0

Experiencia práctica de adecuación GRC y Ley 1581 de

Protección de Datos Personales con

GESCONSULTOR Iván Darío Marrugo J. GESCONSULTOR Twitter: @imarrugoj

© 2014. GESCONSULTOR / GESDATOS Software, S.L. Todos los derechos reservados.

1

CONCEPTO G.R.C. (Gobierno, Gestión de Riesgos, Cumplimiento).

2

DEFINICIONES.

GRC es un modelo de gestión que integra las actividades y funciones de Gobierno Corporativo, la Gestión de Riesgos y las responsabilidades de Cumplimiento, con el objetivo de mejorar la capacidad de las Organizaciones para lograr sus objetivos de negocio / servicio.

Es un concepto corporativo, conocido

como Enterprise-GRC o e-GRC.

Un subconjunto de e-GRC es IT-GRC.

3

La misión de GESCONSULTOR es facilitarle la Gestión, Buen Gobierno y el

Control de:

• Los Procesos de Negocio, ayudando en su optimización y mejora continua a

través de la medición y la visibilidad en los mismos.

• Los Riesgos Corporativos, a fin de asegurar la Continuidad de sus actividades

de Negocio y maximizar su Retorno de Inversión.

• Los Obligaciones Legales, Regulatorias y Contractuales impuestas por

terceras partes.

Para poder contribuir a ello de la mejor forma posible, GESCONSULTOR se ha

diseñado desde la base específicamente teniendo en cuenta las siguientes

premisas:

No debe imponer soluciones tecnológicas concretas, sino que

debe integrarse con la infraestructura de su

Organización para poder medir y analizar el estado en tiempo real.

No debe imponer unos procedimientos o flujos de

trabajo, sino que debe facilitarle que adapte GESCONSULTOR a

su propia organización para agilizar su adopción, maximizar

los resultados y minimizar el impacto de su implantación.

4

5

El Sistema de Información GesConsultor GRC – Edición LEPDP contiene las

funcionalidades necesarias para establecer un completo sistema de gestión de este

Marco Normativo, acompañando a la Organización en las actividades de implantación y

evolución del mismo.

GesConsultor GRC dispone de dos capas integradas, complementarias e implantables

de forma diferenciada, cuya suma de funcionalidades ofrece el más amplio universo de

gestión para LEPDP y el resto de Normas implementables.

6

Comprende todas las actividades necesarias para gestionar el cumplimiento con la LEPDP y el

futuro Reglamento, el cual contenga todas las medidas de seguridad correspondientes en todas

sus fases. Integra sus criterios, controles, medidas, métricas, indicadores, procesos de auditoría,

Análisis de Brechas, etc, constituyendo la plataforma integral para este tipo de proyecto.

Uno de sus valores diferenciales consiste en la implementación de las acciones requeridas para

acreditar el máximo nivel de cumplimiento y su acreditación / auditoría posterior. Con este

enfoque, las medidas se traducen en acciones detalladas, gestionables, trazables y auditables,

en un contexto que permite, adicionalmente, definir hitos y comparaciones en la evolución del

proyecto en base a los mismos.

Este planteamiento, claramente diferenciador, permite conseguir unos niveles inusuales en la

calidad del cumplimiento, pero con unas cargas de trabajo mucho menores ante el nivel de

automatismo y control que aporta el sistema.

Esta capa se integra plenamente con la Capa Operativa (Monitorización, Correlación de Eventos,

Logger, Vulnerabilidades, etc), recibiendo de ésta todos los eventos relevantes para cada

actividad de la Norma que requiera su registro y control.

GESCONSULTOR GRC - CAPA DE GESTION / NORMATIVA

7

VISION GESTION / OPERACIÓN

8

VISION GESTION / OPERACIÓN

MODELO VISUAL DE ACTIVOS Y DEPENDENCIAS

10

CENTRO DE TRABAJO ISO 27001

GUÍA PASO A PASO PARA USUARIOS NO EXPERTOS

CUESTIONARIOS DE VALORACIÓN CONFORME A GUÍAS

COMPLETA INTEGRACIÓN CON PILAR: IMPORT. Y EXPORT.

ANÁLISIS DE RIESGOS PREDEFINIDOS MUY SENCILLOS

DECLARACIÓN DE APLICABILIDAD 100% AUTOMÁTICA

INFORME DEL PLAN DE ADECUACIÓN AUTOMATIZADO

18

CENTRO DE TRABAJO LEPD - PRIVACIDAD

IDENTIFICACION Y REGISTRO DE BASES DE DATOS

IDENTIFICACION SISTEMAS DE TRATAMIENTO

PROCEDIMIENTOS OBLIGATORIOS DOCUMENTADOS

IDENTIFICACION RESPONSABLES Y USUARIOS

GENERACION AUTOMATICA DOCUMENTO SEGURIDAD

MODULO EJERCICIO DE DERECHOS

MODULO EJERCICIO DE DERECHOS

27

GESCONSULTOR GRC - CAPA OPERATIVA

28

29

CMDB CON INVENTARIADO AUTOMÁTICO

30

Nuevos TICKETS sencillos, potentes y 100% ITIL

MONITORIZACIÓN CONTINUA DE LOS SISTEMAS

MONITORIZACIÓN DE REDES Y RECURSOS

MONITORIZACIÓN DE AMENAZAS (S.I.E.M.)

MONITORIZACIÓN DE AMENAZAS (S.I.E.M.)

MONITORIZACIÓN DE VULNERABILIDADES

EVIDENCIA ELECTRÓNICA: LOGS FIRMADOS DIGITALMENTE (LOGGER)

CUADROS DE MANDO E INDICADORES

B.I.A. – CONTINUIDAD DE NEGOCIO

IDENTIFICACIÓN VISUAL DE ACTIVOS CRÍTICOS

Disponer de una Plataforma Global

Un enfoque global… pero progresivo.

Integración con sus soluciones actuales.

Modelo para la Administración Local más

experimentado.

Modelos disponibles para otras AA.PP.

Modelo de Activos y Dependencias que

reflejan más de un 80% del trabajo.

En muy pocas jornadas:

• Introduzca sus particularidades en el

Modelo de Activos.

• Revise Análisis Diferencial y Riesgos.

40

EN RESUMEN …

Avance hacia una Solución Integral, Integrada e Integrable:

CMDB, Tickets, Monitorización, …

41

Pueden ayudarle con ENS SERVER®,

GESCONSULTOR o ALIENVAULT:

MUCHAS GRACIAS

@gesdatosc

@gesconsultor

@imarrugoj

www.gesconsultor.com