En la segunda parte de esta serie de dos partes, examinamos las medidas de contador de riesgos para una organización que planea hacer parte de su desarrollo de software en China
Por Michael S.Oberlaender
OSC |
En la primera parte de esta serie de artículos, expliqué los supuestos básicos y fundamentales y el potencial de riesgo asociado para una empresa (lo llamamos WorldSoft) que planea hacer una gran parte de su desarrollo de software en China.Ahora analizamos las diversas medidas de contador en los diferentes niveles de la organización..
Posibles medidas a nivel organizacional
A nivel organizacional (es decir, personas y políticas), podemos hacer lo siguiente:
El siguiente nivel organizacional es el nivel de proceso donde las cosas se definen cómo funcionarán y cómo una empresa administra su negocio.En este nivel, se deben realizar muchas mejoras, esto es parte de la "salsa secreta" de cualquier organización, y las más sostenibles tendrán procesos altamente eficientes y efectivos.Se podría argumentar que todo esto es organizacional, pero por otro lado nos esforzamos por estructurar el enfoque de la mejor manera y es por eso que lo presento de esta manera..
Potencios de contradreque a nivel de proceso (proceso de extremo a extremo)
Ahora describo cómo apoyar mejor estos controles de seguridad organizacionales y de procesos anteriores aprovechando las soluciones tecnológicas de sus mejores formas potenciales..Una vez más, que ninguna solución técnica resolverá todos los problemas, sino que la integración útil de los diversos productos con una arquitectura bien pensada admitirá el nivel de seguridad previsto..
[5 formas de crear un programa de gestión de riesgos colaborativos]
Posibles medidas a nivel tecnológico
Hasta ahora, las opciones de solución potenciales, como puede ver, son múltiples.
Enfoque diferenciado pero también integrado (resumen)
Según las opciones mencionadas anteriormente, es mejor priorizar los riesgos y comparar el valor en riesgo con los costos asociados de la mitigación de los controles. The combination of counter measures at the 3 different layers (people, process, technology) is best, therefore an integrated approach between risk & corporate security, legal, IT security, product security, cloud security, service and other units should be used.
Lo que no mides realmente no puedes manejar, así que algunos ejemplos de KPI aquí:
Finalmente, la estrategia de seguridad alineada por el negocio debe adaptarse en función del éxito de las medidas y el cambio en las mediciones.Sugerencia: para obtener el apoyo activo necesario de la gerencia y los empleados, incorpore la seguridad en los objetivos de rendimiento anuales (IR).
Michael S.Oberlaender, MS, CISSP, CISM, CISA, CRISC, ACSE, GSNA is a subject matter expert on IT and security, and other related subjects.Es autor de C (i) So, y ahora qué (CSO Online publicó un extracto en marzo de este año) y ha ocupado puestos como CSO y CISO para varias grandes empresas globales.Mientras actualmente busca un nuevo desafío profesional, ha investigado este estudio conceptual en preparación para una entrevista con una de las compañías de software más grandes del mundo..El material fue creado bajo sus propios derechos de autor y, por lo tanto, está compartiendo esto aquí con usted en la intención de educar a sus compañeros de práctica y también mejorar el pasto de seguridad de esta industria en particular..Puedes llegar al autor de Michael.oberlaender@gmail.com o vía LinkedIn.
Related:Copyright © 2013 IDG Communications, Inc.
22 cybersecurity myths organizations need to stop believing in 2022
Copyright © 2022 IDG Communications, Inc.
Explore the Foundry Network descend