grc basado en inteligencia para seguridad

GRC BASADO EN INTELIGENCIA PARA
SEGURIDAD
DESCRIPCIÓN GENERAL
Las organizaciones de hoy se esfuerzan por mantener su infraestructura de negocios y
de tecnología organizada, controlable y comprensible, no solo para que su negocio sea
rentable, sino porque así lo exige una serie de necesidades de buen manejo y control,
seguridad y cumplimiento de normas. Es un verdadero desafío mantener todo en
armonía debido a varios factores: la creciente complejidad en los tipos y volúmenes de
datos necesarios para administrar con eficacia una empresa, los cambios caóticos en
las normativas, leyes y políticas, y la adición de proveedores, partners y consumidores
que necesitan acceso en el marco de un panorama cada vez más complejo de amenazas
y ataques impredecibles al sistema.
A lo largo del tiempo, muchas empresas han tratado de abordar los problemas de buen
manejo y control, administración de riesgos y cumplimiento de normas (GRC) conforme
van ocurriendo, con un enfoque de sistemas aislados que atiende los requisitos
tácticos de manera ad hoc. Esto representa una carga para el personal de TI que debe
implementar soluciones para problemas puntuales y de administración con una visión
general inadecuada de la información necesaria para tomar las mejores decisiones de
negocios. Las organizaciones están operando a un nivel inaceptable de incertidumbre
en los aspectos tecnológicos y financieros de su negocio.
La implementación de una estrategia de GRC en el panorama competitivo de hoy
debe ir mucho más allá de las correcciones rápidas, como la adición de software o la
introducción de nuevas políticas. Mediante un modelo de GRC basado en inteligencia,
una organización puede dar prioridad a sus recursos de una manera informada,
entender mejor las relaciones, interconexiones y responsabilidades del personal de
TI y de negocios, e incorporar los comportamientos impredecibles de terceros que,
inevitablemente, necesitan tener acceso a la infraestructura de la organización.
Informe técnico de RSA
GRC basado en inteligencia para seguridad
CONTENIDO
Descripción general......................................................................................................1
Una estrategia integral de GRC fortalece los vínculos empresariales.............................. 3
Mejor visibilidad.......................................................................................................... 3
Pensar fuera de la infraestructura................................................................................. 4
Conocimientos reveladores.......................................................................................... 4
Puesta en práctica de los planes de acción....................................................................5
Conclusión................................................................................................................... 6
Soluciones de GRC basado en inteligencia de RSA........................................................ 6
página 2
GRC basado en inteligencia para seguridad
UNA ESTRATEGIA INTEGRAL DE GRC FORTALECE LOS VÍNCULOS
EMPRESARIALES
El objetivo de GRC basado en inteligencia es crear una estrategia eficiente y colaborativa
de buen manejo y control, riesgo y cumplimiento de normas a nivel empresarial que
cubra las áreas de TI, finanzas, operaciones y asuntos legales. Este enfoque holístico
proporciona la capacidad de administrar los riesgos, demostrar el cumplimiento de
normas y automatizar los procesos de negocios, a la vez que permite administrar el
ciclo de vida continuo de las políticas corporativas, evaluar los riesgos y responder a
ellos, y crear informes de cumplimiento de los controles internos y los requisitos
normativos en toda la empresa.
GRC basado en inteligencia proporciona un modelo en capas para la priorización de los
recursos, la optimización de los procesos y la automatización de los informes en el
marco de las funciones esenciales de seguridad de la empresa. Este modelo se basa
en tres premisas fundamentales que permiten a las empresas equilibrar los riesgos,
los costos y el acceso de terceros. En primer lugar, GRC basado en inteligencia ofrece
visibilidad y contexto externos inmediatos en todos los canales digitales, con el apoyo
de la priorización de activos, procesos y responsabilidades. En segundo lugar, esta
mayor visibilidad amplía las capacidades de análisis, lo que permite evaluar
rápidamente las tolerancias y niveles aceptables de riesgo de las unidades de negocios,
y solucionar los problemas más graves. Por último, GRC basado en inteligencia
determina la acción correctiva para mitigar cualquier inquietud específica que se tenga,
de forma rápida y eficiente.
MEJOR VISIBILIDAD
Con la gran cantidad de recursos digitales que deben monitorearse, protegerse y
registrarse, los equipos de seguridad pueden encontrar más riesgos de los que pueden
corregir en la práctica. Tradicionalmente, los equipos de seguridad reaccionan lo más
rápido posible a las intrusiones potenciales sin saber a ciencia cierta cuáles son los
riesgos que tienen el mayor potencial de un impacto negativo en el negocio. La falta de
visibilidad de las áreas de riesgo para el negocio significa desperdiciar tiempo y dinero
en seguridad, buen manejo y control, y cumplimiento de normas, sin que se vean
resultados.
Un modelo de GRC basado en inteligencia es capaz de aumentar la visibilidad de las
amenazas de seguridad o los problemas de cumplimiento de normas que pueden ser
más perjudiciales, ya que los riesgos se han priorizado previamente en función de una
estimación de su gravedad y el impacto en el negocio. Esta mayor visibilidad de las
prioridades permite que los equipos de seguridad manejen los ataques de una manera
equilibrada que refleja la tolerancia al riesgo de su organización y garantiza que se
limiten los daños causados por amenazas significativas sin desperdiciar tiempo ni
recursos en solucionar problemas irrelevantes.
La creación de un repositorio único con recursos priorizados dentro de un marco de
trabajo de GRC basado en inteligencia simplifica el proceso de identificación de
recursos digitales y creación de relaciones entre dichos recursos y las personas, los
procesos,las aplicaciones y la infraestructura que los rodean. Se facilita la vinculación
de los datos a las unidades de negocios propietarias, a los procesos que utilizan los
datos, a las instalaciones y los dispositivos que los almacenan, a las aplicaciones que
los implementan, y a las personas responsables de ellos. Gracias a esto, la organización
puede rastrear el riesgo y el cumplimiento de normas en relación con los productos,
servicios y procesos de negocios, asignar responsabilidades para facilitar la distribución
de evaluaciones y tareas de cumplimiento, e informar sobre las actividades de
cumplimiento a nivel de empresa, división o unidad de negocios con el fin de apoyar la
toma de decisiones informada.
página 3
GRC basado en inteligencia para seguridad
Cuando se analizan las actividades de manera conjunta, se aumenta la eficiencia y se
garantiza el cumplimiento de varias normativas al mismo tiempo
PENSAR FUERA DE LA INFRAESTRUCTURA
Una mayor visibilidad se extiende más allá de los activos internos con una estrategia de
GRC basada en inteligencia. La administración de relaciones fuera de la empresa requiere
de la misma priorización que en el caso de los activos internos. Por ejemplo, los partners
potenciales deben evaluarse para determinar riesgos innecesarios y deben administrarse
mediante el uso de métricas que sean relevantes para la organización específica, como
perfiles de proveedores, contactos, estados financieros y de seguros, y contratos.
Dentro de un marco de trabajo de GRC basado en inteligencia, la visibilidad de las
obligaciones de cumplimiento de normas y su alcance se transforman mediante la
automatización de una gran parte del proceso de obtención de pruebas. Puesto que
las normativas de cumplimiento a menudo se superponen, la eliminación de datos e
información del proceso redundantes y el uso de definiciones coherentes y repetibles
ayudan a reducir el esfuerzo y los costos y a corregir áreas de incumplimiento.
CONOCIMIENTOS REVELADORES
La recopilación de datos en tiempo real y su clasificación en función de las prioridades
de las métricas que son importantes para el negocio son aspectos cruciales, pero la
capacidad de analizar de forma rápida y eficiente esta información es clave para generar
la información de negocios pertinente. La comunicación de problemas de seguridad y
cumplimiento de normas entre los equipos es a menudo difícil; GRC basado en
inteligencia transforma los datos en información accesible y comprensible para los
profesionales de la seguridad y de los negocios.
Un modelo de GRC basado en inteligencia hace uso de las mejores prácticas, informes y
políticas que se adaptan a los requisitos específicos de cumplimiento de normas. Cuando
ocurren incidentes, deben detectarse y analizarse de forma rápida para tomar las medidas
adecuadas para resolverlos y limitar los daños. Gracias a la recopilación, correlación,
análisis y retención de registros de los sistemas en toda la organización, los incidentes se
identifican y priorizan en tiempo real. Este proceso no solo muestra los datos afectados,
sino también la gravedad del incidente y lo relevante que es para el negocio en general.
El análisis de los volúmenes de datos de una sola organización es de por sí una tarea
difícil, pero hoy en día las empresas operan como una empresa extendida que incluye
proveedores, partners y clientes que utilizan dispositivos que no están bajo el control
directo de la organización. Con un modelo de GRC basado en inteligencia, las
evaluaciones del riesgo del proveedor se simplifican para evaluar los riesgos inherentes
y residuales de acuerdo con las métricas de cumplimiento de normas, seguridad,
finanzas, sostenibilidad y resistencia. La automatización de las evaluaciones del riesgo
y las calificaciones de cumplimiento de normas proporciona la capacidad de determinar
el tipo y el estado de cualquier factor analizado, incluidas las respuestas de los
proveedores, así como de hacer un seguimiento del estado de las correcciones. Este
análisis puede ampliarse para incluir indicadores clave de rendimiento, objetivos de
SLA y el estado de los entregables. Mediante la comparación del rendimiento con
métricas predefinidas, la estrategia de GRC basado en inteligencia ayuda a una
organización a entender la exposición de riesgos específica del proveedor y a comunicar
rápidamente información en tiempo real al resto del personal.
página 4
GRC basado en inteligencia para seguridad
Un marco de trabajo de GRC basado en inteligencia ofrece políticas eficaces y una
administración de políticas igualmente eficaz que permite distinciones para
departamentos, personas, aplicaciones y responsabilidades específicos. Estas
distinciones se inician durante el proceso de configuración de la administración de
políticas, donde se determina quién debe aprobar, revisar o cambiar los niveles de
evaluación del riesgo. Este enfoque permite la expansión a otras áreas de la
organización, ya que incluye activos digitales de contenido, terceros, requisitos
normativos y el conocimiento de la estructura, es decir, las funciones de usuario y la
jerarquía de la organización. Esto permite compartir de manera sencilla descriptores de
procesos o elementos críticos del sistema ya creados, lo que ahorra tiempo y dinero.
Los usuarios de diferentes áreas de operaciones de la organización, TI y la infraestructura
de finanzas pueden colaborar y alinear objetivos a través de información común
PUESTA EN PRÁCTICA DE LOS PLANES DE ACCIÓN
La identificación y priorización de incidentes es solo parte de un proceso de GRC. Sin
una estrategia de GRC basado en inteligencia, la comunicación de los incidentes a las
personas más calificadas y autorizadas para manejar las necesidades debe hacerse de
manera eficiente. El proceso común de actualizar manualmente hojas de cálculo y
correos electrónicos para hacer un rastreo y crear informes es muy lento, y en última
instancia, es una manera ineficaz de hacer frente a los riesgos del negocio de manera
oportuna. El GRC basado en inteligencia se configura para documentar incidentes y
asignar equipos de respuesta en función del impacto en el negocio y los requisitos de
cumplimiento de normas.
Los tableros e informes integrados proporcionan información y ayudan a llevar un
registro de tendencias, pérdidas y esfuerzos de recuperación, e incluyen un historial de
incidentes y pistas de auditoría. Esto elimina los sistemas aislados de datos y procesos
que impiden las comunicaciones necesarias entre los grupos, y permite la creación
rápida y sencilla de informes con una consolidación automatizada de la información
sobre riesgos y cumplimiento de normas en toda la jerarquía empresarial y la
infraestructura operativa.
página 5
GRC basado en inteligencia para seguridad
Una estrategia de GRC basado en inteligencia funciona en todos los componentes del
proceso de cumplimiento de normas. Por ejemplo, las empresas tienen planes de
auditoría que enfrentan las actividades frecuentes relacionadas con auditorías.
Mediante el control del ciclo de vida completo de auditoría, todo el proceso puede
optimizarse para permitir que los equipos se concentren en asuntos prioritarios,
a la vez que se integran las funciones de riesgo y control. Este enfoque maximiza la
eficiencia sobre la base de una visión dinámica del riesgo.
Por ejemplo, la administración del cumplimiento de normas suele estar a cargo de dos
grupos diferentes, el equipo de TI y los directores de cumplimiento de normas a nivel
del negocio. Al eliminar la brecha entre las herramientas y los procesos utilizados por
estos dos grupos, GRC basado en inteligencia relaciona los informes de cumplimiento
de normas generados por el equipo de seguridad con los flujos de trabajo de GRC,
lo que ofrece a los auditores la capacidad de administrar fácilmente los informes de
cumplimiento y dar seguimiento a los resultados.
Para apoyar aún más las medidas correctivas, la adaptación de un sistema de
GRC a parámetros específicos del negocio es una forma eficaz de hacer frente a los
constantes cambios. Tanto el departamento de TI como los usuarios no técnicos deben
ser capaces de automatizar los procesos, optimizar los flujos de trabajo, controlar el
acceso de los usuarios, adaptar las interfaces de usuario y crear informes en tiempo real
con una interfaz gráfica sencilla.
La continuidad del negocio es un componente crítico de una estrategia de GRC basado
en inteligencia, con un enfoque de continuidad centralizado y automatizado, y una
planificación de recuperación de desastres que permite respuestas rápidas en una
situación de crisis. Al igual que en los problemas de cumplimiento de normas y riesgos,
este modelo evalúa cuáles son los procesos de negocios más críticos y crea planes de
continuidad del negocio y recuperación de desastres mediante un flujo de trabajo
automatizado para pruebas y aprobación. También administra la ejecución de planes y
la comunicación en situaciones de crisis para minimizar los daños a los empleados de
la empresa, los clientes, la reputación y las operaciones.
CONCLUSIONES
Un modelo completo de GRC basado en inteligencia amplía la visibilidad de los datos y
procesos, ofrece un análisis a profundidad de los riesgos y problemas de cumplimiento
de normas, y ofrece una ruta clara de acción y responsabilidad para las empresas
que necesitan equilibrar los niveles aceptables de riesgo corporativo con las
responsabilidades de supervisión y asunción de riesgos. La alineación de la priorización
de datos y procesos, infraestructura, gente y medición del desempeño de negocios
ofrece la capacidad de anticipar, responder y adaptarse de forma continua ante un
panorama que cambia rápidamente.
SOLUCIONES DE GRC BASADO EN INTELIGENCIA DE RSA
La solución RSA® IT Security Risk Management permite a los equipos de seguridad
desarrollar un marco de trabajo de riesgos de seguridad de la información mediante la
administración de políticas de seguridad, el establecimiento del contexto de negocios
de los activos de TI y la investigación y respuesta eficaces en relación con las amenazas
de los incidentes de seguridad y vulnerabilidades. Mediante el aprovechamiento del
contenido de RSA Archer listo para usarse, los equipos de seguridad pueden medir el
riesgo de cumplimiento en relación con los marcos de trabajo de seguridad de TI como
COBIT, NIST e ISO, así como las instancias con autoridad normativa como SOX, PCI,
HIPAA. Además, con una visibilidad en tiempo real de las vulnerabilidades mediante
RSA Vulnerability Risk Management (VRM) y los incidentes de seguridad a través de
Security Operations Management (SecOps), los equipos de seguridad pueden priorizar
con contexto empresarial e investigar, responder y remediar de manera eficaz las
amenazas que plantean un mayor riesgo para la empresa. La solución RSA IT Security
Risk Management ayuda al director de seguridad de la información y a sus equipos de
seguridad a implantar proactivamente políticas de seguridad eficaces, evitar problemas
con las vulnerabilidades y responder eficazmente a los incidentes de seguridad para
proteger los activos de TI de la organización y minimizar los riesgos de seguridad de la
información.
página 6
Administración de identidades y de acceso basada en inteligencia
La solución RSA® Archer® Third Party Governance automatiza y optimiza la supervisión
de las relaciones con los proveedores. Este software de administración de proveedores
facilita la selección del proveedor basada en riesgo, la administración de las relaciones
y el monitoreo del cumplimiento de normas como parte de un programa de buen manejo
y control, administración de riesgo y cumplimiento de normas (GRC). Con RSA Archer
Third Party Governance, puede establecer un proceso de administración de proveedores
centralizando los datos de terceros, informando sobre las actividades relacionadas con
el riesgo y el desempeño de los proveedores, y evaluando a los proveedores de manera
uniforme y frecuente.
La solución RSA® Archer® Operational Risk Management reúne datos de los repositorios
de riesgo en sistemas aislados con el fin de identificar, evaluar, tomar decisiones,
corregir y monitorear los riesgos de manera uniforme en toda la organización. RSA
Archer actúa como punto focal de agregación, visualización y buen manejo y control
del programa de administración de riesgo operacional de su organización. Le permite
comprender, priorizar y administrar mejor sus riesgos, y refuerza la cultura y
responsabilidades deseadas en materia de administración de riesgo. Esto le permite
ampliar su programa a todas las líneas y actividades de negocios que introducen
riesgos operacionales. Con RSA Archer Operational Risk Management, su organización
puede aprovechar la inteligencia de riesgos y reducir la probabilidad de eventos
negativos, oportunidades perdidas y sorpresas para que su organización pueda
maximizar el rendimiento.
La plataforma RSA® Archer® GRC admite la administración a nivel empresarial del buen
manejo y control, riesgo y cumplimiento de normas. Como base de todas las soluciones
de RSA Archer GRC, la plataforma permite adaptar las soluciones a sus requisitos, crear
aplicaciones nuevas e integrarse con sistemas externos sin tocar una sola línea de
código. La estrategia flexible de RSA Archer ha convencido a algunas de las empresas
más exigentes de la lista Fortune 500. Estas empresas han aprovechado la potencia de
la plataforma para hacer suyas las soluciones de RSA Archer para modelar procesos de
negocios adicionales en una fracción del tiempo que tardarían en desarrollar
aplicaciones personalizadas tradicionales.
RSA Archer hace posible la comunidad de riesgo y cumplimiento de normas más
grande del sector, con la participación de expertos de RSA Archer GRC y más de
11,500 profesionales de riesgo y cumplimiento de normas, como usted. La participación
en la comunidad RSA Archer le permite colaborar para resolver problemas, desarrollar
mejores prácticas, establecer conexiones entre colegas y colaborar con líderes de
opinión de RSA Archer GRC. Además, RSA Archer cuenta con un amplio ecosistema de
partners que incluye a expertos en integración de tecnología para una integración
profunda de sistemas de seguridad y sistemas de negocios, proveedores de contenido
para riesgos y cumplimiento de normas, y partners de asesoramiento e implementación
con amplia experiencia en procesos de negocios.
ACERCA DE RSA
Las soluciones de seguridad basada en inteligencia de RSA ayudan a que las
organizaciones moderen el riesgo de operar en un mundo digital. Mediante la
visibilidad, el análisis y la acción, las soluciones de RSA ofrecen a los clientes la
capacidad de detectar, investigar y responder a amenazas avanzadas, confirmar y
administrar identidades y, en última instancia, evitar el robo de propiedad
intelectual, el fraude y el cibercrimen. Para obtener más información sobre RSA,
visite mexico.emc.com/rsa (visite el sitio web de su país correspondiente).
mexico.emc.com/rsa
(visite el sitio web de su
país correspondiente)
EMC2, EMC, el logotipo de EMC, RSA, Archer, FraudAction, NetWitness y el logotipo de RSA son marcas registradas
o marcas comerciales de EMC Corporation en los Estados Unidos y en otros países. Todos los otros productos o
servicios mencionados son marcas comerciales de sus respectivas empresas.
© Copyright 2014 EMC Corporation. Todos los derechos reservados.
H13749