El mapeo de los riesgos de seguridad de la información y los controles con riesgos relevantes se identifican a partir de diferentes fuentes de riesgo. El mapeo de controles es esencial para identificar los riesgos de seguridad de la información desatendidos y los controles débiles que requieren mejora o reemplazo.
La dirección de la organización debe identificar y diferenciar entre controles internos preventivos y detectivescos. Los controles preventivos se construyen e implementan para prevenir incidentes de riesgo de seguridad de la información. Por el contrario, los controles de detección detectan la ocurrencia de incidentes de seguridad de la información o violaciones de datos.
Mapeo de riesgos y controles de seguridad de la información
La administración también identifica los controles generales y diferencia estos controles de los controles específicos del proceso, que están integrados en los procesos para evitar la ocurrencia de fraude. Los controles generales están diseñados e implementados para apoyar a la organización, como el establecimiento de procesos de TI para garantizar que todos los departamentos utilicen la tecnología para realizar sus tareas.
Por otro lado, los controles específicos del proceso incluyen el uso de contraseñas, firewalls para proteger las redes, acceso restringido a datos o información confidencial, etc., integrados en la infraestructura tecnológica para garantizar que se eviten todos los ataques cibernéticos y las pérdidas de información.
La gerencia desarrolla políticas y procedimientos de seguridad de la información para garantizar que todos los controles de seguridad de la información específicos del proceso estén documentados para los empleados en diferentes departamentos. Una vez que todos los controles de seguridad de la información están documentados en políticas y procedimientos, los riesgos de seguridad identificados están relacionados con los controles generales y específicos del proceso. Esta interrelación ayuda a identificar brechas y controles débiles para mitigar los riesgos de seguridad de la información.
En cuanto a la identificación de controles débiles de seguridad de la información, la administración toma las iniciativas para diseñar y establecer controles sólidos de seguridad de la información, que son necesarios para mitigar las pérdidas de datos y activos de información.
Por ejemplo, el equipo de ciberseguridad o seguridad de la información autorizará el acceso a la información confidencial a los empleados en función de la necesidad de utilizar los datos para fines oficiales. Se establecerán diferentes derechos de acceso para los diferentes niveles de empleados que trabajan en la organización. Estos derechos pueden incluir derechos de solo lectura, derechos de edición de datos, derechos de visualización de datos, etc. Dichos límites de autorización requerirán la aprobación del equipo de seguridad de la información o jefe de seguridad de la información, lo que reduce los riesgos de seguridad de la información por parte de los empleados.
Reflexiones finales
El mapeo de control simplifica la gestión de riesgos y disminuye la carga de los equipos de gestión de riesgos y cumplimiento. Pueden evaluar los controles internos para una sola regulación y luego asignar esos controles a múltiples marcos. Los equipos de riesgo pueden ahorrar tiempo y esfuerzo al evaluar y mapear los controles solo una vez.
