GRC – Governance, Risk Management, Compliance (Ład Korporacyjny, Zarządzanie Ryzykiem, Zgodność) to obowiązkowy skrót, który powinien być znany wszystkim dostawcom oraz menedżerom organizacji, w których myśli się o outsourcingu, zwłaszcza outsourcinguIT w chmurze. Dlaczego jest to takie ważne?
Analiza GRC = Bezpieczeństwo
Zachęcona dobrym przyjęciem ćwiczenia z wpisu Twoja firma jest jak ryba postawiłam także i dzisiaj na małe co nieco czyli na pobudzenie Twojej wyobraźni.
Pomyśl na chwilę o danych lub procesach, które zostają Tobie powierzone jak o własnym dziecku, które posyłasz do przedszkola.
Czy dobro dziecka jest dla Ciebie najważniejsze? Jest.
Dlaczego decydujesz się na wysłanie dziecka do przedszkola? Dlatego, że dziecko jest pod dobrą opieką, rozwija się, a oboje rodzice mogą pracować. Dla innych rodziców także są to dwa, główne determinanty.
Czy zastanawiasz się nad wyborem przedszkola? To zależy od tego czy jest wybór. Jeśli jest to wybieram to, które wg. moich kryteriów jest najlepsze.
Dlaczego? Chcę, aby moje dziecko było bezpieczne i dobrze spędzało czas. Okres przedszkolny jest bardzo ważny w życiu każdego dziecka bo może rzutować w dużym stopniu na jego przyszłe życie (np. późniejsze relacje z rówieśnikami).
Tak samo jest z outsourcingiem danych lub procesów. Z tym, że dostawców jest bardzo dużo i będzie ich coraz więcej. Często specjalizują się oni w wybranych usługach, branżach etc. Rywalizacja jest jednak spora i nie jest lokalna a wręcz globalna. Twój klient podobnie jak Ty, gdybyś decydował się na outsourcing, chce, aby usługi były świadczone na wysokim poziomie i były bezpieczne dla jego biznesu. W związku z tym przygląda się dostawcom, porównuje ich. Analiza GRC jest bardzo ważna bo weryfikuje kondycję Twojej firmy i pozwala dostrzec obszary, które trzeba zreorganizować.
Pomyśl na chwilę o danych lub procesach, które chcesz wyoutsourcować poza organizację jak o swoim dziecku.
Czy dobro dziecka jest dla Ciebie najważniejsze? Jest.
Czy decydujesz się na wysłanie dziecka do przedszkola? Najczęściej tak.
Dlaczego? Dziecko w przedszkolu jest pod dobrą opieką, rozwija się, a oboje rodzice mogą pracować.
Czy zastanawiasz się nad wyborem przedszkola? To zależy od tego czy jest wybór. Jeśli jest to wybieram to, które wg. moich kryteriów jest najlepsze.
Dlaczego? Chcę, aby moje dziecko było bezpieczne i dobrze spędzało czas. Okres przedszkolny jest bardzo ważny w życiu każdego dziecka bo może rzutować w dużym stopniu na jego przyszłe życie (np. późniejsze relacje z rówieśnikami).
Tak samo jest z outsourcingiem danych lub procesów. Chcemy, aby usługi były świadczone na wysokim poziomie i były bezpieczne dla naszego biznesu. Dlatego warto przeprowadzić analizę GRC dostawcy, której wynik podpowie nam czy podpisać umowę czy też nie.
GRC = 3 filary funkcjonowania każdej organizacji
Governance (Ład Korporacyjny) to zasady/ dobre praktyki/ normy przyjęte przez daną firmę i ściśle związane z zarządzaniem tą organizacją. Należy im się szczegółowo przyjrzeć i w razie potrzeby poprawić (np. procesy zarządzania informacją, zarządzania personelem etc.)
Risk Management (Zarządzanie Ryzykiem) to proces związany z wdrożeniem szeregu procedur, dobrych praktyk i standardów. Absolutną podstawą jest opracowanie oraz wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji. Ważnym czynnikiem jest także np. dobór kadry specjalistów ds. bezpieczeństwa, tzw. pentesty (testy penetracyjne – zalecam korzystanie z zaufanych firm w ramach outsourcingu pentestów).
Compliance (Zgodność) czyli ocena zgodności nazywana często zarządzaniem ryzykiem prawnym. Wiąże się z analizą wdrożonych w danej organizacji procedur, instrukcji i zaleceń z obowiązującym prawem. Wyniki analizy mogą dać zaskakujące efekty. Najczęściej w ramach compliance badam zgodność z przepisami dotyczącymi ochrony danych osobowych oraz świadczenia usług, a także zgodność z przepisami szczególnymi (branżowymi) klienta.
Czynnikiem równie istotnym jest etyka w biznesie, której także należy się przyjrzeć.
Jak zapewne doskonale dostrzegłeś analizę GRC powinno się przeprowadzić najpierw wewnątrz własnej organizacji po to by w razie potrzeby zreorganizować pewne procesy/przyjęte praktyki etc., a potem przeprowadzić analizę GRC dostawcy.
Jeżeli chciałbyś porozmawiać szerzej o analizie GRC i nasuwają się Tobie pytania związane z bezpiecznym funkcjonowaniem Twojej organizacji zawsze możesz do mnie napisać: beata.marek@cyberlaw.pl
Autor grafiki promującej wpis Paweł Kadysz.