Descrivere i concetti relativi alla governance, ai rischi e alla conformità (GRC)

  • 4 minuti

Le organizzazioni devono affrontare una crescente complessità e un cambiamento negli ambienti normativi, che richiedono un approccio più strutturato per la gestione della governance, dei rischi e della conformità.

Diagramma che illustra un framework GRC.

Man mano che le organizzazioni stabiliscono una competenza GRC, possono stabilire un framework che include l'implementazione di criteri specifici, processi operativi e tecnologie. Un approccio strutturato per la gestione dell'archiviazione con ridondanza geografica consente alle organizzazioni di ridurre i rischi e migliorare l'efficacia della conformità.

Un prerequisito importante per stabilire la competenza GRC è comprendere i termini chiave.

Governance

La governance è il sistema di regole, procedure e processi usati da un'organizzazione per indirizzare e controllare le proprie attività. Molte attività di governance derivano da standard, obblighi e aspettative esterni. Ad esempio, le organizzazioni stabiliscono regole e processi che definiscono chi, cosa, dove e quando utenti e applicazioni possono accedere alle risorse aziendali, chi dispone di privilegi amministrativi e per quanto tempo.

Rischio

La gestione dei rischi è il processo di identificazione, valutazione e risposta a minacce o eventi che possono influire sugli obiettivi aziendali o dei clienti. Le organizzazioni devono affrontare il rischio sia da origini esterne che interne. I rischi esterni possono provenire da eventi meteorologici politici ed economici correlati a eventi, pandemie e violazioni della sicurezza, per citare solo alcune fonti. I rischi interni sono rischi che provengono dall'interno dell'organizzazione stessa. Alcuni esempi includono perdite di dati sensibili, furti di proprietà intellettuale, frodi e insider trading.

Conformità

La conformità si riferisce al Paese/all'area geografica, alle leggi statali o federali o anche alle normative multi-nazionali che un'organizzazione deve seguire. Queste normative definiscono quali tipi di dati devono essere protetti, quali processi sono necessari ai sensi della legislazione e quali sanzioni vengono emesse alle organizzazioni che non sono conformi.

È importante notare che la conformità non corrisponde alla sicurezza. Tuttavia, è consigliabile considerare la sicurezza quando si compila un piano di conformità in quanto la sicurezza efficace è spesso un requisito di conformità. La conformità richiede solo che vengano soddisfatti gli standard minimi imposti legalmente, mentre la sicurezza dei dati copre tutti i processi, le procedure e le tecnologie che definiscono come si esaminano i dati sensibili e si proteggono dalle violazioni.

Alcuni concetti relativi alla conformità includono quanto segue:

  • Residenza dei dati: per la conformità, le normative relative alla residenza dei dati determinano le posizioni fisiche in cui i dati possono essere archiviati e come e quando possono essere trasferiti, elaborati o accessibili a livello internazionale. Queste normative possono variare in modo significativo a seconda della giurisdizione.
  • Sovranità dei dati: un'altra considerazione importante è la sovranità dei dati, ovvero il fatto che i dati, in particolare i dati personali, sono soggetti alle leggi e alle normative del paese/area geografica in cui vengono raccolti fisicamente, conservati o elaborati. Ciò può aggiungere un livello di complessità quando si tratta di conformità perché lo stesso dato può essere raccolto in una posizione, archiviato altrove ed elaborata in un'altra posizione ancora; rendendolo soggetto a leggi di paesi/aree geografiche diverse.
  • Privacy dei dati: la comunicazione e la trasparenza per la raccolta, l'elaborazione, l'uso e la condivisione dei dati personali sono i principi fondamentali delle leggi e delle normative sulla privacy. Per dati personali si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile. Le leggi sulla privacy comprendono tutti i dati che sono direttamente o indirettamente riconducibili a una persona. Le organizzazioni sono soggette a e devono operare in modo coerente con una moltitudine di leggi, normative, codici di condotta, standard specifici del settore e standard di conformità che regolano la privacy dei dati.

Tutte le organizzazioni gestiscono i dati in modo da comprendere la terminologia e i concetti correlati alla conformità, perché lavorano per soddisfare le leggi minime e/o le normative.