En los últimos años en las áreas de Ciberseguridad d las Organizaciones, ha aparecido y tomado cierto protagonismo las prácticas de GRC.
GRC son las siglas de Gobierno, Riesgo y Cumplimiento. En mercados ciertamente regulados no es algo nuevo, ya que los estándares en los cuales se basan las buenas prácticas hacen uso de estas funciones para llevar adelante algo de vital importancia, en la empresa, que es reconocer el Riesgo de sus procesos de negocios, valorarlos, clasificarlos, tomar medidas precautorias y de mitigación, para atenuar las consecuencias de estos impactos en los procesos mencionados.
Específicamente en el ámbito de la seguridad, poseer un área con la ¨expertise¨ suficiente en riesgos de TI, alinea la estrategia de dicha Dirección con los propósitos de la organización.
Entonces… ¿Qué es GRC?
Gobierno
Permite garantizar que las actividades de la organización –como la gestión de las operaciones de TI– estén alineadas de manera que apoyen los objetivos empresariales de la organización.
Riesgo
Permite asegurarse que cualquier riesgo (u oportunidad) asociado con las actividades de la organización se identifica y se aborda de una manera que apoya los objetivos de negocio de la organización. En el contexto de TI, esto significa tener un proceso integral de gestión de riesgos de TI que se convierta en la función de gestión de riesgos empresariales de una organización.
Cumplimiento
Permite asegurarse que las actividades de la organización funcionen de manera que cumpla con las leyes y reglamentos que afectan a esos sistemas. En el contexto de TI, esto significa asegurarse que los sistemas informáticos, y los datos contenidos en esos sistemas, se utilizan y se aseguran correctamente.
Cumplimiento implica controles de TI, así como la auditoría de los controles para asegurarse que están funcionando como se pretende.
En próximas entregas abordaremos todas las cuestiones necesarias para llevar adelante un proceso integral de GRC desde los estándares y metodologías del mercado hasta los informes de gestión a ser presentados.