Cómo evaluar, seleccionar e implementar software GRC empresarial

Preparen el escenario para el éxito de GRC

Tanto para los programas de GRC establecidos como para los nuevos, un sistema diseñado para respaldar las funciones de GRC puede ser una inversión estratégica. Busquen sistemas que puedan capturar y analizar una amplia gama de controles y métricas, que luego se pueden mostrar en paneles de control fáciles de entender. La generación de informes también puede ser importante, especialmente cuando se presentan hallazgos y actividades recomendadas a la alta dirección.

Como ocurre con cualquier actividad importante, los programas de GRC deben contar con el apoyo de la alta dirección y los fondos suficientes. La dotación de personal es el siguiente elemento importante, seguido de la identificación de un marco adecuado para el programa. Además, asegúrense de que haya recursos disponibles para respaldar la implementación del sistema GRC. Ya sea que el nuevo sistema esté basado en la nube y se administre de forma remota o se implemente en el sitio, asegúrense de que sea compatible con TI.

Identificación y selección de candidatos

Una vez que se hayan establecido los elementos anteriores, comiencen a evaluar y seleccionar candidatos potenciales al software GRC. Los productos están disponibles para implementaciones en el sitio o alojadas. Existe una amplia gama de precios, según las características y los requisitos del sistema, como el almacenamiento de datos, la recuperación ante desastres (DR), la disponibilidad del servidor y el ancho de banda de la red. Puede tener sentido lanzar una nueva iniciativa de GRC con una inversión modesta en un paquete de GRC, mientras que un programa establecido puede necesitar un conjunto de características más maduro. Tengan en cuenta que el software GRC con amplias funciones se traducirá en una mayor inversión.

La información sobre el software GRC está disponible en múltiples recursos. Los clientes de Gartner deben verificar si Gartner tiene un informe que examine las herramientas y los servicios de GRC. Alternativamente, la investigación de las opciones se realiza fácilmente utilizando cualquier motor de búsqueda disponible. Utilicen los criterios de referencia en nuestra lista descargable de comparación de productos GRC para preparar un comparativo en paralelo de los posibles sistemas.

Actividades previas al lanzamiento

Una vez que una organización ha analizado sus opciones y seleccionado el software GRC, debe coordinarse con el equipo técnico del proveedor. Esto implicará la programación de actividades de preinstalación, transición y post-instalación. Una lista de actividades previas al lanzamiento incluye lo siguiente:

1. Consideren utilizar el modelo de ciclo de vida de desarrollo de software para las actividades de planificación e instalación.
2. Establezcan un equipo interno de planificación e instalación.
3. Determinen cómo se configurará el nuevo sistema en el lanzamiento.
4. Establezcan un plan de proyecto coordinado con el proveedor.
5. Coordinen las actividades de capacitación de usuarios y administradores del sistema con el proveedor.
6. Asegúrense de que todos los activos auxiliares (servidores, almacenamiento, fuentes de alimentación y respaldo de datos) estén configurados y en su lugar.
7. Asegúrense de que todos los archivos existentes relacionados con GRC estén en su lugar y en el formato de datos adecuado para su uso en el sistema.
8. Coordinen con el equipo de gestión del cambio.
9. Coordinen con el equipo de seguridad informática.
10. Asegúrense de que la documentación esté disponible para las instalaciones alojadas y en el sitio.
11. Coordinen con el equipo de administración de la base de datos.
12. Asegúrense de que haya espacio disponible para cualquier hardware en el sitio.
13. Revisen la conectividad de la red, por ejemplo, el ancho de banda de internet, para los sistemas alojados.
14. Programen reuniones periódicas previas al lanzamiento con equipos internos y proveedores.
15. Informen a la gerencia sobre el progreso y estado del sistema.

Actividades posteriores al lanzamiento

Asegúrense de que haya un plan de transición implementado y coordinado con el proveedor de software de GRC y el proveedor de servicios de red para garantizar un lanzamiento sin problemas del sistema. Una vez que se haya producido la transición, sigan estos pasos:

1. Completen las pruebas de aceptación del sistema antes de entrar en producción.
2. Coordinen los cambios y modificaciones del sistema que sean necesarios en función de los resultados de las pruebas de transición y aceptación del sistema.
3. Coordinen la copia de seguridad de datos y las actividades de recuperación ante desastres con el proveedor.
4. Coordinen las actividades de seguridad con el proveedor y el equipo de seguridad.
5. Programen y completen actividades de capacitación.
6. Envíen notificaciones a todos los empleados del nuevo sistema.
7. Distribuyan la documentación, tanto electrónica como impresa, a los administradores y usuarios del sistema.
8. Completen una revisión posterior a la instalación y proporcionen los resultados a la alta gerencia.
9. Establezcan un programa de mantenimiento con los equipos de administración de cambios y mesa de ayuda.
10. Asesoren al área de auditoría interna sobre la finalización y puesta en servicio del sistema.

Una vez que el software GRC haya entrado en producción, realicen revisiones periódicas con los usuarios, ya sea diaria o semanalmente, para identificar cualquier problema que deba solucionarse. Proporcionen retroalimentación periódica al proveedor sobre el progreso y los problemas del sistema. Si se han establecido métricas de desempeño, como indicadores clave de desempeño, programen revisiones periódicas con los administradores del sistema para garantizar el cumplimiento de las métricas.

Opciones de software GRC

Existe una variedad de ofertas de software GRC en el mercado para que las organizaciones las consideren. Conozcan algunas de las opciones de productos disponibles:

• IBM OpenPages GRC Platform es un conjunto de aplicaciones que admite actividades de gestión de riesgos empresariales. La plataforma incluye módulos en la gestión de controles financieros, gestión de riesgos operativos, gestión de políticas y cumplimiento, gobierno de TI y gestión de auditoría interna. Se admiten las opciones en el sitio y en la nube.
• La solución MetricStream Enterprise GRC proporciona una única plataforma que incorpora actividades relevantes de GRC en un sistema unificado. Los módulos incluyen gestión de riesgo empresarial, gestión de riesgo operativo, gestión de auditoría interna, gestión de cumplimiento de la Ley Sarbanes-Oxley, gestión de cumplimiento y gestión de políticas y documentos. Se admiten las opciones en el sitio y en la nube.
• HighBond de Galvanize, parte de ACL Services Ltd., proporciona un conjunto modular de aplicaciones que abordan GRC y otras actividades relacionadas. Su módulo ITGRCBond aborda la gestión de cumplimiento y riesgos de TI; los módulos adicionales incluyen RiskBond para la gestión de riesgos, ComplianceBond para la gestión del cumplimiento y ControlsBond para la gestión de los controles internos. Se admiten implementaciones en el sitio y en la nube.
• La plataforma avanzada de análisis de riesgos de Identity Governance and Administration 2.0 de Saviynt integra una variedad de tecnologías y plataformas de aplicaciones para un sistema GRC optimizado. Se admite software en el sitio y en la nube.
• Donesafe utiliza su plataforma de tecnología en la nube, además de 30 aplicaciones diferentes, para adaptar un sistema GRC personalizado.

Planificar e implementar software GRC no es diferente a implementar cualquier otra instalación de TI. Hay muchas opciones disponibles con una amplia gama de precios, lo que puede hacer que el proceso de evaluación sea un desafío. Utilicen los consejos anteriores y la lista descargable de comparación de productos GRC para tomar una decisión prudente. El software GRC adecuado será coherente con los requisitos comerciales, proporcionará los resultados deseados y funcionará de acuerdo con las expectativas descritas por el cliente.