Español | English
rss facebook linkedin Twitter

GRC: Governance, Risk & Compliance.

Durante los últimos años los estados -con Estados Unidos a la cabeza, pero cada vez más también en Europa- han mostrado un interés creciente en regular las actividades de las compañías obligando a estas a presentar informes de cumplimiento de diferentes normativas. Sarbanes-Oxley, HIPAA, PCI-DSS, ISO 27001 o nuestra LOPD son los nombres de algunas de las regulaciones que han provocado esta necesidad en los diferentes países involucrados.
Las compañías están teniendo que adaptarse a una gran cantidad de cambios tanto estructurales, como técnicos y de proceso. Lo cual, naturalmente, provoca a sus responsables no pocos quebraderos de cabeza, por lo que la industria ha reaccionado ofreciendo soluciones denominadas GRC (de Governance Risk Management & Compliance) para que les asistan en su tarea.
Pero, ¿qué es lo que hacen exactamente? La respuesta no es en absoluto sencilla.
En primer lugar, es necesario dejar muy claro que las siglas GRC no hacen estrictamente referencia a un producto ni a una tecnología, ni siquiera a una familia de ellas. Se trata más bien de una rama de la estrategia empresarial que, eso sí, se puede apoyar en diversas tecnologías y procesos.


Para entenderlos bien, merece la pena detenerse en cada una de las siglas a las que hace referencia el acrónimo:
• Gobernanza: Comprende las costumbres, organismos y procesos que determinan cómo se ejerce el poder, cómo se define la función de cada miembro de la organización y cómo se alcanza la transparencia . La gobernanza también se denomina, en ocasiones, de forma más autoexplicativa como “gobierno relacional”. Aunque se puede hablar de gobernanza en distintos ámbitos, las características de una buena gobernanza serían la legitimidad del poder, visión estratégica, capacidad de respuesta ante necesidades, efectividad y eficiencia, transparencia y monitorización, igualdad y participación, y respeto a la ley. (En la práctica, a menudo se utiliza la palabra "gobierno", pero siendo estrictos es una palabra más genérica y menos precisa que "gobernanza").
• Gestión del Riesgo: El término Risk Management hace referencia al asesoramiento, la mitigación hasta un nivel aceptable y monitorización de los riesgos como un enfoque estructurado mara manejar la incertidumbre asociada a posibles amenazas. En el caso que más interesa en este post, incluye –aunque no exclusivamente- las diferentes herramientas de seguridad tecnológica.
• Cumplimiento: Es el proceso de monitorizar y almacenar toda la información de control de una organización para garantizar el acatamiento de una determinada normativa externa o interna.
Es importante señalar que el orden de las siglas no es arbitrario. Sin una gobernanza de cierta calidad, es imposible realizar una gestión del riesgo coherente, del mismo modo que sin las dos anteriores, no se puede garantizar un cumplimiento sólido.
Por otra parte, también conviene precisar que los métodos GRC pueden ir enfocados a cada actividad de una organización y que, aunque las soluciones presentes en el mercado no siempre se ajustan a esta división, suelen distinguirse tres grandes áreas: GRC Financiero, GRC Legal y GRC de Tecnologías de la Información (IT GRC).
Continuaremos tratando el tema en futuros posts.

Luis Tarrafeta
S21sec labs

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login