Describir los conceptos de gobernanza, riesgo y cumplimiento (GRC)

  • 4 minutos

Las organizaciones se enfrentan a una complejidad y un cambio crecientes en los entornos normativos, lo que exige un enfoque más estructurado para gestionar la gobernanza, el riesgo y el cumplimiento (GRC).

Diagrama que muestra un marco de GRC.

A medida que las organizaciones establecen la competencia GRC, pueden establecer un marco que incluya la implementación de directivas y procesos operativos específicos, así como tecnologías. Un enfoque estructurado para administrar GRC ayuda a las organizaciones a reducir el riesgo y mejorar la eficacia del cumplimiento.

Un requisito previo importante para establecer la competencia GRC es comprender los términos clave.

Gobernanza

La gobernanza es el sistema de reglas, prácticas y procesos que usa una organización para dirigir y controlar sus actividades. Muchas actividades de gobernanza surgen de expectativas, obligaciones y estándares externos. Por ejemplo, las organizaciones establecen reglas y procesos que definen quién, qué, dónde y cuándo los usuarios y las aplicaciones pueden acceder a los recursos corporativos, y quién tiene privilegios administrativos, y durante cuánto tiempo.

Riesgo

La administración de riesgos es el proceso de identificación, evaluación y respuesta a amenazas o eventos que pueden afectar a los objetivos de la empresa o del cliente. Las organizaciones se enfrentan al riesgo tanto de orígenes externos como internos. Los riesgos externos pueden provenir de las fuerzas políticas y económicas de los eventos relacionados con el clima, las pandemias y las infracciones de seguridad (por nombrar solo algunos orígenes). Los riesgos internos son riesgos que proceden de la propia organización. Entre los ejemplos, se incluyen filtraciones de datos confidenciales, robo de propiedad intelectual e industrial, fraude y tráfico de información privilegiada.

Cumplimiento normativo

El cumplimiento se refiere al acatamiento de las leyes estatales o federales del país o región, o incluso a las regulaciones multinacionales que debe seguir una organización. Estas regulaciones definen qué tipos de datos deben protegerse, qué procesos son necesarios en virtud de la legislación y qué sanciones se emiten a las organizaciones que no cumplen.

Es importante tener en cuenta que el cumplimiento no es lo mismo que la seguridad. Sin embargo, la seguridad debe tenerse en cuenta al crear un plan de cumplimiento, ya que la seguridad eficaz suele ser un requisito de cumplimiento. El cumplimiento solo requiere que se cumplan los estándares mínimos legalmente obligatorios, mientras que la seguridad de los datos abarca todos los procesos, procedimientos y tecnologías que definen cómo se cuidan los datos confidenciales y protegen contra las infracciones.

Algunos conceptos relacionados con el cumplimiento incluyen:

  • Residencia de datos: cuando se trata de cumplimiento, los reglamentos de residencia de datos rigen las ubicaciones físicas donde se pueden almacenar los datos y cómo y cuándo se pueden transferir, procesar o acceder a escala internacional. Estos reglamentos pueden variar significativamente en función de la jurisdicción.
  • Soberanía de datos: otra consideración importante es la soberanía de los datos, el concepto de que los datos, especialmente los datos personales, están sujetos a las leyes y los reglamentos del país o la región donde se recopilan, conservan o procesan físicamente. Esto puede agregar una capa de complejidad cuando se trata de cumplimiento porque se puede recopilar el mismo fragmento de datos en una ubicación, almacenarse en otra y procesarse en otra, por lo que estaría sujeto a las leyes de diferentes regiones o países.
  • Privacidad de los datos: proporcionar avisos y ser transparentes sobre la recopilación, el procesamiento, el uso y el uso compartido de los datos personales constituyen los principios fundamentales de las leyes y los reglamentos sobre privacidad. "Datos personales" hace referencia a cualquier información relativa a una persona física identificada o identificable. Las leyes de privacidad abarcan todos los datos directamente vinculados o indirectamente vinculables a una persona. Las organizaciones están sujetas a una multitud de leyes, reglamentos, códigos de conducta, estándares específicos del sector y estándares de cumplimiento que rigen la privacidad de los datos y, por tanto, deben operar conforme a ellos.

Todas las organizaciones administran datos, por lo que es importante comprender la terminología y los conceptos relacionados con el cumplimiento de la normativa, ya que su labor consiste en cumplir las leyes o normativas mínimas y obligatorias.