Editor Top
La gestión de riesgos en muchas organizaciones está estancada en un marco que no puede seguir el ritmo de los desafíos que enfrentan la mayoría de los equipos de riesgo empresarial. Es necesario modernizarlo.
Ése es el veredicto que los analistas senior Cody Scott y Alla Valente emitieron en un reciente Investigación Forrester Blog que critica el enfoque de las Tres Líneas de Defensa (3LOD), que se utiliza ampliamente para evaluar el riesgo organizacional.
«Los medios convencionales de gestión de riesgos no han seguido el ritmo de la demanda, la velocidad o la presión que enfrentan la mayoría de los equipos de riesgo empresarial», escribieron los analistas.
“Peor aún”, continuaron, “muchos programas de gobernanza, riesgo y cumplimiento se centran excesivamente en el cumplimiento, ignoran por completo el riesgo y se esfuerzan por defender la gobernanza ante cada nuevo riesgo, tecnología o amenaza emergente. El modelo 3LOD no está diseñado para resolver esto. “
Explicaron que 3LOD se desarrolló como un marco de gobierno corporativo para implementar los requisitos de segregación de funciones bajo la Ley Sarbanes-Oxley (SOX) de 2002. Luego, en 2013, el Instituto de Auditores Internos (IIA) lo promovió como una solución para mejorar la gestión de riesgos. «Pero como le dirá cualquiera que haya intentado implementarlo como base para la gestión de riesgos empresariales, el 3LOD no es un modelo para gestionar riesgos», escribieron los analistas.
Marco rígido
El marco está diseñado para cumplir con los requisitos de cumplimiento establecidos por SOX, no para abordar riesgos comerciales, señaló Ian Amit, fundador y director ejecutivo de gombocun proveedor de soluciones automatizadas de seguridad de infraestructura en la nube en la ciudad de Nueva York.
«No es lo suficientemente adaptable para funcionar en la mayoría de las organizaciones modernas, donde las líneas jerárquicas y las líneas jerárquicas no son tan rígidas como solían ser en el año 2000», dijo a TechNewsWorld.
«El marco 3LOD es un enfoque bastante antiguo que el sector financiero utilizó y probablemente todavía lo hace», agregó Brian Betterton, director de práctica de riesgos y servicios estratégicos de Seguridad de GuidePointun proveedor de servicios de ciberseguridad en Herndon, Virginia.
«3LOD no es lo que yo llamaría un enfoque moderno, pero a algunos les gusta porque crea separación y, por lo tanto, divide la gestión de riesgos en tres funciones», dijo a TechNewsWorld. «Para mí, 3LOD es más un enfoque de auditoría que de riesgo».
También señaló que debido a la naturaleza de auditoría de sus controles, tiene un enfoque puntual y no el enfoque continuo que se encuentra en las soluciones centradas en el riesgo empresarial.
El cumplimiento supera el riesgo
Muchos programas de gestión de riesgos están muy centrados en el cumplimiento más que en el riesgo real por varias razones.
«Los enfoques tradicionales de gestión de riesgos tienden a centrarse en el cumplimiento (aprobar la auditoría y marcar las casillas) en lugar del riesgo empresarial real», dijo Amit. «Estos enfoques suelen ser adoptados por organizaciones cuyo liderazgo está más preocupado por preservar el status quo actual que por generar ingresos o innovación».
«A menudo, los programas de gestión de riesgos se centran más en el cumplimiento porque es tangible y está vinculado a objetivos claros», añadió Nicole Sundin, CPO de axiouna empresa de gestión de riesgos cibernéticos en la ciudad de Nueva York.
«El trabajo de cumplimiento suele estar vinculado a un objetivo comercial o a un requisito externo», dijo a TechNewsWorld. «En este contexto, el cumplimiento se convierte en un esfuerzo puntual destinado a satisfacer una necesidad empresarial específica, en lugar de un proceso continuo de identificación y mitigación de riesgos en evolución».
Además, la mayoría de los programas de gestión de riesgos están impulsados por objetivos de cumplimiento, añadió Chandrasekhar Bilugu, CTO de Escudo segurouna empresa de software de gestión de seguridad, cumplimiento e integridad, en Atlanta. «Las organizaciones rara vez adoptan la gestión de riesgos como un proceso independiente desconectado de los mandatos de cumplimiento, ya que carecería del patrocinio ejecutivo necesario», dijo a TechNewsWorld.
Heath Renfrow, CISO y cofundador de fénix24una empresa de recuperación y restauración de desastres en Chattanooga, Tennessee, afirmó que los programas de gestión de riesgos basados en el cumplimiento no son más que simulacros en papel sin una forma sólida de cuantificar los riesgos para que los altos ejecutivos tomen decisiones basadas en riesgos. «No se pueden gestionar riesgos que no se comprenden», dijo a TechNewsWorld.
Betterton señaló que en organizaciones menos maduras, los programas de gestión de riesgos tienden a centrarse en el cumplimiento por encima del riesgo. «Las organizaciones menos maduras ven el cumplimiento como su principal riesgo y, a su vez, pasan por alto todos los riesgos que puedan tener», afirmó.
Cumplir con los requisitos de cumplimiento también es más fácil para muchas organizaciones que evaluar las necesidades de seguridad. “Cumplimiento significa que estás cumpliendo con una regla o reglamento que debe seguirse. Hay definiciones claras de lo que se debe seguir”, explicó Ira Winkler, CISO de CYEuna empresa de optimización de la ciberseguridad en Tel Aviv, Israel.
«Sin embargo, lo que significa estar seguro varía mucho», dijo a TechNewsWorld. “Si no tiene idea de lo que significa la seguridad para su organización, aunque tenga una definición clara de lo que significa cumplir, obviamente primero logrará el cumplimiento porque es difícil estar seguro cuando no comprende exactamente lo que eso significa”.
Fundación de la gestión de riesgos moderna
Scott y Valente citaron tres pilares para un enfoque moderno de la gestión de riesgos.
El enfoque debe ser dinámico y capaz de abordar el riesgo en tres dimensiones: riesgo sistémico externo a la organización y fuera de su control; riesgo del ecosistema externo a la organización pero dentro de distintos grados de control, como el riesgo de terceros y de la cadena de suministro; y riesgos empresariales internos a la organización y directamente controlables, como la ciberseguridad y el riesgo financiero.
Además, el enfoque debe ser continuo porque los riesgos y las oportunidades evolucionan con el tiempo. Las evaluaciones de riesgos estáticas y puntuales no reflejan la realidad, explicaron los analistas. En cambio, los equipos requieren un proceso continuo para identificar el contexto de riesgo, evaluarlo a medida que se desarrollan los planes y objetivos, tomar decisiones y monitorear los resultados.
El enfoque también debe reconocer que el riesgo cibernético es un riesgo empresarial. Los analistas señalaron que, por lo general, el director de riesgos selecciona el modelo de gestión de riesgos, mientras que el CISO debe garantizar que el modelo sea funcional para las necesidades de ciberseguridad de la organización. Sin trabajar al unísono, los profesionales de la seguridad y los riesgos se ven atrapados viviendo con miedo de una auditoría a otra mientras los eventos de riesgo previsibles y prevenibles se materializan repetidamente.
«El director de riesgos y el director de seguridad de la información deben estar en sintonía al implementar un marco de riesgos porque ambos son responsables de identificar y abordar diferentes aspectos de riesgo dentro de la organización», observó Sunlin.
“El CRO normalmente se centra en los riesgos operativos y comerciales generales, mientras que el CISO se centra en los riesgos de ciberseguridad. Sin embargo, ambos roles tienen responsabilidades superpuestas cuando se trata de gestionar riesgos, y sus equipos poseen conocimientos cruciales que deben compartirse para abordar y mitigar los riesgos de manera efectiva”.
«La colaboración entre el CRO y el CISO garantiza un enfoque holístico para la gestión de riesgos, lo que permite a la organización identificar, evaluar y resolver de forma proactiva amenazas potenciales en todos los dominios», dijo. «Cuando sus esfuerzos están alineados, se fomenta una estrategia de riesgo integral y unificada que reduce las vulnerabilidades y mejora la resiliencia general del negocio».
El modelo de Forrester
Scott y Valente también promocionaron el modelo de gestión continua de riesgos de Forrester, que aclamaron como «un modelo para la gestión integral de riesgos».
El enfoque de Forrester no es completamente nuevo, señaló Amit. «Imita cómo las organizaciones modernas gestionan el riesgo», dijo.
«La introducción de herramientas que permiten a una organización obtener puntos de datos más frecuentes sobre sus controles y procesos internos, así como sobre amenazas externas, permite una gestión de riesgos más granular y más continua que periódica», explicó.
También señaló que los requisitos de auditoría y cumplimiento obligan a las organizaciones a implementar controles y recopilación de pruebas más continuos, lo que les permite, a su vez, practicar una gestión de riesgos más pronunciada de forma continua.
Fundamentalmente, la gente necesita entender qué es la gestión de riesgos y la seguridad, aconsejó Winkler. «La definición de seguridad es estar libre de riesgos, y nunca puedes estar libre de todos los riesgos».
«Los profesionales de la seguridad deben comprender que su trabajo es esencialmente la gestión de riesgos, lo que implica tomar las mejores decisiones para optimizar su gasto en comparación con el monto de la pérdida potencial», continuó. “Esto requiere buenas decisiones científicas y herramientas matemáticas para ayudar. Esto hará que su trabajo pase de ser un arte a una ciencia”.
GIPHY App Key not set. Please check settings