Upload
vothuy
View
221
Download
0
Embed Size (px)
Citation preview
1 © Copyright 2014 EMC Corporation. All rights reserved.
GRC Management
Bruno Alejandre Archer eGRC Technical Consultant Latin America & Caribbean
3 © Copyright 2014 EMC Corporation. All rights reserved.
Servicios Financieros
Tecnología
Gobierno
Consumo
Salud
Riesgos
Cumplimiento
Auditoría
Continuidad
Gestión de la Seguridad
¿Cuál es mi rol?
Línea de negocio / Ejecutivo Funcional
Líder de Práctica
TI/Seguridad
Consejo/CXO
Retos Variables de Riesgos y Cumplimiento
4 © Copyright 2014 EMC Corporation. All rights reserved.
Gestión de Riesgo y Cumplimiento Estado Actual
5 © Copyright 2014 EMC Corporation. All rights reserved.
• ISO 27001
• ISO 31000
• ISO 22301
• COBIT
• SOX
• PCI
• ITIL
•HIPAA...
Normatividad y Regulaciones
7 © Copyright 2014 EMC Corporation. All rights reserved.
Las plataformas eGRC soportan los procesos de gobierno, riesgo y cumplimiento con alcance empresarial:
• Gobierno: La cultura, los objetivos, procesos, políticas y leyes por las cuales las empresas son dirigidas y controladas.
• Riesgo: La probabilidad e impacto de la materialización de un evento, el cual puede tener efecto en la consecusión de los objetivos.
• Cumplimento: El acto de adherirse a y demostrar adherencia con leyes externas y reglamentos, así como con políticas y procedimientos corporativos.
Definiendo eGRC
8 © Copyright 2014 EMC Corporation. All rights reserved.
Marco de Referencia GRC
I
O
M
R
D
A
P
C Contexto y Cultura Organizar y Supervisar
Monitorear y Medir Alinear y Evaluar
Responder y Resolver Prevenir y Promover
Informar e Integrar Detectar y Discernir
9 © Copyright 2014 EMC Corporation. All rights reserved.
Gestión de Riesgo y Cumplimiento - GRC Estado Objetivo
Visibilidad Colaboración Automatización Responsabilidad Eficiencia
10 © Copyright 2014 EMC Corporation. All rights reserved.
Gestión de Riesgo y Cumplimiento
TCO Reducido, Rapidez de Entrega de Valor, Riesgo Minimizado
11 © Copyright 2014 EMC Corporation. All rights reserved.
Consideraciones Críticas de un Proyecto GRC
Automatización de Tareas
Configuración vs Codificación
Despliegue Flexible
Aliados tecnológicos
Librería de Soluciones
Enfoque al Cliente
Comunidades
Funcionalidad de Caja
Inicio pequeño, evolución rápida
Madurez en la oferta de servicios
TCO Entrega de Valor Ecosistema
12 © Copyright 2014 EMC Corporation. All rights reserved.
Aceptación • Eficiencia • Automatización • Visualizar conexiones entre
múltiples programas • Enfoque de plan futuro
GRC Modelo de Madurez (AMR Research)
Gestión armónica • Definir objetivos corporativos • Coordinar análisis y acción • Visibilidad completa de
riesgos, exposición y desempeño
• Priorizar con contexto de negocio
Fuente: AMR Research
“Cumplir” “Mejorar” “Transformar”
Pánico • Hacer! • Operación aislada • Obtener los recursos
necesarios de donde se pueda
Coordinación • Identificar riesgos • Evaluar exposición • Priorizar acciones • Reutilizar componentes
tecnológicos para múltiples propósitos
Nivel 1: Reaccionar
Nivel 3: Colaborar
Nivel 4: Orquestar Situación Actual de las
organizaciones
Táctico Estratégico La madurez varía por Industria / Geografía
Consistente Tran
spar
ente
Sostenible
Eficiente
Nivel 2: Anticipar
GRC
15 © Copyright 2014 EMC Corporation. All rights reserved.
RSA Archer GRC Integra soluciones para todo el negocio
Auditoría de TI
Disponibilidad
Riesgo y Seguridad de TI
Seguridad de Operaciones
Riesgo Regulatorio
Riesgo Operacional
Gobierno Corporativo
Auditoría y Cumplimiento
Riesgo de 3os
Políticas y Controles
Continuidad de Negocio
Incidentes y Respuesta
Consejo y CXOs
Riesgo Empresarial TI Negocio
Líderes de Práctica CIO/CISO
Fundamentos Comunes
LDN / Ejecutivos Funcionales
16 © Copyright 2014 EMC Corporation. All rights reserved.
• Crear un sistema de registros
• Definir objetivos de negocio
• Definir políticas de gobierno
• Mapear el modelo de negocio con base en el contexto
Gestión de procesos GRC con RSA Archer
• Mapear políticas de alto nivel a controles y procedimientos específicos
• Gestionar Flujos de Trabajo
• Gestionar excepciones y Cambios
• Medir Controles y Conducir Evaluaciones
• Analizar datos recolectados basados en políticas
• Identificar brechas y hallazgos
• Reporte de cumplimiento y gobierno
• Crear y gestionar flujos para la gestión de riesgos
• Crear solicitudes de excepción y cambios
• Analizar y visualizar tendencias
RSA Archer
17 © Copyright 2014 EMC Corporation. All rights reserved.
Soluciones RSA Archer GRC Solucionando Retos de Negocio con GRC
18 © Copyright 2014 EMC Corporation. All rights reserved.
Soluciones RSA Archer GRC
Continuidad de Negocio
Auditoría
Cumplimiento
Riesgo de Vulnerabilidades
Riesgos
Amenazas
Políticas
Operación de Seguridad
Incidentes
Soluciones de Núcleo Poderosas
Fundamentos RSA Archer GRC
Gestión del cambio regulatorio UCF Gestión de claves y certificados
Evaluación de involucrados SGSI Prevención de lavado de dinero
Salud ambiental y seguridad PCI Código de regulaciones federales
Casos de Uso y Soluciones Específicas
Proveedores
19 © Copyright 2014 EMC Corporation. All rights reserved.
Plataforma RSA Archer GRC Tecnología potenciando GRC
20 © Copyright 2014 EMC Corporation. All rights reserved.
Fundamentos RSA Archer GRC Todos los componentes clave necesarios para sentar una base sólida para su programa de GRC en toda la empresa
Soluciones de Núcleo Poderosas
Contexto de Negocio Configuración de Soluciones
Modelo de Datos Común
Integración de Datos Transparente
Cálculos
Búsqueda y Reporte
Roles/Responsabilidad
Visualización
Acceso Móvil
Cuestionarios
Branding
Flujos de trabajo
Gestión de Datos
Auditoría de Sistemas
Control Basado en Roles
Taxonomías Comunes
Repositorio Central
Datos Consolidados
Publicación de Datos
Integración con APIs
Mapeo de datos
Importación de Datos
Conectores de datos pre-construidos
Modos de Transporte Múltiples
Alimentadores de datos calendarizados
Procesos de Negocio
Productos & Servicios
Análisis de Impacto al Negocio
Instalaciones y Localidades
Infraestructura de TI
Aplicaciones
Activos de Información
Jerarquía Organizacional
Unidades Operacionales y Departamentos
Fundamentos GRC
21 © Copyright 2014 EMC Corporation. All rights reserved.
Datos de APIs Abiertas
Marco Tecnológico RSA Archer GRC
Datos
Almacenes de Datos Estándar
Almacenes de “Big Data”
Almacenes de Terceros
Analíticos de Riesgos
Modelado
Visualización y Reportes
Flujos de Trabajo Avanzados
Alertas y Notificaciones Riesgo
de Negocio
Riesgo de
Seguridad
Riesgo de TI
Interfaz de Usuario
Analíticos Soluciones
Inteligencia de Riesgos, Contenido Regulatorio, Estándares de Industria, etc.
22 © Copyright 2014 EMC Corporation. All rights reserved.
Visión de Programa eGRC
Implementación
Definir requerimientos y diseño
Diseño comprometido con involucrados
Procesos, contenido e infraestructura
Estrategia del programa
23 © Copyright 2014 EMC Corporation. All rights reserved.
Niveles de Madurez con RSA Archer
Básico
Definido
Fundamentado Liderado
•Casos de Uso definidos
Perfil de Implementación
•Módulos seleccionados (1-2)
•Casos de Uso enfocados
•Dominio único
• Fundamentalmente enfocado
en cumplimiento
• Todos los elementos básicos
• Identificar estado actual de
objetivos y casos de usos
•Procesos identificados
•Requerimientos documentados
•Planes de implementación
desarrollados
•Equipo de implementación
identificado
Perfil de Implementación
•Múltiples Módulos (2-4)
•Casos de Uso alineados al
modelo OOTB
•Dominio único
• Fundamentalmente enfocado
en cumplimiento
• Todos los elementos definidos
•Objetivos futuros establecidos y
coordinados
•Procesos y contenidos
integrados y en flujo, dominio
único
•Plan de infraestructura
escalable
• Involucrados clave entrenados
Perfil de Implementación
•Múltiples Módulos (2-4+)
•Casos de Uso mixtos: OOTB y
Llave en mano
•Dominio único
•Enfocado en cumplimiento y
riesgos
• Todos los elementos
fundamentados
•Visión, alcance y estrategia
eGRC
•Adopción corporativa
•Procesos y contenidos
integrados y en flujo, dominios
múltiples
•Entendimiento del riesgo del
negocio
• Taxonomía y visibilidad de
contenidos completas
• Involucrados habilitados
Perfil de Implementación
•Múltiples Módulos (2-4+)
•Múltiples Casos de Uso de
negocio/industria
•Dominios múltiples
•Enfoque GRC
24 © Copyright 2014 EMC Corporation. All rights reserved.
Velocidad en el ROI para los Clientes de RSA Archer
EFICIENCIA
RESPONSABILIDAD
COLABORACIÓN
Cooperación cross-silo a través de toda la organización con foco en la mitigación de riesgos
Conocimiento y gestión de todos los riesgos de la diferentes facetas organizacionales
Automatización de los procesos de riesgo y cumplimiento para mejorar la calidad y velocidad de la información
Asignar y monitorear la propiedad de todos los aspectos de los riesgos y el cumplimiento
VISIBILIDAD
25 © Copyright 2014 EMC Corporation. All rights reserved.
50+ Socios
Tecnología
Asesoría
Servicios
Plataforma
Intercambio de Datos
Fundamentos de Negocio
Lógica de Negocio
Fundamentos RSA Archer GRC
Soluciones
100+ Casos de Uso
Flujos
Contenido y reporte
Servicios Expertos Online
Congreso
Foros Ejecutivos
Solution Exchange
Socios Comunidad
Ecosistema RSA Archer GRC
26 © Copyright 2014 EMC Corporation. All rights reserved.
Ecosistema de Socios RSA Archer GRC Tecnología y Contenidos Asesoría e Implementación
50 + Socios para tranferencia de datos, contenidos y servicios
27 © Copyright 2014 EMC Corporation. All rights reserved.
Comunidad RSA Archer GRC • 120+ sesiones • Evento annual desde 2003
• Sesiones de mejores prácticas entre pares
• Relacionamiento entre pares P2P
• Acceso a contenido GRC • Nuevas aplicaciones certificadas
• Foro ejecutivo • Reportes de hallazgos clave
• 10,000+ miembros Archer • Comunidad interactiva en línea
• Grupos de gremio • Reuniones periódicas
• Consejo de asesoría a clientes
• Disponible en distintas ciudades • Evento annual desde 2007
• Plug-ins eintegraciones • Servicios, ideas y más
• 1000+ GRC líderes de práctica • F2F acceso a expertos de producto
• Acceso a expertos en contenido • Ideas, solicitudes y más
• Influencia sobre el roadmap del producto
• Facilitado por Archer y/o clientes interesados
Grupos de Trabajo
Enfoque en Cliente
Roadshows
Intercambio
Comunidad Online
GRC Summit
29 © Copyright 2014 EMC Corporation. All rights reserved.
Liderazgo en la Industria
700 + clientes
40 + países 25 + industrias
Líder en el eGRC MQ para 2013
Líder en el BCM MQ para 2013
Líder en el IT GRC MS para 2013
55 Compañías del Fortune 100
Líder en el Forrester GRC Wave 2014
Citado como “la oferta más madura”
en múltiples documentos
30 © Copyright 2014 EMC Corporation. All rights reserved.
Plataformas eGRC - Gartner
Fuente: Gartner. Magic Quadrant for Enterprise Governance, Risk and Compliance Platforms
31 © Copyright 2014 EMC Corporation. All rights reserved.
Plataformas eGRC - Forrester
Source: Forrester Wave™: Governance, Risk and Compliance Platforms, Q1 2014
Chris McClean, Nick Hayes, Renee Murphy
Jan. 27, 2014
The Forrester Wave is copyrighted by Forrester Research, Inc. Forrester and Forrester Wave are trademarks of Forrester Research, Inc. The Forrester Wave is a graphical representation of Forrester's call on a market and is plotted using a detailed spreadsheet with exposed scores, weightings, and comments. Forrester does not endorse any vendor, product, or service depicted in the Forrester Wave. Information is based on best available resources. Opinions reflect judgment at the time and are subject to change. The Forrester Wave is copyrighted by Forrester Research, Inc. Forrester and Forrester Wave are trademarks of Forrester Research, Inc. The Forrester Wave is a graphical representation of Forrester's call on a market and is plotted using a detailed spreadsheet with exposed scores, weightings, and comments. Forrester does not endorse any vendor, product, or service depicted in the Forrester Wave. Information is based on best available resources. Opinions reflect judgment at the time and are subject to change.
32 © Copyright 2014 EMC Corporation. All rights reserved.
THANK YOU
Bruno Alejandre Archer eGRC Technical Consultant