5 tendencias y resoluciones de GRC para un 2024 más seguro
Aumente su resiliencia en el nuevo año comprendiendo las principales tendencias, patrones y mejores prácticas de GRC en IA, TPRM, ciberriesgo y más.
A medida que nos adentramos en 2024, los avances tecnológicos y un entorno global cada vez más conectado -y, por tanto, cada vez más arriesgado- siguen cambiando bajo nuestros pies. No es de extrañar que los equipos de Gobernanza, Riesgo y Cumplimiento tomen nota. Analicemos cinco resoluciones destinadas a fortalecer a las empresas frente a las amenazas externas e internas.
Desde adoptar el creciente uso de la IA en GRC hasta abordar las amenazas de ciberseguridad, gestionar los riesgos de los proveedores, abordar los riesgos de las personas y abogar por tecnologías integradas, estas resoluciones están diseñadas para empoderar a los profesionales de riesgo y cumplimiento en la salvaguarda de sus organizaciones.
Prepárese para abordar el auge de la IA en la gobernanza, el riesgo y el cumplimiento normativo
En un mundo en el que el 35% de las empresas ya están utilizando la IA en sus operaciones comerciales y otro 42% está explorando su potencial, los empresarios pueden anticipar que la IA desempeñará un papel más importante en el panorama de GRC en 2024. El campo de juego de la IA abarca diversas aplicaciones en GRC, desde la creación de programas proactivos de gestión de riesgos hasta la automatización de procesos manuales como la recopilación de datos.
Mientras tanto, a medida que las empresas aprovechan la IA para elevar sus estrategias de GRC, los gobiernos están tomando nota de cómo se utiliza la IA en el lugar de trabajo. La reciente orden ejecutiva de Biden, por ejemplo, introduce nuevas directrices y normas para la gobernanza de la IA. Sienta las bases para que otras iniciativas de gobernanza sigan el ejemplo, subrayando la creciente importancia del uso responsable de la IA tanto en el ámbito empresarial como en el normativo. Del mismo modo, la reciente Ley de Inteligencia Artificial de la UE sube la apuesta para las empresas y las tecnologías que aprovechan la IA, y establece directrices que defienden la privacidad de los consumidores y fijan sanciones para las infracciones. A medida que las organizaciones adoptan activamente la IA, las prioridades contrapuestas de la innovación empresarial y la supervisión gubernamental forjan un camino hacia un panorama de GRC más sofisticado y éticamente fundamentado que las empresas estratégicas deberían decidirse a adoptar en 2024.
Asegure su creciente perímetro de riesgo de proveedores terceros y terceros netos
A medida que el panorama empresarial se expande globalmente, la necesidad de una gestión integral de riesgos se extiende más allá de la pila tecnológica para incluir a terceros y enésimas partes. Al navegar por el trabajo remoto y las intrincadas cadenas de suministro globales, las empresas necesitan ampliar su gestión de riesgos más allá de sus sedes (y pilas tecnológicas). El creciente ecosistema de proveedores que apoyan los procesos empresariales básicos exige una mejor visibilidad y control de la gestión de riesgos de terceros y enésimas partes. Para seguir cumpliendo las normas en el entorno actual, las empresas deben decidirse a supervisar el grado de cumplimiento de sus proveedores, así como el suyo propio.
Por ejemplo, consideremos una empresa de desarrollo de software que subcontrata un componente crítico de su producto a un proveedor externo. Aunque los riesgos asociados a la relación directa con el tercero son evidentes, el riesgo de enésima parte entra en juego cuando ese proveedor, a su vez, depende de subcontratistas o proveedores para servicios específicos. Si su empresa carece de una política de cumplimiento de proveedores para supervisar o responder eficazmente a los riesgos de terceros y de enésima parte, se está exponiendo a costes imprevistos y a los riesgos asociados al incumplimiento.
Las empresas deben tomar la resolución de abordar el riesgo de la enésima parte, un término que está ganando importancia en la gestión moderna del riesgo y que se refiere a los riesgos asociados con subcontratistas y proveedores dentro de su red de vendedores y cadenas de suministro. En pocas palabras, implica comprender los riesgos que se extienden más allá de sus relaciones directas con terceros. La resolución implica identificar, calificar y cuantificar los riesgos en todos los programas de gestión de riesgos de proveedores, estableciendo un marco para la supervisión constante.
Aumente su vigilancia frente a las amenazas de ciberseguridad
El reciente ciberataque a los estudios MGM sirve de crudo recordatorio de las consecuencias reales e inmediatas de los ciberataques. Lo cierto es que los ataques no sólo repercuten en el tiempo de inactividad de una organización, sino que también afectan a las interacciones con los inversores y los clientes. Tras el ataque a MGM, las consecuencias fueron profundas. El sitio web de MGM fue sustituido por una página de aterrizaje temporal, que aconsejaba a los visitantes ponerse en contacto con sus hoteles o casinos directamente por teléfono, sus sistemas de reservas no funcionaban y el precio de sus acciones se desplomó. En octubre, admitieron que el pirateo que les costó 100 millones de dólares..
Con un aumento notificado del 91 % en los ataques de ransomware en marzo de 2023 (según NCC Group), las organizaciones que manejan datos confidenciales corren un mayor riesgo. Las empresas deben decidirse a gestionar sus estrategias de riesgo de forma proactiva, cambiando la mentalidad de ver las amenazas como sorpresas a esperar acontecimientos que afectan a todas las empresas. La implementación de tecnologías que combinen el aprendizaje automático con una vigilancia constante permite a las organizaciones identificar, mitigar y notificar los riesgos de forma eficaz.
Para aumentar la urgencia, la Comisión del Mercado de Valores (SEC) tiene previsto aplicar nuevas normas en 2024 que redefinirán la forma en que las empresas gestionan sus riesgos de ciberseguridad. Estas normas establecerán una definición legal y operativa de "materialidad", sentando un precedente legal que obligará a las empresas a rendir cuentas. Se aplicarán sanciones específicas en caso de incumplimiento de estas normas.
Reduzca el riesgo de sus empleados y protéjase contra el riesgo de las personas
Sus empleados son los defensores de primera línea de la información confidencial de su empresa, por lo que el factor humano contribuye de forma significativa a las vulnerabilidades de la organización.
Un reto frecuente para muchas organizaciones es su susceptibilidad a los ataques de phishing. Sin una concienciación y formación adecuadas, los empleados pueden ser víctimas involuntarias de intentos de phishing, poniendo en peligro la seguridad de los datos confidenciales. Además, las prácticas de contraseñas débiles pueden crear vulnerabilidades, dejando la puerta abierta a accesos no autorizados.
La Agencia de Infraestructura y Seguridad Cibernéticas (CISA) aconsejó a la gente que utilizara contraseñas más seguras, activara la autenticación multifactor (MFA), aprendiera a reconocer y denunciar los intentos de phishing y actualizara regularmente el software como parte de su misión en el Mes de la Ciberseguridad de este año pasado. Su organización puede empezar hoy mismo a apoyar a los empleados en ese esfuerzo, poniendo en marcha una formación exhaustiva o compartiendo recursos educativos sobre la creación de una línea de defensa interna más sólida frente a posibles amenazas.
Tecnologías aisladas (una tendencia de GRC a la que personalmente estamos deseando decir adiós)
En 2024, es hora de desmantelar los silos organizativos, cultivar la colaboración y permitir que sus expertos en tecnología GRC trabajen en armonía hacia una organización más racionalizada y que cumpla las normativas.
Imagine sus herramientas tecnológicas como expertos independientes para las funciones de GRC, cada uno responsable de un aspecto crítico de la estrategia global de riesgos y cumplimiento de su empresa. Sin embargo, cuando estos expertos operan de forma independiente, sin una comunicación eficaz, se pone en peligro la visión holística necesaria para un marco sólido de gobernanza y gestión de riesgos.
En un escenario en el que los datos de cumplimiento están aislados en un sistema mientras que el equipo de evaluación de riesgos depende de otro, las tecnologías aisladas dan lugar a la duplicación de datos y a errores, lo que plantea importantes retos a la hora de mantener el cumplimiento y crea un panorama fragmentado propenso a las lagunas de comunicación.
Para hacer frente a esto, resuelva integrar sus productos y equipos en una pila tecnológica más sinérgica. Al derribar las barreras entre la privacidad de los datos, las TI, la gestión de riesgos de terceros y la gestión de riesgos de ciberseguridad, te aseguras:
- Armonización de procesos
- Informes y análisis mejorados
- Mayor confianza de las partes interesadas
- Escalabilidad
- Ahorro de costes y más
Hay mucho más que aprender sobre las ventajas de una plataforma integrada de gobierno, riesgo y cumplimiento. Después de pensar en los beneficios asociados a la integración, puede que sea el momento de reevaluar su tecnología GRC.