Estrategia de eGRC y colaboración clave para cumplir los retos de privacidad y riesgo

Resumen de noticias
• La nueva investigación destaca los desafíos a los que se enfrentan las organizaciones para cumplir con los objetivos de eGRC.
• Los obstáculos para alcanzar los objetivos de eGRC se agrandan ante la falta de una estrategia de eGRC y colaboración empresarial.
• Aproximadamente el 90 % de los encuestados considera que las tecnologías habilitadoras son esenciales para alcanzar los objetivos de eGRC.

HOPKINTON, MASSACHUSETTS. 12 de junio de 2011. EMC Corporation y el Ponemon Institute, LLC, el líder en investigaciones de privacidad, protección de datos y seguridad de la información, presentaron hoy un estudio que explora las cuestiones más inmediatas a las que se enfrentan las organizaciones para superar los desafíos de riesgo y privacidad. Los encuestados, que representan los sectores de servicios financieros globales, tecnología, cuidado de la salud y farmacia, identificaron los grandes obstáculos que se presentan para superar estos desafíos, como la falta de una estrategia empresaria definida de buen manejo y control, riesgo y cumplimiento de normas (eGRC) y la falta de cooperación y colaboración empresarial.

Ausencia de una Estrategia Común de eGRC

Tras encuestar a un grupo activo de más de seis mil profesionales de eGRC, el estudio de Ponemon reveló que el eGRC continúa apareciendo como una prioridad entre los ejecutivos de alto nivel; sin embargo, solamente el 20 % de las organizaciones definieron una estrategia de eGRC con claridad capaz de aplicarse a toda la empresa, mientras que el 33% admite no tener ninguna estrategia de eGRC.

“Adoptar un enfoque de gobierno, riesgo y cumplimiento de normas que abarque a toda la empresa mediante la administración de la información, y lo que esto representa para todos los componentes de la empresa (es decir, las áreas de TI, Asuntos Legales, Recursos Humanos y todas las facetas necesarias) ya no es una elección, es un imperativo estratégico”, comentó Tom Roloff, Director de Operaciones de EMC Consulting. “Es solamente a través de una visión multifacética e integrada de las fuentes de información y las políticas necesarias, que las organizaciones podrán satisfacer los crecientes requisitos de las juntas corporativas y agencias regulatorias, que exigen una estrategia de cumplimiento, integrada y de riesgo centralizado”.

Falta de Colaboración

Asimismo, el estudio también descubrió que mientras que las responsabilidades de eGRC se expanden rápidamente desde el epicentro de TI hacia otras operaciones, la colaboración de los dominios legal y de finanzas, en cada área y entre ellas, está quedando rezagada. Solamente el 28% de los encuestados informó que sus organizaciones cuentan con una colaboración o una cooperación frecuente entre los dominios de eGRC, mientras que el 12% admite que las funciones de eGRC aún operan por silos.

¿En qué medida se distribuyen las actividades de eGRC? El informe de Ponemon reveló que, si bien las actividades de gobierno aún se ubican principalmente en el ámbito de TI, las actividades de manejo de riesgo por lo general se gestionan en los dominios asociados. De manera similar, las actividades de cumplimiento habitualmente residen en su propia función de cumplimiento corporativo, mientras que es más probable que la administración de protección de datos y privacidad se ubique en el Departamento Legal. Cuando se clasifican por orden de importancia estas actividades fundamentales de eGRC, la administración de riesgos ocupa el primer lugar, con el 32%; luego, le sigue el cumplimiento, con el 27%; a continuación, el gobierno con el 22%; y, por último, la privacidad y la protección de datos, con el 20%.

“Los silos son el enemigo de un programa efectivo de eGRC”, comentó el Dr. Larry Ponemon, presidente y fundador de Ponemon Institute for Privacy Research. “Estos departamentos lidian con información relacionada a procesos de negocio y políticas, procesos de negocio y múltiples regulaciones. Lamentablemente, no se comunican entre sí, lo que genera muchas inconsistencias y pérdidas. Sin colaboración entre las diferentes funciones, la empresa está en riesgo”.

La Privacidad Surge como un Detonante en la Colaboración eGRC

Sin importar la industria, todas las organizaciones reportan que el manejo de regulaciones de privacidad con un criterio geográfico y conforme a la legislación nacional o estatal es un factor clave para impulsar el avance de las organizaciones hacia un programa integrado que apoye las áreas de finanzas, TI, operaciones del negocio y asuntos legales. Los encuestados identificaron los dos principales desafíos de privacidad: 1) garantizar que los datos compartidos con terceros permanezcan seguros y 2) cumplir con todas las reglamentaciones vigentes.

“La protección de datos y la privacidad son una cuestión particularmente apremiante” sostuvo el Dr. Ponemon. “En la actualidad, estas responsabilidades esenciales de administración de la privacidad comúnmente se separan entre las funciones de las áreas de asuntos legales y TI. Si bien el Departamento de Asuntos Legales desempeña un papel dominante con respecto a la privacidad en términos generales, el área de TI sigue siendo el responsable de la implementación de controles para cumplir con las regulaciones de privacidad. Así, resulta evidente por qué los equipos de TI y asuntos legales deben comunicarse en el mismo idioma y colaborar entre sí como nunca antes a fin de reducir los riesgos empresariales”.

Colaboración en el Trabajo

“Esta investigación destaca la colaboración no sólo como una necesidad crítica, sino también como punto de exposición en crecimiento para las organizaciones complejas”, afirmó Dan Burks, Jefe de Privacidad y Director de Administración de Riesgos de Proveedores del US Bank. “Las organizaciones que logran que las personas hablen sobre eGRC y colaboren pueden garantizar el éxito de sus programas. El desarrollo de ‘embajadores de riesgo’ en cada línea de negocios es un factor que ha permitido la colaboración dentro de nuestras organizaciones”.
                                           
“La administración de políticas, la respuesta ante incidentes y la supervisión de cumplimiento son elementos críticos para los sectores litigiosos y sumamente regulados, pero a menudo las organizaciones fuera de estos sectores ignoran los riesgos de negocio cotidianos, incluida la utilización del correo electrónico para las comunicaciones y los litigios de los empleados”, comentó Jeff Bettencourt, Gerente General de Information Governance Solutions de EMC. “Las organizaciones que verdaderamente entiendan la dependencia crítica existente entre los dominios y sean capaces de alinear sus políticas, procesos y tecnologías obtendrán mayor visibilidad y control a fin de administrar los riesgos con mayor efectividad en toda la empresa. Ésta puede ser una ventaja competitiva clave”.

En miras al futuro, aproximadamente el 90% de los encuestados considera que las tecnologías habilitadoras son esenciales o muy importantes para alcanzar los objetivos de eGRC. Entre las aplicaciones con más probabilidades de implementación a fin de facilitar las actividades relacionadas con eGRC incluyen la evaluación de riesgos (81%), la administración de políticas (75%), la evaluación de controles (73%), la respuesta y la administración de incidentes (68%) y la supervisión de cumplimiento (63%).