Mientras que las tres líneas de defensa que cubren las funciones de aseguramiento, gobierno, riesgo, cumplimiento, seguridad de la información y la ciberseguridad pueden todos estar trabajando de una manera u otra en la seguridad de la información y gobierno, se puede examinar los objetivos, funciones y actividades de estas funciones para explorar maneras para optimizar los resultados. Las salidas optimizadas significan que los resultados combinados de las distintas partes que trabajan en la seguridad de la información se maximizan, lo que permite que los recursos se desplieguen mejor con una mayor productividad al reducir la duplicación.
Roles y responsabilidades de varias funciones
Las organizaciones apuntan a lograr sus objetivos mientras administran el riesgo dentro de sus apetitos de riesgo. Una buena estructura de gobierno para gestionar el riesgo es establecer tres líneas de defensa. En resumen, la primera línea de defensa es la función que posee y administra el riesgo. Dentro de la primera línea de defensa, las empresas pueden establecer funciones de control (por ejemplo, control de TI, que depende del departamento de TI) para facilitar la gestión del riesgo. La segunda línea de defensa es la función de control independiente (por ejemplo, riesgo de TI, cumplimiento de TI) que supervisa el riesgo y supervisa los controles de la primera línea de defensa. Puede desafiar la efectividad de los controles y la gestión del riesgo en toda la organización. La tercera línea de defensa es la auditoría interna, que proporciona una garantía independiente. La figura 1 proporciona ejemplos de las funciones bajo las tres líneas de defensa.
