Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
¿Qué es el GRC?
GRC se puede entender como una rama de
la gestión de las organizaciones que permite
integrar las Tecnologí...
www.sia.es
Avda. de Europa, 2
Alcor Plaza - Edificio B
Parque Oeste Alcorcón
28922 Alcorcón - Madrid
Tel.: +34 902 480 580...
Upcoming SlideShare
Loading in …5
×

Oficina de Gobierno, Gestión de Riesgos y Cumplimiento.

685 views

Published on

GRC: La evolución natural.
GRC se puede entender como una rama de la gestión de las organizaciones que permite integrar las Tecnologías de la Información junto con los marcos regulatorios y legislativos, en la estrategia corporativa.
La filosofía de gestión GRC permite realizar un tratamiento integrado sobre las áreas de Gobierno (Governance), Gestión de Riesgos (Risk Management) y Gestión del Cumplimiento
(Compliance).

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Oficina de Gobierno, Gestión de Riesgos y Cumplimiento.

  1. 1. ¿Qué es el GRC? GRC se puede entender como una rama de la gestión de las organizaciones que permite integrar las Tecnologías de la Información junto con los marcos regulatorios y legislativos, en la estrategia corporativa. La filosofía de gestión GRC permite realizar un tratamiento integrado sobre las áreas de Gobierno (Governance), Gestión de Riesgos (Risk Management) y Gestión del Cumplimiento (Compliance). De este modo estas tres áreas, dentro de la Organización, dejan de considerarse de forma separada para integrarse dentro de una única visión de la gestión empresarial. Por otro lado, el orden de las siglas GRC no es aleatorio: el primer paso para obtener una visión global (y por tanto gestionar los riesgos) es un buen gobierno; del mismo modo, si no se cuenta con un adecuado gobierno, ni con una adecuada gestión de los riesgos, no es factible gestionar correctamente el cumplimiento. Los conceptos involucrados tras las siglas GRC se pueden resumir o definir del siguiente modo: · Gobierno: Responsabilidad de la Dirección en la gestión y transparencia organizacional, garantizando la implantación y adhesión a las políticas definidas. · Gestión de Riesgos: Mecanismos de identificación, análisis y evaluación de las amenazas que impliquen riesgos para el logro de los objetivos de la organización, y planificación y seguimiento de las actividades o proyectos encaminados a la reducción del riesgo · Gestión del Cumplimiento: Mecanismos de identificación de la legislación y regulación vigente aplicable y de verificación de su cumplimiento, considerando tanto normas externas como internas. Oficina de Gobierno, Gestión de Riesgos y Cumplimiento. GRC: La evolución natural Pallars 99, planta 4, oficina 41 08018 Barcelona Tel.: +34 902 480 580 Fax: +34 934 675 830 www.sia.es Avda. de Europa, 2 Alcor Plaza - Edificio B - Parque Oeste Alcorcón 28922 Alcorcón - Madrid Tel.: +34 902 480 580 Fax: +34 913 077 980 De este modo cuando la maquinaria GRC está bien acoplada se consigue una mayor calidad de servicios y gestión, facilitando el logro de los objetivos definidos y optimizando los costes afrontados. ¿Por qué ir hacia una filosofía GRC? A medida que las organizaciones crecen en complejidad y tamaño, resulta más evidente la importancia de contar con una estructura adecuada en que cada nivel tome las decisiones para las que ha sido diseñado. El buen gobierno permite controlar y mejorar los niveles de servicio, reducir los riesgos y mejorar los costes de los Servicios ofrecidos cumpliendo con el marco regulatorio y legal aplicable. Gestionar las tecnologías por un lado, el cumplimiento por otro y el desarrollo de políticas de manera desligada de lo anterior impide la correcta estructuración de una organización. Es necesario contemplar los anteriores aspectos de manera integrada y con visión de conjunto, analizando las implicaciones Líneas de Actividad Resiliencia Organizacional •Sistema de Gestión Integrado (SGI) •Continuidad de Negocio (SGCN) •Gestión del Riesgo •Seguridad Física •Protección de Infraestructuras Críticas (LPIC) Cumplimiento Normativo •Desarrollo del Marco Normativo •Modelo Unificado de Controles (MUC) •Adecuaciones y Auditorías regulatorias /estándares •Payment Card Industry (PCI) •Seguridad en la Nube Inteligencia y Fraude •Detección y Prevención del Fraude •Vigilancia de Ciberamenazas •Data Leak/Loss Prevention (DLP) •Vigilancia de Reputación On-line Formación y Concienciación •Diseño de planes de Formación y Concienciación. •Formación especializada (Seguridad de la Información, Contra Inteligencia, Reputación, etc..) GOBIERNO, RIESGO, CUMPLIMIENTO (GRC) de cada decisión sobre cada uno de los aspectos que las otras áreas consideran. La convergencia, tanto horizontal como vertical, de los aspectos de gobierno, gestión de riesgos y gestión de cumplimiento en un único enfoque global permite una mejor y más eficiente gestión. ¿Cómo integrar Gobierno, Gestión de Riesgos y Gestión de Cumplimiento? Es evidente que no resulta sencillo implantar este modelo, como ocurre con cualquier mejora en el ámbito de la gestión corporativa. Por ello, resulta recomendable definir una unidad que se encargue de implementar GRC a partir de la gestión multidisciplinar pero de manera centralizada. Es la oficina GRC, constituida como un centro de competencia especializado.
  2. 2. www.sia.es Avda. de Europa, 2 Alcor Plaza - Edificio B Parque Oeste Alcorcón 28922 Alcorcón - Madrid Tel.: +34 902 480 580 Fax: +34 913 077 980 Pallars 99 planta 4, oficina 41 08018 Barcelona Tel.: +34 902 480 580 Fax: +34 934 675 830 La Oficina GRC de SIA. un paso necesario más en la evolución de la Organización Grupo SIA, con su amplio bagaje en Seguridad de la Información y experiencia recogida a través de sus más de 20 años como proveedor de servicios de seguridad, resulta el compañero ideal para acometer un proyecto de integración GRC. La clave del éxito de la oficina GRC pasa por contar con tres pilares fundamentales: personas con la competencia, conocimientos y experiencia adecuadas; metodologías maduras y probadas; y herramientas que aporten el soporte adecuado para el logro de los objetivos marcados Para SIA, la Oficina de GRC nace como una herramienta de gestión para la Dirección de TI con un alto valor estratégico, contando para ello con un equipo de personas altamente cualificadas, que poseen además diversas certificaciones (CISA, CISM, CISSP…).El equipo técnico de SIA posee un gran conocimiento adquirido de las metodologías y herramientas necesarias para conseguir los objetivos planteados. Con la amplia experiencia de SIA en normativa y estándares de seguridad ampliamente reconocidos y utilizados (ISO 2700X, ITIL, COBIT v3, BS-25999, BS-25777, PAS-99, MAGERIT…) junto con amplia experiencia también en legislación aplicable (LOPD, Ley 11/2007, Esquema Nacional de Seguridad...) la oficina de GRC podrá orientar la seguridad contemplando aspectos de negocio y de innovación, sin dejar por ello de tener en cuenta aspectos importantes como la confianza y la implicación en seguridad. Así, los Servicios de TI proporcionados podrán evolucionar mediante el control y mejora continua de su gestión, su seguridad y su continuidad. La oficina de GRC implantará además herramientas que permitan desarrollar todos los aspectos contenidos en su ámbito de actuación. Por otro lado la oficina también se encargará de la gestión de la seguridad, la continuidad de negocio y los procedimientos de auditoría interna y control. SIA cuenta con experiencia en la implantación de varias plataformas de GRC. Gracias a RSA Archer, se podrá transformar la información que actualmente está en papel y/o en herramientas no colaborativas y/o con menor grado de automatización, en un programa EFQM de auditoría dinámico, mejorando su eficiencia, garantizando las actualizaciones periódicas y gracias a su flexibilidad y capacidades de personalización, garantizando su adecuación a cualquier requerimiento futuro. La Oficina de GRC permitirá cumplir dentro de un alcance definido, los objetivos fijados. A su vez la oficina estará gestionada de forma continua, reportando y exponiendo los resultados del proceso de seguimiento y revisión a los diferentes comités ejecutivos. El framework de Archer es una plataforma que permite crear y modificar aplicaciones, agrupándolas en soluciones que ayuden a solventar los requisitos del negocio definidos dentro del GRC. Con ello, a través de un modelo de funcionamiento basado en la mejora continua, el establecimiento de la oficina de GRC permitirá disponer de un asesoramiento continuo, introducir mejoras en la gestión de la Organización, establecer mecanismos de control de calidad, cumplimiento y riesgos y analizar de forma continua la Organización. En resumen, la implantación de una oficina de GRC aportará los siguientes beneficios: - Aumentar los índices de satisfacción, tanto organizacional como de los clientes. - La implantación de estándares y buenas prácticas de gestión y seguridad se podrá realizar de manera más fácil, práctica y global. - Se permitirá la medición y control de los servicios, diseñando planes de mejora continua, derivados de las revisiones y monitorizaciones realizadas. - La mejor adopción de estándares permitirá que los procesos de certificación se puedan abordar de una manera más cómoda sin perder el foco en los objetivos de la organización. - Finalmente la integración de Gobierno, Riesgo y Cumplimiento permitirá reducir costes y focalizar esfuerzos de actuación.

×