Integración de la gestión de seguridad cibernética a la gestión de riesgo empresarial
Fecha
2021
Autores
Romo Arango, Eliana Patricia
Título de la revista
ISSN de la revista
Título del volumen
Editor
Universidad EAFIT
Resumen
With technological advances come new forms of crime associated with cyberspace, which increases the need to manage the associated cyber risks. This research pursued to delve into aspects that contribute to the integration of cybersecurity with the already well-established business risk management. To do this, a literature review about Cybersecurity Management, Cyber Risks and Business Risk Management was carried out; additionally, the case analysis method was used, with a sample composed by four companies from Financial Sector, with presence in Latin-America. It was observed that the integration largely depends on the support from senior management profiles for enabling strategies and resources; additionally, on the knowledge that companies absorb from the environment to implement good methodological and operational practices; and from behavior of people against threats and risks. It was concluded to have a proper integration between Cybersecurity Management and Business Risk Management, initiatives supported from the highest management profiles of the organization are required, which need to be implemented at all levels, including topics such as culture, knowledge, methodologies, tools, roles and responsibilities.
Descripción
Con los avances tecnológicos llegan nuevas formas de criminalidad asociadas al ciberespacio, lo cual refuerza la necesidad de gestionar los riesgos cibernéticos asociados. Esta investigación buscó profundizar en aspectos que le aporten a la integración de la seguridad cibernética con la ya más establecida gestión de riesgo empresarial. Para ello, se realizó una revisión de literatura sobre gestión de seguridad cibernética, riesgos cibernéticos y gestión de riesgos empresariales; adicionalmente, se utilizó el análisis de casos, cuya muestra abarcó cuatro compañías de un grupo empresarial con presencia en Latinoamérica, perteneciente al Sector Financiero. Se observó que la integración de estas gestiones depende, en gran medida, del apoyo por parte de la Alta Dirección para la habilitación de estrategias y recursos, del conocimiento que las empresas absorben del entorno para adoptar buenas prácticas metodológicas y operativas, y del comportamiento que las personas tienen frente a las amenazas y los riesgos. Se concluyó que para tener una adecuada integración entre la gestión de la seguridad cibernética y la gestión de los riesgos empresariales se requiere de iniciativas que sean habilitadas desde la más alta dirección de la organización y que sean implementadas en todos los niveles, abarcando temas como cultura, conocimiento, metodologías, herramientas, roles y responsabilidades.