GESCONSULTOR GRC: SISTEMA DE GESTIÓN INTEGRAL DE CUMPLIMIENTO DE MARCOS Y NORMAS

Transcripción

1 Sistema de Información GRC. Gobierno Riesgo Cumplimiento. Multinorma. Funcionalidades diferenciadoras, motor de cumplimiento con máxima flexibilidad para incorporar nuevos marcos normativos y una integración directa con los componentes SIEM (Security Incident and Event Management) y SOC (Security Operations Center) más avanzados. LOPD / RDLOPD. Sistema de Información específico para el cumplimiento integral de la Ley de protección de datos de carácter personal y su reglamento de desarrollo. GESCONSULTOR GRC: SISTEMA DE GESTIÓN INTEGRAL DE CUMPLIMIENTO DE MARCOS Y NORMAS GRC es un modelo de gestión que integra las actividades y funciones de Gobierno Corporativo, la Gestión de Riesgos y las responsabilidades de Cumplimiento, con el objetivo de mejorar la capacidad de las Organizaciones para lograr sus objetivos de negocio. Es un concepto corporativo, conocido como Enterprise-GRC o e-grc. Un subconjunto de e-grc es IT-GRC. Gobierno: La combinación de procesos y estructuras implantados por el Consejo de Administración para informar, dirigir, gestionar y vigilar las actividades de la organización con el fin de lograr sus objetivos. Gestión de Riesgos: Es un proceso para identificar, evaluar, manejar y controlar acontecimientos o situaciones potenciales, con el fin de proporcionar un aseguramiento razonable respecto del alcance de los objetivos de la Organización. Cumplimiento: Conformidad y adhesión a las políticas, planes, procedimientos, leyes, regulaciones, contratos y otros requerimientos.

2 Jerarquías GRC. CARACTERÍSTICAS GENERALES DE GESCONSULTOR GRC. Diseñado y construido como Sistema G.R.C. (Governance, Risk, Compliance) desde la visión de alto nivel hasta la capa operativa. Proyección internacional. Referenciales aceptados universalmente como fuentes de buenas prácticas. Motor Multinorma. ISO Gestión de la Seguridad de la Información. Privacidad Española y Mexicana. Esquema Nacional de Seguridad. PCI-DSS. Seguridad en operaciones de pago mediante tarjeta. ISO Gestión de la Continuidad. Plan Nacional de Infraestructuras Críticas. ISO 9001:2008. Gestión de la Calidad. ISO Gestión de Servicios. Medidas y Controles creados por cada Organización complementando / ampliando los estándares de cada Norma.

3 Capa operativa plenamente integrada. Máximos niveles de automatismo en la implantación, mantenimiento y evolución de los Sistemas de Gestión. Bus de integración. Interoperabilidad con múltiples plataformas externas complementando o sustituyendo componentes de la Capa Operativa. Múltiples opciones para las funciones clave. Monitorización VMWare Hyperic, Nagios, sistemas de terceros. Gestión de incidentes - OTRS (certificado en 6 procesos ITIL) GLPI Otros (integración). CMDB OTRS CMDBuild OCS Otras (integración). Gestión de Proyectos MS Project Redmine Propio. Estructura Multi-Organización. Base de Datos / Motor de conocimiento Multinorma embebido. ayuda y control en todas las fases del ciclo de vida del proyecto. Máximos niveles de Ofrecido como servicio cloud SaaS en su formato estándar. Posibilidad de despliegue on premise. Diseñador gráfico de procesos y procedimientos basado en la notación estándar BPMN 2.0. Máxima calidad en la documentación asociada a cada Norma. Posibilidad de generar flujos de trabajo basados en estos diseños de procesos y procedimientos. Integración completa con PILAR para España. Motor de Análisis y Tratamiento de Riesgos propio para dar soporte a entornos multinacionales y Organizaciones que NO utilizan MAGERIT/PILAR. Basado en ISO e ISO Colección completa e integrada de las acciones descritas en las Guías de Implantación / Guías de Auditoría para cada Norma. ISO controles 816 acciones. ENS 75 controles 423 acciones. PCI DSS 314 acciones. ISO evidencias.

4 Métricas e indicadores basados en ISO y Guía CCN STIC 815. Múltiples fuentes de datos. Internas y externas. Cuadros de mando configurables. Máxima atención a las interfaces de usuario. Ayudas en línea y contextuales en todo el ciclo de vida del proyecto. Asistentes. Generación automática de Informes y documentos requeridos por las Normas Vigencia. Entorno gráfico de Gestión de Activos y sus dependencias. Plataforma de formación incorporada (Moodle) con cursos precargados. Colección de procedimientos documentados requeridos por las Normas como plantillas base de los proyectos. Creación de controles y acciones adicionales a los contenidos en las Normas. Gestionados, controlados y auditados como aquellos que forman parte de la/s Norma/s base. Requerimientos particulares. Sectoriales / de negocio. Técnicos. Internos. Contractuales. Etc. Gestión integrada de tareas y flujos de trabajo. Declaración de Aplicabilidad automática. Incorpora los controles de las Normas base y los adicionales Máxima calidad del cumplimiento.

5 FUNCIONALIDADES CARÁCTERÍSTICAS OPERATIVAS. Visión Integral. Gestión Operativa. GesConsultor ofrece una visión permanente de los parámetros relevantes de cada Norma mediante cuadros de mando, indicadores, métricas, etc. Estos cuadros de mando con configurables. Asimismo, ofrece en esta visión de gestión los entornos de noticias / suscripciones que se determinen relevantes en cada proyecto. Gestión gráfica de activos y dependencias. Gran facilidad para representar estructuras complejas de activos y gestionar sus dependencias, punto clave para una adecuada Gestión de los Riesgos.

6 Monitorización. Autoevaluación permanente. Máximos niveles de automatismo en la Capa Operativa, plenamente integrada con la Capa Normativa para una óptima calidad en el cumplimiento de las Normas, máxima efectividad en la gestión de la seguridad y, en contraposición, minimizando las cargas de trabajo internas de la Organización. Definición de alertas mediante asistentes. Sin necesidad de programar.

7 SEGURIDAD GESTIONADA. INTEGRACIÓN CON ALIEN VAULT. GesConsultor GRC se integra plenamente con la plataforma Alien Vault, referente en este sector, ofreciendo los más altos niveles de funcionalidad como SIEM (Security Information Events Management) y como gestión avanzada de logs (módulo LOGGER). Esta integración permite desplegar entornos de seguridad gestionada plenamente integrados con las normas que requieren de una gestión activa de eventos y logs (todas las relacionadas con la seguridad de la información y gestión de la continuidad) y obtener con ello niveles diferenciales de seguridad y cumplimiento. DISEÑO DE PROCESOS Y PROCEDIMIENTOS CONVERTIBLES EN WORK- FLOWS. GesConsultor GRC incorpora un entorno BPM (Business Process Management) que permite diseñar en modo gráfico los procesos / procedimientos que requiere cada Norma. Esto permite no solo obtener una documentación de gran calidad sino también materializar dichos procedimientos al disponer de la posibilidad de transformarlos en flujos de trabajo gestionados por el propio sistema. En el diseño se utiliza la notación estándar BPMN 2.0, con lo que la comprensión por parte de todos los intervinientes es completa y, con ello, se facilitan los ciclos de aprobación, mantenimiento y evolución.

8 GESTIÓN DE INCIDENTES / PROBLEMAS. Plataforma OTRS (homologada en 6 procesos ITIL) o GLPI (mayor facilidad en administración y uso). Generación automática de incidentes en base a las alertas configuradas, facilitando así su registro y control. Aspecto clave en numerosas Normas. GESTIÓN Y AUDITORÍA DE CONTROLES Y ACCIONES DE CADA NORMA. Tanto los controles nativos de cada Norma como aquellos que hayan podido crearse para complementar los originales son gestionados a nivel de acción, obteniendo con ello el máximo nivel de detalle en su gestión, control y evolución.

9 Estas funcionalidades son diferenciales y proporcionan un entorno completo de auditoría, gestión de gap analysis y seguimiento de la evolución del cumplimiento en el tiempo. Todas las acciones contemplan no solo un estudio de situación de cumplimiento sino también las asignaciones de recursos, planificación, presupuestación y análisis de las desviaciones entre lo planificado / presupuestado y la situación real. Las acciones cuyo nivel de cumplimiento sea menor que el nivel objetivo marcado aparecen en los Planes de Mejora de la Seguridad para su tratamiento correspondiente, vinculadas a los recursos asignados, al tipo de tarea y grupo de tareas, facilitando de forma relevante su gestión. ANÁLISIS Y GESTIÓN DE RIESGOS. Este módulo, clave para la mayoría de las Normas soportadas, ofrece un entorno de gran ayuda para los usuarios. Incorpora los catálogos de amenazas vinculado a cada metodología y, de forma inteligente, los asocia a los tipos de activo tratados. GesConsultor incorpora varias metodologías de Análisis y Gestión de Riesgos. MAGERIT V2. ISO ISO

10 La Gestión de Riesgos inteligente propone para cada uno de los riesgos a tratar los controles que, en cada Norma, pueden mitigar los mismos. Adicionalmente, admite y documenta las opciones de aceptar, evitar y transferir los riesgos. GESTIÓN AUTOMATIZADA DE VULNERABILIDADES. Enlaces automáticos a diferentes fuentes de vulnerabilidades. El sistema dispone de funcionalidades de programación de escaneo de activos en base a las vulnerabilidades identificadas y obtener así el mapa de activos afectados. La trazabilidad de las vulnerabilidades es completa, accediendo a sus fuentes, verificando las actuaciones recomendadas y, con ello, optimizando el tratamiento de las mismas, aspecto clave en la mayoría de Normas soportadas GESTIÓN DE LA CONTINUIDAD. Ciclo completo de Gestión de la Continuidad. Organización. Roles, responsabilidades, competencias, funciones, Business Impact Analysis. Planes de Continuidad. Planes de Recuperación de Desastres. Máximo nivel de automatización. Proyecto propio / Complemento de otras Normas.

11 Posibilidad de implementación completa de la Norma ISO (certificable) o bien implementar únicamente los automatismos relacionados con la Gestión de la Continuidad. Estas funcionalidades constituyen otro de los aspectos clave de GesConsultor GRC, permitiendo configurar y lanzar planes de actuación basados en múltiples tipologías de eventos, comunicando con los actores a través de correos electrónicos (motor de correo propio para no depender de motores externos), SMS y/o llamadas telefónicas de voz con textos variables. La gestión de la continuidad es otro de los requerimientos clave de la mayoría de las Normas soportadas, obteniendo a través de GesConsultor GRC un entorno dotado de las herramientas automáticas necesarias para optimizar el cumplimiento de aquellos.