Los departamentos de TI y de conformidad colaboran con mayor frecuencia
Integración de TI y cumplimiento de la normativa
En la actualidad, un marcado cambio de los silos de TI y los equipos de cumplimiento está dando lugar a una convergencia departamental para muchas empresas. Se ha demostrado que un esfuerzo de refuerzo y consolidación entre TI, seguridad y GRC beneficia a la postura general de seguridad de la organización, y muchas empresas están haciendo el cambio.
He aquí por qué: dado el virulento panorama de la seguridad actual y las exigencias de cumplimiento cada vez mayores para todos los sectores, el cumplimiento debe estar integrado en los diseños de TI, no añadirse después. Los diseños de TI no deben avanzar sin la bendición de GRC. Incorporar el cumplimiento desde el inicio de un proyecto de TI es mucho más fácil de ejecutar que adaptarlo.
Parte de la función de GRC no es sólo garantizar el cumplimiento, sino también crear y aplicar políticas. En colaboración con los equipos de seguridad y TI, una de las responsabilidades de GRC es comprender lo que requiere protección y las políticas adecuadas necesarias para respaldar dicha protección. Históricamente, los equipos de TI y seguridad a menudo ejecutaban proyectos y políticas autoestablecidas que no se originaban necesariamente en GRC, cuyo impacto negativo era ser hackeado. Cuando TI y Seguridad y GRC trabajan juntos, el cumplimiento se convierte en una influencia más prominente, y desempeña un papel tangible en la seguridad de TI.
Cuanto antes se involucre la GRC en TI, mayor será el beneficio. La implantación de un sistema conforme desde el principio es el escenario ideal de implantación de TI, sencillamente porque, por lo general, una organización nunca puede ser más segura. Si se despliega un sistema, la seguridad no puede aumentar con el tiempo, pero sí degradarse. Además, TI se ocupa de los mecanismos reales utilizados para controlar los activos, pero determinar los controles más adecuados para los sistemas es tarea de GRC.
Comparación de las competencias en TI, seguridad y GRC
Los gestores de riesgos y los especialistas en TI difieren en que un gestor de riesgos se ocupa de comprender el valor de los activos de TI y sus exposiciones potenciales, mientras que un especialista en TI o seguridad se centrará más en los controles técnicos reales necesarios para proteger un activo específico.
| Informática y seguridad | GRC |
|
|
Tanto TI y seguridad como GRC han redactado políticas en el pasado, y es comprensible; cada grupo se ocupa de muchas de las mismas máquinas. Hoy en día, la integración entre TI y seguridad y GRC es cada vez mayor, con menos solapamiento entre responsabilidades para una mayor eficiencia y seguridad globales. El desarrollo integrado de la política de TI, y su cumplimiento, es clave para lograr una postura de seguridad óptima.
Gestión de la fusión de departamentos
La definición de roles es absolutamente crítica. Dado que ambos grupos fueron en su día máquinas independientes con funciones que se solapaban, la creación de cargas de trabajo responsables de las políticas, el desarrollo de controles, el cumplimiento y el riesgo debe ser de naturaleza singular en todos los departamentos.
La creación de cargas de trabajo que definan cómo se producen los informes, se adoptan los sistemas y se crean las políticas garantizará que las implantaciones técnicas se desarrollen sin problemas. La fusión es una cuestión de funciones, definición y establecimiento de expectativas dentro de los departamentos. Ambos departamentos siguen aportando un valor independiente, pero hacen cosas diferentes. Siempre ha sido un error que la seguridad y la TI elaboren políticas desprovistas de riesgo y cumplimiento: aceptar el cambio sólo contribuirá a la seguridad de su empresa.
CSS desarrolla controles y políticas de forma continua ayudando a los clientes con el desarrollo dentro del marco GRC. Si su organización de seguridad desea obtener más información, póngase en contacto con nosotros para hablar sobre sus necesidades de cumplimiento de ciberseguridad.
