Transparencia y conciencia corporativa son componentes clave de la estrategia de GRC
La noticia de que un ex empleado de Microsoft estaba siendo acusado por fiscales federales por proporcionar código de software confidencial de la empresa a un blogger de tecnología planteaba cuestiones interesantes. Si bien los actos del ex empleado eran ciertamente criminales, también hubo controversia acerca de las tácticas de Microsoft para identificar la fuga de software.
La noticia sobre Microsoft puso de relieve la línea borrosa entre la protección de los datos corporativos, la privacidad de la información y la seguridad en la era digital. También me recordó a cuando estuve en Boston para la Cumbre anual del GRC, donde me encontré con una de mis fuentes y le pregunté si estaría disponible para responder a algunas preguntas en cámara para un video que estábamos rodando. Yo sabía la respuesta incluso antes de preguntar. Al entrevistar a esta persona en el pasado, se le requirió brincar por una serie de obstáculos con el equipo ejecutivo de su organización para asegurarse de que no estaba revelando algo controvertido que pudiera herirlo a él o a su compañía.
Esto ha llegado a ser común, a medida que las empresas cada vez quieren revisar los comentarios para los medios de comunicación con un peine de dientes finos para asegurarse de que no haya secretos comerciales o se filtre alguna información confidencial. Y, bueno, porque a veces la gente es estúpida.
Esto se refiere a un tema común en la Cumbre GRC –y no, no me refiero a la parte de "la gente es estúpida". El tema fue que la comunicación y la transparencia son clave para la adecuada gobernanza, gestión de los riesgos y cumplimiento, y para asegurarse de que los empleados entiendan su papel en estos procesos.
En resumen, se requiere un enfoque multidisciplinario, a lo largo de toda la compañía, para mantener una estrategia de GRC “madura” que lleve al éxito corporativo –y una buena parte de estos esfuerzos es asegurarse de que los empleados conocen su rol en la estrategia GRC.
Esto es a veces difícil, ya que los datos de negocios comúnmente viajan y se almacenan por todo el mundo. Una estrategia GRC universal se hace más difícil para las empresas globales con reglas para privacidad y cumplimiento a veces conflictivas para diferentes oficinas internacionales, dijo el presentador de la Cumbre GRC, Duke Alden, vicepresidente de gobernanza de información global en Aon.
Como resultado, asegurarse de que todos y cada uno de los interesados entiende su papel en los procesos de seguridad de la información y gestión de riesgos es vital para el éxito de estos programas, agregó Alden.
“A menos que usted tenga algún tipo de programa para adherir esos pasos y varios elementos al trabajo diario de alguien, entonces se está preparando para el fracaso", dijo Alden. "Arme una especie de red para gestionar el riesgo de la información a nivel básico”.
Los riesgos derivados de los procesos de gestión de la información, tales como las políticas para traer su propio dispositivo (BYOD) no son diferentes, dijo Gretchen Herault, vicepresidente de estándares web y seguridad del usuario y subdirector de privacidad en Monster, durante su presentación en la Cumbre GRC.
"Asegurarse que la gente tenga ese nivel de conciencia es muy importante", dijo Herault.
También es importante ser claro sobre cuáles son los objetivos de seguridad de la información de la empresa y lo que se está tratando de lograr con la política BYOD, añadió Herault.
La implementación de una "cultura pro-GRC" desde arriba hacia abajo, debe comenzar con la identificación de las amenazas para TI y relacionadas con el cumplimiento que son únicas para la empresa. El proceso debe ser proactivo y permanente, y los líderes de negocios deben adaptarse a medida que las nuevas amenazas evolucionan, dijo Brian Barnier, analista principal y asesor en ValueBridge Advisors y el orador principal en la Cumbre de GRC.
“La formación, la comunicación y la planificación son realmente cruciales”, dijo Barnier. "Es importante entender la extensión de la crisis que puede ocurrir”.
Fuente: SearchDataCenter
La noticia sobre Microsoft puso de relieve la línea borrosa entre la protección de los datos corporativos, la privacidad de la información y la seguridad en la era digital. También me recordó a cuando estuve en Boston para la Cumbre anual del GRC, donde me encontré con una de mis fuentes y le pregunté si estaría disponible para responder a algunas preguntas en cámara para un video que estábamos rodando. Yo sabía la respuesta incluso antes de preguntar. Al entrevistar a esta persona en el pasado, se le requirió brincar por una serie de obstáculos con el equipo ejecutivo de su organización para asegurarse de que no estaba revelando algo controvertido que pudiera herirlo a él o a su compañía.Esto ha llegado a ser común, a medida que las empresas cada vez quieren revisar los comentarios para los medios de comunicación con un peine de dientes finos para asegurarse de que no haya secretos comerciales o se filtre alguna información confidencial. Y, bueno, porque a veces la gente es estúpida.
Esto se refiere a un tema común en la Cumbre GRC –y no, no me refiero a la parte de "la gente es estúpida". El tema fue que la comunicación y la transparencia son clave para la adecuada gobernanza, gestión de los riesgos y cumplimiento, y para asegurarse de que los empleados entiendan su papel en estos procesos.
En resumen, se requiere un enfoque multidisciplinario, a lo largo de toda la compañía, para mantener una estrategia de GRC “madura” que lleve al éxito corporativo –y una buena parte de estos esfuerzos es asegurarse de que los empleados conocen su rol en la estrategia GRC.
Esto es a veces difícil, ya que los datos de negocios comúnmente viajan y se almacenan por todo el mundo. Una estrategia GRC universal se hace más difícil para las empresas globales con reglas para privacidad y cumplimiento a veces conflictivas para diferentes oficinas internacionales, dijo el presentador de la Cumbre GRC, Duke Alden, vicepresidente de gobernanza de información global en Aon.
Como resultado, asegurarse de que todos y cada uno de los interesados entiende su papel en los procesos de seguridad de la información y gestión de riesgos es vital para el éxito de estos programas, agregó Alden.
“A menos que usted tenga algún tipo de programa para adherir esos pasos y varios elementos al trabajo diario de alguien, entonces se está preparando para el fracaso", dijo Alden. "Arme una especie de red para gestionar el riesgo de la información a nivel básico”.
Los riesgos derivados de los procesos de gestión de la información, tales como las políticas para traer su propio dispositivo (BYOD) no son diferentes, dijo Gretchen Herault, vicepresidente de estándares web y seguridad del usuario y subdirector de privacidad en Monster, durante su presentación en la Cumbre GRC.
"Asegurarse que la gente tenga ese nivel de conciencia es muy importante", dijo Herault.
También es importante ser claro sobre cuáles son los objetivos de seguridad de la información de la empresa y lo que se está tratando de lograr con la política BYOD, añadió Herault.
La implementación de una "cultura pro-GRC" desde arriba hacia abajo, debe comenzar con la identificación de las amenazas para TI y relacionadas con el cumplimiento que son únicas para la empresa. El proceso debe ser proactivo y permanente, y los líderes de negocios deben adaptarse a medida que las nuevas amenazas evolucionan, dijo Brian Barnier, analista principal y asesor en ValueBridge Advisors y el orador principal en la Cumbre de GRC.
“La formación, la comunicación y la planificación son realmente cruciales”, dijo Barnier. "Es importante entender la extensión de la crisis que puede ocurrir”.
Fuente: SearchDataCenter
Comentarios
Publicar un comentario
siempre es bueno, leer tus comentarios