Siete consideraciones al evaluar herramientas GRC automatizadas
Con el aumento de regulaciones sobre la industria financiera, las herramientas automatizadas de GRC se están volviendo esenciales.
No hay escasez de herramientas para ayudar a las firmas de servicios financieros automatizar sus requisitos de gobierno, riesgo y cumplimiento (GRC). A principios de este año, Gartner estimó que el mercado total de herramientas de GRC era de 117 millones de dólares en 2009, y predijo que tendrá un crecimiento constante, pero lento, en el corto plazo.
Como el número de regulaciones sobre las firmas de servicios financieros aumenta, estas herramientas de GRC se están volviendo esenciales para resolver los diversos informes exigidos por los organismos gubernamentales, así como un medio de ser más proactivo. La mayoría de los productos proporcionan cuadros de mando simples que muestran de un vistazo qué partes de una organización están en cumplimiento con los reglamentos particulares.
Muchos administradores de TI y de riesgos consiguen su comienzo con el análisis de GRC utilizando una simple hoja de cálculo para realizar un seguimiento de los riesgos y las políticas de seguridad. Pero ese no es un enfoque muy escalable o confiable, y es muy laborioso y propenso a errores. Una mucho mejor estrategia es utilizar una herramienta automatizada de evaluación de GRC que funciona mediante la recopilación de información de su aparato de seguridad de TI existente: los registros de configuración de firewall, los análisis de vulnerabilidad, las bases de datos que contienen la información del cliente y similares. Estas herramientas entonces identifican los vacíos y pueden ser utilizadas por los auditores o los consultores de cumplimiento para lograr un mayor cumplimiento legal y una reducción de los riesgos.
Los proveedores que ofrecen herramientas GRC incluyen: Agiliance Inc. (RiskVision), Archer (adquirida a principios de este año por EMC Corp.), unidad ARC Logics de Wolter Kluwer (Axentis), BWise Inc. (GRC Platform), eGestalt Technologies Inc. (Secure GRC), Global Velocity Inc. (GV-2010), Lumension Security Inc. (Risk Analyzer), MEGA International (MEGA suite), MetricStream Inc. (GRC Platform), OpenPages Inc. (General Compliance Management), Thomson Reuters (Paisley Enterprise GRC), QUMAS Inc. (Compliance Solution), Relational Security Corp. (rSam) y Symantec Corp. (Control Compliance Suite).
Antes de que se zambulla en evaluar cualquiera de estas herramientas automatizadas, aquí hay siete preguntas cuyas respuestas pueden ayudarle a dar forma a su análisis:
Primeros pasos
Si está empezando en el camino de GRC, un buen lugar es el sitio Open Compliance and Ethics Group. Allí encontrará listas y enlaces a proveedores de GRC, documentos para tratar de estandarizar sobre un esquema XML para propósitos de reportes de GRC e interoperabilidad, y herramientas para evaluar las ofertas potenciales de GRC. La membresía básica es gratuita.
Otra fuente útil es el Unified Compliance Framework, un modelo que fue desarrollado por primera vez por Network Frontiers LLC y la firma de abogados Latham & Watkins LLP, y es utilizado ahora por la mayoría de los proveedores de GRC para realizar el seguimiento de más de 400 regulaciones de cumplimiento. Este marco ayuda a gestionar los requisitos de cumplimiento contradictorios y superpuestos, y hace que sea más fácil aplicar una visión consistente y no duplicada a través de regulaciones como SOX, GLBA, HIPAA, PCI y otros estándares que influyen en las políticas y procedimientos de TI.
-
¿Cómo se integra su aparato de seguridad existente con su pretendida herramienta GRC? Algunas de ellos, como Rsam y Agiliance, tienen conectores que pueden importar directamente los análisis de vulnerabilidades de más de una docena de diversos productos, tales como Qualys o Nessus. Otros requieren que los añada a través de XML, consultas SQL o archivos separados por comas que pueden tomar mucho más tiempo.
-
¿Quiere un marco común para la identificación de riesgos en todas las aplicaciones de su empresa que miran hacia el exterior? Puede que no sea necesario si solo un departamento es responsable de la mayor parte de su respuesta. Por otro lado, si tiene evaluaciones de riesgos en conflicto que son realizadas por diferentes departamentos, un terreno común puede ser útil para acelerar los cuestionarios que son parte integrante de estos productos.
-
¿Qué tan flexibles y comprensibles son las secciones de los informes? Ayuda a tener una vista previa de esta sección y a comprender cuánto trabajo se necesita para producir reportes que tengan sentido para sus analistas y ejecutivos.
-
¿Cómo funciona el proceso de escalamiento cuando hay un problema de cumplimiento o de riesgo y quién es responsable en última instancia de resolver esto? La herramienta elegida debe ayudar a este proceso y tener un poco de flujo de trabajo integrado. También debería ser relativamente fácil de incorporar en su esquema de autenticación existente, como Active Directory o LDAP.
-
¿Qué parte de los ingresos del proveedor es de las ventas de software en comparación con el servicio? Si usted está buscando un producto que sea más fácil de usar e implementar, tenga en cuenta a los proveedores principalmente orientados a ventas de software. Si quiere pagar por consultores y configuración, seleccione el segundo tipo.
-
¿Quieres softwareinstalado en sus servidores o SaaS? Algunos productos, como Agiliance, vienen en ambas configuraciones; algunos como eGestalt vienen solo en versiones hospedadas. Este último puede ser más fácil de instalar y configurar, y también podría costar menos, dependiendo de sus circunstancias. Sin embargo, algunas empresas no se sienten cómodas con los servicios basados en la nube y todavía prefieren herramientas instaladas localmente para estas tareas.
-
¿Cuántas plantillas predefinidas vienen en la caja? Algunos productos toman los cuestionarios de las distintas regulaciones de cumplimiento y los incorporan directamente en su software. Otros, como Global Velocity, no vienen con muchas plantillas.
Como puede ver, hay mucho en juego en estas herramientas de GRC, tanto en términos de la evaluación, como en la implementación. Espere que estas herramientas maduren en los próximos años, a medida que la demanda sigue en aumento, y también verá características GRC incorporadas en los dispositivos de seguridad existentes.
Acerca del autor: David Strom es un escritor independiente, revisor de productos, orador profesional y podcaster basado en St. Louis. Ha escrito sobre temas de redes por más de veinte años y fue el ex editor en jefe de Network Computing, Tom’s Hardware.com y DigitalLanding.com.