O gerenciamento integrado de riscos é o novo GRC?

Conteúdo oferecido por Galvanize.

Um grande desafio para o GRC é que ele geralmente é implementado em silos. Como você passa para o gerenciamento de risco integrado e quais são alguns dos fatores críticos de sucesso?

À medida que o escopo de risco e conformidade continua a crescer, mais silos foram criados do que nunca. Diante dessas informações díspares em expansão, as abordagens tradicionais de governança, risco e conformidade (GRC) devem evoluir para o gerenciamento integrado de riscos (IRM). Nesta entrevista de Tom Field do ISMG, o presidente de TI e soluções de segurança cibernética da Galvanize, Vivek Shivananda, descreve essa evolução, o que o IRM significa para as organizações e sua importância e os fatores críticos para uma abordagem de IRM bem-sucedida.

É hora de sair dos silos de GRC para uma abordagem mais integrada.

Portanto, gerenciamento de risco integrado – este é o novo GRC?

Vivek: Essa é uma ótima pergunta. Muitas pessoas me perguntam: “Este é o novo GRC? Este é um novo paradigma?” Para nós, não realmente. Vou falar sobre por que é e por que não é. Do ponto de vista do GRC, para nós é mais a mesma coisa. Fazemos isso há muitos anos e ajudamos os clientes com uma estrutura de IRM. Agora, a razão pela qual tem havido muito exagero sobre o software IRM versus GRC é que tradicionalmente o GRC tem uma má reputação porque leva muito tempo para alguns fornecedores implementá-lo. O segundo motivo é, GRC (embora a intenção original fosse ser integrada), as organizações começaram a adotar o GRC, mas ele foi implementado em silos. O benefício do GRC geral, a noção de IRM ou gerenciamento de risco corporativo (ERM), nunca foi realmente realizado. O que eu acho que os analistas e o mercado estão realmente tentando fazer é pensar mais sobre isso a partir de uma perspectiva de marketing de produto e posicionamento para dizer: “Acho que o GRC está morto. Vamos criar uma coisa nova chamada gestão integrada de riscos. ”

Acho que há mais nisso do que a perspectiva de que precisa ser mais integrado. Acho que dessa forma é um novo paradigma, mas não é nenhuma tecnologia nova. São os mesmos fornecedores de soluções de risco integradas, incluindo Galvanize, que têm feito GRC para ajudar as organizações com seu IRM. Além da tecnologia, é também sobre as organizações e como elas são organizadas e capazes de adotar uma plataforma GRC ou IRM, para realmente começar a trabalhar em conjunto para que isso aconteça: uma ferramenta por si só não faz as organizações se comunicarem. Você precisa ter um relacionamento, seja segurança da informação, com auditoria, ou continuidade de negócios ou conformidade corporativa. Se você não tem relacionamentos, a ferramenta por si só não resolve o problema.

“Se você não tem relacionamentos, a ferramenta por si só não resolve o problema.”

Acho que o setor percorreu um longo caminho no reconhecimento de que precisamos trabalhar juntos para gerenciar riscos. Acho que essa noção, GRC está evoluindo para um programa de gerenciamento de risco integrado do nosso ponto de vista, mas não é nada dramaticamente novo.

Como as organizações que investiram em GRC tradicional também evoluíram para essa noção de IRM?

Vivek: Antes de responder a essa pergunta, uma coisa a perceber é onde as organizações estão em termos de investimento em segurança ou GRC. Muito dinheiro foi gasto em diferentes tipos de ferramentas, tecnologias e segurança para tentar manter os bandidos fora: reduzir o número de vulnerabilidades, garantir que temos os melhores firewalls, IDS e assim por diante.

As organizações perceberam que, mesmo gastando todo esse dinheiro, elas não estão mais seguras; Acho que os invasores estão muito mais sofisticados do que nunca. Eles têm as mesmas, senão melhores, ferramentas que as organizações. O que as organizações percebem é que precisam fazer um trabalho melhor no gerenciamento desse risco, em vez de investir mais dinheiro em ferramentas. Este é outro motivo e motivação para a gestão integrada de riscos.

Voltando à resposta à sua pergunta: temos organizações que gastam tempo e dinheiro fazendo avaliações de aplicativos – o software de gerenciamento de risco do fornecedor é um grande item agora. Temos todas essas informações de conformidade corporativa, operações de segurança perseguindo incidentes e todas as vulnerabilidades que sabemos que temos, mas não há uma visão integrada que responda a perguntas como:

  • “Como faço para gerenciar tudo isso?”
  • “Como faço para adicionar contexto de negócios a isso?”
  • “Não tenho tempo para consertar 1 milhão de vulnerabilidades, mas se tiver tempo para consertar 10, em quais devo me concentrar?”

Para essas perguntas, você precisa de uma visão muito mais integrada do gerenciamento de riscos com a qual possa adicionar contexto de negócios. Isso é realmente o que as organizações de soluções de risco de segurança têm tentado fazer, e empresas como nós fornecem a plataforma para organizar todas essas informações e, em seguida, orquestrá-las de uma forma que possa realmente fazer o melhor uso dos recursos.

Como o Galvanize está ajudando as organizações a fazer essa transição para o IRM?

Vivek: Em primeiro lugar, um dos fatores críticos de sucesso para uma boa solução de risco integrada é ter uma arquitetura de referência realmente sólida que realmente conecte todos os pontos. GRC e IRM são mais sobre grandes relacionamentos – até certo ponto, big data – mas são mais sobre grandes relacionamentos: como você vincula um risco a um controle, a uma política, a um incidente. É muito complicado, mas fazemos esse trabalho pesado para que os clientes não precisem.

Imagem: Freepik