Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

¿Qué significa GRC para la estrategia de TI?

El gobierno, la gestión de riesgos y el cumplimiento se manejan normalmente en partes separadas de la empresa por equipos separados de personas. Incluso los silos están en silos, especialmente en el ámbito del cumplimiento, donde las regulaciones gubernamentales y de la industria siguen multiplicándose. En un esfuerzo por mantenerse al tanto de estas obligaciones, las organizaciones han recurrido a un enfoque de cumplimiento de «marcar la casilla» o «letra de la ley». Eso ha resultado en controles redundantes, múltiples variaciones en un proceso y, en algunos casos, protección inadecuada contra amenazas.

Sin embargo, el modelo está cambiando.
Si alguna vez hubo un momento en el que tener una visión unificada del riesgo parecía valioso, fue la «Gran Recesión». La eficiencia es una necesidad cuando los recursos son escasos y los riesgos son grandes. gobernanza, riesgo y cumplimiento (GRC) tiene como objetivo coordinar las tres actividades.

En estas preguntas frecuentes, obtenga más información sobre por qué más empresas ahora ven a GRC como un marco útil para racionalizar sus entornos de riesgo y cumplimiento, además de un resumen de algunas de las herramientas y mejores prácticas que pueden ayudar.

¿Qué es GRC?

GRC, o gobernanza, riesgo y cumplimiento, se refiere a la coordinación de las personas, los procesos y las tecnologías involucradas en cada una de estas áreas en una empresa. GRC tiene como objetivo proporcionar una mejor visibilidad de la postura de riesgo de una empresa. La gobernanza, la gestión de riesgos y el cumplimiento no son disciplinas nuevas, pero la necesidad de un enfoque de toda la empresa ha sido subrayada recientemente por factores que incluyen los costos crecientes del cumplimiento, las demandas legales y de los accionistas de una mayor responsabilidad por parte de la alta dirección y la rápida proliferación de nuevos riesgos.

Christopher McClean, analista de Forrester Research Inc., con sede en Cambridge, Massachusetts, describió GRC como un marco con un doble propósito: «hacer que esos procesos sean más eficientes reduciendo la redundancia y facilitando esos procesos proporcionando una mejor supervisión y toma de decisiones. «

Cualquier definición de GRC hoy no se puede pasar por alto el hecho de que el término, que se puso de moda hace unos años, sigue estando mal definido. Incluso las consultoras que promueven el enfoque reconocen el problema. En su revisión más reciente del mercado de GRC, Gartner Inc., con sede en Stamford, Connecticut, por ejemplo, llamó GRC un «término usado en exceso que puede causar confusión y tergiversación». De manera similar, Burton Group Inc., con sede en Midvale, Utah, comenzó su descripción general de la investigación en profundidad de GRC afirmando que «no existe tal cosa como GRC, «al tiempo que defiende que la gobernanza, el riesgo y el cumplimiento deberían estar relacionado.

«El cumplimiento funciona mejor cuando utiliza técnicas de gestión de riesgos para reducir no solo la responsabilidad, sino también las pérdidas. La gestión de riesgos funciona mejor cuando la gobernanza requiere que identifique los riesgos que se deben asumir y los riesgos que se deben evitar. Y la gobernanza se basa en la gestión de riesgos y las actividades de cumplimiento para proporcionar información oportuna sobre el estado y la exposición a pérdidas de la organización «, según el analista de Burton Trent Henry.

Eric Holmquist, presidente de Holmquist Advisory LLC, llama GRC «la última palabra de moda». Pero dijo que su intención es importante. Las organizaciones necesitan sistemas de gestión de riesgos más integrados y holísticos. «GRC está yendo más allá de los silos operativos, así como de los silos de disciplina de riesgo, para realmente colocar la gestión de riesgos en la estructura de la organización. La gestión de riesgos debe integrarse en la cultura. Debe ser parte de nuestro ADN».

CONTENIDO RELACIONADO  Trabajar con el cliente web de vSphere 6.0

Hacer todo lo anterior sigue siendo un desafío importante para las empresas, porque la mayoría de las empresas carecen de un lenguaje común para el riesgo. Además, el riesgo y el cumplimiento apenas están comenzando a integrarse en los procesos comerciales. Para obtener más información sobre algunos de los obstáculos para lograr GRC, consulte el Open Compliance & Ethics Group (OCEG), una organización sin fines de lucro que ofrece pautas, estándares y herramientas para implementar GRC.

¿A quién o qué se ve afectado por GRC?

«Todos en la organización» es la respuesta simplista a quiénes se ven afectados por GRC. «Cada individuo tiene implicaciones de riesgo vinculadas a él o ella», dijo McClean de Forrester, haciéndose eco de las opiniones de otros expertos.

Dicho esto, la responsabilidad de la gobernanza recae en la alta dirección ejecutiva. La gobernanza crea transparencia empresarial (y valor empresarial) mediante el establecimiento de procedimientos estándar. Además del CEO y la junta directiva, los responsables de la formulación de políticas pueden incluir al director financiero, los directores de riesgos, los CIO y auditoría. La responsabilidad del gobierno de TI, una disciplina técnica, recae en el CIO. Henry de Burton Group define la gobernanza como «gestión de ida y vuelta», organizada de modo que la política y la responsabilidad fluyan hacia abajo y la rendición de cuentas y las evaluaciones fluyan hacia arriba. «Es una actividad cíclica».

La responsabilidad de la gestión de riesgos es compartida por los ejecutivos de la unidad de negocio, el CIO y el CFO. La gestión de riesgos es una «vieja disciplina», dijo Henry. Las políticas y herramientas para gestionar los riesgos de seguridad física y personal, así como los riesgos financieros, se han desarrollado a lo largo de los siglos. TI agrega otra dimensión a los riesgos, así como la remediación.

La gestión de riesgos empresariales (ERM) alinea el rendimiento y el riesgo con las metas y objetivos del negocio. Como los bancos «demasiado grandes para quebrar» y los contribuyentes estadounidenses descubrieron en esta recesión, las unidades individuales pueden funcionar de manera rentable y, al mismo tiempo, plantear enormes riesgos para la empresa. ERM se puede aplicar en toda la empresa o para cumplir con los objetivos de un solo departamento, como TI. Si bien ERM tiene muchos de los mismos objetivos que GRC, no sustituye a GRC, aunque existe cierto desacuerdo sobre si GRC es un subconjunto de ERM o al revés.

La responsabilidad del cumplimiento es compartida por muchos ejecutivos, generalmente a nivel de vicepresidente. Los recursos humanos, auditoría, asesoría corporativa y el CIO están involucrados en la comprensión de los requisitos de cumplimiento. El objetivo en GRC es, coordinar esos esfuerzos y procesos de cumplimiento y, en segundo lugar, pasar a un enfoque de cumplimiento más basado en el riesgo.

La mayoría de las personas encargadas del cumplimiento lo consideran un requisito, no un riesgo, dijo Carole Stern Switzer, presidenta de OCEG con sede en Phoenix. Pero el cumplimiento no debería estar exento de las restricciones económicas que obligan a todas las demás partes del negocio a calcular los riesgos frente a los beneficios de sus inversiones, dijo Switzer. «Es el proverbial ‘no gastes un millón de dólares para solucionar un problema de $ 500′», dijo. Las organizaciones deben adoptar un enfoque de cumplimiento basado en el riesgo, y GRC les ayudará a hacerlo, dijo.

CONTENIDO RELACIONADO  Asegurar el perímetro con IoT comienza y termina con el dispositivo

Holmquist plantea otro aspecto de la gobernanza de GRC: la tensión entre la gestión por intuición y la gestión por marco. «Cada organización tiene que determinar dónde encajan en ese continuo. No se puede administrar completamente por intuición. Debe tener algún conjunto de controles. Y no se puede administrar completamente con un marco rígido. Nadie querrá trabajar allí. La gente tienen que averiguar cuál es su nivel de tolerancia para la cantidad de estructura que van a tener. Para mí, ese es el corazón de GRC: crear sistemas que le permitan identificar y mitigar el riesgo al tiempo que garantiza el cumplimiento, lo que significa ver cómo gobierna, cómo haces las cosas «.

Averiguar quién es el propietario de qué parte del proceso de gobernanza, riesgo y cumplimiento puede resultar complicado. «Hay muchos desafíos políticos sobre quién es dueño de qué parte del proceso de GRC», dijo McClean. «Auditoría tiene una idea clara de cuál es su ámbito; el riesgo y el cumplimiento son lo mismo; lograr que todos los grupos trabajen juntos es un obstáculo bastante grande».

¿Cuál es el papel de TI en la implementación de GRC?

TI juega dos roles en GRC. TI debe lidiar con sus propios riesgos internos: violaciones de datos, privacidad, gobernanza de datos internos, etc. «Hay muchos riesgos diferentes relacionados específicamente con TI, que requieren un conjunto de evaluaciones, controles y mitigación de riesgos». Dijo McClean.

Además, TI debe desempeñar un papel en GRC a nivel empresarial, implementando las herramientas que ayudarán con el flujo de información. TI, por ejemplo, ayudará a diseñar las aplicaciones y plataformas para realizar evaluaciones de riesgos y capacitar a los empleados y extraer la información de los sistemas de toda la empresa que miden el riesgo, dijo McClean. En términos de la implementación práctica de GRC, TI juega un papel importante.

«Lo que TI quiere evitar es que se le asigne la tarea de crear las reglas y responsabilidades del programa GRC: quién participará, con qué frecuencia se realizarán las evaluaciones», dijo McClean. Estas son decisiones tomadas por la junta y el nivel C, no por TI «.

A algunos CIO se les pide que supervisen GRC. «Estoy sorprendido por esto», dijo McClean, «pero se puede argumentar que debido a que TI tiene un alcance amplio y toca cada parte del negocio, tiene sentido poner a TI a cargo». O una empresa puede recurrir a TI para desempeñar el papel de director de riesgos, una persona encargada de vincular áreas separadas de riesgo, como salud y seguridad ambiental, seguridad de TI, continuidad del negocio y riesgo financiero, para que la organización pueda ver su exposición a través de estas areas. Aún así, si la estrategia de GRC no proviene del directorio, el director ejecutivo, el director financiero y el director de riesgos, «será un programa muy limitado», dijo McClean.

¿Cuáles son los marcos más importantes?

Los marcos de GRC provocan tanto debate como el término de tres letras en sí. Holmquist apunta a «sólo dos marcos» que son importantes para GRC: COSO y los Objetivos de Control para la Información y Tecnología relacionada, o COBIT.

Cinco importantes asociaciones contables formaron el Comité de Organizaciones Patrocinadoras en 1985 para abordar los factores que conducen a informes financieros fraudulentos y desarrollar una guía sobre controles internos. COBIT es un estándar abierto internacional en la década de 1990 que define los requisitos para el control y la seguridad de datos sensibles y proporciona un marco de referencia. Ambos son ampliamente aceptados y utilizados por auditoría para revisiones.

CONTENIDO RELACIONADO  Consejos - TI e informática - SearchCompliance

«Al final, el marco no es más que un enfoque estructurado del sentido común. Si ya tiene sistemas para identificar, mitigar, monitorear y administrar el riesgo, tiene un marco», dijo Holmquist.

McClean, de Forrester, estuvo de acuerdo en que muchas organizaciones utilizan COSO como base para GRC, pero agregó: «En realidad, no hay marcos de GRC muy buenos. GRC se trata más de combinar las mejores prácticas de auditoría, cumplimiento y riesgo».

Las organizaciones necesitan desarrollar un lenguaje común para el riesgo si quieren practicar GRC. Los estándares que pueden ayudar a las organizaciones a hacer esto incluyen COSO ERM, Australia / Zelanda AS / NZS 4360 e ISO 31,000. Además, OCEG está trabajando para desarrollar un estándar internacional de gobernanza, riesgo y cumplimiento.

Obtenga más información sobre las pautas de COSO y COBIT.

¿Cuáles son las herramientas GRC más rentables?

Cuando se trata de herramientas de software GRC, el comprador debe tener cuidado.

Algunas de las plataformas GRC en el mercado están «francamente, un poco por delante de la capacidad de usarlas», dijo McClean. La mayoría de las funciones de riesgo y cumplimiento todavía se realizan en el correo electrónico y las hojas de cálculo de Microsoft Excel. Algunas organizaciones utilizan la plataforma SharePoint de Microsoft para realizar un seguimiento del cumplimiento.

Otra advertencia: la mayoría de los productos GRC se crearon originalmente para abordar requisitos específicos para áreas específicas del negocio, como TI, finanzas y operaciones. El software comercializado como soluciones GRC integrales funcionaba de hecho como herramientas independientes que no se integraban bien con el software que gestiona los procesos comerciales principales.

Aunque las funciones de gestión de GRC pueden abarcar las tres categorías de TI, finanzas y operaciones, «los controles normalmente abordan los riesgos en una sola categoría y no se superponen», advirtió Gartner en su revisión del mercado de GRC el año pasado. Por ejemplo, las funciones de control y seguimiento de la documentación son similares en finanzas, TI y operaciones, indica el informe, pero «los controles GRC financieros, como el proceso de conciliación de cuentas financieras, no se superponen con los controles de TI, como los firewalls».

Los líderes en tecnología de plataforma GRC, según Gartner, incluyen OpenPages Inc., Paisley Consulting Inc., Archer Technologies LLC y el gigante de software Oracle Corp. El análisis de julio de Forrester de las plataformas GRC destacó a Axentis Inc., BWise y Thomson Reuters Corp. por tener » programas integrales de GRC «.

Pero puede que no sea realista esperar comprar todo en un solo paquete, dijo French Caldwell, analista de Gartner. Y la selección de una plataforma óptima seguramente desencadenará un debate. «Es difícil equilibrar los requisitos de auditoría interna frente al director de riesgos, frente al director financiero o el director de riesgos de TI», dijo. «Alguien siempre se sentirá subóptimo».

De hecho, los expertos que entrevistamos aconsejaron a los CIO que comenzaran por aislar y articular los problemas de GRC que enfrentan sus negocios a corto plazo. Luego, observe cómo las inversiones en tecnología en esas áreas pueden tener múltiples usos dentro de TI y otras partes del negocio. Como dijo un experto, no hierva el océano. Y prepárate para las batallas territoriales.

Háganos saber lo que piensa acerca de estas preguntas frecuentes; envíe un correo electrónico a Linda Tucci, redactora principal de noticias.

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )

También te puede interesar...

¿Kubernetes es gratuito como software de código abierto?

adoptado e integrado en otros productos. Kubernetes es una herramienta de gestión y orquestación de contenedores de código abierto administrada por Cloud Native Computing Foundation, independiente del proveedor. Mientras que herramientas como Docker construyen y

¿Qué es mejor para una empresa?

Los equilibradores de carga, que antes eran casi exclusivos del ámbito de los dispositivos de hardware, ahora se pueden implementar de forma eficaz en el software de otro servidor. La línea entre los equilibradores de

Cómo acabar con los silos con Salesforce

En Maryville University, el presidente Mark Lombardi es muy consciente de que la experiencia del estudiante puede ser estresante. Inscribirse en clases o decidirse por una carrera universitaria son opciones serias. Lombardi no quiere que

¿Qué es Workday? – Definición de Krypton Solid

Workday es un proveedor de software basado en la nube que se especializa en aplicaciones de gestión financiera y de capital humano. Con sede en Pleasanton, California, Workday fue fundada en 2005 por Dave Duffield

Mirar objetos con Active Directory Explorer

Fuente: Brien M. Posey, Ilustración: Thinkstock El Explorador de Active Directory puede ser útil para cualquier persona que periódicamente necesite solucionar problemas, consultar o modificar el Active Directory de Windows. Microsoft proporciona varias herramientas nativas

El futuro de la realidad mixta en todas las industrias

Más organizaciones en todas las industrias están comenzando a utilizar gafas y software de realidad aumentada, pero los auriculares voluminosos y el precio superior son las principales barreras de entrada para la mayoría de las

¿Un juguete genial o una oportunidad de socio CRM?

Tal vez seas un socio que ha tenido alguna experiencia con la gamificación, tal vez no. Si es socio de Microsoft Dynamics CRM, es hora de incorporarse. Microsoft planea integrar funciones de gamificación directamente en

Página no encontrada – Krypton Solid

Lo sentimos, pero la página que está buscando no existe o no está disponible temporalmente. ¿Quiere saber más sobre lo que hacemos? Leer sobre Nuestras Capacidades y nuestros productos. Aquí hay algunas otras opciones: Revise

Cada implementación de VDI tiene su espina

VDI siempre se ha enfrentado a un arduo trabajo. La implementación requiere mucho tiempo y es costosa. La tecnología solo se adapta a ciertos casos de uso, y con tantas partes móviles y personas a

La batalla de las redes de IoT: celular versus Wi-Fi

Cuando se trata del Internet de las cosas, quizás la tecnología habilitadora clave sean las tecnologías de redes inalámbricas. Sin las dos tecnologías de redes de datos inalámbricas principales, celular y Wi-Fi, casi todos los

Modos de salida de la línea de comando Snort

[**]Los modos de salida de la línea de comando se refieren a situaciones en las que un operador activa una opción de salida específica a través de un indicador de la línea de comando. Las

¿Qué es Lenovo IdeaPad Yoga?

Lenovo IdeaPad Yoga es una línea de tabletas convertibles que ejecutan el sistema operativo (SO) Windows. El Lenovo IdeaPad Yoga cuenta con una pantalla con bisagras de 360 ​​grados que permite utilizar el dispositivo como

¿Qué tan popular es el proceso Scrum?

Fuente: VersionOne Diseñador: Christopher Seero / Krypton Solid Es un mundo de procesos Scrum, aparentemente. Antes de continuar, ¿sabías que, según el diccionario Merriam-Webster, Scrum puede significar una forma de iniciar un juego de rugby

¿Qué es la monitorización remota del paciente (RPM)?

La monitorización remota del paciente (RPM) es una subcategoría de la telesalud domiciliaria que permite a los pacientes utilizar dispositivos médicos móviles y tecnología para recopilar datos de salud generados por el paciente (PGHD) y

Hoja de trucos de Microsoft Windows 7

Por editores, SearchSystemsChannel.com Esta hoja de trucos de Windows 7 ofrece a los proveedores de soluciones de TI la información que necesitan saber cuando sus clientes consideran las migraciones a Windows 7. Más recursos de

Cumpliendo la promesa de IoT

La IA puede ayudar a los sistemas conectados a IoT a analizar mejor los datos, tomar decisiones y cambiar comportamientos. El uso de IA es la forma en que IoT finalmente puede cumplir su promesa

Unidesk ayuda a bufete de abogados a capear tormentas de VDI

VMware planea integrar adquisiciones recientes para ofrecer una suite completa de administración de entornos de trabajo este año, pero algunas tiendas de VDI continuarán pagando por herramientas de capas de aplicaciones y administración de perfiles

Druva Phoenix ofrece nuevas funciones de DRaaS

El proveedor de copias de seguridad Druva está reforzando su recuperación ante desastres como un servicio en torno a sus aplicaciones de copia de seguridad en la nube Phoenix y CloudRanger y Amazon Web Services.

¿Qué es un certificado digital?

¿Qué es un certificado digital? Un certificado digital, también conocido como certificado de clave pública, se utiliza para vincular criptográficamente la propiedad de una clave pública con la entidad que la posee. Los certificados digitales

Pon a prueba tus conocimientos de acceso VDI móvil

Entregar aplicaciones y escritorios virtuales a las PC de los usuarios ya es bastante complicado. Agregue los dispositivos móviles, con sus pantallas más pequeñas e interfaces táctiles, y los administradores de VDI tienen mucho trabajo

Deja un comentario