Español | English
rss facebook linkedin Twitter

GRC: Governance Risk & Compliance (y II)

En otro post comentamos de manera genérica los motivos que habían llevado a la creación de unas siglas que cada día suenan más entre las tecnologías de seguridad de la información: GRC, Governance Risk & Compliance.

Hoy prefiero acercarme un poco más al caso real, al que ocurre en la calle. Aunque en España la presión reguladora no es tan intensa, que levante la mano quien, de alguna manera, se identifique con la siguiente historia.


Un buen día, tras una auditoría o, simplemente, una noticia en los medio, el jefe jefazo de la compañía X se hace consciente de que tiene que cumplir con tal o cual normativa. Mejor dicho se hace consciente de qué puede ocurrir si no cumple con ella, pero para el caso es lo mismo. Lo que ocurre es que unos cuantos, sobre todo gente de sistemas, tienen que volverse locos durante varios meses organizando e involucrando a mucha gente para conseguir alcanzar ese cumplimiento. En esta fase, ése es el único objetivo: cumplir.

Entonces hay que averiguar qué hace falta para cumplir. Y la respuesta inicial es medio sencilla "presentar informes de cumplimiento". Así que toca averiguar cómo generarlos, alimentarlos, etc... Hay que reunirse con más gente y tomar notas, pero al final la cosa sale adelante. El objetivo, que ahora es generar informes de cumplimiento, se consigue.

Pero al cabo de unos cuantos informes, otro se da cuenta de que es una labor repetitiva, tediosa, que la gente no se involucra lo suficiente... En definitiva, un incordio. Pero, como todo el mundo sabe, las labores repetitivas y tediosas son la especialidad de los ordenadores. Ahora lo que hay que conseguir es que los trastos, ellos solos, hagan la mayor parte del trabajo. El objetivo entonces es automatizar.

Y en ese momento, uno vuelve la vista atrás, y se da cuenta de que para cumplir todo eso ha tenido que involucrar personas, sistemas y asignar recursos hasta el punto de que, en cierto grado, ha cambiado la manera de hacer las cosas en la compañía.

Pues bien, lo que ofrecen las soluciones GRC es, precisamente, recorrer el camino contrario. Es decir, si tan importante es cumplir con la normativa, y llevar a cabo los controles, por qué no empezar planteándolo desde arriba, desde la misma estrategia empresarial.

El proceso, sin duda, es largo y complicado. Pero hay mucha gente en las altas esferas a las que les seduce la idea.

Por mi parte no tengo ninguna duda al respecto, vamos a oír hablar mucho de todo esto.

Luis Tarrafeta
S21sec labs

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login