GRC Management - Almacenamiento de datos, …€¦ · •Enfoque de plan futuro GRC Modelo de...

1 © Copyright 2014 EMC Corporation. All rights reserved.

GRC Management

Bruno Alejandre Archer eGRC Technical Consultant Latin America & Caribbean


Retos Actuales


Servicios Financieros

Tecnología

Gobierno

Consumo

Salud

Riesgos

Cumplimiento

Auditoría

Continuidad

Gestión de la Seguridad

¿Cuál es mi rol?

Línea de negocio / Ejecutivo Funcional

Líder de Práctica

TI/Seguridad

Consejo/CXO

Retos Variables de Riesgos y Cumplimiento


Gestión de Riesgo y Cumplimiento Estado Actual


• ISO 27001

• ISO 31000

• ISO 22301

• COBIT

• SOX

• PCI

• ITIL

•HIPAA...

Normatividad y Regulaciones


eGRC


Las plataformas eGRC soportan los procesos de gobierno, riesgo y cumplimiento con alcance empresarial:

• Gobierno: La cultura, los objetivos, procesos, políticas y leyes por las cuales las empresas son dirigidas y controladas.

• Riesgo: La probabilidad e impacto de la materialización de un evento, el cual puede tener efecto en la consecusión de los objetivos.

• Cumplimento: El acto de adherirse a y demostrar adherencia con leyes externas y reglamentos, así como con políticas y procedimientos corporativos.

Definiendo eGRC


Marco de Referencia GRC

I

O

M

R

D

A

P

C Contexto y Cultura Organizar y Supervisar

Monitorear y Medir Alinear y Evaluar

Responder y Resolver Prevenir y Promover

Informar e Integrar Detectar y Discernir


Gestión de Riesgo y Cumplimiento - GRC Estado Objetivo

Visibilidad Colaboración Automatización Responsabilidad Eficiencia


Gestión de Riesgo y Cumplimiento

TCO Reducido, Rapidez de Entrega de Valor, Riesgo Minimizado


Consideraciones Críticas de un Proyecto GRC

Automatización de Tareas

Configuración vs Codificación

Despliegue Flexible

Aliados tecnológicos

Librería de Soluciones

Enfoque al Cliente

Comunidades

Funcionalidad de Caja

Inicio pequeño, evolución rápida

Madurez en la oferta de servicios

TCO Entrega de Valor Ecosistema


Aceptación • Eficiencia • Automatización • Visualizar conexiones entre

múltiples programas • Enfoque de plan futuro

GRC Modelo de Madurez (AMR Research)

Gestión armónica • Definir objetivos corporativos • Coordinar análisis y acción • Visibilidad completa de

riesgos, exposición y desempeño

• Priorizar con contexto de negocio

Fuente: AMR Research

“Cumplir” “Mejorar” “Transformar”

Pánico • Hacer! • Operación aislada • Obtener los recursos

necesarios de donde se pueda

Coordinación • Identificar riesgos • Evaluar exposición • Priorizar acciones • Reutilizar componentes

tecnológicos para múltiples propósitos

Nivel 1: Reaccionar

Nivel 3: Colaborar

Nivel 4: Orquestar Situación Actual de las

organizaciones

Táctico Estratégico La madurez varía por Industria / Geografía

Consistente Tran

spar

ente

Sostenible

Eficiente

Nivel 2: Anticipar

GRC


GRC Estrategias delPrograma


Archer


RSA Archer GRC Integra soluciones para todo el negocio

Auditoría de TI

Disponibilidad

Riesgo y Seguridad de TI

Seguridad de Operaciones

Riesgo Regulatorio

Riesgo Operacional

Gobierno Corporativo

Auditoría y Cumplimiento

Riesgo de 3os

Políticas y Controles

Continuidad de Negocio

Incidentes y Respuesta

Consejo y CXOs

Riesgo Empresarial TI Negocio

Líderes de Práctica CIO/CISO

Fundamentos Comunes

LDN / Ejecutivos Funcionales


• Crear un sistema de registros

• Definir objetivos de negocio

• Definir políticas de gobierno

• Mapear el modelo de negocio con base en el contexto

Gestión de procesos GRC con RSA Archer

• Mapear políticas de alto nivel a controles y procedimientos específicos

• Gestionar Flujos de Trabajo

• Gestionar excepciones y Cambios

• Medir Controles y Conducir Evaluaciones

• Analizar datos recolectados basados en políticas

• Identificar brechas y hallazgos

• Reporte de cumplimiento y gobierno

• Crear y gestionar flujos para la gestión de riesgos

• Crear solicitudes de excepción y cambios

• Analizar y visualizar tendencias

RSA Archer


Soluciones RSA Archer GRC Solucionando Retos de Negocio con GRC


Soluciones RSA Archer GRC

Continuidad de Negocio

Auditoría

Cumplimiento

Riesgo de Vulnerabilidades

Riesgos

Amenazas

Políticas

Operación de Seguridad

Incidentes

Soluciones de Núcleo Poderosas

Fundamentos RSA Archer GRC

Gestión del cambio regulatorio UCF Gestión de claves y certificados

Evaluación de involucrados SGSI Prevención de lavado de dinero

Salud ambiental y seguridad PCI Código de regulaciones federales

Casos de Uso y Soluciones Específicas

Proveedores


Plataforma RSA Archer GRC Tecnología potenciando GRC


Fundamentos RSA Archer GRC Todos los componentes clave necesarios para sentar una base sólida para su programa de GRC en toda la empresa

Soluciones de Núcleo Poderosas

Contexto de Negocio Configuración de Soluciones

Modelo de Datos Común

Integración de Datos Transparente

Cálculos

Búsqueda y Reporte

Roles/Responsabilidad

Visualización

Acceso Móvil

Cuestionarios

Branding

Flujos de trabajo

Gestión de Datos

Auditoría de Sistemas

Control Basado en Roles

Taxonomías Comunes

Repositorio Central

Datos Consolidados

Publicación de Datos

Integración con APIs

Mapeo de datos

Importación de Datos

Conectores de datos pre-construidos

Modos de Transporte Múltiples

Alimentadores de datos calendarizados

Procesos de Negocio

Productos & Servicios

Análisis de Impacto al Negocio

Instalaciones y Localidades

Infraestructura de TI

Aplicaciones

Activos de Información

Jerarquía Organizacional

Unidades Operacionales y Departamentos

Fundamentos GRC


Datos de APIs Abiertas

Marco Tecnológico RSA Archer GRC

Datos

Almacenes de Datos Estándar

Almacenes de “Big Data”

Almacenes de Terceros

Analíticos de Riesgos

Modelado

Visualización y Reportes

Flujos de Trabajo Avanzados

Alertas y Notificaciones Riesgo

de Negocio

Riesgo de

Seguridad

Riesgo de TI

Interfaz de Usuario

Analíticos Soluciones

Inteligencia de Riesgos, Contenido Regulatorio, Estándares de Industria, etc.


Visión de Programa eGRC

Implementación

Definir requerimientos y diseño

Diseño comprometido con involucrados

Procesos, contenido e infraestructura

Estrategia del programa


Niveles de Madurez con RSA Archer

Básico

Definido

Fundamentado Liderado

•Casos de Uso definidos

Perfil de Implementación

•Módulos seleccionados (1-2)

•Casos de Uso enfocados

•Dominio único

• Fundamentalmente enfocado

en cumplimiento

• Todos los elementos básicos

• Identificar estado actual de

objetivos y casos de usos

•Procesos identificados

•Requerimientos documentados

•Planes de implementación

desarrollados

•Equipo de implementación

identificado


•Múltiples Módulos (2-4)

•Casos de Uso alineados al

modelo OOTB

•Dominio único

• Fundamentalmente enfocado

en cumplimiento

• Todos los elementos definidos

•Objetivos futuros establecidos y

coordinados

•Procesos y contenidos

integrados y en flujo, dominio

único

•Plan de infraestructura

escalable

• Involucrados clave entrenados


•Múltiples Módulos (2-4+)

•Casos de Uso mixtos: OOTB y

Llave en mano

•Dominio único

•Enfocado en cumplimiento y

riesgos

• Todos los elementos

fundamentados

•Visión, alcance y estrategia

eGRC

•Adopción corporativa

•Procesos y contenidos

integrados y en flujo, dominios

múltiples

•Entendimiento del riesgo del

negocio

• Taxonomía y visibilidad de

contenidos completas

• Involucrados habilitados


•Múltiples Módulos (2-4+)

•Múltiples Casos de Uso de

negocio/industria

•Dominios múltiples

•Enfoque GRC


Velocidad en el ROI para los Clientes de RSA Archer

EFICIENCIA

RESPONSABILIDAD

COLABORACIÓN

Cooperación cross-silo a través de toda la organización con foco en la mitigación de riesgos

Conocimiento y gestión de todos los riesgos de la diferentes facetas organizacionales

Automatización de los procesos de riesgo y cumplimiento para mejorar la calidad y velocidad de la información

Asignar y monitorear la propiedad de todos los aspectos de los riesgos y el cumplimiento

VISIBILIDAD


50+ Socios

Tecnología

Asesoría

Servicios

Plataforma

Intercambio de Datos

Fundamentos de Negocio

Lógica de Negocio

Fundamentos RSA Archer GRC

Soluciones

100+ Casos de Uso

Flujos

Contenido y reporte

Servicios Expertos Online

Congreso

Foros Ejecutivos

Solution Exchange

Socios Comunidad

Ecosistema RSA Archer GRC


Ecosistema de Socios RSA Archer GRC Tecnología y Contenidos Asesoría e Implementación

50 + Socios para tranferencia de datos, contenidos y servicios

https://www.unifiedcompliance.com/


Comunidad RSA Archer GRC • 120+ sesiones • Evento annual desde 2003

• Sesiones de mejores prácticas entre pares

• Relacionamiento entre pares P2P

• Acceso a contenido GRC • Nuevas aplicaciones certificadas

• Foro ejecutivo • Reportes de hallazgos clave

• 10,000+ miembros Archer • Comunidad interactiva en línea

• Grupos de gremio • Reuniones periódicas

• Consejo de asesoría a clientes

• Disponible en distintas ciudades • Evento annual desde 2007

• Plug-ins eintegraciones • Servicios, ideas y más

• 1000+ GRC líderes de práctica • F2F acceso a expertos de producto

• Acceso a expertos en contenido • Ideas, solicitudes y más

• Influencia sobre el roadmap del producto

• Facilitado por Archer y/o clientes interesados

Grupos de Trabajo

Enfoque en Cliente

Roadshows

Intercambio

Comunidad Online

GRC Summit


Analistas


Liderazgo en la Industria

700 + clientes

40 + países 25 + industrias

Líder en el eGRC MQ para 2013

Líder en el BCM MQ para 2013

Líder en el IT GRC MS para 2013

55 Compañías del Fortune 100

Líder en el Forrester GRC Wave 2014

Citado como “la oferta más madura”

en múltiples documentos


Plataformas eGRC - Gartner

Fuente: Gartner. Magic Quadrant for Enterprise Governance, Risk and Compliance Platforms


Plataformas eGRC - Forrester

Source: Forrester Wave™: Governance, Risk and Compliance Platforms, Q1 2014

Chris McClean, Nick Hayes, Renee Murphy

Jan. 27, 2014

The Forrester Wave is copyrighted by Forrester Research, Inc. Forrester and Forrester Wave are trademarks of Forrester Research, Inc. The Forrester Wave is a graphical representation of Forrester's call on a market and is plotted using a detailed spreadsheet with exposed scores, weightings, and comments. Forrester does not endorse any vendor, product, or service depicted in the Forrester Wave. Information is based on best available resources. Opinions reflect judgment at the time and are subject to change. The Forrester Wave is copyrighted by Forrester Research, Inc. Forrester and Forrester Wave are trademarks of Forrester Research, Inc. The Forrester Wave is a graphical representation of Forrester's call on a market and is plotted using a detailed spreadsheet with exposed scores, weightings, and comments. Forrester does not endorse any vendor, product, or service depicted in the Forrester Wave. Information is based on best available resources. Opinions reflect judgment at the time and are subject to change.


THANK YOU

Bruno Alejandre Archer eGRC Technical Consultant

[email protected]

GRC Management - Almacenamiento de datos, …€¦ · •Enfoque de plan futuro GRC Modelo de...

Documents

Transcript of GRC Management - Almacenamiento de datos, …€¦ · •Enfoque de plan futuro GRC Modelo de...