¿El término "GRC" te suena a chino?

"GRC" terminoak txinera al zaizu?

Iñigo Ladrón Morales


Zure enpresak betetzen al du arauak, legeak, arauak eta arauak materian zibersegurtasuna eta datuen babesa?Ba al dakizu haiek betetzera behartuta dagoen, edo horietakoren bat berariaz, betetzera behartuta dagoen jarduera eta sektorea zeinetan kokatzen da erakundea?

Enpresa bat bazara, oso argi izan behar dituzu hiru kontzeptu hauek, eta enpresaren jardueraren eguneroko garapenean aplikatu behar dituzu, bere antolaketari eta kudeaketari dagokionez:
  • Gobernu korporatiboa O gobernantza: Enpresako organo ezberdinek nola ezartzen duten printzipio, arau eta prozeduren multzoa da gobernu-organoak) zuzendu eta kudeatzeko.
  • Arriskuak: Nahi ez den egoera bat gertatzeko probabilitatea da eragina duena edo kaltea eragiten duena, bai enpresa batean bai beste edozein arlotan.
  • Betetzea: Aldez aurretik ezarritako neurri, estandar edo lege desberdinak behar bezala gauzatu, ezarri eta gauzatzen diren, bereziki enpresaren sektorerako eta ekoizpen-ehunerako zuzendutako ekintza da.
Mundu digitalean pentsatzen, alorrean Informazioaren Teknologiak (IT, IT, IKT), definizio hauek kontuan hartuta, hiru kontzeptuak antzera itzultzen dira:
  • Gobernua TI O IT Gobernua: Desberdinak nola ezartzen eta arautzen dituen printzipio, arau eta prozeduren multzoa da informazio sistemak, hauek zerbitzua eskaintzeko eta lerrokatzeko negozioa eta estrategia korporatiboa.
  • Arriskuak: nahi ez den egoera bat gertatzeko probabilitatea, informazioaren teknologien kasuan, a istilu informatikoa, O ziber-gertaera, eta horrek eragin negatiboa izan dezake negozioan, eta baliteke gelditzea ere.
  • Betetzea O "betetzea": Arau, esparru, arau, erregelamendu, dekretu eta legeen ezarpen eta estaldura egokian datza, gaietan. sistema digitalak, informazioaren teknologiak, segurtasuna, pribatutasuna eta zibersegurtasuna, enpresan egin behar da, modu gomendagarrian eta baita nahitaezkoan ere.
Segur aski entzun dituzun arau, arau, estandar, arau eta lege batzuk IT eta zibersegurtasuna aipatzen, hauek izan daitezke:
  • RGPD/GDPR (Datuak Babesteko Erregelamendu Orokorra).
  • LOPD (Datuen Babeserako Lege Organikoa).
  • LOPDGDD (Datuen Babesari eta Eskubide Digitalen Bermeei buruzko Lege Organikoa).
  • LSSICE (Informazio Gizarteko Zerbitzuei eta Merkataritza Elektronikoaren Legea).
  • LGC (Komunikazioen Lege Orokorra).
  • LGT (Telekomunikazioen Lege Orokorra).
  • GURI (Segurtasun Erregimen Nazionala).
  • NIST (Marco de Ciberseguridad del National Institute of Standards and Technology).
  • CIS (Interneteko Segurtasun Zentroaren kontrola).
  • SGSI (Informazioaren Segurtasuna Kudeatzeko Sistema).
  • ISO 27001 (Nazioarteko araua edo estandarra a SGSI).
  • ISO 27701 (Nazioarteko arau edo estandarra kudeatzeko pribatutasuna eta betetzea GDPR).
  • ISO 22301 (Nazioarteko arau edo estandarra negozioaren jarraipenaren kudeaketa).

Nolanahi ere, komeni da argitzea legeak derrigorrezkoak direla, industriako estandarrak, arauak eta arauak, berriz, gomendioak eta erreferentziak direla betetzea, kudeaketa eta legezko betetzea sustatzeko.

Baina, nola dakigu horietakoren bat betetzera behartuta gauden? Erantzuna ez da "beltza edo zuria". Gauza askoren araberakoa da eta kasu bakoitzean, enpresa bakoitzaren, enpresa mota bakoitzaren arabera, zer egiten duzun, nola egiten duzun eta zer informazio-aktibo kudeatzen edo manipulatzen dituzun, nola egiten duzun eta sentsibilitate-maila edo beraren konfidentzialtasuna, sarean merkaturatzen baduzu (online denda bat baduzu), zein herrialdetan bizi zaren eta/edo jarduten duzun, etab.

Eta, bestetik, nola jakin dezakegu dagoeneko betetzen dugun, edo ez (eta hori lortzeko zer falta izan daitekeen), zenbait normatiboa, araudiak eta legeak? Kasu honetan, lehenengo gauza egoera aztertzea da, sistema, prozesu, aktibo eta baliabideen egoera ezagutzea zentzu honetan. Hori gauzatuz lortzen da auditoretzak, arauzko edo legezko betetzea, kasu bakoitzerako espezifikoak.

Behin auditoria, horiek betetzeko moduan egongo gara zenbait ezartzean oinarrituta kontrolak, jarduerak O Ekintzak gisa identifikatu diren elementuen gainean ez-adostasunak de betetzea guri dagokigun kasuan.

Gure kasuan GRC zerbitzua, biak zaintzen ditugu gobernantza, -tik aurrera Arriskuen kudeaketa,-tik aurrera betetzea, honako hau eginez:

  • Ezarritako behar eta helburuetatik abiatuta, a egoeraren azterketa,-ren ikuspuntutik heldutasun maila enpresak duen zibersegurtasunean.
  • a zehazten du lortu nahi den heldutasun mailaren helburua eta, beraz, sorta eta jardueren plangintza.
  • Se GRC eredua definitzen du nahi den arau-esparruan oinarrituta ezarriko da.
  • Zehazten dute mekanismoak eta tresnak erabiltzeko.
  • Prestatu eta entregatu a txostena inplementatutako GRC ereduarekin eta gomendioekin.
  • -ren aurkezpena emaitzak.

Zure enpresaren auditoria egitea nahi al duzu zibersegurtasuna betetzen duen?

Gure zerbitzuei buruzko xehetasunak zabal ditzakezu GRC Zerbitzuak ren orrialdea bisitatuz Zerolynx.

Nahiago baduzu, jarri gurekin harremanetan eta hitz egin genuen.







Itzuli blogera

Utzi iruzkin bat

Kontuan izan iruzkinak argitaratu aurretik onartu behar direla.