La gobernanza, el control de riesgos y la adecuación a normativas como elemento central de todo programa de ciberseguridad

En el mundo de la ciberseguridad, la gobernanza, el control de riesgos y la adecuación a normativas (a menudo abreviados con las siglas GRC, correspondientes a governance, risk and compliance) son, con frecuencia, preocupaciones secundarias y suelen contemplarse como elementos burocráticos que interfieren en la prevención de amenazas. Sin embargo, nunca deberemos subestimar su importancia. Un programa de GRC claro y eficiente es la base que las organizaciones necesitan para alcanzar sus objetivos en materia de seguridad y adecuación a normativas. De adoptarse correctamente, esta forma proactiva de entender la ciberseguridad contribuirá a minimizar las respuestas reactivas ante incidentes por parte de las empresas.

Un programa de seguridad no está completo sin un programa de GRC

La ciberseguridad se compone de tres elementos fundamentales: gente, procesos y tecnología. De los tres, solemos centrar nuestra atención en la tecnología con más frecuencia, a pesar de ser probablemente el elemento más sencillo de controlar. Sin embargo, para que una empresa pueda alcanzar todos sus objetivos en materia de seguridad, deberá tener en consideración los tres elementos, adoptando un planteamiento programático flexible y abierto a cambios de escala. En AWS consideramos que un programa de GRC eficaz resulta crucial para lograrlo, ya que garantiza que se toma una perspectiva de conjunto, al tiempo que se aborda la abrumadora misión de garantizar la ciberseguridad. Al fin y al cabo, automatizar procesos mal diseñados utilizando las últimas tecnologías no mejorará el proceso en sí, ni los resultados que se obtengan. 

Tomemos como ejemplo a un empleado de seguridad que se ve en la situación de tener que monitorizar y mitigar cuatro eventos de seguridad. Sin un programa de GRC, el empleado no tendrá contexto sobre el riesgo que representan estos eventos para el negocio o sus repercusiones a efectos de adecuación a las normativas. Esto se traduce en que el empleado deberá contar únicamente con la tecnología y procesos estancos para resolver los eventos. Como consecuencia de ello, el empleado corre el riesgo de asignar las prioridades incorrectamente, dando prioridad al evento menos grave; algo que no sucedería de contar con un programa de GRC.

Las GRC tienen una relación simbiótica

Aunque solemos entender la gobernanza, el análisis de riesgos y la adecuación a normativas como labores diferenciadas, adoptar una perspectiva integral a la hora de abordar estos componentes fundamentales nos deja patente las relaciones simbióticas que los unen. 

La gobernanza garantiza que las actividades de la organización se realizan en armonía y consonancia con sus objetivos de negocio. Los riesgos asociados a las actividades de la organización se han de identificar y controlar de formas compatibles con sus objetivos de negocio. La adecuación a normativas permite llevar a cabo todas las actividades de la organización de forma que se adecúen a la legislación y normativas que puedan ser de aplicación a sus sistemas. Estos tres aspectos se combinan para crear una filosofía que permitirá a la empresa conformar su arquitectura, ingeniería y operaciones de seguridad y armonizarlas con sus objetivos de negocio, al tiempo que gestiona eficazmente sus riesgos y cumple sus objetivos en materia de adecuación a normativas. 

Pero, ¿cómo podemos aplicar un programa de GRC a gran escala y asegurarnos de que es parte intrínseca de nuestra organización? 

Cómo aplicar un programa de GRC a gran escala

En lo que respecta a las GRC, no hay soluciones universales. Y no debería haberlas; ya que la amplitud y profundidad de los programas de GRC variarán considerablemente de una empresa a otra. Sin embargo, independientemente de la complejidad de un programa, siempre cabe la posibilidad de transformarlo o de variar su escala para la adopción de servicios en la nube, tecnologías emergentes y otras innovaciones futuras que desconocemos. 

Gobernanza

Para establecer unos principios básicos de gobernanza, antes resulta vital identificar los requisitos que debemos cumplir en materia de adecuación a normativas. Esto pasa por investigar y comprender las obligaciones contractuales, marcos normativos que debemos cumplir y los estándares que busquemos cumplir. 

Una vez hecho esto, deberemos analizar nuestro programa para comprender las capacidades y madurez de nuestro actual perfil, determinar cuál es nuestro perfil objetivo y crear un plan para alcanzarlo. Nuestra estrategia deberá considerar aspectos como la procuración de recursos, DevSecOps, gestión, seguridad y la asignación de los recursos humanos y de seguridad, incluyendo la definición y asignación de funciones, roles y responsabilidades. 

Por último, deberemos actualizar y divulgar nuestras nuevas políticas, procesos y procedimientos para formar a nuestros empleados y garantizar que se cumplen los criterios de gobernanza y ciberseguridad. Vuestras políticas deberán estar en clara armonía con vuestros objetivos de negocio. Al mismo tiempo, vuestros procesos deberán especificar cómo actualizar tecnologías obsoletas para la adopción de técnicas más modernas de gestión y organización, y cuáles serán los procedimientos para integrar servicios en nube y otras tecnologías emergentes.

Control de riesgos 

La segunda fase a la hora expandir la escala de vuestra política de GRC será analizar con detenimiento vuestras estrategias de gestión de riesgos. Para ello, resultará crucial realizar un análisis de riesgos de cada aspecto de la organización, cada división de negocio y cada tipo de recurso. Una vez completado y una vez tengáis total visibilidad sobre los riesgos a los que se enfrenta vuestro negocio, deberéis implementar un plan para mitigar, evitar, transferir o asumir riesgos en cada nivel del negocio, cada división y cada tipo de recursos. 

Existen marcos de gestión de riesgos que pueden utilizarse para monitorizar sistemas mediante la selección de controles y riesgos que pueden ser monitorizados continuamente y ante los que cabe adaptarse conforme crece el negocio y el panorama de ciberamenazas crece. El último estadio es el de incorporar la información sobre los riesgos en los procesos de toma de decisiones de la directiva de la empresa. En términos sencillos, deberemos convertir en algo rutinario el preguntarnos cuáles son los riesgos de cada decisión que se tome a efectos financieros, jurídicos, de reputación y de ciberseguridad. Sólo engranando esta filosofía como elemento central de vuestra cultura empresarial podréis aseguraros de que tenéis total visibilidad sobre los riesgos que asume vuestra empresa a la hora de tomar importantes decisiones de negocio en pos de su crecimiento. 

Adecuación a normativas

En estrecha relación con la gobernanza, la adecuación a normativas permite definir las políticas, estándares y controles de seguridad necesarios que utilizaremos para garantizarla y monitorizarla. Así, además de recabar los informes generados por nuestros controles de monitorización, deberemos reevaluar proactivamente nuestros recursos de seguridad y garantizar que cumplen con las necesidades del negocio. Esto pasa por automatizar el testeo de seguridad de las aplicaciones y escaneos de vulnerabilidades, realizar evaluaciones a partir de muestras tomadas de nuestros controles, así como ser muy críticos con cambios pequeños, banderas rojas y eventos que pudieran representar un riesgo.

Además, deberéis estar dispuestos a adaptar vuestros procesos en respuesta a los eventos y los cambios que afecten a vuestro riesgo. Las ciberamenazas evolucionan y ganan en sofisticación, por lo que vuestra estrategia de seguridad deberá hacerlo en igual medida. Integrar vuestras operaciones de seguridad con el equipo encargado de velar por el cumplimiento de las normativas a la hora de planificar la respuesta resulta clave, como también lo es fijar protocolos estandarizados con los que responder ante cambios no intencionados. 

Cómo dar mayor prioridad a las GRC en vuestra empresa

Resulta imposible crear una estrategia para la ciberseguridad fiable y sólida sin un programa eficaz de GRC. Por ello, resulta vital que las empresas entiendan las GRC como un elemento central de sus actividades, si realmente quieren cumplir sus objetivos en materia de seguridad y de adecuación a normativas. De hacerlo así, podrán asegurarse de que cuentan con los componentes necesarios para crecer, adaptarse y evolucionar a medida que su negocio crece y los marcos reguladores cambian. En AWS tenemos muy clara la importancia de las GRC para nuestros clientes y el papel crucial que desempeñan para cualquier empresa. Al trabajar con un proveedor de servicios en la nube capaz de apoyar, implementar y asesorar en todo lo relacionado con programas de GRC, las empresas contarán con la tranquilidad de que tienen un control sobre sus GRC capaz de protegerlas ante las amenazas más sofisticadas, tanto presentes como futuras.

La entrada La gobernanza, el control de riesgos y la adecuación a normativas como elemento central de todo programa de ciberseguridad aparece primero en Globb Security.