¿En qué métricas clave debe confiar un CIO para medir el alcance de la exposición al riesgo de TI?

7

Nota: esto se solicitó originalmente en otra propuesta de Area51, que ya se ha eliminado.

    
pregunta AviD 17.11.2010 - 02:17
fuente

2 respuestas

3

De la ISACA CGEIT (Certificado en Gobernanza de TI Empresarial) las categorías principales son:

  1. Responder a los requisitos comerciales en alineación con la estrategia de negocios
  2. Responder a los requisitos de gobierno en línea con la dirección del tablero
  3. Asegurar la satisfacción de los usuarios finales Con ofertas de servicio y servicio. niveles
  4. Optimizar el uso de la información
  5. Crear agilidad de TI
  6. Defina cómo funciona el negocio y los requisitos de control están traducidos En efectivo y eficiente automatizado. soluciones
  7. Adquirir y mantener integrado y sistemas de aplicación estandarizados
  8. Adquirir y mantener un integrado. y la infraestructura de TI estandarizada
  9. Adquirir y mantener habilidades de TI que responder a la estrategia de TI
  10. Asegurar la satisfacción mutua de terceros  relaciones de fiesta
  11. Asegurar una integración perfecta de  aplicaciones en negocios  procesos
  12. Asegurar la transparencia y  comprensión de los costos de TI, beneficios,  estrategia, políticas y servicio  niveles
  13. Asegurar un uso y rendimiento adecuados  de las aplicaciones y tecnología  soluciones
  14. Cuenta y protege todas las TI  activos
  15. Optimizar la infraestructura de TI,      recursos y capacidades
  16. Reducir la solución y el servicio  defectos de entrega y retrabajo
  17. Proteger el logro de TI  objetivos
  18. Establecer claridad de negocio  Impacto de los riesgos para los objetivos de TI.  y recursos
  19. Asegúrese de que crítico y  información confidencial es  retenido de aquellos que no deben  tener acceso a ella
  20. Asegúrese de que el negocio automatizado  transacciones e información  los intercambios pueden ser confiables
  21. Asegúrese de que los servicios de TI y  la infraestructura puede resistir adecuadamente  y recuperarse de fallos debidos a  error, ataque deliberado o  desastre
  22. Garantice un impacto mínimo en el negocio en  el evento de un servicio informático  interrupción o cambio
  23. Asegúrese de que los servicios de TI estén  disponible según sea necesario
  24. Mejorar la eficiencia de costos de TI y  su aporte al negocio  rentabilidad
  25. Entregar proyectos a tiempo y en  presupuesto, cumpliendo con los estándares de calidad
  26. Mantener la integridad de  información y procesamiento  infraestructura
  27. Asegurar el cumplimiento de TI con las leyes,  regulaciones y contratos
  28. Asegúrese de que TI demuestre el costo  Calidad de servicio eficiente,  mejora continua y  preparación para el cambio futuro

Curiosamente, verá que solo nueve de ellos tienen que ver realmente con la seguridad de TI, y de ellos, cinco están relacionados con la resiliencia, por lo que la visión del riesgo del CIO no es la misma que la de un profesional de seguridad de TI.

De manera realista, las estadísticas requeridas serían en referencia a:

protección de activos: ataques detectados en activos frente a ataques exitosos control de acceso: infracciones del control de acceso, fallas para incluir a los usuarios en la política, etc. Confianza en los procesos automatizados: indicadores de auditoría, fallas de control. Asegurar la continuidad del negocio: pruebas exitosas de los planes de BC / DR Reducción del impacto: análisis de costos posteriores a los ataques (exitosos o no) Cumplimiento: resultados de la auditoría / del regulador

    
respondido por el Rory Alsop 30.12.2010 - 02:51
fuente
3
  • # de incidentes por año, por tipo, en enteros positivos
  • Tiempo / recursos necesarios para manejar (investigar, limpiar, analizar / revisar / post mortem, etc.) incidentes, en número de horas-hombre (cada incidente debe tener sus propios datos correspondientes)
  • Cobertura (como porcentaje) a través de la estructura de infraestructura y la infraestructura en términos de análisis forense, gestión de registros, proceso / sistema de respuesta a incidentes y capacitación de manejadores de incidentes
  • Calidad de análisis forense, gestión de registros, proceso de respuesta a incidentes / gestión de programas y capacitación de manejadores de incidentes, por categoría (info / metastrestructura) y subcategoría (por ejemplo, por aplicación, por BU, por centro de datos, etc.) , según lo evaluado por un asesor externo (una vez por año, medido como una escala que se puede mostrar a lo largo del tiempo, probablemente de 1 a 100 y calificaciones, pero no como FISMA)
respondido por el atdre 18.11.2010 - 00:33
fuente

Lea otras preguntas en las etiquetas