GOBERNANCE, RISK MANAGEMENT & COMPLIANCE

---

 Se refiere a la revisión, identificación y ordenamiento de los procesos que satisfacen objetivos del negocio a través de un circuito de actividades y de los recursos que materializan su ejecución y resultados.

El análisis de los procesos, sus componentes y la relación entre procesos (servicios) y componentes (dependencias) permite efectuar valoraciones macro y micro del riesgo y el impacto de los servicios de la organización.

 Se analizan los inventarios de recursos (datos y servicios), su vinculación con los procesos y su árbol de dependencia, determinándose alternativamente valoraciones de criticidad individuales o asociadas a los procesos a los pertenecen. Se comprueba la clasificación de activos en las distintas dimensiones de seguridad y analiza el árbol de amenazas y probabilidades. 

Se incluye una valoración preliminar de los MTD, RTO y RPO de los activos dentro de la dimensión disponibilidad.

La metodología de valoración de activos considera la catalogación y discriminación de los mismos, de acuerdo con la administración, procesamiento o utilización de los datos, considerando individualmente: datos personales, datos transaccionales y datos operativos internos.

Esto impacta sobre las regulaciones aplicables y los esquemas diseñados para el cumplimiento de estándares, leyes o regulaciones a las que se encuentre sujeta la organización.

Se determinan los controles aplicables a los riesgos inherentes de los activos y procesos determinando el riesgo resultante y la madurez de los controles.

Las valoraciones de disponibilidad de los activos se consideran en torno a la aplicación de los controles existentes para determinar con precisión el Impacto en el negocio de los activos y los procesos analizados.

 Se consideran procesos de negocios y sus activos que se vinculan a normas, regulaciones, expectativas para las que se diseñan esquemas específicos de cumplimiento. Se interviene en la determinación del encuadramiento legal o normativo con objeto de diseñar la taxonomía y contenido preciso de los esquemas de cumplimiento.

Los esquemas a diseño contienen una estructura base de categorías, escenarios y requisitos que permiten el estudio de aplicabilidad, determinación de la responsabilidad (servicios internos o outsourcing) y seguimiento de la recolección de evidencia, mecanismos de control aplicados y valoraciones de cumplimiento técnico.

Se acompaña el ajuste y mejora de procedimientos internos para la recolección de información, verificación y valoración de cumplimiento, así como de las acciones contingentes, la redefinición de Contratos y Acuerdos de Servicios con terceras partes cuando corresponda; y la adecuación de los controles internos.

 Se acompaña a la organización en la compatibilización de los resultados de sus valoraciones de riesgo e impacto, perfeccionando sus observaciones individuales de capacidad instalada e indicadores de performance, con objeto de definir con precisión las acciones previstas para la resiliencia de sus procesos críticos.