GRC: Gobierno, Riesgo y Cumplimiento en Ciberseguridad 4n6o1

Hola a todos y bienvenidos a un nuevo episodio de TechFlow, el programa de vídeo podcast de Volutio.

Hoy tenemos con nosotros a Juanjo Parra, especialista en un ámbito muy interesante entre ciudad de seguridad que es el mundo de GRC, gobierno, riesgo y cumplimiento.

Para ello, Juanjo nos va a explicar qué importancia tiene dentro de las compañías la definición de una estrategia alrededor de GRC y la implantación de la misma para mitigar riesgos, tener un cierto gobierno y cumplimiento alrededor de la normativa vigente.

Y para comenzar, nos podrías explicar en términos simples qué es GRC.

Bueno, pues GRC es un conjunto de buenas prácticas que lo que permite es que las empresas puedan gestionar el gobierno, el riesgo y el cumplimiento de una forma que se reduzca el potencial riesgo de un ataque de ciberseguridad y que además asegure el cumplimiento normativo.

Entonces, ahí se basan estos tres pilares, ese gobierno, que serían las políticas, las normas que establece la empresa para conseguir una estrategia, un riesgo, que es cómo gestionar los riesgos que pueden aparecer y que aparecen seguro en ese camino hacia esa estrategia y ese cumplimiento que lo que marca es las reglas del juego, es decir, dónde no te puedes ir o dónde no te puedes salir de ese camino para llegar a esa estrategia.

Esos tres pilares juntos es lo que gestiona GRC, es lo que asegura que toda la compañía rema hacia un punto común. No es que todos saben dónde ir, pero cada uno rema hacia un sitio.

Pues GRC te asegura que, aparte de saber dónde vas, estás remando hacia el mismo sitio.

Juanjo, ¿y dentro de los riesgos y beneficios que aporta implementar una estrategia de GRC dentro de una compañía? ¿Qué nos puedes contar? Bueno, pues fundamentalmente los beneficios que aporta a cualquier empresa es una alineación o alineamiento de, digamos, todas las áreas en la estrategia.

Es decir, asegura que la política y los controles de seguridad que se aplican están encaminados a conseguir esa estrategia.

Facilita que se identifiquen riesgos y que haya una gestión proactiva de esos riesgos minimizando el impacto que puedan tener.

Nos garantiza que cumplimos con la normativa legal vigente y nos evita tener sanciones.

Permite, además, que la compañía demuestre su compromiso con la seguridad y con el cumplimiento con lo cual los clientes valoran positivamente el que la compañía demuestre ese cumplimiento.

Y, sobre todo, lo que permite es un acercamiento de todos los empleados hacia una estrategia común.

Es el principal beneficio, es decir, el sentir que los empleados forman parte de esa estrategia de la compañía.

Terminos de riesgo, siempre hablamos de las sanciones como el elemento más hiriente.

Fundamentalmente son las sanciones, pero también puede ser el desapego hacia una compañía.

Es decir, puede ser que un empleado no entienda la estrategia, no entienda por qué hay que ser consciente de que cualquier regulación produce ineficiencias al principio.

Y si no se explica muy bien y no hay un compromiso por parte de la compañía puede ser que los empleados se sientan o sientan un desapego o que esa estrategia no va con ellos.

Entonces, GRC te asegura que todos están consolidados hacia ese objetivo común.

¿Y si hablamos un poco de qué herramientas sustentan la operativa de una estrategia o en qué tecnología nos podríamos apoyar para implementar una estrategia de GRC? Pues hay varias herramientas en el mercado.

Es decir, hemos pasado de intentar hacer las cosas con herramientas ofimáticas y hemos visto que es imposible precisamente por esa alineación o esa cohesión que necesitamos de todas las áreas.

Hay varias herramientas en el mercado.

De hecho, en el caso de Voluteo somos partner de GlobalSuite.

Es una herramienta global que nos permite automatizar la gestión de riesgos, automatizar la monitorización, comprobar ese cumplimiento normativo mediante lanzamiento de encuestas a toda la compañía.

Nos permite además tener unos reportes, unos KPIs, unos mapas de riesgos, establecer planes de tratamientos de riesgos.

Todo consolidado en una única herramienta.

De forma que si el Departamento de Finanzas ha identificado un riesgo, puede ser que el Departamento de Sistemas esté apoyando un control que le va a beneficiar.