Si trabajas en una empresa y alguien menciona ISO 27001, gestión de riesgos o cumplimiento normativo, probablemente estés hablando de GRC sin saberlo.
GRC son las siglas de Governance, Risk and Compliance, o en español: Gobernanza, Riesgo y Cumplimiento. Es un enfoque que ayuda a las organizaciones a gestionar tres cosas a la vez:
Gobernanza — quién toma las decisiones sobre seguridad y cómo se toman. Políticas, responsabilidades, procesos.
Riesgo — qué puede salir mal, con qué probabilidad y qué impacto tendría. Identificar, evaluar y tratar los riesgos antes de que se conviertan en problemas.
Cumplimiento — qué normativas y estándares debe cumplir la organización y cómo demostrarlo.
¿Por qué no basta con tener un buen antivirus?
Esta es la pregunta que más escucho cuando explico GRC.
La tecnología es necesaria, pero no suficiente. Puedes tener el firewall más avanzado del mercado y aun así tener un incidente grave por algo tan simple como:
- Un empleado con accesos que ya no necesita
- Una política de contraseñas que nadie sigue
- Un proveedor con permisos excesivos a tus sistemas
- Riesgos identificados hace meses que siguen sin tratamiento
Ninguno de esos problemas se resuelve con tecnología. Se resuelven con gobernanza, con procesos y con cultura de seguridad. Eso es exactamente lo que aborda GRC.
¿Qué es ISO 27001 y qué tiene que ver con GRC?
ISO 27001 es el estándar internacional más reconocido para la gestión de la seguridad de la información. Define un conjunto de controles y requisitos que una organización debe cumplir para proteger su información de forma sistemática.
Participar en auditorías ISO 27001 me ha enseñado algo que no esperaba: la mayoría de organizaciones no fallan en la tecnología. Fallan en la documentación, en los procesos y en la coherencia entre lo que dicen que hacen y lo que realmente hacen.
GRC bien implementado es lo que mantiene vivo ese sistema entre auditoría y auditoría. No como un trámite anual, sino como un proceso continuo.
¿Quién necesita GRC?
La respuesta corta es: cualquier organización que maneje información sensible o que esté sujeta a regulación.
Eso incluye prácticamente a cualquier empresa mediana o grande. Bancos, aseguradoras, empresas de salud, administraciones públicas, proveedores tecnológicos… Todos necesitan demostrar que gestionan sus riesgos de forma responsable.
Y la demanda de perfiles especializados en GRC está creciendo precisamente porque muchas organizaciones no saben por dónde empezar.
Conclusión
GRC no es burocracia. Es la diferencia entre una organización que reacciona a los problemas de seguridad y una que los anticipa.
Si trabajas en IT o en ciberseguridad y quieres entender mejor este mundo, te recomiendo empezar por leer el estándar ISO 27001. Es público, está en español y te dará una visión muy clara de qué controles se consideran esenciales para proteger una organización.
En próximas entradas iré profundizando en aspectos concretos de GRC: análisis de riesgos, gestión de controles, auditorías… Si tienes alguna duda o tema que te interese, escríbeme a través del formulario de contacto.