GRC es la estrategia que se implementa para que las tecnologías de la información se ajusten a los objetivos empresariales, al tiempo que se gestionan los riesgos y se cumple con las obligaciones regulatorias. Incluye, en un modelo coordinado y estructurado, tanto las herramientas como los procesos para enfocar de forma eficaz y eficiente la gobernanza corporativa, la gestión de riesgos y los requisitos de cumplimiento.
El gobierno o gobernanza se refiere al conjunto de políticas, reglas o marcos que una empresa utiliza para alcanzar sus objetivos. Incluye, por ejemplo, ética y rendición de cuentas, transparencia en la información, resolución de conflictos o administración de recursos.
La gestión de riesgos, por su parte, alude a diferentes tipos, como financieros, legales, estratégicos o de seguridad.
Y en cuanto al cumplimiento, consiste en seguir los requisitos legales y regulatorios establecidos tanto por los organismos del sector como por las políticas corporativas internas.
CISO EXTERNALIZADO
Servicio externalizado de responsable de seguridad de la información de la organización. Entre sus funciones está la gestión y supervisión de los controles de seguridad, la puesta en marcha de las políticas y procedimientos de seguridad, asegurar el cumplimiento normativo, dirigir y gestionar el análisis de riesgos, etc.
GOBIERNO DE LA SEGURIDAD
Desarrollo o soporte en la creación del Plan Director de Seguridad o de algunos de sus componentes. Es el documento que guiará a la organización en su camino hacia la seguridad.
El PDS suele ser de carácter trienal y describe la estrategia de seguridad de la organización, sus riesgos, el detalle de los proyectos que se abordarán para mitigarlos, la planificación y priorización de éstos y los indicadores para su seguimiento.
ANÁLISIS DE RIESGOS
Estamos especializados en el análisis de riesgos. Nuestra metodología, basada en ISO 31000, es capaz de integrar el análisis de diferentes aspectos (riesgo tecnológico, medioambiental, de cumplimiento, etc.) en un análisis integrado.
Sobre esta metodología, hemos desarrollado Krio, una herramienta GRC disponible en español, inglés y portugués, y que ha sido homologada por ENISA (Agencia Europea de la Seguridad y las Redes).
DISEÑO DE MEDIDAS DE SEGURIDAD
A partir del análisis de riesgos, diseñamos las medidas de seguridad necesarias (organizativas, técnicas y legales) para reducir el riesgo de la organización, estableciendo los procedimientos, la infraestructura y la configuración óptima de los componentes para conseguir este objetivo.
Estas medidas deberán ser trasladadas a un documento, comúnmente denominado Plan de Tratamiento de Riesgos, que deberá aprobar la dirección de la organización, y en el que se detalla la planificación, los responsables y el esfuerzo necesario, tanto económico como en horas o jornadas.
CONSULTORÍA DE CUMPLIMIENTO NORMATIVO
Servicio de consultoría especializado en normativa relacionada con la seguridad y el correcto servicio en tecnologías de la información y las comunicaciones (ENS, ISO 27001, ISO 20000, ISO 22301, ISO 28000, ISO 33000, RGPD/LOPDGDD).
El exponencial aumento de la normativa relativa a la seguridad de la información, así como de las sanciones, hacen de éste un aspecto crucial en el día a día de la organización.
DPD EXTERNALIZADO
Disponemos de abogados especializados en tecnologías de la información y las comunicaciones, y con las certificaciones necesarias, para ofrecer un servicio de Delegado de Protección de Datos externalizado, o un asesoramiento y apoyo al DPD designado por la organización.
AUDITORÍAS INTERNAS
Servicio de auditoría interna, considerada una de las tres líneas de defensa de la seguridad de la información. Ya sea para prepararse para la certificación o como análisis de la situación de la organización en un momento concreto, respecto a la normativa relacionada con la seguridad y el correcto servicio en tecnologías de la información y las comunicaciones (ENS, ISO 27001, ISO 20000, ISO 22301, ISO 28000, ISO 33000, RGPD/LOPDGDD).
CONTINUIDAD DE NEGOCIO
Servicios de consultoría sobre análisis de impacto en el negocio, evaluación del riesgo, planes de continuidad, formación y entrenamiento, pruebas y simulacros, etc., relacionados con la continuidad de los sistemas de información y otros aspectos críticos para la continuidad del negocio.
Los planes de continuidad de negocio deben evitar la interrupción de las actividades y conseguir que la organización siga funcionando, ofreciendo sus servicios con un nivel mínimo preestablecido, así como recuperar la normalidad en unos plazos determinados.
Krio es una herramienta GRC, que permite evaluar, analizar, tratar e integrar múltiples escenarios de riesgo: tecnológicos, financieros, operacionales, medioambientales, regulatorios, reputacionales… y relacionarlos con objetivos y niveles de cumplimiento de normas, esquemas, contratos o leyes aplicables en una organización.
Destinada a gestionar por completo un proceso de identificación, evaluación y tratamiento del riesgo según la metodología establecida en la norma internacional ISO 31000, permite además realizar el seguimiento de objetivos y niveles de compliance de los diversos sistemas de gestión implantados en una entidad.
Gracias a su flexibilidad en la carga de diferentes normas y estándares, permite el seguimiento de ISO 27001, ISO 9001, ISO 14001, ISA 99, ISO 22301, ISO 50001, CSA CCM, PCI-DSS, entre otras.
El buen gobierno o gobernanza, hace referencia a la responsabilidad de los ejecutivos de una compañía de tomar las medidas necesarias para reducir el riesgo de incumplimiento, asegurando en todo momento que se siguen las políticas y procedimientos establecidos, al mismo tiempo que se mantiene la transparencia.
La gestión del riesgo es el proceso por el cual una herramienta GRC identifica, evalúa y establece el nivel de tolerancia al riesgo.
A través de las actividades asociadas a la gestión del riesgo, se identifican problemas potenciales y la resiliencia para hacer frente a éstos, en caso de que surjan. Corresponde también al proceso de gestión del riesgo decidir si el coste de cumplimiento puede llegar a superar o no el de incumplimiento.
El cumplimiento o Compliance, es el proceso mediante el que se controlan las actividades diarias, para asegurar el cumplimiento de las leyes, los mandatos de la industria, los compromisos establecidos con los clientes y las políticas y procedimientos internos, a la vez que se comprueba que los registros son veraces y contribuyen a la transparencia en su aplicación.
Nuestro equipo técnico te asesora en la elección de cualquiera de estas soluciones GRC, te acompaña en su implantación, te asegura un óptimo funcionamiento y te ofrece asistencia posterior. ¿Tienes dudas? Pregúntanos.