Post on 09-Oct-2020
0
Experiencia práctica de adecuación GRC y Ley 1581 de
Protección de Datos Personales con
GESCONSULTOR Iván Darío Marrugo J. GESCONSULTOR Twitter: @imarrugoj
© 2014. GESCONSULTOR / GESDATOS Software, S.L. Todos los derechos reservados.
1
CONCEPTO G.R.C. (Gobierno, Gestión de Riesgos, Cumplimiento).
2
DEFINICIONES.
GRC es un modelo de gestión que integra las actividades y funciones de Gobierno Corporativo, la Gestión de Riesgos y las responsabilidades de Cumplimiento, con el objetivo de mejorar la capacidad de las Organizaciones para lograr sus objetivos de negocio / servicio.
Es un concepto corporativo, conocido
como Enterprise-GRC o e-GRC.
Un subconjunto de e-GRC es IT-GRC.
3
La misión de GESCONSULTOR es facilitarle la Gestión, Buen Gobierno y el
Control de:
• Los Procesos de Negocio, ayudando en su optimización y mejora continua a
través de la medición y la visibilidad en los mismos.
• Los Riesgos Corporativos, a fin de asegurar la Continuidad de sus actividades
de Negocio y maximizar su Retorno de Inversión.
• Los Obligaciones Legales, Regulatorias y Contractuales impuestas por
terceras partes.
Para poder contribuir a ello de la mejor forma posible, GESCONSULTOR se ha
diseñado desde la base específicamente teniendo en cuenta las siguientes
premisas:
No debe imponer soluciones tecnológicas concretas, sino que
debe integrarse con la infraestructura de su
Organización para poder medir y analizar el estado en tiempo real.
No debe imponer unos procedimientos o flujos de
trabajo, sino que debe facilitarle que adapte GESCONSULTOR a
su propia organización para agilizar su adopción, maximizar
los resultados y minimizar el impacto de su implantación.
4
5
El Sistema de Información GesConsultor GRC – Edición LEPDP contiene las
funcionalidades necesarias para establecer un completo sistema de gestión de este
Marco Normativo, acompañando a la Organización en las actividades de implantación y
evolución del mismo.
GesConsultor GRC dispone de dos capas integradas, complementarias e implantables
de forma diferenciada, cuya suma de funcionalidades ofrece el más amplio universo de
gestión para LEPDP y el resto de Normas implementables.
6
Comprende todas las actividades necesarias para gestionar el cumplimiento con la LEPDP y el
futuro Reglamento, el cual contenga todas las medidas de seguridad correspondientes en todas
sus fases. Integra sus criterios, controles, medidas, métricas, indicadores, procesos de auditoría,
Análisis de Brechas, etc, constituyendo la plataforma integral para este tipo de proyecto.
Uno de sus valores diferenciales consiste en la implementación de las acciones requeridas para
acreditar el máximo nivel de cumplimiento y su acreditación / auditoría posterior. Con este
enfoque, las medidas se traducen en acciones detalladas, gestionables, trazables y auditables,
en un contexto que permite, adicionalmente, definir hitos y comparaciones en la evolución del
proyecto en base a los mismos.
Este planteamiento, claramente diferenciador, permite conseguir unos niveles inusuales en la
calidad del cumplimiento, pero con unas cargas de trabajo mucho menores ante el nivel de
automatismo y control que aporta el sistema.
Esta capa se integra plenamente con la Capa Operativa (Monitorización, Correlación de Eventos,
Logger, Vulnerabilidades, etc), recibiendo de ésta todos los eventos relevantes para cada
actividad de la Norma que requiera su registro y control.
GESCONSULTOR GRC - CAPA DE GESTION / NORMATIVA
7
VISION GESTION / OPERACIÓN
8
VISION GESTION / OPERACIÓN
MODELO VISUAL DE ACTIVOS Y DEPENDENCIAS
10
CENTRO DE TRABAJO ISO 27001
GUÍA PASO A PASO PARA USUARIOS NO EXPERTOS
CUESTIONARIOS DE VALORACIÓN CONFORME A GUÍAS
COMPLETA INTEGRACIÓN CON PILAR: IMPORT. Y EXPORT.
ANÁLISIS DE RIESGOS PREDEFINIDOS MUY SENCILLOS
DECLARACIÓN DE APLICABILIDAD 100% AUTOMÁTICA
INFORME DEL PLAN DE ADECUACIÓN AUTOMATIZADO
18
CENTRO DE TRABAJO LEPD - PRIVACIDAD
IDENTIFICACION Y REGISTRO DE BASES DE DATOS
IDENTIFICACION SISTEMAS DE TRATAMIENTO
PROCEDIMIENTOS OBLIGATORIOS DOCUMENTADOS
IDENTIFICACION RESPONSABLES Y USUARIOS
GENERACION AUTOMATICA DOCUMENTO SEGURIDAD
MODULO EJERCICIO DE DERECHOS
MODULO EJERCICIO DE DERECHOS
27
GESCONSULTOR GRC - CAPA OPERATIVA
28
29
CMDB CON INVENTARIADO AUTOMÁTICO
30
Nuevos TICKETS sencillos, potentes y 100% ITIL
MONITORIZACIÓN CONTINUA DE LOS SISTEMAS
MONITORIZACIÓN DE REDES Y RECURSOS
MONITORIZACIÓN DE AMENAZAS (S.I.E.M.)
MONITORIZACIÓN DE AMENAZAS (S.I.E.M.)
MONITORIZACIÓN DE VULNERABILIDADES
EVIDENCIA ELECTRÓNICA: LOGS FIRMADOS DIGITALMENTE (LOGGER)
CUADROS DE MANDO E INDICADORES
B.I.A. – CONTINUIDAD DE NEGOCIO
IDENTIFICACIÓN VISUAL DE ACTIVOS CRÍTICOS
Disponer de una Plataforma Global
Un enfoque global… pero progresivo.
Integración con sus soluciones actuales.
Modelo para la Administración Local más
experimentado.
Modelos disponibles para otras AA.PP.
Modelo de Activos y Dependencias que
reflejan más de un 80% del trabajo.
En muy pocas jornadas:
• Introduzca sus particularidades en el
Modelo de Activos.
• Revise Análisis Diferencial y Riesgos.
40
EN RESUMEN …
Avance hacia una Solución Integral, Integrada e Integrable:
CMDB, Tickets, Monitorización, …
41
Pueden ayudarle con ENS SERVER®,
GESCONSULTOR o ALIENVAULT:
MUCHAS GRACIAS
@gesdatosc
@gesconsultor
@imarrugoj
www.gesconsultor.com