Marcos Nehme, Director Tecnico

Logre una
implementación exitosa
de tecnología GRC
RSA Archer eGRC
Marcos Nehme
Director Tecnico | Latin America & Caribbean
@MarcosNehme
Contenido
• Factores críticos de un proyecto GRC
• Modelos de Referencia GRC
• Definición del programa GRC
• Tecnologías empresariales GRC
• Implementación de GRC con RSA Archer
© Copyright 2015 EMC Corporation. All rights reserved.
2
Factores Críticos de
un proyecto GRC
© Copyright 2015 EMC Corporation. All rights reserved.
3
Factores Críticos de un proyecto GRC
• Tomar como base Modelos de Referencia GRC
• Alinear iniciativas GRC con el Plan Estratégico
• Evitar alcances ambiciosos: comenzar pequeño
y alcanzar victorias rápidas
• No subestimar el esfuerzo de cada alcance
• Administrar cada proyecto de manera formal
• Selección de una tecnología eGRC madura,
confiable y con respaldo global/local
© Copyright 2015 EMC Corporation. All rights reserved.
4
Visión del Programa GRC
© Copyright 2015 EMC Corporation. All rights reserved.
5
Modelos de Referencia
© Copyright 2015 EMC Corporation. All rights reserved.
6
Modelo de Capacidades GRC
by Open Compliance and Ethics Group
Contexto y Cultura
C
Organizar y Supervisar
O
M
Monitorear y Medir
A
R
Responder y Resolver
Informar e Integrar
© Copyright 2015 EMC Corporation. All rights reserved.
Alinear y Evaluar
I
P
D
Prevenir y Promover
Detectar y Discernir
7
Modelo de Madurez AMR Research
© Copyright 2015 EMC Corporation. All rights reserved.
8
Arquitectura GRC
Ruta
Sistemas
Capacidades
© Copyright 2015 EMC Corporation. All rights reserved.
Hacia el desempeño
basado en principios,
minimizando malas
prácticas
Integrados con la lógica de
capacidades. Son la
columna vertebral del
gobierno corporativo
Basadas en un modelo
estándar de operación
enfocado en capacidades,
no en tecnología.
9
Definición del Programa GRC
© Copyright 2015 EMC Corporation. All rights reserved.
10
Complejidad de implementación GRC
© Copyright 2015 EMC Corporation. All rights reserved.
11
Necesidades Organizacionales
Ejecutivos
de Negocio
Consejo
CIO &
CISO
Gerentes de
Operación
Negocio
TI
CRO
Riesgo y Seguridad de TI
Cumplimiento Regulatorio y Corporativo
Riesgo Operacional
Recuperación del Negocio
Auditoría
Gobierno de Terceros
Silos
Gestionado
Madurez
© Copyright 2015 EMC Corporation. All rights reserved.
Competitividad
Fundamentos Comunes
12
Estrategia del Programa
eGRC
Comenzar pequeño - Victorias rápidas
Visión empresarial- Establecer bases
© Copyright 2015 EMC Corporation. All rights reserved.
13
Fases del Proyecto GRC
© Copyright 2015 EMC Corporation. All rights reserved.
14
Implementación con RSA Archer
© Copyright 2015 EMC Corporation. All rights reserved.
15
Soluciones
RSA Archer
Las Bases de la
Inteligencia de
Riesgos
Riesgos y
Seguridad
de TI
Capacidad de
Recuperación
del Negocio
Contexto
Plataforma
Gobierno de
Terceros
De Negocio
Riesgo
Operacional
© Copyright 2015 EMC Corporation. All rights reserved.
Cumplimiento
Regulatorio y
Corporativo
Auditoría
16
Oferta RSA Archer
Solucionando
los Retos de
Riesgo y
Cumplimiento
© Copyright 2015 EMC Corporation. All rights reserved.
• Amenazas
• Operación de
Seguridad
• Políticas y
Controles de
Seguridad
• Riesgo por
Vulnerabilidades
• Continuidad de Negocio
• Recuperación de desastres
• Gestión de Crisis
Contexto
Plataforma
• Due Diligence de
Proveedores
• Riesgo de Terceros
• Desempeño de Proveedores
• Políticas
• Cumplimiento
• Cambio Regulatorio
De Negocio
• Autoevaluaciones de Riesgo
y Controles (RCSA)
• Evaluación de Riesgo de
• Eventos de Pérdida
Entidades
• Registro de Riesgos y
• Planes de Auditoría
Métricas
• Compromisos de Auditoría
• Comportamiento del
• Calidad de Auditoría
mercado
17
Oferta RSA Archer
Políticas
11 Módulos
49 Soluciones
Enfocadas
Contexto
Plataforma
De Negocio
© Copyright 2015 EMC Corporation. All rights reserved.
18
Ecosistema RSA Archer
Oferta
100+ Casos de Uso Contenido e Informes
Aliados
Flujo de Trabajo
Servicios Exportes
Comunidad
50+ Aliados
En Línea
Tecnología
Congreso
Asesoría
Foros Ejecutivos
Servicio
© Copyright 2015 EMC Corporation. All rights reserved.
Soluciones
Plataforma
Contexto de Negocio
Intercambio de
Lógica de Negocio
Datos
Solution Exchange
19
Diferenciadores RSA Archer
TCO
Automatización de
tareas
Configuración sin
código fuente
Despliegue flexible
© Copyright 2015 EMC Corporation. All rights reserved.
Entrega de Valor
Funcionalidad OOTB
Inicio inteligente,
crecimiento
acelerado
Oferta de Servicios
Madura
Ecosistema
Aliados de tecnología
Librería de soluciones
Vocación de cliente
Comunidades
20
Beneficios
Conozca y gestione todos los riesgos que su negocio enfrenta
VISIBILIDAD
EFICIENCIA
RESPONSABILIDAD
COLABORACION
Automatice sus procesos de gestión de riesgo y cumplimiento
par obtener información de calidad rápidamente
Asigne y vigile la propiedad de todos los aspectos de su
gestión de riesgo y cumplimiento
Fomentar la cooperación cross-silo a través de la organización
sobre los riesgos clave que deben mitigarse
© Copyright 2015 EMC Corporation. All rights reserved.
21
Niveles de Madurez con RSA Archer
Liderado
Fundamentado
• Todos los elementos definidos
• Objetivos futuros establecidos y
coordinados
• Todos los elementos básicos
• Procesos y contenidos integrados y en
• Identificar estado actual de objetivos y
flujo, dominio único
casos de usos
Básico
• Plan de infraestructura escalable
• Procesos identificados
• Involucrados clave entrenados
• Requerimientos documentados
• Planes de implementación desarrollados Perfil de Implementación
• Casos de Uso definidos
• Múltiples Módulos (2-4+)
• Equipo de implementación identificado
• Casos de Uso mixtos: OOTB y Llave en
Perfil de Implementación
Perfil de Implementación
mano
•
Múltiples
Módulos
(2-4)
• Módulos seleccionados (1-2)
•
Dominio único
• Casos de Uso alineados al modelo
• Casos de Uso enfocados
• Enfocado en cumplimiento y riesgos
OOTB
• Dominio único
• Fundamentalmente enfocado en • Dominio único
• Fundamentalmente enfocado en
cumplimiento
cumplimiento
Definido
© Copyright 2015 EMC Corporation. All rights reserved.
•
•
•
•
Todos los elementos fundamentados
Visión, alcance y estrategia eGRC
Adopción corporativa
Procesos y contenidos integrados y en
flujo, dominios múltiples
• Entendimiento del riesgo del negocio
• Taxonomía y visibilidad de contenidos
completas
• Involucrados habilitados
Perfil de Implementación
• Múltiples Módulos (2-4+)
• Múltiples Casos de Uso de
negocio/industria
• Dominios múltiples
• Enfoque GRC
22
Liderazgo en la Industria
Líder en el IT VRM MQ 2014
Líder en el BCM MQ 2014
Líder en el IT RM MQ 2014
Líder en el ORM MQ 2014
Líder en el Forrester GRC Wave
2014
Citado como “la oferta más madura”
en múltiples documentos
1000+ Clientes
43+ países
© Copyright 2015 EMC Corporation. All rights reserved.
50 Fortune 100
25+
industrias
23
Gartner 2014 Magic Quadrant
Business Continuity Management
© Copyright 2015 EMC Corporation. All rights reserved.
IT Vendor Risk Management
24
Gartner 2014 Magic Quadrant
IT Risk Management
© Copyright 2015 EMC Corporation. All rights reserved.
Operational Risk Management
25
Plataformas eGRC - Forrester
Fuente:
Forrester Wave™:
Governance, Risk and
Compliance Platforms,
Q1 2014
Chris McClean, Nick
Hayes, Renee Murphy
Jan. 27, 2014
The Forrester Wave is copyrighted by Forrester Research, Inc. Forrester and Forrester Wave are trademarks of Forrester Research, Inc. The Forrester Wave is a graphical representation of Forrester's call on a market and is plotted using a detailed spreadsheet
with exposed scores, weightings, and comments. Forrester does not endorse any vendor, product, or service depicted in the Forrester Wave. Information is based on best available resources. Opinions reflect judgment at the time and are subject to change. The
Forrester Wave is copyrighted by Forrester Research, Inc. Forrester and Forrester Wave are trademarks of Forrester Research, Inc. The Forrester Wave is a graphical representation of Forrester's call on a market and is plotted using a detailed spreadsheet with
exposed scores, weightings, and comments. Forrester does not endorse any vendor, product, or service depicted in the Forrester Wave. Information is based on best available resources. Opinions reflect judgment at the time and are subject to change.
© Copyright 2015 EMC Corporation. All rights reserved.
26
EMC, RSA, the EMC logo and the RSA logo are trademarks of EMC Corporation in the U.S. and other countries.
Marcos Nehme
[email protected]
GRACIAS!