Puede pensar en GRC como un taburete de tres patas, donde la gobernanza, el riesgo y el cumplimiento son todos necesarios para administrar y guiar una organización. Descubra más sobre estos tres componentes, así como disciplinas adicionales que se encuentran bajo el paraguas de GRC.
¿Qué significa GRC?
GRC significa gobernanza, riesgo y cumplimiento. Veamos más de cerca cada componente a continuación.
Gobernanza
Gobernanza son las reglas, procesos empresariales y políticas que guían una organización para lograr su propósito, misión, visión y valores mientras asegura responsabilidad, transparencia y comportamiento ético. Comienza con el liderazgo y ayuda a guiar las operaciones y administración, ética, gestión de riesgos empresariales, cumplimiento y más.
La gobernanza asegura que los intereses de todas las partes interesadas estén equilibrados y proporciona a los líderes un marco que les ayuda a tomar decisiones que se alineen con los objetivos de la organización y les ayuda a gestionar el riesgo cibernético.
Las actividades clave incluyen:
- Establecer la misión, visión y valores de la organización
- Identificar y establecer límites, incluidas leyes, regulaciones, contratos y ética
- Asignar autoridad para tomar decisiones
- Fomentar una cultura de responsabilidad e integridad
- Establecer una estrategia de gobernanza de datos
Riesgo
Riesgo se refiere a los procesos técnicos más cotidianos que están en marcha para mitigar y monitorear el riesgo.
Las actividades clave incluyen:
- Establecer indicadores clave de riesgo (KRI)
- Realizar evaluaciones de riesgo y auditorías internas
- Mitigar, remediar y/o tomar otras decisiones basadas en riesgo
- Gestionar el riesgo con proveedores y suministradores externos
Cumplimiento
Cumplimiento son los pasos que toma una empresa para cumplir con las normas y regulaciones para operar de manera segura y legal. Esto incluye la debida diligencia requerida para marcos de ciberseguridad como SOC 2® e ISO 27001, legislación de privacidad de datos como GDPR y HIPAA, y requisitos de la industria como PCI DSS.
Las actividades clave incluyen:
- Identificar todas las leyes, regulaciones y normas aplicables en función de los riesgos de cumplimiento
- Implementar controles y procedimientos para cumplir de manera efectiva con leyes, regulaciones y normas
- Mantenerse al día con los cambios en las leyes, regulaciones y normas que afectan a su industria, país y clientes
- Establecer un proceso para monitoreo continuo
Lecturas Recomendadas
6 Beneficios del Monitoreo Continuo para la Ciberseguridad
Read MoreOtros Componentes GRC
El Grupo de Ética y Cumplimiento Abierto (OCEG), que originó por primera vez el concepto de GRC, creó el Modelo de Capacidad GRC. Comúnmente llamado el Libro Rojo de OCEG, este modelo documenta las mejores prácticas de GRC basadas en un estudio de más de 250 organizaciones y conocimientos de un panel de más de 100 expertos.
La última versión (El Modelo de Capacidad GRC 3.5) explica que, aunque GRC denota gobernanza, riesgo y cumplimiento, abarca varias disciplinas más. Algunas de estas disciplinas se emparejan con cada uno de los tres componentes.
Según este modelo, las disciplinas a continuación están todas bajo el paraguas de GRC:
- Gobernanza + Supervisión: Esta disciplina es responsable de guiar a la organización para lograr su propósito, misión, visión y valores. Es probable que esté encabezada por la junta y/o un comité de supervisión.
- Estrategia + Rendimiento: Esta disciplina es responsable de guiar y proporcionar recursos para lograr objetivos y monitorear el rendimiento. Es probable que esté encabezada por la alta dirección o el equipo ejecutivo.
- Riesgo + Apoyo a la Decisión: Esta disciplina es responsable de identificar y abordar riesgos y cómo afectan la capacidad de una organización para cumplir sus objetivos, y proporcionar formas de apoyar decisiones bajo incertidumbre. Es probable que esté encabezada por gestores de riesgos.
- Cumplimiento + Ética: Esta disciplina es responsable de identificar y cumplir con obligaciones obligatorias y voluntarias y sus principios y valores éticos subyacentes. Esto incluye cumplir con leyes y regulaciones, así como principales estándares de seguridad y privacidad. Es probable que esté encabezada por gestores de cumplimiento y oficiales de ética.
- Seguridad + Continuidad: Esta disciplina es responsable de identificar y abordar amenazas a activos e infraestructuras críticas físicas y digitales. Es probable que esté encabezada por oficiales de seguridad de la información y privacidad.
- Auditoría + Garantía: Esta disciplina es responsable de atestiguar la capacidad de la organización para lograr objetivos de manera confiable, abordar la incertidumbre y actuar con integridad. Es probable que esté encabezada por auditores internos y externos.