Capítulo 5. Estrategia y ejecución basadas en el riesgo

A lo largo de este libro, hemos insistido en la necesidad de un programa de gestión de riesgos cibernéticos (CRMP) que reúna a los propietarios del riesgo, los profesionales de la seguridad y otras partes interesadas en un conjunto formal y sistemático de procesos que sustituyan a los enfoques ad hoc basados en incidentes. Es la única forma de garantizar que la empresa en su conjunto afronta los retos de un entorno de riesgo en rápida evolución y ayuda a protegerse de la responsabilidad. Pero desarrollar e implantar un programa que satisfaga las necesidades específicas de una empresa no es tarea sencilla. Requiere una estrategia claramente definida y una ejecución coherente con respecto a esa estrategia, y ése es el tema central de este capítulo. Detallaremos seis principios clave de la estrategia y la ejecución basadas en el riesgo, y expondremos los marcos normativos y los protocolos del sector que influyen en ellos. Identificaremos las funciones de las partes interesadas clave -especialmente el CISO y el resto de la organización de seguridad, así como los auditores internos y externos- en este proceso altamente colaborativo de mejora continua. Y lo veremos todo a través de la lente de un espectacular ejemplo reciente de lo radical y rápido que puede cambiar el entorno del riesgo empresarial, y sus necesidades ...