Seguridad electrónica mediante GRC

Archer eGRC Technical Consultant Latin America & Caribbean

Objetivo del SGSI

Asegurar controles de seguridad adecuados y proporcionales, que protejan los activos de

información y brinden confianza

SGSI

Convergencia SGSI + eGRC Normativa Interna

(Controles) Normativa Externa (Leyes/Estándares)

Procesos

Aplicación

Dispositivo

2

2 1 1

1

1

Probabilidad

Imp

acto

•Clasificación •Estimación $$

Evaluación •Propietario del proceso •Revisor •Notificaciones por correo

Gestión de Tareas •Fechas límite •Escalamientos •Flujos de revisión •Monitoreo en sistema

Evaluación de Diseño •Control Interno / Propietario •Inspección ocular •Evidencia de aplicación •Notificaciones por correo

Gestión de Hallazgos •Identificación de hallazgos •Evaluación de riesgos •Definición de estrategias •Notificaciones por correo •Definición de nuevos controles

Reportes •Ejecutivos •Para Autoridades •Analíticos

SGSI

Retos SGSI • Visibilidad de la seguridad bajo un contexto organizacional.

• Mejora continua organizada y consistente del SGSI, alineado a modelos de madurez.

• Modelado de la organización y sus componentes críticos.

• Identificación de aplicabilidad con los controles del SGSI.

• Evaluación de cumplimiento contra la normativa: diagnóstico y monitoreo para la identificación de brechas.

• Gestión de excepciones, remediación y gestión de riesgos.

• Monitoreo y análisis del estado de cumplimiento.

Marco de Referencia OCEG/eGRC

I

O

M

R

D

A

P

CContexto y Cultura Organizar y Supervisar

Monitorear y Medir Alinear y Evaluar

Responder y Resolver Prevenir y Promover

Informar e Integrar Detectar y Discernir

Analistas - Gartner

Analistas - Forrester

Fuente: The Forrester Wave™: Enterprise Governance, Risk, And Compliance Platforms, Q4 2011 The Forrester Wave™: IT Governance, Risk, And Compliance Platforms, Q4 2011

Archer eGRC Technical Consultant Latin America & Caribbean