Dada la creciente dependencia de las organizaciones de las tecnologías durante los últimos 50 años, varias disciplinas de riesgo han evolucionado hasta convertirse en programas de riesgo completos. En los últimos años, los programas de gestión de riesgos de ciberseguridad, cadena de suministro y privacidad han formalizado las mejores prácticas. Sin embargo, la rápida evolución de estas disciplinas a veces ha llevado a falta de comunicación e ineficiencias entre esos programas de riesgo y la cartera general de gestión de riesgos empresariales (ERM). Los próximos años se centrarán en optimizar la coordinación y comunicación entre todos los programas de riesgos y ERM. Para respaldar la misión y los objetivos comerciales, cada programa de riesgos debe comprender cómo respaldan la cartera de ERM. Un contexto de ERM agrega y normaliza los riesgos de las organizaciones en registros y políticas de riesgos. Esto permite al gobierno y a las entidades de infraestructura crítica cuantificar las consecuencias y asignar recursos proporcionales a la exposición de la empresa y al valor para los accionistas/partes interesadas. Como las consecuencias empresariales se cuantifican en métricas financieras, de misión y de reputación, similares a las atribuidas a otros riesgos empresariales, permiten a los ejecutivos y funcionarios públicos reasignar recursos con prudencia entre todos sus tipos particulares de riesgos competitivos. En los últimos años, el Laboratorio de Tecnología de la Información (ITL) del NIST ha estado publicando guías para codificar las mejores prácticas de gestión de riesgos para programas individuales como privacidad, cadena de suministro y ciberseguridad. En reconocimiento de su amplia carta y de las tecnologías emergentes, ITL está ampliando su orientación sobre riesgos para incluir cómo todos los programas de riesgos de tecnologías de la información y las comunicaciones (TIC) se integran en la ERM. Esta actividad explica cómo marcos como el Marco de Ciberseguridad, el Marco de Privacidad, la inteligencia artificial, los sistemas y organizaciones de información y la Gestión de Riesgos de la Cadena de Suministro Cibernético trabajarán juntos para respaldar la ERM. Cada uno de estos marcos de TIC es representativo de un programa de riesgo. Los riesgos dentro, a través y entre esos programas forman un mosaico de riesgos de TIC interrelacionados y entre pares. El mosaico de riesgos de las TIC, que las agencias y empresas deben navegar, es un complejo sistema de sistemas adaptativo compuesto por miles de componentes interdependientes y una miríada de canales. Estas incluyen numerosas tecnologías digitales que crean, modifican, procesan, comunican y controlan información, así como las tecnologías de aplicación. Este sistema de sistemas proporciona o ayuda a empresas o esfuerzos personales y los datos resultantes representan información, señales de control y lecturas de sensores. Como ocurre con otros sistemas de sistemas complejos, la interconexión de estas tecnologías produce comportamientos del sistema que no pueden ser determinados por el comportamiento de sus componentes individuales. Esa interconexión causa riesgos que existen entre los programas de riesgo y entre múltiples programas de riesgo. ITL está aplicando un enfoque más interconectado a los marcos y programas de riesgo para abordar este subsector especial de riesgos. A medida que nuestros sistemas se vuelven más complejos, presentan vulnerabilidades explotables, riesgos emergentes e inestabilidades del sistema que, una vez activadas, pueden tener un efecto desbocado con consecuencias múltiples, graves y a menudo irreversibles. En la empresa contemporánea, las circunstancias de emergencia y en tiempo real pueden convertir un riesgo relativamente menor basado en las TIC en verdaderos riesgos operativos que interrumpen la capacidad de una organización para realizar la misión o las funciones comerciales. La próxima guía sobre gestión de riesgos de TIC abordará algunos de estos desafíos, incluida la noción de que los sistemas en tiempo real conllevan riesgos en tiempo real y necesitan resiliencia en tiempo real. Un informe interagencial reciente del NIST es pionero en un caso de uso de integración de ERM. La serie de publicaciones NIST IR 8286 demuestra cómo integrar mejor la ciberseguridad con ERM. La serie ayuda a entidades gubernamentales y de infraestructura crítica a cuantificar, financiar e impulsar de manera efectiva sus programas de ciberseguridad de acuerdo con la exposición empresarial, así como el valor para los accionistas y las partes interesadas. La Serie reconoce la necesidad de una comunicación bidireccional continua entre ERM y los programas de riesgo, reconociendo que las disciplinas de riesgo informan y reciben dirección de ERM. Específicamente, la comunicación de las declaraciones de apetito de riesgo de la cartera de ERM es una manera para que los programas de riesgo identifiquen y monitoreen mejor los riesgos utilizando una variedad de métodos relacionados, como declaraciones de tolerancia al riesgo, indicadores clave de desempeño, indicadores clave de riesgo y controles. De manera similar, el NISTIR formaliza el uso de registros de riesgos para comunicar riesgos y respuestas al riesgo entre los niveles de programa y cartera. La serie destaca las mejores prácticas de coordinación de la industria elevando los riesgos dentro de una organización para su supervisión y escalando los riesgos dentro de una organización para un nivel superior de propiedad. En los próximos meses, NIST finalizará publicaciones clave dentro de la serie NIST IR 8286 y publicará orientación sobre cómo integrar mejor los programas de riesgo de TIC en ERM. Estas publicaciones se centrarán en una mejor comunicación y coordinación entre los programas y la cartera de riesgos. Continúe brindando comentarios sobre estas importantes pautas, para que todos podamos disfrutar de un futuro más efectivo y eficiente para la gestión de riesgos.

Source link