Es claro que los sistemas diseñados para cumplir con los requisitos de los estándares de gestión de riesgos de seguridad de la información, debe estar integrado dentro de la organización. Esto significa que los sistemas de control interno deben formar parte de la cultura de la organización, y ser parte de la gestión diaria de la organización. Veamos los puntos relevantes a lo mencionado.

Reforzando la imagen de la organización

El director de la organización será capaz de demostrar que ellos están cumpliendo con los requisitos relevantes de la Ley Sarbanes-Oxley, Basel 2/3, Guía de Riesgos FRC o con las mejores prácticas internacionales actuales en gestión de riesgos con respecto a los activos de información y activos. La organización será capaz de demostrar, en el contexto de las diversas legislaciones relevantes, que han tomado las acciones de cumplimiento apropiadas, particularmente con las leyes de protección de datos. La organización será capaz de proteger sistemáticamente a sí mismo de los peligros y costos potenciales del mal uso de las computadoras, ciber-crimen y los impactos de una ciber-guerra. La organización será capaz de mejorar su credibilidad con el personal, clientes y socios de la organización, y esta credibilidad mejorada puede tener beneficios financieros directos a través de, por ejemplo, ventas mejoradas. Estos requerimientos competitivos son cada vez más un factor crítico para las organizaciones, en ganar nuevos negocios de los clientes que son consientes de las necesidades para sus proveedores en demostrar que ellos tienen implementados efectivamente medidas de gestión de seguridad de la información. La organización podrá tomar decisiones prácticas e informadas sobre qué tecnologías y soluciones de seguridad desplegar, y así incrementar el valor monetario obtenido desde la seguridad de la información, para la gestión y control de los costos de seguridad de la información, y, para medir y mejorar su retorno de inversión de seguridad de la información.

Preguntas en el directorio para el reforzamiento de gobierno corporativo

Algunas preguntas nos ayudarán a empujar el sistema de gobierno a un nivel mayor, estas son: (1) ¿Los riesgos identificados de cumplimiento, financieros, operacionales, externos e internos son representativos y evaluados de manera continua? (Riesgos representativos pueden ser, por ejemplo, incluir los riesgos relacionados al: mercado, crédito, liquidez, tecnológico, legales, de salud, seguridad, ambiental, reputación y cuestiones de probabilidad empresarial). (2) ¿Tiene el directorio la claridad necesaria de las estrategias para tratar con los riesgos representativos que han sido identificados? ¿Hay una política de cómo gestionar estos riesgos? (3) ¿Son revaluadas las necesidades de evaluación y los sistemas de información relacionados cada vez que cambien los objetivos, o los riesgos relacionados, o las deficiencias identificadas? (4) ¿Existen acuerdos específicos para el seguimiento de la dirección y la presentación de informes al consejo sobre cuestiones de riesgo y control de especial énfasis? Esto incluye, por ejemplo, fraude real o presunto y otros actos ilegales o irregulares, o asuntos que podrían afectar negativamente la reputación de la compañía o posición financiera.

¿Qué guía de gestión de riesgo uno debe seguir?

Dada la ausencia de una guía definitiva en lo que respecta a qué riesgos incluir o excluir, la junta directiva debe buscar que los riesgos sean completos como sea posible. Esto significa que los riesgos de información (entre otros riesgos, como los de salud, seguridad ocupacional, ambiental, legislación laboral, así como riesgos estratégicos más obvios) deben ser considerados, y por lo tanto la gestión de seguridad de la información será crítica para todas las organizaciones. De igual manera, al evaluar los riesgos de la organización, los directores tendrán que evaluar los riesgos asociados con la cadena de suministros. La interdependencia de datos es una característica de la cadena de suministros, y por lo tanto los riesgos para la seguridad de los datos en cualquier parte de la cadena de suministros son riesgos que afectan de manera completa a toda la cadena.

Consejo audit

La implementación de una gestión de riesgos requiere que la organización completa abrace los principios de la gestión de riesgos, estos sólo puede pasar si los procesos consideran seriamente abrazar esa gestión, a un nivel de general, tanto de la parte estratégica, como táctica y operativa. En audit, apoyamos en el establecimiento de una metodología de gestión de riesgos a medida en su organización, con instrumentos pre-construídos y adaptables a su contexto empresarial.