los principios de gestión del riesgo cibernético de defensa en profundidad con la gestión integrada del riesgo normativo». para saber más.
