Las estrategias de gestión de datos están evolucionando: las empresas tienen que


Gobernanza, gestión de riesgos y cumplimiento (GRC) es una tecnología relativamente nueva que permite a las organizaciones gestionar el cumplimiento y la seguridad de sus datos. Esto generalmente se refiere a la seguridad de los datos, pero también puede incluir acuerdos de recuperación de datos y nivel de servicio con terceros.

"GRC se enfoca en prevenir la pérdida de datos a través de ataques o desastres, robo de identidad o fraude", dice Colin Tankard, gerente general de Digital Pathways . "Esto se rige por las leyes y regulaciones gubernamentales, en particular con respecto a la información que una empresa retiene y tiene acceso a clientes y empleados".

GRC cubre las diferentes demandas impuestas en el manejo de datos. Como sugiere el término, GRC se centra en tres áreas clave:

  • gobernanza: el enfoque de gestión general de una organización que utiliza sistemas de gestión de información y estructuras de control jerárquico para garantizar el cumplimiento.
  • Gestión de riesgos: identificación, análisis y respuesta a riesgos potenciales Esto podría dificultar que una organización logre sus objetivos.
  • Cumplimiento: asegúrese de que una organización cumpla con las regulaciones de las herramientas de administración de datos y las políticas de la organización.

Por lo tanto, una estrategia integral de GRC generalmente incluye los siguientes objetivos: [19659004] Gestión de identidad y control del acceso de los usuarios a los recursos de datos.

  • Monitoreo estricto de todo el acceso a datos humanos y de máquinas.
  • GRC es típicamente el dominio del equipo de TI y, a veces, el oficial de cumplimiento. Otras áreas de negocio rara vez se ven afectadas. Se trata más de gobernanza que de negocios.

    "Los datos tienen un valor más alto que el petróleo y nosotros como humanos causamos más de 2.5 exabytes ] de datos todos los días", dice Tim Galligan, gerente general para Europa, Medio Oriente y África (EMEA) en SailPoint . "Este auge de datos ha creado una necesidad real en la empresa de respaldo y administración de sus propios datos. Cuantos más datos necesitemos administrar, más difícil será controlar quién accede a esos datos, qué hacemos con ellos y qué tan seguros son. "

    GRC ahora está evolucionando hacia una gestión integrada de riesgos (IRM) que proporciona un enfoque mucho más holístico a las prácticas de seguridad de datos de una organización. "La naturaleza siempre presente de los datos confidenciales y los problemas de seguridad y privacidad asociados están impulsando este movimiento", dijo Doug Wick, vicepresidente de producto en ALTR .

    IRM Un conjunto de procedimientos mediante los cuales una empresa consciente del riesgo puede acelerar las decisiones y el rendimiento mediante el uso de tecnología y estrategia. Para este propósito, la intervención humana y los libros de jugadas automatizados se utilizan para definir un escenario y crear acciones que pueden usarse para evitar que la situación se propague. "IRM proporciona una evaluación previa del riesgo para toda la empresa antes de que ocurra una situación, pero con la orientación de que los requisitos comerciales dependen de cada situación", dice Tankard.

    GRC o IRM?

    GRC o IRM no son adecuados para todas las organizaciones. Las empresas con una gran estructura administrativa y una gran cantidad de departamentos y empleados, especialmente distribuidas en varios lugares e incluso países, obtendrán la mayor ventaja. Es probable que las organizaciones más pequeñas con un número limitado de empleados y departamentos, especialmente aquellas ubicadas en una sola oficina, consideren que los beneficios son insignificantes.

    Investigaciones recientes realizadas por Exasol revelaron que más de la mitad de los datos presentados iniciativas en empresas fracasaron . Significativamente, más de una cuarta parte de estas fallas se debieron a la escasez de habilidades, una situación que fue aún peor en las industrias minoristas y de servicios financieros. Las razones más comunes para el fracaso de tales iniciativas son la consolidación de datos, la migración de datos y el cumplimiento del Reglamento General de Protección de Datos (GDPR).

    Debido a que IRM es un enfoque integrado para GRC, proporciona a los ejecutivos una comprensión más amplia de los riesgos y oportunidades de su organización.

    Una de las principales diferencias entre GRC e IRM es que el primero generalmente se opera de forma aislada, o se conoce como silos . Mientras que el IRM entiende que los eventos en un área se deben al creciente intercambio de datos dentro de las organizaciones para afectar a otro.

    "La gente ha comenzado a usar cosas como la gobernanza y el cumplimiento como un medio para verificar su posición de seguridad", dice Tankard. "Sin embargo, los otros aspectos de la ley y los recursos humanos generalmente no se tienen en cuenta".

    Aunque el almacenamiento en la nube es fundamentalmente responsabilidad de TI, puede afectar todos los aspectos de las operaciones de una empresa. Si la base de datos de empleados de una organización (que normalmente es administrada por Recursos Humanos) no está disponible, puede convertirse rápidamente en un problema importante en toda la organización.

    Mayor seguridad y supervisión reguladora

    Finalmente, IRM promueve una estrategia de seguridad de arriba hacia abajo. Cultura corporativa enfocada y consciente del riesgo.

    El enfoque unificado aprobado por IRM brinda a las organizaciones la oportunidad de lograr un gobierno corporativo más coherente. A diferencia de GRC, IRM está integrado en la estructura de una empresa en todos los niveles, lo que permite a los ejecutivos comprender mejor lo que está sucediendo y responder más rápidamente a las amenazas emergentes. "Crear una cultura de responsabilidad individual y colectiva ayuda a minimizar las vulnerabilidades y proteger los activos corporativos", dijo Galligan de SailPoint.

    IRM ayuda a las empresas a administrar mejor sus prácticas comerciales al especificar reglas sobre cómo se utilizan los datos. El registro resultante se distribuye a nivel empresarial en toda la organización.

    Los requisitos reglamentarios del GDPR han hecho que el monitoreo de seguridad sea más complicado, dice Tankard. "El RGPD es una buena legislación porque brinda a las personas mucho poder sobre quién usa nuestros datos y evita su mal uso", dice. "Sin embargo, ha complicado mucho la administración en cuanto a quién puede ver los datos que las compañías recopilan sobre los usuarios".

    Un enfoque integrado permite una respuesta rápida a tales problemas regulatorios al proporcionar a las personas necesarias el acceso que necesitan si lo necesitas

    Eliminación de silos y mejora de la eficiencia

    GRC generalmente opera en departamentos separados, lo que no solo significa un uso ineficiente del tiempo y los recursos, sino que también puede conducir a la repetición del trabajo en el que varios departamentos realizan lo mismo Realizar tarea Esta duplicación puede generar confusión y desconfianza entre los departamentos.

    "Cuando se trataba de riesgos generales y cumplimiento normativo, encontramos que muchas cosas se duplicaron", dice Tankard. "No había un pensamiento común, lo cual era un problema real. Incluso tuvimos situaciones en las que queríamos conseguir un departamento para nosotros e implementar una solución de vigilancia porque realmente no confiaban en las declaraciones de TI.

    La principal ventaja de IRM es que permite a las empresas beneficiarse de una mejor comprensión de sus riesgos y el impacto que podrían tener en su rendimiento general. Esta conciencia integrada ofrece una oportunidad sin precedentes para maximizar la eficiencia dentro de las estructuras organizacionales, mejorar la adaptabilidad a los eventos y desarrollar una mayor conciencia y mitigación de los riesgos.

    Como resultado, IRM mejora inherentemente la eficiencia operativa de las empresas. En lugar de compartir información a través de múltiples sistemas que experimentan retrasos, todo se comparte por igual en toda la organización, de modo que los departamentos pueden acceder de manera instantánea y adecuada a la información a medida que esté disponible.

    Este método también permite a las organizaciones implementar redundancia en sus operaciones, optimizando sus flujos de trabajo y mejorando la productividad.

    Encontrar oportunidades con riesgos calculados

    La visibilidad mejorada de IRM permite a las empresas identificar nuevas oportunidades de negocio en sus operaciones existentes.

    Las empresas pueden ser reacias al riesgo, especialmente en estos tiempos difíciles, pero IRM puede resaltar oportunidades que impactan positivamente los riesgos calculados. La visión general de las operaciones comerciales proporciona información sobre la amplitud de oportunidades, tanto los riesgos como las oportunidades que pueden no haber sido consideradas previamente.

    Dada la naturaleza competitiva del mercado y la sorprendente tasa de cambio En el desarrollo tecnológico, las empresas deben seguir siendo competitivas para sobrevivir. Una forma es identificar oportunidades y comprender los riesgos asociados.

    Sin embargo, con todos los beneficios de IRM, los desafíos permanecen con la implementación adecuada en un negocio.

    Muchos consideran que el momento barato para introducir IRM es cosechar los beneficios lo antes posible. Es posible que algunas organizaciones ya hayan instalado los sistemas, pero todas deben fusionarse para integrarse.

    "Las empresas no necesariamente tienen que instalar una gama completa de sistemas nuevos", dice Tankard. "Es mucho más de lo que es en este momento reunirlo mejor que ser pequeñas islas, hay que tratar de disolver estas islas, la única forma de hacerlo es unir los procesos administrativos y asegurarse de que la junta directiva

    "Tiene que suceder de inmediato, porque las cosas están sucediendo en este momento, y si aún no lo está haciendo, debería pensar en racionalizarlo".

    Sin embargo, fusionar estos sistemas puede ser lo mejor Es particularmente importante asegurarse de que todos los sistemas estén integrados adecuadamente en la nueva estructura y que cada individuo y departamento tenga el acceso correcto a la información para realizar sus tareas y que se cumplan los estándares de protección de datos requeridos. [19659016] "Es un desafío para las personas cuando asignan trabajo porque ellas son las que tienen este trabajo no tengo que saber sobre los riesgos involucrados ", dice Stephen Ralph, Gerente de Producto en Zarion . "Existen enormes demandas para los empleados de aplicar las políticas correctas para garantizar que no se violen los permisos y que cumplan con las regulaciones y políticas".

    Mantener un liderazgo requiere experiencia.

    IRM requiere una inversión significativa de tiempo y recursos para una determinación adecuada antes de que se puedan obtener los beneficios.

    Desafortunadamente, debido a la naturaleza altamente técnica de IRM, solo un número limitado de personas tiene las habilidades apropiadas. "Todos los involucrados en la gestión de riesgos deben tener las habilidades y destrezas para digerir y comprender los privilegios de GRC e IRM", dice Wick de ALTR.

    Sin embargo, hay varias opciones.

    El primero es simplemente contratar al personal requerido con experiencia en la introducción de IRM para adquirir las habilidades requeridas. Esta es la forma más intensiva en capital, pero también la más rentable, para que las organizaciones introduzcan IRM más temprano que tarde.

    La alternativa es preparar al personal existente para la introducción de IRM. Este puede ser un uso eficiente del capital, pero existe la duda de que gran parte del conocimiento es teórico y no probado en la práctica. También existe el riesgo de que estos empleados abandonen la organización antes de que se introduzca IRM.

    Finalmente, las organizaciones pueden contratar consultores independientes para implementar IRM dentro de la red. Si bien esto requiere menos capital en términos de adquisición de habilidades, es menos eficiente en términos de inversión empresarial ya que la organización pierde esas habilidades después de la firma del contrato.

    Invertir tales recursos puede ser un desafío particular para la organización, sin embargo, con recursos limitados, esto puede mitigarse en cierta medida mediante una planificación previa suficiente, el conocimiento de las necesidades comerciales y la priorización de la inversión.

    Los desafíos que enfrentan las empresas cuando intentan implementar IRM no son insuperables, pero existen. Para las empresas más grandes, los beneficios superan con creces los riesgos, por lo que estar mejor posicionados para mantener su ventaja competitiva en el futuro, la isla solitaria, debe ser el camino a seguir porque ahora se está escapando mucho de las grietas ", dice Tankard.



    Control de obras 3000 de Cea Ordenadores