Riesgos de la información se
ha convertido en un tema principal de la mente de muchos líderes de negocios y
(IRMS) los profesionales de seguridad de gestión de riesgos de la información. En gran parte impulsado por una mala
comprensión de las actividades y los motivos de cada uno, estos dos grupos
históricamente han tenido desafíos que interactúan entre sí. Es decir, los líderes empresariales
reconocen y aceptan la necesidad de tomar riesgos ya menudo incentivar a sus
electores para llevarlo así a fin de lograr los objetivos de negocio; por el contrario, los profesionales IRMS
están acusados de minimizar los riesgos y garantizar la infraestructura de
información de su organización y los activos de datos asociados están
debidamente protegidos. La
mejor manera para que estas partes para reducir la fricción y satisfacer sus
necesidades individuales es desarrollar mutuamente y mantener un perfil de
riesgos de la información de que ambos pueden usar para guiar a sus respectivas
actividades.
Un
perfil de riesgos de la información documenta el tipo, cantidad y prioridad de
riesgos de la información que una organización considera aceptable e
inaceptable. Este perfil se desarrolla en colaboración con
numerosas partes interesadas en toda la organización, incluyendo los líderes
empresariales, los datos y los dueños de procesos, gestión del riesgo
empresarial, auditoría interna y externa, legal, cumplimiento, privacidad y
IRMS.
Establecimiento sobre la debida diligencia
En
la comunidad jurídica el debido cuidado puede definirse como el esfuerzo
realizado por un partido normalmente prudente o razonable para evitar un daño a
otro, tomando en cuenta las circunstancias. 1 Cuando
se aplica a IRMS, el debido cuidado se considera a menudo una consideración y
estándares tales como el cumplimiento técnico la Payment Card Industry Normas
de Seguridad de Datos (PCI DSS) o Instituto Nacional de Estándares y Tecnología
(NIST) directrices se hace referencia a menudo. Si bien estas normas
pueden ser eficaces en la prestación de una orientación amplia, una
organización debe desarrollar su propio punto de vista de la diligencia debida
y de su propia capacidad para implementar y mantener las habilidades para
apoyar este punto de vista. Un perfil de riesgos de la información puede
ser una herramienta muy valiosa para ayudar a los líderes y tomadores de decisiones
en el establecimiento de esta orientación y comunicación eficaz de la
información y el riesgo de datos apetito y expectativas.
Permitir que los responsables públicos para tomar
decisiones
Por
lo general, existe fricción entre los tomadores de decisiones y profesionales
IRMS debido a sus percepciones erróneas de unos a otros. Los líderes
empresariales y tomadores de decisiones a menudo ven requisitos IRMS y
profesionales como obstáculos en su camino hacia el éxito. Al mismo tiempo, los
profesionales IRMS a menudo ven los empresarios y tomadores de decisiones como
individuos que no están informados lo suficiente como para comprender el valor
de sus actividades y los requisitos asociados. El detalle y documentación de la
información apetito y expectativas de riesgo de la organización eliminar las
suposiciones subjetivas menudo omnipresentes que los profesionales IRMS usan
para guiar sus acciones y actividades.
IRMS
profesionales que aprovechan eficazmente el perfil de riesgos de la información
tienen ahora una herramienta fundamental sólida. Pueden hacer referencia al
perfil de riesgos de la información que fue desarrollado y aprobado por los
líderes de negocio de la organización y los tomadores de decisiones. Si IRMS
profesionales son eficaces en demostrar su orientación y las acciones se
alinean con el perfil, los líderes empresariales y tomadores de decisiones se
ven obligados a pensar seriamente en ellas y, o bien ajustar el perfil de
riesgo de la información de la organización para dar cabida a las peticiones o
modificar sus requisitos para estar en la alineación. Esto crea una oportunidad
para IRMS profesionales a participar en las actividades de consulta y
colaboración.Juntos, pueden desarrollar un plan que ofrece un resultado
positivo y cumple con los requisitos, mientras que todavía la alineación con
las expectativas de gestión de riesgos de la información de la organización.
Relación con ERM Actividades
Gestión
del riesgo empresarial (ERM) es un concepto en evolución e importante dentro de
muchas organizaciones e incluye la gestión de riesgos de la información como
una de sus funciones. El uso de un perfil de riesgos de la información es a
menudo una forma efectiva para que los profesionales de seguridad tradicionales
se integren con este concepto. El perfil proporciona información y directrices
importantes relacionadas con la identificación y gestión de riesgos de la
información. La función de ERM puede entonces aprovechar esta información, ya
que calcula el riesgo global de la empresa y desarrolla los objetivos de
control y prácticas de gestión para controlar y gestionar de manera eficaz. La
estructura del perfil proporciona un marco que organiza fácil y lógica de datos
para la organización de apalancamiento según sea necesario.
Información Perfil de riesgo Estructural
Perfil
de riesgo de la información de una organización debería estar estructurado y
formateado de una manera que demuestra rápidamente su valor y la intención de
la organización, es fácil de entender y aplicable a la organización como un
todo, y es visto como útil y beneficioso para sus líderes y grupos de interés.
Lo siguiente puede ser útil en el cumplimiento de estos objetivos.
Principios Estratégicos
El
perfil de riesgo de la información de una organización debería incluir
principios alineados con ambos sus directrices estratégicas y las actividades
de apoyo de su programa y capacidades IRMS guía. Esta información debe aparecer
temprano en el perfil para que el lector pueda comprender su contexto y la
intención. Principios comunes incluyen los siguientes:
- Asegurar la disponibilidad de los procesos de negocio clave, incluyendo datos y capacidades asociadas.
- Proporcionar una identificación precisa y evaluación de amenazas, vulnerabilidades y el riesgo asociado para permitir que los líderes empresariales y los propietarios de los procesos para tomar decisiones de gestión de riesgos con conocimiento de causa.
- Asegúrese de que los controles de mitigación de riesgos apropiadas son implementadas y funcionando correctamente y se alinean con las tolerancias establecidas riesgo de la organización.
- Asegúrese de que la financiación y los recursos se asignen de manera eficiente para garantizar el más alto nivel de mitigación de riesgos de la información.
Información del
perfil de riesgos Desarrollo
La
transparencia es un aspecto clave para el éxito y la adopción de un perfil de
riesgos de la información. Exactitud y la credibilidad del perfil de riesgo
pueden ser puestas en duda si los métodos, prácticas, materiales básicos y de
inteligencia-, así como las personas que participan en su desarrollo-no se
proporcionan como parte del documento. Esta información se puede hacer
referencia como parte de un apéndice al documento e incluir enlaces a los
propios materiales.
Representación del estado de Empresas de
Información de Riesgos
El perfil de riesgo de la información debe incluir un
análisis del estado actual de los factores de riesgo identificado de
información que tienen una probabilidad razonablemente alta de ocurrencia y que
representaría un impacto material en las operaciones de negocio si se dio
cuenta. Las descripciones de los riesgos deben ser breves y expresado en un
lenguaje que es reconocido y entendido por tanto el personal con la empresa y
orientados a la tecnología.
La representación del estado actual debe incluir también IRM
opiniones, expectativas y necesidades de la organización. Esto debería incluir
la identificación y análisis de las opiniones de los líderes y los accionistas
de la empresa y sus puntos de vista sobre riesgos de la información y de la
seguridad, una descripción de las condiciones de negocio actuales, resultados
de análisis de amenazas y vulnerabilidades actuales y expectativas de las
partes externas (es decir, clientes, socios, proveedores, reguladores). Esto
también puede ayudar en el desarrollo de los objetivos y requisitos de futuro
por el estado.
Objetivos de estado futuro y Requisitos
Los objetivos y requisitos futuro
estatales identifican el estado ideal de la gestión de riesgos de información
para la organización y la información general apetito por el riesgo y la
tolerancia. Esto incluye iniciativas relacionadas IRMS clave que están en curso
o que están pronto a iniciarse; sus líneas de tiempo asociadas para la
terminación; y un breve resumen de los propietarios de la iniciativa,
dependencias clave, y el nivel esperado de reducción de riesgos de la
información en hitos puntos y al finalizar.
Una manera efectiva de evaluar y comunicar los
objetivos y requisitos de futuro por el estado es utilizar un enfoque
Capability Maturity Model (CMM). Una evaluación de las funciones y capacidades
de los estados actuales y futuras que utilizan CMM puede ayudar a una
organización clave identificar fácilmente las áreas de enfoque necesario y la
inversión de las funciones, capacidades y servicios que se requieren. El uso de
un formato gráfico radial ( figura 1 ) para representar estos datos es una
forma efectiva de comunicar la información y es fácil de entender por un
público más amplio.
Procesos clave de negocio y capacidades:
Las organizaciones a menudo
tienen numerosos procesos de negocio y los recursos limitados y ancho de banda
para protegerlos. Es importante identificar los procesos clave del negocio de
la organización y capacidades dentro del perfil-los riesgos de la información
que, de ser afectado negativamente, podría causar un impacto material en las
operaciones de la empresa. A menudo se pueden separar en las funciones
empresariales de apoyo (es decir, la nómina y los beneficios, de mensajería y
comunicaciones, finanzas) y la producción (es decir, generación de ingresos,
regulado contractualmente requerido).
Una fuente fácil, pero a menudo
pasado por alto para obtener una lista de estos procesos y capacidades es la
continuidad del negocio de una organización y / o planes de recuperación de
desastres. Estos planes suelen incluir no sólo a los procesos clave del
negocio, pero también se ubican su nivel de importancia para la organización.
También proporcionan información valiosa sobre el tiempo de recuperación y los
objetivos de punto de recuperación que a menudo se considera en los cálculos de
riesgo.
Principales elementos
de datos
De elementos de datos clave que se identifican y definen en
el perfil de riesgo a menudo incluyen la propiedad intelectual, datos de
transacciones, datos financieros, la información personal no pública, datos de
clientes, información de recursos humanos y otros activos de datos sensibles.
Definición de los elementos de datos clave garantiza que los usuarios que el
perfil de riesgos de la información ofrece un diccionario de datos que ofrece
una comprensión clara de los elementos de datos, así como su valor para la organización.
Identificación de
quienes disponen de datos y las partes interesadas
Todos los datos e información dentro de una organización
debe estar asociado a un propietario de los datos y una o más partes
interesadas. Identificar y evaluar los atributos de propiedad es importante
porque los propietarios e interesados son responsables de sus decisiones de
gestión de riesgos de la información. Esta actividad también puede ayudar en la
identificación de las dependencias que pueden afectar el apetito de riesgo de
los activos de datos, especialmente en situaciones en las que se requieren para
una o más funciones esenciales o procesos de negocio.
Identificación de
Business Value
El valor de la información es a menudo mal entendido y se
basa en las percepciones subjetivas de los propietarios de datos o evaluadores
en lugar de un análisis significativo y cálculo. Un principio básico de la
gestión de riesgos de la información es que el costo de proteger la información
no debe exceder su valor. Para evaluar el valor de la información, a menudo es
más fácil de identificar, comunicar y monitorear el valor de los procesos, en
lugar de los activos de datos. Los procesos pueden ser asociadas a las
actividades de la organización, tales como la generación de ingresos, el núcleo
y las operaciones generales, y el logro de los objetivos estratégicos del
negocio. El perfil de riesgos de la información no tiene que cuantificar el
valor exacto de los activos de datos, pero no es necesario para establecer una
representación general de valor para permitir la definición de los niveles
adecuados de clasificación y control.
Clasificación de
Datos Esquema
Para simplificar la gestión de la información, es importante
clasificar los datos en fácil de entender contenedores (ver figura 2 ) asociados
con los objetivos y requisitos que identifican los requerimientos de manejo de
datos de control. Este esquema de clasificación debe ser tan simple como sea
posible a fin de que sea útil para el perfil de riesgos de la información y las
actividades generales de la organización.
El perfil de riesgos de la información debe incluir el esquema de clasificación de datos de la organización y un resumen de los requisitos de control y objetivos asociados. Se recomienda que los esquemas de clasificación de datos contienen entre tres y cinco niveles de definición que contienen objetivos y los requisitos cada vez más firmes y más integrales de control a medida que ascienden.
Nivel de Riesgo y
Categorías
Riesgo niveles y categorías proporcionan un marco que se
puede utilizar para organizar y comunicar riesgos de la información en un formato
fácilmente reconocible. Los niveles de riesgo proporcionan una escala para
representar el nivel de impacto en el negocio de material que resultaría si el
riesgo fuera a hacerse realidad. Las categorías ayudan a definir el tipo de
impacto que probablemente se materialice. Para ser útiles, los niveles y
categorías deben ser simples y de fácil comprensión.
Los siguientes son
ejemplos de niveles de riesgo información:
- Alto cumplimiento material de severo del, / o consecuencias legales y financieras; impacto material significativo en los procesos críticos de negocio y / o las operaciones comerciales; pérdida de confianza y / o daños a la reputación de la marca del cliente
- Medium cumplen cabalmente SIGNIFICATIVAS, consecuencias legales o financieras; impacto material sustancial en los procesos clave del negocio y / o las operaciones comerciales; la confianza del cliente debilitado y / o reputación de la marca
- Low consecuencias -Negligible a no cumplen cabalmente, legales y / o financieros; impacto material mínimo en procesos y / o las operaciones clave del negocio; cambio significativo en la confianza del cliente y / o reputación de la marca
- Los siguientes son ejemplos de las categorías de riesgo de información:
- Confidencialidad -El divulgación de información confidencial a personas o sistemas no autorizados
- Integridad -Impacto a la exactitud y consistencia de los datos y la información
- Disponibilidad -Efecto en la capacidad de acceder a las capacidades y los datos y la información asociada.
Mediante el uso de este método de ajuste del nivel y la
categorización, los procesos clave del negocio y luego se pueden presentar en
forma de un mapa de calor (ver figura 3 ) para visualizar los niveles de riesgo
asociados a la información.
Consideraciones del Material de Impacto de Negocios
Consideraciones sobre el impacto
de negocios materiales son un elemento vital de cualquier perfil de riesgos de
la información. Ellos son el equivalente a las cartas-comúnmente utilizados
para el dolor en los entornos de atención de salud.Un gráfico de dolor
normalmente utiliza una escala numérica o gráfica y permite a un proveedor de
atención médica para comprender el nivel de dolor y el malestar que el paciente
está experimentando con el fin de responder con el nivel adecuado de atención.
En el perfil de riesgos de la información, las consideraciones sobre el impacto
de negocios materiales identificar el impacto de un incidente o pérdida tiene
en términos que sean fácilmente comprensibles y reconocible por la
organización. Estas consideraciones deberían abarcar una serie de categorías,
incluyendo financiero, la productividad, la disponibilidad, la reputación, el
cumplimiento, el socio y la cadena de suministro, y el cliente. He aquí algunas
consideraciones sobre el impacto de negocios ejemplo materiales para una
organización que cuenta con una facturación anual de 500 millones de dólares:
Financiera: Una
pérdida inmediata e imprevista igual o mayor que la siguiente lista
representaría un impacto en el negocio de material para la organización:
Productividad: Una pérdida inmediata y no planificada de
productividad de los empleados igual o mayor que la siguiente lista que
representaría un impacto en el negocio de material para la organización:
Disponibilidad: Una falta total o parcial inmediata de
disponibilidad de uno o más procesos clave del negocio y de la información
asociada a los activos y los sistemas de apoyo representaría un impacto en el
negocio de material para la organización:
Información Clave de Riesgo
y Mitigación de Capacidades identificada
La
identificación de las capacidades de información y de mitigación de riesgo
claves conocidas proporciona una perspectiva de alto nivel sobre la actual
postura de riesgos de la información de la organización. Estos cambios y
evolucionar con el tiempo y debe ser revisada como parte del ciclo de
actualización anual para el perfil de riesgos de la información. Los siguientes
son ejemplos de riesgos de la información clave:
- Visibilidad limitada infraestructura de información y activos de datos sensibles
- La gobernanza y el cumplimiento de la aplicación mínima de procesamiento de terceros, almacenamiento y uso de los activos de datos sensibles
- La falta de una relación de confianza, pero a verificar la estructura de control para limitar el impacto de las amenazas internas
- Capacidad limitada para llevar a cabo y mantener la amenaza y la vulnerabilidad de análisis de los procesos y actividades clave del negocio
- La falta de una cultura de riesgo-consciente y consciente de la seguridad
- IRMS consideraciones limitada en operaciones de producto y ciclo de vida de desarrollo de aplicaciones y tecnología
- Capacidades información Insignificante recopilación de inteligencia de riesgos, procesamiento y comunicación.
Ejemplos de capacidades de mitigación de
riesgos identificados incluyen:
- Expectativa de la adhesión de los empleados a las políticas y normas IRMS
- Los controles básicos de seguridad tecnológica (por ejemplo, firewall, detección de intrusos, cifrado de datos, antivirus)
- La cobertura del seguro de US $ 20 millones para mitigar los costos de respuesta a incidentes y recuperación de los daños a los sistemas de información y datos
- Capacidades de flexibilidad de negocio básico mantenido (de mando y control, respuesta a incidentes, continuidad del negocio, recuperación de desastres), lo que reduce el impacto si se realiza un riesgo
Individualmente, estos puntos de datos proporcionan
un valor limitado a la organización. Cuando se ensamblan entre sí, respaldado
adecuadamente y mantenido al día, que pueden proporcionar una visión holística
de la perspectiva de la organización asociada a la gestión de riesgos de la
información.
Ratificación y Actualizaciones
Para el perfil
de riesgos de la información tenga sentido para la organización, el liderazgo y
las partes interesadas deben estar de acuerdo sobre y lo avalan. Es importante
identificar en el documento que aprobó el perfil y cuando fue lanzado. Esto se
puede hacer a través de una tabla de control de gestión del cambio documento.
El perfil de riesgos de la información en sí debe ser revisada, como mínimo,
una vez al año o como cambios en los negocios que tienen un impacto potencial
sobre el apetito de riesgo de información de la organización.
Conclusión
Un perfil de riesgos
de la información es fundamental para el éxito de la estrategia de gestión de
riesgos de la información de una organización y actividades. Proporciona
información valiosa sobre el apetito de riesgo de información de una
organización y las expectativas para la gestión de riesgos de la información.
Riesgo de la Información y profesionales de la seguridad y los programas que
aprovechan eficazmente esta información en sus acciones y actividades pueden
ser confiados en su alineación con los requerimientos del negocio y las
expectativas
