Desarrollar un programa de GRC es un viaje, no una tarea de una sola vez que se pueda marcar en una lista. Toma tiempo y una considerable recolección de datos en el camino.
Para las organizaciones que buscan optimizar su programa de GRC, es útil determinar en qué punto se encuentra tu organización en el espectro de madurez de GRC.
Modelo de Madurez de GRC
Creado por OCEG en 2016 y ampliado desde entonces, este modelo de madurez sirve como un punto de referencia para planificar y ejecutar un programa de GRC.
Comprende cinco niveles, el primero representando el nivel más bajo de madurez y el quinto representando el nivel más alto de madurez. Tu organización debe demostrar las características, prácticas o capacidades de uno de los niveles a continuación. Si las cumple para los niveles 1-4, puede adoptar de manera incremental las características, prácticas o capacidades del siguiente nivel para mejorar su madurez con el tiempo.
Nivel 1: Inicial
Hay actividades mínimas en su lugar para rastrear la gobernanza, el riesgo y el cumplimiento. La mayoría son improvisadas y las que existen están aisladas.
En versiones anteriores del modelo de madurez de GRC de OCEG, este nivel se llamaba 'ad hoc'.
Nivel 2: Gestionado
El GRC es más estratégico con prácticas definidas y gestionadas, pero esto a veces se hace de manera informal. Como resultado, la información no se comparte consistentemente entre departamentos y el éxito no está bien medido.
En versiones anteriores del modelo de madurez de GRC de OCEG, este nivel se llamaba 'fragmentado'.
Nivel 3: Consistente
En este nivel, el negocio opera con un marco común, con prácticas formalmente documentadas y gestionadas consistentemente. Los silos entre departamentos comienzan a desmoronarse y la información se comparte.
En versiones anteriores del modelo de madurez de GRC de OCEG, este nivel se llamaba 'definido'.
Nivel 4: Medido
Todos los departamentos están alineados con la estrategia de GRC, y la comunicación y el intercambio de datos es continuo. Como resultado, las prácticas de GRC se miden y gestionan con evidencia basada en datos y toma de decisiones. Típicamente, también se ha introducido la automatización para agilizar los procesos, y se miden los beneficios empresariales.
En versiones anteriores del modelo de madurez de GRC de OCEG, este nivel se llamaba 'integrado'.
Nivel 5: Optimizando
En este nivel, se ha establecido un sistema de monitoreo continuo para que las prácticas de GRC se mejoren consistentemente con el tiempo. La toma de decisiones basada en riesgos se ve en toda la empresa y los riesgos se gestionan en tiempo real.
En versiones anteriores del modelo de madurez de GRC de OCEG, este nivel se llamaba 'ágil'.
Lecturas Recomendadas
Cómo Construir la Madurez en Seguridad Informática: Modelos + Mejores Prácticas Explicadas
Read More