Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

La selección de herramientas de GRC comienza entendiendo los objetivos de negocio

Entender el problema específico de negocio que trata de resolver es un factor crítico al adquirir una solución de gobernanza de TI, riesgo y cumplimiento (GRC).

Aunque parezca contradictorio, tener demasiadas opciones en realidad puede hacer más difícil tomar una decisión. Los psicólogos lo describen como “fatiga de decisión”. Es un fenómeno en el cual las decisiones se vuelven más estresantes, y también más difíciles de hacer, debido a la mayor cantidad de opciones.

Cualquier persona que esté considerando la compra de una herramienta para la gobernanza de TI, riesgo y cumplimiento (GRC), probablemente se puede relacionar con eso.

El hecho es que hay una gran cantidad de productos bajo la sombrilla de TI de GRC, que proporcionan una amplia gama de características. Las desventajas de esto son evidentes: Puede ser un reto hacer una compra, porque no todos los productos se ajustan a cada necesidad, y a veces se debe realizar transacciones porque no todos los productos hacen todo igual de bien. Pero aquellos con una clara visión de sus objetivos específicos probablemente puedan encontrar un producto que haga lo que ellos necesitan.

Entender el problema específico de negocio que estamos tratando de resolver es un factor crítico cuando  está adquiriendo una solución de GRC. Entienda ese problema con claridad, y es muy probable que encuentre un producto para hacerle frente. Entiéndalo mal, y es probable que encuentre difícil la selección del producto, por no hablar de que lo más probable es que en el camino se arrepienta de su elección.

Llegar a un entendimiento claro del problema de negocios que desea resolver puede ser más difícil de lo que parece, pues no hay dos organizaciones iguales cuando se trata de GRC. Sus problemas de gestión de riesgos y cumplimiento probablemente sean muy diferentes de los de otras organizaciones. ¿Por qué? La razón tiene que ver con la naturaleza misma de GRC. Este descansa en la intersección de tres disciplinas únicas: La gobernanza de TI , la gestión de riesgos de TI y el cumplimiento, lo que hace tres veces más probable  que haya diferencias en cómo las organizaciones administran estas áreas. Incluso las propias disciplinas tienen distintos intereses comerciales y áreas de interés.

“Gobernanza”, “gestión del riesgo” y “cumplimiento” no son disciplinas idénticas; de hecho, en algunos casos pueden estar en desacuerdo. El punto de GRC como concepto unificador no es exprimir los tres en uno solo. En lugar de eso, se trata de reconocer que ellos tienen problemas relacionados, y por lo tanto, su gestión de forma sinérgica y verlas de manera integral es ventajoso. El mercado de los productos de GRC refleja esto: Algunas herramientas pueden estar más centradas en los riesgos, con las correspondientes capacidades que apoyan esas actividades. Otros se dirigen a las otras dos áreas de la tríada.

La pregunta que debemos hacernos es: “¿A cuál de sus problemas de negocios le dará soporte una herramienta GRC?” A pesar de que puede sonar trillado, la clave para abordar el mercado de GRC es tener un entendimiento concreto de cómo desea utilizar la herramienta, y qué desafíos en particular intenta resolver con ella. Para determinar mejor eso, primero tiene que entender lo suficiente acerca de su propia organización –y los procesos que actualmente sigue– para ser capaz de detectar las áreas débiles. Esto le ayudará a ver donde podría encajar una solución.

Madurez y automatización de GRC

La clave para abordar el mercado de GRC está tener un entendimiento concreto de cómo desea utilizar la herramienta, y qué desafíos particulares intenta resolver con ella.

Para realizar este autoexamen crítico, es útil observar tanto el nivel de esfuerzo que se dedica a los procesos de GRC, y la madurez de esos procesos.

¿Cómo puede una organización típica, sin capacidades de GRC automatizadas, seguir la pista y gestionar las actividades de GRC? A menudo, con complicadas hojas de cálculo. Para el cumplimiento, esas hojas de cálculo pueden proyectar de manera conjunta los requisitos reglamentarios que se traslapan, y demostrar cómo cumplir con estos requisitos influye en las declaraciones de política corporativa. Para los profesionales de riesgo, podrían utilizarse para llevar a cabo las evaluaciones de riesgos, para rastrear las actividades de mitigación y para realizar cálculos de riesgo. En el mundo de la gobernanza, podrían ser utilizadas para gestionar los acuerdos de nivel de servicio, para dirigir el desempeño hacia las metas estratégicas y tácticas, y para mapear esos objetivos hacia iniciativas técnicas específicas.

No me malinterpreten: Las hojas de cálculo tienen un lugar, y a veces realmente son la mejor herramienta para el trabajo. Pero también requieren un alto nivel de organización y disciplina, ya que necesitan ser actualizadas periódicamente. Además, la entrada y presentación de informes suele ser manual.

Aunque la metodología específica no es una hoja de cálculo, sino una herramienta de oficina de propósito general, como un documento de Word o una base de datos para estas tareas, aún requiere que el personal  sea disciplinado. Ellos tienen que recordar mantener la herramienta actualizada; necesitan mantener un seguimiento de las fechas de eventos críticos; necesitan recordar seguir el proceso y, de hecho, entender qué es el proceso.

Además, tenga en cuenta que cuando hay múltiples actores involucrados, por lo general hay varias versiones de los artefactos existentes al mismo tiempo, todo con diversos grados de exactitud, exhaustividad y relevancia. Como consecuencia de ello, ¿qué tan resilientes son estos métodos? ¿Cuán consistente es su salida de una iteración a otra? ¿Qué tan fácil es entender la calidad y el esfuerzo asociados a un determinado resultado?

Evalúe los puntos débiles en sus procesos de GRC. A medida que vaya comprendiendo mejor cuáles son sus procesos específicos, tome nota de dónde podrían ser menos que ideales con respecto a la madurez, y dónde podrían requerir un esfuerzo significativo para mantenerlos. Puede comenzar a ver las áreas donde las herramientas específicas de GRC podrían potencialmente brillar, tomando nota de los problemas de negocios que podría querer abordar. Estas herramientas proporcionan un marco sobre el cual pueden descansar sus procesos de GRC, y proporcionarles un cierto nivel de automatización. Si se elige correctamente, las herramientas de GRC pueden disminuir su mantenimiento, son resistentes al desgaste, y proporcionan una salida consistente. También pueden aumentar la madurez general de sus procesos de GRC.

Como dije al principio, los problemas específicos de GRC que tiene serán específicos para usted. Pero a través de la automatización, las herramientas de GRC pueden desviar la atención de la mecánica de los propios procesos, como el mantenimiento de registros, la recopilación de datos, la generación de informes y, en algunos casos, el análisis de datos. En su lugar, puede centrarse en lo que importa: La salida de los procesos de GRC, y las decisiones de negocios que toma como respuesta.

Sobre el autor: Ed Moyle es director del area de negocios y tecnología emergente en ISACA. Anteriormente trabajó como estratega senior de seguridad en Savvis, y fue un alto directivo de la CTG. Antes de eso, se desempeñó como vicepresidente y oficial de seguridad de la información en Merrill Lynch Investment Managers.

Investigue más sobre Gestión de la seguridad de la información

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close