EN | PT
Buscar
Cerrar este cuadro de búsqueda.

GRC

GRC

Estrategia de Gobierno, Riesgo y Cumplimiento

Para alinear los objetivos de negocio con los riesgos derivados de la actividad y el cumplimiento de los requisitos legales y normativos

GRC es la estrategia que se implementa para que las tecnologías de la información se ajusten a los objetivos empresariales, al tiempo que se gestionan los riesgos y se cumple con las obligaciones regulatorias. Incluye, en un modelo coordinado y estructurado, tanto las herramientas como los procesos para enfocar de forma eficaz y eficiente la gobernanza corporativa, la gestión de riesgos y los requisitos de cumplimiento.

El gobierno o gobernanza se refiere al conjunto de políticas, reglas o marcos que una empresa utiliza para alcanzar sus objetivos. Incluye, por ejemplo, ética y rendición de cuentas, transparencia en la información, resolución de conflictos o administración de recursos.

La gestión de riesgos, por su parte, alude a diferentes tipos, como financieros, legales, estratégicos o de seguridad.

Y en cuanto al cumplimiento, consiste en seguir los requisitos legales y regulatorios establecidos tanto por los organismos del sector como por las políticas corporativas internas.

Servicios de Gobierno Riesgo y Cumplimiento bajo demanda

web-hacking

 CISO EXTERNALIZADO  

Servicio externalizado de responsable de seguridad de la información de la organización. Entre sus funciones está la gestión y supervisión de los controles de seguridad, la puesta en marcha de las políticas y procedimientos de seguridad, asegurar el cumplimiento normativo, dirigir y gestionar el análisis de riesgos, etc.

pds

 GOBIERNO DE LA SEGURIDAD 

Desarrollo o soporte en la creación del Plan Director de Seguridad o de algunos de sus componentes. Es el documento que guiará a la organización en su camino hacia la seguridad.

El PDS suele ser de carácter trienal y describe la estrategia de seguridad de la organización, sus riesgos, el detalle de los proyectos que se abordarán para mitigarlos, la planificación y priorización de éstos y los indicadores para su seguimiento.

lupa+

 ANÁLISIS DE RIESGOS 

Estamos especializados en el análisis de riesgos. Nuestra metodología, basada en ISO 31000, es capaz de integrar el análisis de diferentes aspectos (riesgo tecnológico, medioambiental, de cumplimiento, etc.) en un análisis integrado.

Sobre esta metodología, hemos desarrollado Krio, una herramienta GRC disponible en español, inglés y portugués, y que ha sido homologada por ENISA (Agencia Europea de la Seguridad y las Redes).

medidas

 DISEÑO DE MEDIDAS DE SEGURIDAD 

A partir del análisis de riesgos, diseñamos las medidas de seguridad necesarias (organizativas, técnicas y legales) para reducir el riesgo de la organización, estableciendo los procedimientos, la infraestructura y la configuración óptima de los componentes para conseguir este objetivo.

Estas medidas deberán se trasladan a un documento, comúnmente denominado Plan de Tratamiento de Riesgos, que deberá aprobar la dirección de la organización, y en el que se detalla la planificación, los responsables y el esfuerzo necesario, tanto económico como en horas o jornadas.

auri

 CONSULTORÍA DE CUMPLIMIENTO NORMATIVO 

Servicio de consultoría especializado en normativa relacionada con la seguridad y el correcto servicio en tecnologías de la información y las comunicaciones (ENS, ISO 27001, ISO 20000, ISO 22301, ISO 28000, ISO 33000, RGPD/LOPDGDD).

El exponencial aumento de la normativa relativa a la seguridad de la información, así como de las sanciones, hacen de éste un aspecto crucial en el día a día de la organización.

dpd

 DPD EXTERNALIZADO 

Disponemos de abogados especializados en tecnologías de la información y las comunicaciones, y con las certificaciones necesarias, para ofrecer un servicio de Delegado de Protección de Datos externalizado, o un asesoramiento y apoyo al DPD designado por la organización.

auditorias

 AUDITORÍAS INTERNAS 

Servicio de auditoría interna, considerada una de las tres líneas de defensa de la seguridad de la información. Ya sea para prepararse para la certificación o como análisis de la situación de la organización en un momento concreto, respecto a la normativa relacionada con la seguridad y el correcto servicio en tecnologías de la información y las comunicaciones (ENS, ISO 27001, ISO 20000, ISO 22301, ISO 28000, ISO 33000, RGPD/LOPDGDD).

contineo

 CONTINUIDAD DE NEGOCIO 

Servicios de consultoría sobre análisis de impacto en el negocio, evaluación del riesgo, planes de continuidad, formación y entrenamiento, pruebas y simulacros, etc., relacionados con la continuidad de los sistemas de información y otros aspectos críticos para la continuidad del negocio.

Los planes de continuidad de negocio deben evitar la interrupción de las actividades y conseguir que la organización siga funcionando, ofreciendo sus servicios con un nivel mínimo prestablecido, así como recuperar la normalidad en unos plazos determinados.

KRIO

Herramienta de análisis y evaluación de riesgos

Para conocer la evolución en la implantación de las normas de alto nivel o (HLS)

Krio es una herramienta GRC, que permite evaluar, analizar, tratar e integrar múltiples escenarios de riesgo: tecnológicos, financieros, operacionales, medioambientales, regulatorios, reputacionales… y relacionarlos con objetivos y niveles de cumplimiento de normas, esquemas, contratos o leyes aplicables en una organización.

Destinada a gestionar por completo un proceso de identificación, evaluación y tratamiento del riesgo según la metodología establecida en la norma internacional ISO 31000, permite además realizar el seguimiento de objetivos y niveles de compliance de los diversos sistemas de gestión implantados en una entidad.

Gracias a su flexibilidad en la carga de diferentes normas y estándares, permite el seguimiento de ISO 27001, ISO 9001, ISO 14001, ISA 99, ISO 22301, ISO 50001, CSA CCM, PCI-DSS, entre otras.

Los 3 pilares de Krio:

Buen gobierno

El buen gobierno o gobernanza, hace referencia a la responsabilidad de los ejecutivos de una compañía de tomar las medidas necesarias para reducir el riesgo de incumplimiento, asegurando en todo momento que se siguen las políticas y procedimientos establecidos, al mismo tiempo que se mantiene la transparencia.

RIESGO

La gestión del riesgo es el proceso por el cual una herramienta GRC identifica, evalúa y establece el nivel de tolerancia al riesgo.

A través de las actividades asociadas a la gestión del riesgo, se identifican problemas potenciales y la resiliencia para hacer frente a éstos, en caso de que surjan. Corresponde también al proceso de gestión del riesgo decidir si el coste de cumplimiento puede llegar a superar o no el de incumplimiento.

CUMPLIMIENTO

El cumplimiento o Compliance, es el proceso mediante el que se controlan las actividades diarias, para asegurar el cumplimiento de las leyes, los mandatos de la industria, los compromisos establecidos con los clientes y las políticas y procedimientos internos, a la vez que se comprueba que los registros son veraces y contribuyen a la transparencia en su aplicación.

CREA
ESCENARIOS

ESTABLECE UMBRALES

ANALIZA Y EVALUA

ORDENA Y PRIORIZA

MIDE Y GESTIONA

OTRAS FUNCIONALIDADES

  • Identificación de stakeholders o partes interesadas.
  • Asignación de propietarios del riesgo.
  • Establecimiento de objetivos y metas.
  • Definición de escenarios y mapas de riesgos.
  • Umbrales de riesgo.
  • Criterios de aceptación del riesgo.
  • Planes de acción y tratamiento.
  • Niveles de riesgo por escenario, servicio, proceso o activo.
  • Monitorización de la evolución del riesgo y sus KRI’s.
  • Catálogo de controles y medidas de tratamiento modificable y ampliable.
  • Consulta de históricos.
  • Multi-idioma.
  • Multi-norma.
  • Multi-empresa. 

Krio cubre por completo el ciclo de gestión del riesgo requerido por la norma internacional ISO 31000

DÉJANOS ACONSEJARTE

Nuestro equipo técnico te asesora en la elección de cualquiera de estas soluciones GRC, te acompaña en su implantación, te asegura un óptimo funcionamiento y te ofrece asistencia posterior. ¿Tienes dudas? Pregúntanos.

TE PUEDE INTERESAR

ANTIVIRUS

Nuestras soluciónes de protección de endpoints

CIBERSEGURIDAD

Nuestras soluciones para protegerte de los ciberataques

CSIRT

Nuestro equipo de respuesta a incidentes de seguridad