GRC: Gobierno, Riesgo y Cumplimiento

GRC es la sigla en inglés para Governance, Risk, and Compliance, que se traduce como Gobierno, Riesgo y Cumplimiento. Es una estrategia organizativa que integra estas tres áreas clave para asegurar que las actividades de una empresa estén alineadas con sus objetivos de negocio, gestionar efectivamente los riesgos y cumplir con las normativas del sector y de gobierno.

• Gobierno: Se refiere a los marcos de trabajo de las actividades de una organización y si están o no alineados con los objetivos empresariales. Las actividades incluyen los procesos, las estructuras y las políticas destinadas a gestionar y supervisar las actividades de la empresa. Este término se puede sustituir por Gobernanza, principalmente en instituciones.
• Riesgo: Es un proceso continuo para abordar riesgos y mitigarlos mediante controles, así como para garantizar que se gestionen de acuerdo con las políticas establecidas. Incluye la medición, la evaluación, la contención, la supervisión y la identificación de los riesgos.
• Cumplimiento: Se refiere a la garantía de que las actividades de una organización se realizan conforme a las leyes y normativas.

El término GRC se utilizó por primera vez en el ámbito de la ciberseguridad en el año 2003. Sin embargo, el primer artículo académico revisado sobre el tema fue publicado en 2007 por el fundador de OCEG, Scott L. Mitchell, en el International Journal of Disclosure and Governance. Este concepto ha evolucionado para abarcar un enfoque estructurado en la gestión de los riesgos de TI y seguridad, alineando los procesos tecnológicos con los objetivos del negocio y los requerimientos de cumplimiento normativo.

Si eres un profesionista interesado en desarrollarse en esta disciplina, puedes certificarse mediante diversos programas que son muy reconocidos en la industria, entre ellos.

• GRC Professional (GRCP™) Certification - OCEG: Asegura el entendimiento del Modelo de Capacidad de GRC de OCEG y es independiente de una profesión específica o una solución de tecnología.

• CRISC Certification | Certified in Risk and Information Systems Control | ISACA: Se enfoca en la gestión de riesgos de TI y el diseño, implementación, monitoreo y mantenimiento de controles de IS.
• CGEIT Certification | Certified in Governance of Enterprise IT | ISACA: Acredita a profesionales en la gobernanza de TI empresarial.
• CISA Certification | Certified Information Systems Auditor | ISACA: Para auditores de sistemas de información, enfocada en el control, seguridad y auditoría de sistemas de información.

• CISSP - Certified Information Systems Security Professional | ISC2: Reconocida en el ámbito de la seguridad de la información.

Estas certificaciones son muy valoradas en el campo de la seguridad de la información y la gestión de riesgos, y pueden variar en relevancia dependiendo del contexto geográfico y del sector industrial en que te desarrolles profesionalmente.

• Un buen punto de inicio para dominar los conceptos de GRC, es la certificación COBIT 2019 | Control Objectives for Information Technologies que imparte ISACA.  La certificación COBIT 2019 Foundation valida la comprensión de cómo alinear los objetivos de TI con los objetivos estratégicos del negocio, incluyendo el valor derivado de TI, los recursos necesarios y los riesgos potenciales en el proceso de construir una relación madura entre el negocio y TI.

Referencias:

• OCEG is the ultimate source for GRC certifications and resources - OCEG
• In Pursuit of Digital Trust | ISACA
• Cybersecurity Certifications and Continuing Education | ISC2
• Dr. Pape Cisse Explores the Distinctions Between Governance and Compliance (informationweek.com)

Puedes consultar otros artículos sobre este tema en:

• COBIT 2019 en la gestión de riesgos de ciberseguridad
• ISO 27001, COBIT 2019, ITIL 4
• GRC en Ciberseguridad
• Porque es importante GRC en Ciberseguridad