Haga clic para modificar el estilo de título del patrón
Casos de éxitos y precauciones en la implantación de
herramientas GRC
Evolucionando la Seguridad 2018
1. ¿Por qué?
2.¿Por qué?
3. ¿Por qué?
4. ¿Por qué?
5. ¿Por qué?
6.¿Por qué?
7.¿Por qué?
8. Lecciones aprendidas de un modelo GRC
Haga clic para modificar el estilo de título del patrón
¿Cuánto tiempo llevamos con nuestro GRC? Menos del que deseáramos
Haga clic para modificar el estilo de título del patrón
¿Cuánto tiempo llevamos con nuestro GRC? Es imparable…
2005 2006
2008 2009
2010 2014
2015 2016
2017
CLIENTE
CLIENTE
CLIENTE
Haga clic para modificar el estilo de título del patrón
¿Quién o qué fue el impulsor del proyecto? El descontrol producido por…
Áreas operativas
Controles operativos
Financiero
Seguridad
Calidad
Cumplimiento Normativo
Riesgos
Control Interno
Auditoría Interna
Auditoría Externa
Reguladores
…
ISO/IEC 27001
ISO/IEC 20000
ISO/IEC 9001
ISO/IEC 22301
ENS
LPIC
ISO/IEC 14001
Normas Internas
LOPD
SOX
Inventario Normativas y Procedimientos
Controles aplicables
Auditorías Roles Direcciones Planes de
Acción
Haga clic para modificar el estilo de título del patrón
¿Quién o qué fue el impulsor del proyecto? El sentido común
La racionalización permite:
•Reducir y optimizar las actividades de adecuación.
•Simplificar la ejecución de auditorías.
•Ser Eficiente = Eficaz al menor coste posible.
•Agilizar el seguimiento.
RE
QU
ISIT
OS
27
CO
NT
RO
LE
S
IMP
LA
NT
AC
IÓN
RE
QU
ISIT
OS
8 C
ON
TR
OL
ES
Informes
Indicadores
Estado Madurez
Controles
% cumplimiento
estándares
CO
NT
RO
LE
S
AP
LIC
AB
LE
S
Reg
istr
os
Lo
gs
Acta
s
Vu
lne
rab
ilid
ad
es
ENS C1 C2
ISO 27001 C3 C4 C5 C6
ISO 27002 C7 C8
LOPD C9 C10
ITIL C11 C12 C13
PCI C14 C15
Ley PIC C16 C17 C18 C19
INTERNAS C20 C21
SOX C22 C23
Otras… C24 C25 C26 C27
NO
RM
AT
IVA
S
CONTROLES
PLAN
DO CHECK
ACT
Reg
istr
os
CX
Haga clic para modificar el estilo de título del patrón
Áreas operativas
Controles operativos
Financiero
Seguridad
Calidad
Cumplimiento Normativo
Riesgos
Control Interno
Auditoría Interna
Auditoría Externa
Reguladores
…
¿Quién o qué fue el impulsor del proyecto? ¡¡¡Ahorrar!!!: Tiempo, €, problemas, €, …
Inventario Normativas y Procedimientos
Controles aplicables
Auditorías Roles Direcciones Planes de
Acción
Haga clic para modificar el estilo de título del patrón
¿Tenemos procesos documentados? Documentados y automatizados
Haga clic para modificar el estilo de título del patrón
¿Incluimos la ciberseguridad en los riesgos? Es uno de las principales necesidades
Gestión del
riesgo
Caracterización del
entorno
Caracterización de las
amenazas
Evaluación de
salvaguardas
Evaluación
Riesgos
potenciales
Riesgos
residuales
Identificación
Estimación frecuencia y degradación
Aplicabilidad
Evaluación CMM
Modelo Basado en los 4 pilares fundamentales para el Riesgo:
1. Establecer el contexto del Activo. 2. Estudiar las salvaguardas
aplicables. 3. Estudio de la aplicación de las
amenazas 4. Cálculo del riesgo.
Los niveles de impacto y probabilidad se determinan automáticamente a partir de las respuestas a un cuestionario que permite definir las características más importantes del elemento a analizar.
Haga clic para modificar el estilo de título del patrón
¿Qué dificultades hubo con los controles? Quién hace qué, cómo, cuándo y para qué
Almacenamiento de evidencias
Periodicidad para ejecutar y
evidenciar los requisitos y para
validarlos
Responsabilidades asignadas a la
ejecución y revisión del
requisito
Forma en que se va a ejecutar y
validar el requisito
Poblaciones Poblaciones en
las que cada requisito va a implantarse
Despliegue de los controles en
diferentes alcances que
controlar
Controles aplicados en la Organización
C1 Despliegue 1 Alcance 1
Procedimiento Ejecución 1
Responsables 1 (Propietario y responsable )
Periodicidad de ejecución y
registro
Evidencia 1
Evidencia 2
Procedimiento verificación 1
Responsable 2 (Revisor)
Periodicidad de revisión
Despliegue 2
CICLO DE VIDA DE IMPLANTACIÓN DE UN CONTROL
CONTROL
CMUC – 1.4
Realizar revisiones semestrales de los controles de acceso
IMPLANTACIÓN
Las revisiones de acceso se realizarán según los procesos definidos en el alcance 1 inicialmente
EJECUCIÓN
Seguir el proceso de revisión generado
ALCANCE
Aplicaciones internas (Archer, Outlook, Citrix, Remedy, SAP, Tivoli Backyp, Trendmicro, Wide Vision)
RESPONSABLE
EJECUCIÓN
ICT
PERIODICIDAD
EJECUCIÓN
6 meses
EVIDENCIA 1
Resultado de las revisiones realizadas
RESPONSABLE
REVISIÓN
Security
EVIDENCIA 2
Fecha de última revisión de accesos correcta de todas las aplicaciones
PERIODICIDAD
REVISIÓN
6 meses
REVISIÓN
Verificar todas las revisiones OK y que no hay aplicaciones sin revisión
OPERACIÓN DEL CONTROL
Normativas y Procedimientos
Controles aplicables
Planes de Acción Inventario Direcciones Roles Auditorías
Haga clic para modificar el estilo de título del patrón
¿Existen las tres líneas de defensa? Tenemos 4¡¡¡ ;-)
Reguladores
Estatales
Sectoriales
Buenas prácticas
Auditoría
Interna
Externa
Áreas Transversales
Financiero
Seguridad
Riesgos
Calidad
Control
Cumplimiento
Áreas Operativas
Control procesos Indicadores
1ª Línea
Líneas defensa
2ª Línea
3ª Línea
4ª Línea
Haga clic para modificar el estilo de título del patrón
¿Los controles se verifican independiente? Varias veces
CLIENTE CLIENTE
CLIENTE
“Donde exista un indicador, hay alguien velando por el cumplimiento del control”
Haga clic para modificar el estilo de título del patrón
¿Está maduro el proceso? Estamos en la adolescencia… pero creciendo
• Una única herramienta.
• Un único repositorio.
• Un único modelo de Gestión de Riesgos.
• Una implantación de cada control.
• Un único comité.
• Una rutina.
• Un único presupuesto.
• Varias empresas auditoras.
Haga clic para modificar el estilo de título del patrón
¿Tenemos segregación de funciones?
• Existen responsables de:
– Definición: generando el control en el .
– Implantación: de los controles en sus ámbitos de control.
– Auditoría:
• Generando evidencias.
• Revisando las evidencias.
• Externos auditando todo el control.
Roles
Haga clic para modificar el estilo de título del patrón
¿Habéis desarrollado un Modelo GRC? Uno no… ¡¡¡4!!!
Diseño particularizado y específico de los procesos de negocio, en base a un Sistema Integrado de Gestión (SIG), concretos en el ámbito de la Seguridad Física, Lógica y de las Personas (Seguridad Integral).
Creación de un Modelo Unificado de Controles (MUC) que incluya todas las normas y estándares aplicables de los procesos definidos.
Implantación de un modelo de Ciclo de Vida de los Controles (CVC).
Creación de un Método de Análisis de Riesgos Ágil y especializado para cada proceso (MARA).
MARA
Haga clic para modificar el estilo de título del patrón
Lecciones aprendidas Conclusiones
• La simbiosis es la única forma de
trabajar.
• Si no pierdes, no buscas.
• No se puede mantener un control sin el
proceso que lo mantenga.
• Si no controlas, no puedes dirigir.
1. ¿Por qué no empecé antes?
2.¿Por qué no pusimos responsable?
3. ¿Por qué no creamos un único modelo?
4. ¿Por qué no se hizo un único AARR?
5. ¿Por qué no hicimos un modelo de implantación y revisión?
6.¿Por qué no pedimos ayuda?
7.¿Por qué no lo vendimos antes?
8. ¿Por qué tardamos tanto…?
Haga clic para modificar el estilo de título del patrón
Gracias por su atención
Juan Fco. Cornago Baratech
CISA, CGEIT, C|CISO, Lead Auditor 27001, Lead Auditor 22301, Director y Jefe de Seguridad por el MIR, Profesional Nivel Negro del CCI, Detective Privado
Senior Manager Governance, Risk & Compliance (GRC) [email protected]
Grupo SIA Avda.Europa,2 - Alcor Plaza, Edificio B - Parque Oeste Alcorcón
28922 Alcorcón - Madrid Telf.: +34 902 480 580 Fax: +34 91 307 79 80 Móvil:+34 669 852 191
www.sia.es
delivering value
@juancornago | linkedin.com/in/juancornago
Top Related