GRC BASADO EN INTELIGENCIA PARA SEGURIDAD DESCRIPCIÓN GENERAL Las organizaciones de hoy se esfuerzan por mantener su infraestructura de negocios y de tecnología organizada, controlable y comprensible, no solo para que su negocio sea rentable, sino porque así lo exige una serie de necesidades de buen manejo y control, seguridad y cumplimiento de normas. Es un verdadero desafío mantener todo en armonía debido a varios factores: la creciente complejidad en los tipos y volúmenes de datos necesarios para administrar con eficacia una empresa, los cambios caóticos en las normativas, leyes y políticas, y la adición de proveedores, partners y consumidores que necesitan acceso en el marco de un panorama cada vez más complejo de amenazas y ataques impredecibles al sistema. A lo largo del tiempo, muchas empresas han tratado de abordar los problemas de buen manejo y control, administración de riesgos y cumplimiento de normas (GRC) conforme van ocurriendo, con un enfoque de sistemas aislados que atiende los requisitos tácticos de manera ad hoc. Esto representa una carga para el personal de TI que debe implementar soluciones para problemas puntuales y de administración con una visión general inadecuada de la información necesaria para tomar las mejores decisiones de negocios. Las organizaciones están operando a un nivel inaceptable de incertidumbre en los aspectos tecnológicos y financieros de su negocio. La implementación de una estrategia de GRC en el panorama competitivo de hoy debe ir mucho más allá de las correcciones rápidas, como la adición de software o la introducción de nuevas políticas. Mediante un modelo de GRC basado en inteligencia, una organización puede dar prioridad a sus recursos de una manera informada, entender mejor las relaciones, interconexiones y responsabilidades del personal de TI y de negocios, e incorporar los comportamientos impredecibles de terceros que, inevitablemente, necesitan tener acceso a la infraestructura de la organización. Informe técnico de RSA GRC basado en inteligencia para seguridad CONTENIDO Descripción general......................................................................................................1 Una estrategia integral de GRC fortalece los vínculos empresariales.............................. 3 Mejor visibilidad.......................................................................................................... 3 Pensar fuera de la infraestructura................................................................................. 4 Conocimientos reveladores.......................................................................................... 4 Puesta en práctica de los planes de acción....................................................................5 Conclusión................................................................................................................... 6 Soluciones de GRC basado en inteligencia de RSA........................................................ 6 página 2 GRC basado en inteligencia para seguridad UNA ESTRATEGIA INTEGRAL DE GRC FORTALECE LOS VÍNCULOS EMPRESARIALES El objetivo de GRC basado en inteligencia es crear una estrategia eficiente y colaborativa de buen manejo y control, riesgo y cumplimiento de normas a nivel empresarial que cubra las áreas de TI, finanzas, operaciones y asuntos legales. Este enfoque holístico proporciona la capacidad de administrar los riesgos, demostrar el cumplimiento de normas y automatizar los procesos de negocios, a la vez que permite administrar el ciclo de vida continuo de las políticas corporativas, evaluar los riesgos y responder a ellos, y crear informes de cumplimiento de los controles internos y los requisitos normativos en toda la empresa. GRC basado en inteligencia proporciona un modelo en capas para la priorización de los recursos, la optimización de los procesos y la automatización de los informes en el marco de las funciones esenciales de seguridad de la empresa. Este modelo se basa en tres premisas fundamentales que permiten a las empresas equilibrar los riesgos, los costos y el acceso de terceros. En primer lugar, GRC basado en inteligencia ofrece visibilidad y contexto externos inmediatos en todos los canales digitales, con el apoyo de la priorización de activos, procesos y responsabilidades. En segundo lugar, esta mayor visibilidad amplía las capacidades de análisis, lo que permite evaluar rápidamente las tolerancias y niveles aceptables de riesgo de las unidades de negocios, y solucionar los problemas más graves. Por último, GRC basado en inteligencia determina la acción correctiva para mitigar cualquier inquietud específica que se tenga, de forma rápida y eficiente. MEJOR VISIBILIDAD Con la gran cantidad de recursos digitales que deben monitorearse, protegerse y registrarse, los equipos de seguridad pueden encontrar más riesgos de los que pueden corregir en la práctica. Tradicionalmente, los equipos de seguridad reaccionan lo más rápido posible a las intrusiones potenciales sin saber a ciencia cierta cuáles son los riesgos que tienen el mayor potencial de un impacto negativo en el negocio. La falta de visibilidad de las áreas de riesgo para el negocio significa desperdiciar tiempo y dinero en seguridad, buen manejo y control, y cumplimiento de normas, sin que se vean resultados. Un modelo de GRC basado en inteligencia es capaz de aumentar la visibilidad de las amenazas de seguridad o los problemas de cumplimiento de normas que pueden ser más perjudiciales, ya que los riesgos se han priorizado previamente en función de una estimación de su gravedad y el impacto en el negocio. Esta mayor visibilidad de las prioridades permite que los equipos de seguridad manejen los ataques de una manera equilibrada que refleja la tolerancia al riesgo de su organización y garantiza que se limiten los daños causados por amenazas significativas sin desperdiciar tiempo ni recursos en solucionar problemas irrelevantes. La creación de un repositorio único con recursos priorizados dentro de un marco de trabajo de GRC basado en inteligencia simplifica el proceso de identificación de recursos digitales y creación de relaciones entre dichos recursos y las personas, los procesos,las aplicaciones y la infraestructura que los rodean. Se facilita la vinculación de los datos a las unidades de negocios propietarias, a los procesos que utilizan los datos, a las instalaciones y los dispositivos que los almacenan, a las aplicaciones que los implementan, y a las personas responsables de ellos. Gracias a esto, la organización puede rastrear el riesgo y el cumplimiento de normas en relación con los productos, servicios y procesos de negocios, asignar responsabilidades para facilitar la distribución de evaluaciones y tareas de cumplimiento, e informar sobre las actividades de cumplimiento a nivel de empresa, división o unidad de negocios con el fin de apoyar la toma de decisiones informada. página 3 GRC basado en inteligencia para seguridad Cuando se analizan las actividades de manera conjunta, se aumenta la eficiencia y se garantiza el cumplimiento de varias normativas al mismo tiempo PENSAR FUERA DE LA INFRAESTRUCTURA Una mayor visibilidad se extiende más allá de los activos internos con una estrategia de GRC basada en inteligencia. La administración de relaciones fuera de la empresa requiere de la misma priorización que en el caso de los activos internos. Por ejemplo, los partners potenciales deben evaluarse para determinar riesgos innecesarios y deben administrarse mediante el uso de métricas que sean relevantes para la organización específica, como perfiles de proveedores, contactos, estados financieros y de seguros, y contratos. Dentro de un marco de trabajo de GRC basado en inteligencia, la visibilidad de las obligaciones de cumplimiento de normas y su alcance se transforman mediante la automatización de una gran parte del proceso de obtención de pruebas. Puesto que las normativas de cumplimiento a menudo se superponen, la eliminación de datos e información del proceso redundantes y el uso de definiciones coherentes y repetibles ayudan a reducir el esfuerzo y los costos y a corregir áreas de incumplimiento. CONOCIMIENTOS REVELADORES La recopilación de datos en tiempo real y su clasificación en función de las prioridades de las métricas que son importantes para el negocio son aspectos cruciales, pero la capacidad de analizar de forma rápida y eficiente esta información es clave para generar la información de negocios pertinente. La comunicación de problemas de seguridad y cumplimiento de normas entre los equipos es a menudo difícil; GRC basado en inteligencia transforma los datos en información accesible y comprensible para los profesionales de la seguridad y de los negocios. Un modelo de GRC basado en inteligencia hace uso de las mejores prácticas, informes y políticas que se adaptan a los requisitos específicos de cumplimiento de normas. Cuando ocurren incidentes, deben detectarse y analizarse de forma rápida para tomar las medidas adecuadas para resolverlos y limitar los daños. Gracias a la recopilación, correlación, análisis y retención de registros de los sistemas en toda la organización, los incidentes se identifican y priorizan en tiempo real. Este proceso no solo muestra los datos afectados, sino también la gravedad del incidente y lo relevante que es para el negocio en general. El análisis de los volúmenes de datos de una sola organización es de por sí una tarea difícil, pero hoy en día las empresas operan como una empresa extendida que incluye proveedores, partners y clientes que utilizan dispositivos que no están bajo el control directo de la organización. Con un modelo de GRC basado en inteligencia, las evaluaciones del riesgo del proveedor se simplifican para evaluar los riesgos inherentes y residuales de acuerdo con las métricas de cumplimiento de normas, seguridad, finanzas, sostenibilidad y resistencia. La automatización de las evaluaciones del riesgo y las calificaciones de cumplimiento de normas proporciona la capacidad de determinar el tipo y el estado de cualquier factor analizado, incluidas las respuestas de los proveedores, así como de hacer un seguimiento del estado de las correcciones. Este análisis puede ampliarse para incluir indicadores clave de rendimiento, objetivos de SLA y el estado de los entregables. Mediante la comparación del rendimiento con métricas predefinidas, la estrategia de GRC basado en inteligencia ayuda a una organización a entender la exposición de riesgos específica del proveedor y a comunicar rápidamente información en tiempo real al resto del personal. página 4 GRC basado en inteligencia para seguridad Un marco de trabajo de GRC basado en inteligencia ofrece políticas eficaces y una administración de políticas igualmente eficaz que permite distinciones para departamentos, personas, aplicaciones y responsabilidades específicos. Estas distinciones se inician durante el proceso de configuración de la administración de políticas, donde se determina quién debe aprobar, revisar o cambiar los niveles de evaluación del riesgo. Este enfoque permite la expansión a otras áreas de la organización, ya que incluye activos digitales de contenido, terceros, requisitos normativos y el conocimiento de la estructura, es decir, las funciones de usuario y la jerarquía de la organización. Esto permite compartir de manera sencilla descriptores de procesos o elementos críticos del sistema ya creados, lo que ahorra tiempo y dinero. Los usuarios de diferentes áreas de operaciones de la organización, TI y la infraestructura de finanzas pueden colaborar y alinear objetivos a través de información común PUESTA EN PRÁCTICA DE LOS PLANES DE ACCIÓN La identificación y priorización de incidentes es solo parte de un proceso de GRC. Sin una estrategia de GRC basado en inteligencia, la comunicación de los incidentes a las personas más calificadas y autorizadas para manejar las necesidades debe hacerse de manera eficiente. El proceso común de actualizar manualmente hojas de cálculo y correos electrónicos para hacer un rastreo y crear informes es muy lento, y en última instancia, es una manera ineficaz de hacer frente a los riesgos del negocio de manera oportuna. El GRC basado en inteligencia se configura para documentar incidentes y asignar equipos de respuesta en función del impacto en el negocio y los requisitos de cumplimiento de normas. Los tableros e informes integrados proporcionan información y ayudan a llevar un registro de tendencias, pérdidas y esfuerzos de recuperación, e incluyen un historial de incidentes y pistas de auditoría. Esto elimina los sistemas aislados de datos y procesos que impiden las comunicaciones necesarias entre los grupos, y permite la creación rápida y sencilla de informes con una consolidación automatizada de la información sobre riesgos y cumplimiento de normas en toda la jerarquía empresarial y la infraestructura operativa. página 5 GRC basado en inteligencia para seguridad Una estrategia de GRC basado en inteligencia funciona en todos los componentes del proceso de cumplimiento de normas. Por ejemplo, las empresas tienen planes de auditoría que enfrentan las actividades frecuentes relacionadas con auditorías. Mediante el control del ciclo de vida completo de auditoría, todo el proceso puede optimizarse para permitir que los equipos se concentren en asuntos prioritarios, a la vez que se integran las funciones de riesgo y control. Este enfoque maximiza la eficiencia sobre la base de una visión dinámica del riesgo. Por ejemplo, la administración del cumplimiento de normas suele estar a cargo de dos grupos diferentes, el equipo de TI y los directores de cumplimiento de normas a nivel del negocio. Al eliminar la brecha entre las herramientas y los procesos utilizados por estos dos grupos, GRC basado en inteligencia relaciona los informes de cumplimiento de normas generados por el equipo de seguridad con los flujos de trabajo de GRC, lo que ofrece a los auditores la capacidad de administrar fácilmente los informes de cumplimiento y dar seguimiento a los resultados. Para apoyar aún más las medidas correctivas, la adaptación de un sistema de GRC a parámetros específicos del negocio es una forma eficaz de hacer frente a los constantes cambios. Tanto el departamento de TI como los usuarios no técnicos deben ser capaces de automatizar los procesos, optimizar los flujos de trabajo, controlar el acceso de los usuarios, adaptar las interfaces de usuario y crear informes en tiempo real con una interfaz gráfica sencilla. La continuidad del negocio es un componente crítico de una estrategia de GRC basado en inteligencia, con un enfoque de continuidad centralizado y automatizado, y una planificación de recuperación de desastres que permite respuestas rápidas en una situación de crisis. Al igual que en los problemas de cumplimiento de normas y riesgos, este modelo evalúa cuáles son los procesos de negocios más críticos y crea planes de continuidad del negocio y recuperación de desastres mediante un flujo de trabajo automatizado para pruebas y aprobación. También administra la ejecución de planes y la comunicación en situaciones de crisis para minimizar los daños a los empleados de la empresa, los clientes, la reputación y las operaciones. CONCLUSIONES Un modelo completo de GRC basado en inteligencia amplía la visibilidad de los datos y procesos, ofrece un análisis a profundidad de los riesgos y problemas de cumplimiento de normas, y ofrece una ruta clara de acción y responsabilidad para las empresas que necesitan equilibrar los niveles aceptables de riesgo corporativo con las responsabilidades de supervisión y asunción de riesgos. La alineación de la priorización de datos y procesos, infraestructura, gente y medición del desempeño de negocios ofrece la capacidad de anticipar, responder y adaptarse de forma continua ante un panorama que cambia rápidamente. SOLUCIONES DE GRC BASADO EN INTELIGENCIA DE RSA La solución RSA® IT Security Risk Management permite a los equipos de seguridad desarrollar un marco de trabajo de riesgos de seguridad de la información mediante la administración de políticas de seguridad, el establecimiento del contexto de negocios de los activos de TI y la investigación y respuesta eficaces en relación con las amenazas de los incidentes de seguridad y vulnerabilidades. Mediante el aprovechamiento del contenido de RSA Archer listo para usarse, los equipos de seguridad pueden medir el riesgo de cumplimiento en relación con los marcos de trabajo de seguridad de TI como COBIT, NIST e ISO, así como las instancias con autoridad normativa como SOX, PCI, HIPAA. Además, con una visibilidad en tiempo real de las vulnerabilidades mediante RSA Vulnerability Risk Management (VRM) y los incidentes de seguridad a través de Security Operations Management (SecOps), los equipos de seguridad pueden priorizar con contexto empresarial e investigar, responder y remediar de manera eficaz las amenazas que plantean un mayor riesgo para la empresa. La solución RSA IT Security Risk Management ayuda al director de seguridad de la información y a sus equipos de seguridad a implantar proactivamente políticas de seguridad eficaces, evitar problemas con las vulnerabilidades y responder eficazmente a los incidentes de seguridad para proteger los activos de TI de la organización y minimizar los riesgos de seguridad de la información. página 6 Administración de identidades y de acceso basada en inteligencia La solución RSA® Archer® Third Party Governance automatiza y optimiza la supervisión de las relaciones con los proveedores. Este software de administración de proveedores facilita la selección del proveedor basada en riesgo, la administración de las relaciones y el monitoreo del cumplimiento de normas como parte de un programa de buen manejo y control, administración de riesgo y cumplimiento de normas (GRC). Con RSA Archer Third Party Governance, puede establecer un proceso de administración de proveedores centralizando los datos de terceros, informando sobre las actividades relacionadas con el riesgo y el desempeño de los proveedores, y evaluando a los proveedores de manera uniforme y frecuente. La solución RSA® Archer® Operational Risk Management reúne datos de los repositorios de riesgo en sistemas aislados con el fin de identificar, evaluar, tomar decisiones, corregir y monitorear los riesgos de manera uniforme en toda la organización. RSA Archer actúa como punto focal de agregación, visualización y buen manejo y control del programa de administración de riesgo operacional de su organización. Le permite comprender, priorizar y administrar mejor sus riesgos, y refuerza la cultura y responsabilidades deseadas en materia de administración de riesgo. Esto le permite ampliar su programa a todas las líneas y actividades de negocios que introducen riesgos operacionales. Con RSA Archer Operational Risk Management, su organización puede aprovechar la inteligencia de riesgos y reducir la probabilidad de eventos negativos, oportunidades perdidas y sorpresas para que su organización pueda maximizar el rendimiento. La plataforma RSA® Archer® GRC admite la administración a nivel empresarial del buen manejo y control, riesgo y cumplimiento de normas. Como base de todas las soluciones de RSA Archer GRC, la plataforma permite adaptar las soluciones a sus requisitos, crear aplicaciones nuevas e integrarse con sistemas externos sin tocar una sola línea de código. La estrategia flexible de RSA Archer ha convencido a algunas de las empresas más exigentes de la lista Fortune 500. Estas empresas han aprovechado la potencia de la plataforma para hacer suyas las soluciones de RSA Archer para modelar procesos de negocios adicionales en una fracción del tiempo que tardarían en desarrollar aplicaciones personalizadas tradicionales. RSA Archer hace posible la comunidad de riesgo y cumplimiento de normas más grande del sector, con la participación de expertos de RSA Archer GRC y más de 11,500 profesionales de riesgo y cumplimiento de normas, como usted. La participación en la comunidad RSA Archer le permite colaborar para resolver problemas, desarrollar mejores prácticas, establecer conexiones entre colegas y colaborar con líderes de opinión de RSA Archer GRC. Además, RSA Archer cuenta con un amplio ecosistema de partners que incluye a expertos en integración de tecnología para una integración profunda de sistemas de seguridad y sistemas de negocios, proveedores de contenido para riesgos y cumplimiento de normas, y partners de asesoramiento e implementación con amplia experiencia en procesos de negocios. ACERCA DE RSA Las soluciones de seguridad basada en inteligencia de RSA ayudan a que las organizaciones moderen el riesgo de operar en un mundo digital. Mediante la visibilidad, el análisis y la acción, las soluciones de RSA ofrecen a los clientes la capacidad de detectar, investigar y responder a amenazas avanzadas, confirmar y administrar identidades y, en última instancia, evitar el robo de propiedad intelectual, el fraude y el cibercrimen. Para obtener más información sobre RSA, visite mexico.emc.com/rsa (visite el sitio web de su país correspondiente). mexico.emc.com/rsa (visite el sitio web de su país correspondiente) EMC2, EMC, el logotipo de EMC, RSA, Archer, FraudAction, NetWitness y el logotipo de RSA son marcas registradas o marcas comerciales de EMC Corporation en los Estados Unidos y en otros países. Todos los otros productos o servicios mencionados son marcas comerciales de sus respectivas empresas. © Copyright 2014 EMC Corporation. Todos los derechos reservados. H13749
© Copyright 2024