¿Debemos cambiar el apetito por el riesgo cuando emprendemos un viaje de transformación digital?

Navega tus respuestas
2

Nuestra organización está implementando varias iniciativas de transformación digital, incluidas las plataformas en línea / en la nube.

Nuestro equipo de seguridad de la información tiene argumentos con respecto al "apetito por el riesgo" de la organización. El equipo está dividido en este argumento:

Un lado sostiene que lo digital significa que los riesgos / amenazas son mayores, por lo que no debería haber flexibilidad en el nivel de organización del riesgo y para continuar con el mismo valor.

El otro lado sostiene que lo digital significa aumentar la flexibilidad / eficiencia / etc, por lo tanto, la seguridad no debe restringir el propósito de lo digital. Por lo tanto, sugieren aumentar el valor del apetito de riesgo.

Estoy seguro de que hay varias organizaciones que ya han pasado por este viaje a nivel mundial. Me gustaría saber cómo la industria se acerca al "apetito por el riesgo" cuando pasa a la transformación digital.

    
pregunta Sayan 15.09.2018 - 19:59
fuente

1 respuesta

3

El apetito por el riesgo se refiere a la cantidad de riesgo que está dispuesto a asumir para lograr su misión. Sus citas de las diferentes posiciones están hablando solo de un lado del problema y no realmente del apetito por el riesgo.

  1. "Pasar a digital significa un mayor riesgo" (una mayor probabilidad de un mayor y mayor impacto negativo). No puedo estar seguro sin más detalles, pero asumamos que sí.

  2. "Pasar a digital significa aumentar las oportunidades". De nuevo, asumamos que sí.

Genial. Ninguna de estas afirmaciones es sobre el apetito de riesgo.

La pregunta que debe hacerse es si el aumento de las oportunidades vale la pena el mayor riesgo . ¿El riesgo adicional impactará a la compañía de manera que no pueda o no quiera recuperarse? ¿Los costos de tratar el aumento de los riesgos serán mayores de lo que la empresa puede pagar? ¿La pérdida de la oportunidad afectará negativamente a la empresa?

Esas preguntas están más en línea con el apetito por el riesgo.

Y no puede ver el apetito por el riesgo aisladamente de estos proyectos individuales y no mirar el riesgo agregado para toda la compañía.

Por lo tanto, me parece extraño que el equipo de Seguridad de la información esté tratando de asignar lo que la organización debe establecer como su apetito de riesgo. No son las personas correctas para tomar esta decisión. De todos modos, defina y analice los riesgos, pero no estoy seguro de que el equipo esté debidamente ubicado para evaluar las oportunidades o los riesgos organizativos más holísticos en contexto. Ese es el trabajo del negocio.

En cuanto a los "enfoques de la industria" que solicita, el enlace wiki que proporcionó le brinda los conceptos básicos:

  

Derivado correctamente el apetito de riesgo es una consecuencia de un riguroso   El análisis de la gestión de riesgos no es un precursor. Gestión de riesgos sencilla.   Las técnicas tratan el impacto de los eventos peligrosos, pero esto ignora   La posibilidad de efectos colaterales de un mal resultado, como para   Ejemplo de volverse técnicamente en bancarrota. La cantidad que se puede poner en   el riesgo depende de la cobertura disponible en caso de que haya una pérdida, y   El análisis adecuado tiene esto en cuenta. El "apetito" sigue   lógicamente a partir de este análisis. Por ejemplo, una organización debería ser   "hambriento de riesgo" si tiene más que suficiente cobertura en comparación con su   competidores y, por lo tanto, deberían poder obtener mayores rendimientos en   El mercado de las empresas de alto riesgo.

  1. ¿Cuáles son los riesgos?
  2. ¿Cuáles son los costos de riesgo?
  3. ¿Cuáles son las oportunidades?
  4. ¿Cuáles son los costos de oportunidad?
  5. ¿Cuáles son los riesgos, oportunidades y costos en el contexto holístico?
  6. ¿Cuáles son los impactos de hacer algo en lugar de no hacer nada?
  7. ¿Cuál debería ser nuestro enfoque para reducir esos riesgos y aprovechar esas oportunidades?
respondido por el schroeder 16.09.2018 - 18:05
fuente

Lea otras preguntas en las etiquetas

Derechos de límite para aplicaciones de usuario ¿Las barras invertidas que no se escapan son peligrosas en términos de XSS?