NIST publica Guía para la Integración de la Ciberseguridad y la Gestión de Riesgos Empresariales (ERM)

El Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos ha publicado Integrating Cybersecurity and Enterprise Risk Management (ERM), una guía para que las empresas se aseguren de que los riesgos de ciberseguridad reciban la atención adecuada dentro de sus programas de gestión de riesgos empresariales (ERM) ante el aumento en la frecuencia, creatividad y gravedad de los ataques de ciberseguridad.

La guía está destinada para ayudar a las organizaciones individuales dentro de una empresa a mejorar su información de riesgo de ciberseguridad, y que proporcionan como entrada a los procesos de ERM de la empresa, a través de comunicaciones e intercambio de información de riesgos que les permita identificar, evaluar, y gestionar sus riesgos de ciberseguridad en el contexto de su misión y objetivos comerciales más amplios.

De acuerdo con la guía, una empresa es una organización que existe en el nivel superior de una jerarquía con responsabilidades únicas de gestión de riesgos. La gestión de riesgos en ese nivel se conoce como gestión de riesgos empresariales (ERM) y requiere comprender los riesgos centrales que enfrenta una empresa para determinar la mejor manera de abordar esos riesgos y garantizar que se tomen las acciones necesarias.

Una organización se define como una entidad de cualquier tamaño, complejidad o posicionamiento dentro de una estructura organizativa más amplia. Según esta definición, una empresa es una organización pero existe en el nivel superior de la jerarquía donde los líderes senior individuales tienen responsabilidades únicas de gestión de riesgos. En términos de gestión de riesgos de ciberseguridad (CSRM), la mayoría de las responsabilidades tienden a ser llevadas a cabo por organizaciones individuales dentro de una empresa. En contraste, la responsabilidad de rastrear los riesgos clave empresariales y sus impactos en los objetivos están a cargo de los funcionarios corporativos de alto nivel y miembros la junta con la responsabilidad única de gestionar el conjunto combinado de riesgos, incluido el riesgo de ciberseguridad, y que no se realizan en ningún otro lugar de la empresa.

El documento para la integración de la ciberseguridad y la gestión de riesgos empresariales plantea como propósitos:

  • Ayudar a mejorar las comunicaciones (incluido el intercambio de información sobre riesgos) entre los profesionales de la ciberseguridad, ejecutivos de alto nivel y funcionarios corporativos en múltiples niveles.
  • Ayudar al personal de las empresas y a sus organizaciones subordinadas, así como propietarios de sistemas, para mejor identificar, evaluar, y gestionar los riesgos de ciberseguridad en el contexto de su misión y objetivos de negocio.
  • Ayudar a los profesionales de la ciberseguridad a comprender qué necesitan los ejecutivos y los funcionarios corporativos para llevar a cabo la gestión de riesgos empresariales (ERM). Esto incluye, pero no se limita a, qué datos recopilar, qué análisis realizar y cómo consolidar y condicionar esta información de riesgo específica de la disciplina para que proporcione información útil para los programas de ERM.
  • Ayudar a los ejecutivos de alto nivel y a los funcionarios corporativos a comprender los desafíos que enfrentan los profesionales de la ciberseguridad al brindarles información relevante. Dado que las partes interesadas de la empresa están acostumbradas a recibir informes sobre muchos tipos de riesgo, la orientación sobre ciberseguridad que sea consistente con esas otras categorías de riesgo respaldará decisiones y declaraciones bien elaboradas y procesables sobre el riesgo y la tolerancia al riesgo.

Para mayor información, consulte el documento del NIST, Integrating Cybersecurity and Enterprise Risk Management (ERM) (PDF).

Deja una respuesta