Dashboards para seguridad de la información

Dashboards para seguridad de la información. Elementos imprescindibles

Dashboards para seguridad de la información

El riesgo de tecnología de la información (TI) siempre existe, ya sea que una empresa lo detecte o lo reconozca o no. Esto nos obliga a disponer de controles capaces de mitigar el riesgo de TI y a establecer buenas prácticas para que las organizaciones cuenten con un marco en el que puedan identificar, gobernar y gestionar el riesgo de TI.

Cuando nos referimos a los dashboards para seguridad de la información, no podemos omitir la posible adopción de COBIT, que por sus siglas en inglés significa control objectives for information and related technology (objetivos de control para la información y tecnologías relacionadas). COBIT es un marco de buenas prácticas para la gestión de recursos de tecnologías de la información. Tiene componentes de servicios de seguir y de incidentes.

COBIT sirve para investigar, desarrollar, publicar y promover un conjunto de objetivos de control generalmente aceptados, autorizados, actualizados por ISACA (una asociación internacional que apoya y patrocina el desarrollo de metodologías y certificaciones para la realización de actividades de auditoría y control en sistemas de información) para ser utilizadas en el día a día por la gerencia del negocio, los profesionales de TI y de la seguridad. Define también procesos, metas y métricas para el control.

Descarga gratis e-book: La norma ISO 27001

La base reside en los ERM

Para aprovechar al máximo un dashboard de seguridad de la información necesitamos pensar en ERM. Estas siglas significan enterprise risk management y que se traducen como gestión de riesgos empresariales. Esto nos ayudaría a:

  • Conectar siempre con los objetivos de negocio.
  • Alinear la gestión de TI relacionada con los riesgos del negocio con la gestión de riesgos empresariales.
  • Equilibrar los costos y beneficios de la gestión de riesgos.
  • Promover una comunicación justa y abierta sobre los riesgos de TI.
  • Establecer el tono correcto desde la alta gerencia mientras se define y aplica la responsabilidad del personal para operar con niveles de tolerancia aceptables y bien definidos.
  • Identificar procesos clave y riesgos asociados.
  • Identificar factores desencadenantes que indican cuándo se requiere una actualización del dashboard o los componentes del dashboard.
  • Contemplar oportunamente los riesgos y oportunidades que conllevan los cambios en la organización (fusiones y adquisiciones), en la normativa, en TI, en el negocio, entre otros.

La gestión eficaz del riesgo de TI promueve la mejora continua y debe formar parte de las actividades diarias para facilitar la prevención, detección y mitigación de riesgos y amenazas. Tres elementos imprescindibles de nuestro dashboard de seguridad de la información serían la gobernanza del riesgo, evaluación del riesgo y respuesta al riesgo. En el próximo gráfico podemos visualizar esta idea con mayor precisión.

¿Qué es un dashboard?

Los dashboards o cuadros de mando son representaciones visuales que constituyen poderosas herramientas de gestión. Nos ayudan a ordenar, clasificar y medir datos que por sí solos serían montones de información acumulada y sin sentido. Si queremos monitorear y analizar lo que sucede en la organización, el dashboard es un gran aliado porque puede indicarnos que estamos ante un riesgo potencial o, mejor aún, sirve para ayudar a prevenir los incidentes, gracias a los patrones que es capaz de crear.

Lo mejor de los dashboards es que son personalizables, así que con solo echarle un vistazo es posible tener todos los datos relevantes en un solo lugar, priorizar la información, chequear la eficacia de los controles, detectar vulnerabilidades, crear informes basados en información fidedigna, entre otros. Al disponer de esa información procesada podemos asegurarnos de tomar las mejores decisiones. Estos son algunos elementos imprescindibles que podemos añadir a nuestro dashboard:

  • Obligaciones legales, contractuales y reglamentos aplicables a la organización.
  • Número de incidentes de seguridad de la información.
  • Cuánto tiempo toma detectar un incidente y en cuánto tiempo se contiene y resuelve el desastre, entre otros.

Software para seguridad de la información

La Gestión de Seguridad de la Información es sencilla de implantar, automatizar y mantener con el software GRCTools.

Con el software para la gestión de la seguridad de la información se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar la Gestión de la Seguridad de la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos.

E-book gratis la norma ISO 27001

Nueva llamada a la acción
Síguenos en el LinkedIn de GRCTools

¿Desea saber más?

Entradas relacionadas

Marco De Riesgo NIST

Implementando el Marco de Riesgo NIST: Estrategias para una Protección Efectiva

20 noviembre, 2024

El Marco de Riesgo NIST (National Institute of Standards and Technology Risk Management Framework) es un conjunto de lineamientos...

Ver más
Gestión De Riesgos De Ciberseguridad Clave Para Tu Empresa

Gestión de riesgos de ciberseguridad: clave para proteger tu empresa

19 noviembre, 2024
La gestión de riesgos de ciberseguridad se ha convertido en una prioridad estratégica para cualquier organización
Ver más
Software GRC Vs. Métodos Tradicionales ¿Cuál Es Mejor

Comparativa: Software GRC vs. métodos tradicionales de gestión de riesgos

18 noviembre, 2024
Analizamos las diferencias clave entre los métodos tradicionales de gestión de riesgos y las plataformas de software GRC
Ver más
Software GRC

Impacto del Software GRC en la Reducción de Riesgos Operativos

15 noviembre, 2024
Las organizaciones enfrentan desafíos constantes, desde interrupciones en la cadena de suministro hasta incumplimientos...
Ver más

Back To Top