CISO

5 pasos para crear un programa de gestión de riesgos internos

Share with your network!

Imagine este escenario: su empresa ha sufrido una amenaza interna. Afortunadamente, se fue posible bloquear al usuario interno responsable antes de que causara daños materiales. Además, se trataba de un ejemplo bastante habitual de amenaza interna. Un empleado había dado el preaviso para abandonar la empresa y trabajar para la competencia. Antes de marcharse, empezó a descargar documentos estratégicos sensibles para llevárselos consigo.

Como el incidente estuvo a punto de convertirse en un desastre, el riesgo interno se puso en conocimiento del equipo directivo, como usted siempre ha deseado. Son buenas y malas noticias a la vez. Por supuesto, cuenta con el apoyo de su dirección, la tecnología y el personal que necesita. Pero, ¿y ahora qué? ¿Cómo se organiza todo?

Tanto si está creando desde cero un programa de gestión de riesgos internos (IRM) como si desea maximizar la eficacia de un programa existente, este artículo de blog le proporciona la información y las mejores prácticas que necesita para que su iniciativa sea un éxito.

¿Por qué es tan importante disponer de un programa de gestión de riesgos internos?

Antes de describir los pasos necesarios para crear un programa eficaz de riesgos internos, es esencial comprender por qué es tan importante contar con uno. Hay tres razones principales:

  1. Adopta un enfoque proactivo. Cuando actúa de manera proactiva, puede prevenir los incidentes internos en lugar de reaccionar ante ellos, evitando así pérdidas económicas y daños a la marca.
  2. Comprende mejor los comportamientos ante el riesgo y el valor de los datos. Si puede identificar a los usuarios de riesgo y los datos y sistemas más importantes para su empresa, podrá establecer los controles de seguridad adecuados para proteger los sistemas y la información críticos.
  3. Puede reducir los tiempos de respuesta. Con procesos y procedimientos definidos, puede mejorar sus tiempos de respuesta. Saber exactamente qué medidas tomar y quién debe aplicarlas ahorra tiempo en caso de incidente, especialmente cuando se requiere una respuesta transversal.

Creación del programa: 5 pasos principales

Estos son los cinco pasos que debe seguir para crear un programa de gestión de riesgos internos o mejorar uno ya existente.

Paso 1: Creación del equipo

Un programa IRM que se precie debe incluir la selección de un promotor entre los cargos ejecutivos, la creación de un comité de dirección y la formación de un equipo interdisciplinar.

Un programa de gestión de riesgos internos es, por su propia naturaleza, un programa colectivo, ya que implica la colaboración de un gran número de agentes de la empresa: el departamento jurídico, recursos humanos (RR. HH.), cumplimiento, jefes de departamento, directivos e incluso el consejo de administración. Estos grupos deben trabajar juntos para lograr un objetivo común: reducir los riesgos para la empresa. El promotor desempeña un papel fundamental, apoyando y defendiendo el programa y ayudando a superar los obstáculos.

Paso 2: Definición de objetivos

El objetivo de un programa IRM es evitar que un riesgo interno se convierta en una amenaza interna. Un riesgo se convierte en amenaza cuando una persona de confianza perjudica deliberada o accidentalmente a la empresa.

Empiece por identificar qué hace vulnerable a su organización. Esto incluye:

  • Identificar a los usuarios internos de riesgo. Puede tratarse de empleados con acceso con privilegios, contratistas, personas muy atacadas o VAP (Very Attacked People™), altos ejecutivos, empleados sujetos a un plan de rendimiento, etc. (Nota: los usuarios de riesgo son distintos según el tipo de organización).
  • Definir los datos sensibles. Si desconoce qué tipo de datos sensibles tiene, no podrá protegerlos.
  • Definir los requisitos de cumplimiento. Un programa global de gestión de riesgos internos le facilitará el cumplimiento de determinadas leyes y normativas.
  • Conseguir el equilibrio adecuado entre las distintas necesidades de la empresa. Encuentre el equilibrio adecuado entre las necesidades de la empresa, los controles de seguridad, como la prevención de la pérdida de datos y la productividad de los usuarios.

Paso 3: Identificación de capacidades

Antes de planificar su programa, debe conocer su situación actual. Esto comienza con una evaluación precisa de las capacidades actuales, las inversiones y el nivel de eficacia del programa de gestión de riesgos internos. Este proceso puede ayudarle a responder a las siguientes preguntas:

  • ¿Disponemos de las capacidades de detección, respuesta, análisis y prevención necesarias? ¿Cuáles son nuestras limitaciones?
  • ¿Tenemos una buena visibilidad de los distintos canales y, en particular, del correo electrónico, los endpoints, la nube y la web?
  • ¿Cuáles son nuestros puntos débiles o lagunas de cobertura específicos?
  • ¿Cómo podemos aprovechar al máximo nuestras inversiones actuales en el marco del despliegue de un programa más completo?

Paso 4: Puesta en práctica

Es importante definir un proceso de operaciones de seguridad (SecOps) para que sus analistas puedan reaccionar, así como clasificar y escalar incidentes a través de canales predefinidos. Unas estrategias operativas bien definidas pueden simplificar las investigaciones y la mitigación.

Defina el proceso de escalamiento con los equipos de los departamentos de RR. HH., jurídico, cumplimiento, el equipo directivo y la empresa. También debe considerar la posibilidad de establecer un proceso por el que los usuarios reconozcan y acepten la supervisión de los comportamientos de riesgo.

Paso 5: Iteración

Una vez puesto en marcha el programa, establezca un proceso iterativo destinado a mejorarlo y adaptarlo en función de las nuevas necesidades de la empresa. Este proceso incluye las siguientes medidas:

  • Definición de objetivos e hitos para desarrollar el programa de forma proactiva y no reactiva.
  • Identificación de indicadores basados en hitos acordados y desarrollo del programa.
  • Colaboración con las partes interesadas para garantizar que se satisfacen las necesidades empresariales y la escalabilidad del programa.
  • Prevención y corrección automatizadas para ahorrar tiempo a los analistas y mejorar la eficacia.

Cómo puede ayudarle Proofpoint

¿Está listo para crear o mejorar su programa de gestión de riesgos internos? La mayoría de las empresas no disponen de recursos especializados para gestionar las amenazas internas. Por tanto, deje que Proofpoint le ayude a luchar contra las pérdidas de datos y los riesgos internos. Podemos ofrecerle el asesoramiento y la experiencia necesarios para guiarle en el proceso de diseño, implementación y gestión de un programa IRM eficaz.

Descubra el enfoque de Proofpoint en cuanto a programas centrados en las personas con la plataforma de protección de la información.