GRC Management. Bruno Alejandre Archer egrc Technical Consultant Latin America & Caribbean. Copyright 2014 EMC Corporation. All rights reserved.

Transcripción

1 GRC Management Bruno Alejandre Archer egrc Technical Consultant Latin America & Caribbean 1

2 Retos Actuales 2

3 Retos Variables de Riesgos y Cumplimiento Líder de Práctica Línea de negocio / Ejecutivo Funcional Cuál es mi rol? Consejo/CXO TI/Seguridad Servicios Financieros Tecnología Gobierno Consumo Salud Riesgos Cumplimiento Auditoría Continuidad Gestión de la Seguridad 3

4 Gestión de Riesgo y Cumplimiento Estado Actual 4

5 Normatividad y Regulaciones ISO ISO ISO COBIT SOX PCI ITIL HIPAA... 5

6 egrc 6

7 Definiendo egrc Las plataformas egrc soportan los procesos de gobierno, riesgo y cumplimiento con alcance empresarial: Gobierno: La cultura, los objetivos, procesos, políticas y leyes por las cuales las empresas son dirigidas y controladas. Riesgo: La probabilidad e impacto de la materialización de un evento, el cual puede tener efecto en la consecusión de los objetivos. Cumplimento: El acto de adherirse a y demostrar adherencia con leyes externas y reglamentos, así como con políticas y procedimientos corporativos. 7

8 Marco de Referencia GRC Contexto y Cultura Monitorear y Medir M C O I Organizar y Supervisar A Alinear y Evaluar R Responder y Resolver D P Prevenir y Promover Informar e Integrar Detectar y Discernir 8

9 Gestión de Riesgo y Cumplimiento - GRC Estado Objetivo Eficiencia Visibilidad Automatización Colaboración Responsabilidad 9

10 Gestión de Riesgo y Cumplimiento TCO Reducido, Rapidez de Entrega de Valor, Riesgo Minimizado 10

11 Consideraciones Críticas de un Proyecto GRC TCO Entrega de Valor Ecosistema Automatización de Tareas Configuración vs Codificación Despliegue Flexible Funcionalidad de Caja Inicio pequeño, evolución rápida Madurez en la oferta de servicios Aliados tecnológicos Librería de Soluciones Enfoque al Cliente Comunidades 11

12 GRC Modelo de Madurez (AMR Research) Situación Actual de las organizaciones Nivel 1: Reaccionar Pánico Hacer! Operación aislada Obtener los recursos necesarios de donde se pueda Nivel 2: Anticipar Aceptación Eficiencia Automatización Visualizar conexiones entre múltiples programas Enfoque de plan futuro Nivel 3: Colaborar Coordinación Identificar riesgos Evaluar exposición Priorizar acciones Reutilizar componentes tecnológicos para múltiples propósitos Nivel 4: Orquestar Gestión armónica Definir objetivos corporativos Coordinar análisis y acción Visibilidad completa de riesgos, exposición y desempeño Priorizar con contexto de negocio Transparente Sostenible GRC Consistente Táctico La madurez varía por Industria / Geografía Eficiente Estratégico Cumplir Mejorar Transformar Fuente: AMR Research 12

13 GRC Estrategias delprograma 13

14 Archer 14

15 RSA Archer GRC Integra soluciones para todo el negocio Consejo y CXOs LDN / Ejecutivos Funcionales CIO/CISO TI Riesgo Empresarial Negocio Líderes de Práctica Auditoría de TI Disponibilidad Riesgo y Seguridad de TI Seguridad de Operaciones Riesgo de 3os Políticas y Controles Continuidad de Negocio Incidentes y Respuesta Fundamentos Comunes Riesgo Regulatorio Riesgo Operacional Gobierno Corporativo Auditoría y Cumplimiento 15

16 Gestión de procesos GRC con RSA Archer RSA Archer Analizar Crear Mapear y un gestionar políticas datos sistema recolectados flujos de registros alto para nivel basados la Definir a controles gestión objetivos en de y políticas procedimientos riesgos de negocio específicos Identificar Crear Definir solicitudes políticas brechas de de y gobierno hallazgos excepción Gestionar Flujos y cambios de Trabajo Mapear el modelo de Reporte Analizar negocio Gestionar de con y visualizar excepciones cumplimiento base el y y gobierno tendencias contexto Cambios Medir Controles y Conducir Evaluaciones 16

17 Soluciones RSA Archer GRC Solucionando Retos de Negocio con GRC 17

18 Soluciones RSA Archer GRC Casos de Uso y Soluciones Específicas Salud ambiental y seguridad PCI Código de regulaciones federales Evaluación de involucrados SGSI Prevención de lavado de dinero Gestión del cambio regulatorio UCF Gestión de claves y certificados Políticas Incidentes Operación de Seguridad Soluciones de Núcleo Poderosas Riesgos Proveedores Amenazas Riesgo de Vulnerabilidades Cumplimiento Auditoría Continuidad de Negocio Fundamentos RSA Archer GRC 18

19 Plataforma RSA Archer GRC Tecnología potenciando GRC 19

20 Fundamentos RSA Archer GRC Todos los componentes clave necesarios para sentar una base sólida para su programa de GRC en toda la empresa Soluciones de Núcleo Poderosas Procesos de Negocio Productos & Servicios Instalaciones y Localidades Infraestructura de TI Aplicaciones Activos de Información Jerarquía Organizacional Unidades Operacionales y Departamentos Análisis de Impacto al Negocio Visualización Datos Consolidados Fundamentos GRC Branding Repositorio Central Flujos de trabajo Roles/Responsabilidad Auditoría de Sistemas Cálculos Gestión de Datos Búsqueda y Reporte Control Basado en Roles Cuestionarios Acceso Móvil Taxonomías Comunes Importación de Datos Integración con APIs Mapeo de datos Conectores de datos pre-construidos Modos de Transporte Múltiples Alimentadores de datos calendarizados Publicación de Datos Contexto de Negocio Configuración de Soluciones Modelo de Datos Común Integración de Datos Transparente 20

21 Marco Tecnológico RSA Archer GRC Interfaz de Usuario Datos Analíticos Soluciones Datos de APIs Abiertas Almacenes de Datos Estándar Almacenes de Big Data Almacenes de Terceros Alertas y Notificaciones Analíticos de Riesgos Modelado Visualización y Reportes Flujos de Trabajo Avanzados Riesgo de Seguridad Riesgo de Negocio Riesgo de TI Inteligencia de Riesgos, Contenido Regulatorio, Estándares de Industria, etc. 21

22 Visión de Programa egrc Implementación Definir requerimientos y diseño Diseño comprometido con involucrados Procesos, contenido e infraestructura Estrategia del programa 22

23 Niveles de Madurez con RSA Archer Básico Casos de Uso definidos Perfil de Implementación Módulos seleccionados (1-2) Casos de Uso enfocados Dominio único Fundamentalmente enfocado en cumplimiento Definido Todos los elementos básicos Identificar estado actual de objetivos y casos de usos Procesos identificados Requerimientos documentados Planes de implementación desarrollados Equipo de implementación identificado Perfil de Implementación Múltiples Módulos (2-4) Casos de Uso alineados al modelo OOTB Dominio único Fundamentalmente enfocado en cumplimiento Fundamentado Todos los elementos definidos Objetivos futuros establecidos y coordinados Procesos y contenidos integrados y en flujo, dominio único Plan de infraestructura escalable Involucrados clave entrenados Perfil de Implementación Múltiples Módulos (2-4+) Casos de Uso mixtos: OOTB y Llave en mano Dominio único Enfocado en cumplimiento y riesgos Liderado Todos los elementos fundamentados Visión, alcance y estrategia egrc Adopción corporativa Procesos y contenidos integrados y en flujo, dominios múltiples Entendimiento del riesgo del negocio Taxonomía y visibilidad de contenidos completas Involucrados habilitados Perfil de Implementación Múltiples Módulos (2-4+) Múltiples Casos de Uso de negocio/industria Dominios múltiples Enfoque GRC 23

24 Velocidad en el ROI para los Clientes de RSA Archer VISIBILIDAD Conocimiento y gestión de todos los riesgos de la diferentes facetas organizacionales EFICIENCIA Automatización de los procesos de riesgo y cumplimiento para mejorar la calidad y velocidad de la información RESPONSABILIDAD Asignar y monitorear la propiedad de todos los aspectos de los riesgos y el cumplimiento COLABORACIÓN Cooperación cross-silo a través de toda la organización con foco en la mitigación de riesgos 24

25 Ecosistema RSA Archer GRC Socios 50+ Socios Tecnología Asesoría Servicios Soluciones 100+ Casos de Uso Contenido y reporte Flujos Servicios Expertos Fundamentos RSA Archer GRC Plataforma Fundamentos de Negocio Intercambio de Datos Lógica de Negocio Comunidad Online Congreso Foros Ejecutivos Solution Exchange 25

26 Ecosistema de Socios RSA Archer GRC Tecnología y Contenidos Asesoría e Implementación 50 + Socios para tranferencia de datos, contenidos y servicios 26

27 Comunidad RSA Archer GRC GRC Summit 120+ sesiones Evento annual desde GRC líderes de práctica F2F acceso a expertos de producto Comunidad Online 10,000+ miembros Archer Comunidad interactiva en línea Acceso a expertos en contenido Ideas, solicitudes y más Intercambio Acceso a contenido GRC Nuevas aplicaciones certificadas Plug-ins eintegraciones Servicios, ideas y más Roadshows Sesiones de mejores prácticas entre pares Relacionamiento entre pares P2P Disponible en distintas ciudades Evento annual desde 2007 Enfoque en Cliente Foro ejecutivo Reportes de hallazgos clave Consejo de asesoría a clientes Grupos de Trabajo Grupos de gremio Reuniones periódicas Influencia sobre el roadmap del producto Facilitado por Archer y/o clientes interesados 27

28 Analistas 28

29 Liderazgo en la Industria Líder en el egrc MQ para 2013 Líder en el BCM MQ para 2013 Líder en el IT GRC MS para 2013 Líder en el Forrester GRC Wave 2014 Citado como la oferta más madura en múltiples documentos clientes 40 + países 55 Compañías del Fortune industrias 29

30 Plataformas egrc - Gartner Fuente: Gartner. Magic Quadrant for Enterprise Governance, Risk and Compliance Platforms 30

31 Plataformas egrc - Forrester Source: Forrester Wave : Governance, Risk and Compliance Platforms, Q Chris McClean, Nick Hayes, Renee Murphy Jan. 27, 2014 The Forrester Wave is copyrighted by Forrester Research, Inc. Forrester and Forrester Wave are trademarks of Forrester Research, Inc. The Forrester Wave is a graphical representation of Forrester's call on a market and is plotted using a detailed spreadsheet with exposed scores, weightings, and comments. Forrester does not endorse any vendor, product, or service depicted in the Forrester Wave. Information is based on best available resources. Opinions reflect judgment at the time and are subject to change. The Forrester Wave is copyrighted by Forrester Research, Inc. Forrester and Forrester Wave are trademarks of Forrester Research, Inc. The Forrester Wave is a graphical representation of Forrester's call on a market and is plotted using a detailed spreadsheet with exposed scores, weightings, and comments. Forrester does not endorse any vendor, product, or service depicted in the Forrester Wave. Information is based on best available resources. Opinions reflect judgment at the time and are subject to change. 31

32 THANK YOU Bruno Alejandre Archer egrc Technical Consultant 32