La Seguridad Cibernética no es un tema nuevo, de hecho, es un tema que ha representado preocupación para las áreas de sistemas de los distintos tipos de empresa. El factor común en todos los casos es la protección de los activos de información, mediante mecanismos que permitan operar bajo umbrales adecuados de riesgo.
Un mecanismo que atiende estos requerimientos es el establecimiento de un SGSI (Sistema de Gestión de la Seguridad Informática), el cual típicamente está alineado con las definiciones de los estándares relativos a la familia ISO 27000, cuyo objetivo es implementar controles de seguridad adecuados y proporcionales, que protejan los activos de información y brinden confianza. Ahora bien, ¿cómo saber si un control es adecuado y proporcional? ¿cómo evaluar si el control está protegiendo los activos de información?
La cantidad de controles que se deben aplicar para implementar un SGSI es grande, si a esto le agregamos la complejidad de su adopción correcta en la operación, coordinando los esfuerzos de cada responsable dentro de la empresa y evaluando las brechas de cumplimiento para determinar las alternativas de acción.
Dentro de toda esta complejidad, también hay que tener en consideración la coordinación de todas las tareas derivadas de la operación del SGSI, que incluyen:
- Documentación y actualización del marco normativo del SGSI.
- Evaluación (dirigidas y autoevaluaciones).
- Remediación de hallazgos.
- Documentación de excepciones.
- Mitigación de riesgos.
Y para cada una de estas tareas la supervisión de avances, el envío de recordatorios, su escalamiento, la identificación de desviaciones y la revisión de resultados.
Si a todos estos esfuerzos le agregamos el cumplimiento con múltiples normativas a las que está obligada la empresa, cuyos procesos de aplicación y evaluación son similares al que requiere el SGSI, el volumen de actividades y la cantidad de esfuerzo requerido se vuelve descomunal.
De esta manera, si las empresas implementan apropiadamente el cumplimiento normativo y el SGSI, el costo de operarlo y mantenerlo es muy elevado y está expuesto a errores humanos; si la implementación es inapropiada, el nivel de exposición al riesgo es inadmisible y puede derivar en temas reputacionales, legales y de interrupciones en la operación.
Las plataformas eGRC surgen como una alternativa viable y rentable para atender de manera eficiente los requerimientos de cumplimiento normativo y la implementación del SGSI. Este tipo de plataformas permiten documentar y gestionar los marcos normativos de la empresa, incluyendo estándares como ISO 27001 e ISO 27002, vinculándolos con otros estándares y leyes para posibilitar el multicumplimiento, con lo que se logra reducir los costos y esfuerzos relacionados con la gestión del cumplimiento normativo.
El concepto GRC proviene del acrónimo Gobierno, Riesgo y Cumplimiento, términos que se definen como:
- Gobierno: La cultura, los objetivos, procesos, políticas y leyes por las cuales las empresas son dirigidas y controladas.
- Riesgo: Cualquier obstáculo que pueda afectar el éxito de los objetivos de la empresa.
- Cumplimento: El acto de adherirse a y demostrar adherencia con leyes externas y reglamentos, así como con políticas y procedimientos corporativos.
De esta manera, las plataformas eGRC permiten evaluar las brechas de cumplimiento normativo, vinculándolas con los niveles de exposición al riesgo, además de permitir la automatización de notificaciones y la implementación de acciones automáticas basadas en las reglas del negocio. Con estas características, las plataformas eGRC facilitan la gestión y supervisión de tareas, delegando la complejidad de su seguimiento, notificaciones y escalamiento a las reglas implementadas en el sistema.
Es importante mencionar que, además de la seguridad cibernética, las plataformas eGRC permiten implementar flujos clave del negocio como el de continuidad, gestión de proveedores, auditorías, cumplimiento normativo y gestión de riesgos, entre otros.
RSA, la división de Seguridad EMC2, cuenta con soluciones que permiten implementar la Seguridad Cibernética de punta a punta, desde el resguardo de datos mediante su solución de DLP (Data Loss Prevention), el análisis y monitoreo de la red con Security Analytics, hasta su consolidación y gestión mediante la plataforma RSA Archer eGRC, cuyas nueve soluciones de núcleo dan cumplimiento al marco de referencia de OCEG (Open Compliance and Ethics Group), además de ser modulares y estar alineadas tanto con estándares, como con mejores prácticas internacionales.
Adicionalmente, RSA Archer eGRC provee una plataforma de desarrollo mediante la que es posible personalizar la plataforma y desarrollar nuevas aplicaciones, sin necesidad de programar código fuente y utilizando una interfaz orientada a usuario final, con lo cual se adquiere independencia del fabricante y se optimiza el tiempo de salida a producción.
Para obtener información de evaluación de las plataformas eGRC, así como para profundizar en su conocimiento, es conveniente revisar el marco de referencia definido por OCEG, así como las evaluaciones que emiten Gartner y Forrester. Por otra parte, es recomendable conocer el modelo de madurez para GRC propuesto por AMR Research.
Por último, el enfoque recomendado para la implementación de las prácticas eGRC en la empresa implica tener una visión completa de la solución, pero iniciar con implementaciones acotadas y puntuales, que permitan controlar su complejidad y que entreguen valor inmediato.