Como CEO de Drata, he visto cómo la gobernanza, el riesgo y el cumplimiento (GRC) se han transformado de una obligación de back-office en una función comercial estratégica en la última década.
El GRC se ha modernizado y se ha convertido en un verdadero facilitador de negocios en lugar de ser simplemente un centro de costos. Los programas GRC sólidos y eficientes ayudan a las organizaciones a desbloquear nuevos mercados, acelerar la adquisición de clientes y ganar confianza.
Este cambio fue necesario, especialmente considerando la rapidez con la que las empresas se han trasladado a la nube y al auge del mercado de software como servicio (SaaS), que se espera que crezca de $315 mil millones en 2025 a $1.1 billones en 2032.
En mi empresa anterior, Portfolium, mis cofundadores Troy Markowitz y Daniel Marashlian y yo enfrentamos un desafío enorme: miles de universidades requerían rigurosos estándares de seguridad y cumplimiento antes de adoptar nuestra plataforma. Las afirmaciones de seguridad vacías no tenían valor: necesitábamos mostrar pruebas.
Este fue mi momento de revelación. Vi de primera mano cómo la confianza no era solo una casilla por marcar, sino un impulsor clave del negocio. Cuanto más rápido pudiéramos demostrar nuestra posición de seguridad, más rápido podríamos cerrar acuerdos. Sabía que esto se convertiría en el futuro de las relaciones comerciales, y esta convicción se convirtió en la fuerza impulsora detrás de la formación de Drata en 2020 con Troy y Daniel.
Cada semana, hablo con clientes sobre sus debilidades relacionadas con la naturaleza obsoleta y fragmentada de los procesos de seguridad y cumplimiento (y sí, es una de las últimas áreas de negocios en entrar en la era moderna).
A través de estas conversaciones, he llegado a darme cuenta de que estamos presenciando nada menos que un cambio fundamental en cómo las empresas abordan la seguridad y el cumplimiento, un cambio de las prácticas tradicionales de GRC a la administración de la confianza.
Redefinir GRC con administración de la confianza
La administración de la confianza es el proceso continuo de validar y comunicar que una empresa es segura, compatible y, por lo tanto, merece la confianza de sus clientes. Lo veo como el necesario cambio de GRC fusionando los esfuerzos de seguridad interna, cumplimiento y riesgo con validación externa.
Seamos claros: los enfoques tradicionales de GRC están desapareciendo. A diferencia del GRC tradicional, que a menudo opera en silos y reacciona a los nuevos requisitos de cumplimiento, la administración de la confianza analiza su software de cumplimiento y seguridad y cómo encajan en sus objetivos comerciales.
Ya no es suficiente simplemente pasar auditorías. Este enfoque elevado, integrado y proactivo significa monitoreo en tiempo real para demostrar constantemente su seguridad y resistencia a los clientes, socios y reguladores.
Creo que la seguridad de la seguridad es la piedra angular de este cambio. Demostrar, no solo afirmar, que una organización cumple con los más altos estándares de seguridad y cumplimiento significa más transparencia externa y un resultado final más amplio.
En el mercado actual, he visto transformarse drásticamente las expectativas. Se espera que las empresas proporcionen pruebas continuas de su posición de seguridad, no solo informes anuales de cumplimiento y resúmenes de pruebas de pluma. La recopilación de evidencia automatizada, monitoreo en tiempo real y evaluaciones de riesgo con IA ayudan a las organizaciones a mantenerse al tanto de las amenazas mientras mantienen la transparencia con las partes interesadas.
De la carga al acelerador de negocios
Hace diez años, veía a los líderes de seguridad y cumplimiento que les decían que “callaran y simplemente hicieran las auditorías”. Hoy, los veo invitados a la mesa de la dirección cada trimestre.
Personalmente, he escuchado este sentimiento de líderes en toda la industria, donde lo que alguna vez fue una función de back-office se ha vuelto absolutamente crucial para impulsar el crecimiento. Las empresas se están dando cuenta de que la confianza no se trata solo de cumplir con los requisitos de cumplimiento; es su boleto para cerrar acuerdos, fortalecer asociaciones y dejar a los competidores atrás.
Se puede ver esta transformación en parte a través de los títulos de trabajo que vemos hoy. El surgimiento de roles como “Ingeniero de GRC” y “Director de Confianza” destaca cómo las empresas están repensando su enfoque.
Ahora veo a algunas empresas visionarias que reemplazan por completo “GRC” con “confianza”, reconociendo que la seguridad y el cumplimiento ya no son solo mandatos internos, sino diferenciadores esenciales en el mercado.
El surgimiento de los roles centrados en la confianza en GRC
La implementación de un enfoque centrado en la confianza requiere una alineación en toda la organización, incluidos los procesos y la cultura ya existentes.
Aquí está mi consejo sobre estrategias esenciales para ayudar a los roles emergentes a integrar la confianza:
No espere a que los títulos de trabajo reflejen las iniciativas de confianza y transparencia
Haga que la seguridad sea personal a través de la capacitación regular en seguridad y cumplimiento para mantenerla en mente
Deje de hacer las cosas manualmente: aproveche la automatización para reducir el esfuerzo y mejorar la eficacia del cumplimiento
Derribe los muros entre los equipos de seguridad, cumplimiento y desarrollo
El cambio hacia la administración de la confianza significa que las empresas están constantemente bajo presión para demostrar su posición de seguridad. Pero seamos honestos: tratar de hacer esto manualmente es una batalla perdida. El panorama es demasiado complejo, los riesgos son demasiado altos y todo se mueve demasiado rápido.
Las empresas necesitan una mejor manera. No solo para reaccionar ante las amenazas, sino para mantenerse por delante de ellas. Y ahí es precisamente donde entra la inteligencia artificial.
Más que su boletín promedio.
Todos los jueves, enviamos noticias de última hora, conocimientos internos y resúmenes de noticias tecnológicas directamente a su bandeja de entrada. Suscríbase aquí
IA: El cambio de juego para la administración de la confianza
La IA no solo está cambiando el juego, la está creando. Al remodelar cómo las organizaciones abordan la seguridad, el cumplimiento y el riesgo, las empresas están operando en un campo de juego completamente nuevo para la administración de la confianza.
Por supuesto, como con cualquier nueva innovación, muchos luchan por comprender el verdadero poder y propósito de la IA. La idea equivocada de que la IA puede reemplazar el juicio humano es peligrosa e imprudente.
Permítanme ser claro: la IA no está aquí para eliminar la necesidad de profesionales de cumplimiento, está aquí para capacitarlos.
La gran cantidad de datos que las personas tienen la tarea de procesar es una gran carga organizacional. Utilizar la IA para gestionar datos de seguridad y cumplimiento significa una respuesta más rápida al riesgo y informes simplificados.
Estoy convencido de que la IA no solo hace que el cumplimiento sea más efectivo; está permitiendo a las empresas abordar de manera proactiva la confianza a gran escala. La clave está en aprender a integrar la IA de una manera que mejore, no reemplace, la experiencia y la supervisión estratégica de los equipos de seguridad y cumplimiento.
He visto a la IA ayudar a las organizaciones a identificar brechas de seguridad antes de que se conviertan en problemas reales (algo que antes era casi imposible). Pero con la creciente influencia de la IA en el cumplimiento y la gestión de riesgos, surge una mayor responsabilidad.
No piensen que los reguladores no están prestando atención. Ya están interviniendo para asegurarse de que la IA se utilice de manera responsable. Marcos como la Ley de IA de la UE y el Marco de Gestión de Riesgos de IA del NIST están estableciendo el estándar para GRC en procesos impulsados por IA.
Estas regulaciones son solo el comienzo, y eso es algo bueno. Contrarrestar la mentalidad gratuita ayuda a responsabilizar a las empresas sobre cómo implementan y administran la IA. Ser transparente sobre cómo su organización planea utilizar la IA reduce la incertidumbre entre los clientes y fortalece la confianza del cliente.
Debido a que los clientes, socios e inversores cada vez más examinarán el uso de la IA como parte de su evaluación de confianza, lo que estoy seguro de que lo harán, las empresas que aborden proactivamente la gobernanza de la IA no solo mitigarán el riesgo, sino que también fortalecerán su posición como líderes confiables en la industria.
Profundizando en el futuro con GRC
Se avecina una mayor supervisión, eso no es una predicción; es una certeza. Las empresas que no puedan modernizar su enfoque de GRC corren el riesgo de quedarse rezagadas.
Para enfocarse en el futuro, recomiendo enfáticamente:
Dejar de arrojar recursos al problema e invertir en automatización: los procesos de cumplimiento manuales no pueden y no se mantienen al día con la velocidad de los negocios. Las soluciones con IA pueden ayudar a las organizaciones a mantenerse al día con los requisitos de cumplimiento y a abordar de forma proactiva las amenazas de riesgo y seguridad.
Derribar los silos: la seguridad, el cumplimiento y la gestión de riesgos deben trabajar juntos sin problemas. Un enfoque fragmentado conduce a ineficiencias y un mayor riesgo.
Jugar al ataque, no a la defensa, pasando de ser reactivos a proactivos: el cumplimiento no se trata solo de aprobar auditorías; se trata de demostrar regularmente la seguridad y la confianza. Al monitorear continuamente su posición de cumplimiento, puede identificar y abordar los riesgos de manera más rápida y efectiva.
Hacer de la seguridad responsabilidad de todos mediante la construcción de una cultura de seguridad: la confianza y la seguridad deben integrarse en cada unidad, desde el liderazgo hasta los recursos humanos y las finanzas. Asegúrese de que todos comprendan su papel en el mantenimiento del cumplimiento y por qué la seguridad es absolutamente crucial para la salud de una organización.
He visto a demasiadas empresas caer en trampas comunes, como confiar en marcos obsoletos o creer que el cumplimiento es igual a la seguridad. Puedo decir con total certeza que una empresa que ve el cumplimiento como una tarea única en lugar de un proceso continuo se está preparando para el fracaso.
El cambio de mentalidad que necesitan los líderes
GRC está evolucionando, te guste o no. La confianza es ahora la moneda que determinará su capacidad para adaptarse a las nuevas tecnologías, regulaciones, expectativas del cliente y formas de hacer negocios.
He visto a empresas que no modernizan su enfoque y no pueden competir mientras luchan por cumplir con las demandas de cumplimiento, fortalecer asociaciones y ganar la confianza del cliente.
Creo que para que las organizaciones realmente adopten la administración de la confianza, el liderazgo debe cambiar su perspectiva. El cumplimiento no es solo una regulación, es una ventaja competitiva. Las empresas que priorizan la gestión de la confianza estarán mejor posicionadas para navegar por las principales preocupaciones de seguridad, ganar la confianza del cliente y avanzar con confianza.
Los días de ver a GRC como un mal necesario han terminado. La confianza es la moneda de la era digital actual, y la administración de la confianza es el futuro de GRC.
Mi convicción es simple: las organizaciones que adopten este cambio no se quedarán atrás, liderarán el camino.
El campo de batalla de ciberseguridad está cambiando. Aprenda cómo se está adaptando la IA para defender y atacar en el espacio digital.
Siga a Adam Markowitz para mantenerse actualizado sobre lo último en gestión de la confianza, automatización impulsada por IA y cumplimiento.
Editado por Shanti S. Nair