IT Knowledge

Soluciones GRC

Departamento de Anális is Penteo | Noviembre de 2016

O w= linfo@penteo.com 902 154 550 www.penteo.com @penteoanalyst Penteo ICT Analyst | Penteo Business and IT Executives

IT Knowledge:_Soluciones GRC | 1

Propiedad Penteo. Prohibida su reproducción y venta. Noviembre de 2016

Introducción En este informe presentamos el resultado de una serie de entrevistas a 15 empresas multinacionales, de más de 600 M€ de facturación, más una encuesta sobre soluciones y servicios GRC.

GRC responde al acrónimo en inglés de Governance, Risk and Compliance y es de aquellos términos de uso generalizado en la industria pero que pocos se atreven a definir sin dudar. Empecemos, pues, por una posible definición: denominamos GRC al conjunto de funciones que supervisan y administran los riesgos y el cumplimiento de la organización para satisfacer de forma fiable los objetivos de la empresa. Dicha definición se basa en la interrelación de las tres disciplinas que lo componen:

Governance: Proceso por el cual se establecen las políticas de la organización y se ejecuta la toma de decisiones, de manera que se garantiza la utilización eficiente y eficaz de los recursos para alcanzar los objetivos.

Risk (management): Capacidad de mitigar de manera eficaz los riesgos que pueden obstaculizar las operaciones de una organización o su capacidad de seguir siendo competitiva en el mercado.

Compliance: Conformidad de una empresa en relación con los requisitos establecidos en las operaciones comerciales, la retención de datos y otras prácticas. Dichos requisitos pueden derivar de directivas internas, regulaciones sectoriales, leyes, normas y acuerdos establecidos.

Dicho de otra manera, el GRC es el conjunto de personas, procesos y tecnologías que posibilitan a las empresas:

Comprender y dar prioridad a las expectativas de las partes interesadas (stakeholders). Establecer y lograr objetivos de negocio que son consecuentes con los valores y minimizando al

mismo tiempo el nivel de riesgo. Operar dentro de los límites legales, contractuales, organizativos, sociales y éticos. Proporcionar información relevante, fiable y oportuna a las partes interesadas pertinentes. Habilitar la medición del rendimiento y la eficacia del sistema, para su mejora.

En consecuencia, las organizaciones obtienen una visión uniforme de la información para que puedan alinear la gestión de riesgos con sus objetivos, reducir la complejidad, disminuir las inconsistencias y aprovechar la tecnología para un rendimiento óptimo.

Visión holística de GRC: del gobierno corporativo a la operación IT Figura 1 :

La

transformación digital requiere

un enfoque consistente,

global e integrado de

GRC

IT Knowledge:_Soluciones GRC | 2

Propiedad Penteo. Prohibida su reproducción y venta. Noviembre de 2016

La necesidad Una vez vista la definición de GRC y los objetivos que persigue, observamos que en el fondo no es nada nuevo y que cualquier organización lo aplica de forma más o menos sistematizada. El factor diferencial es el nivel de madurez con que se han abordado estas actividades: las medidas establecidas ad-hoc para casos concretos no son suficientes para gestionar el riesgo en el mundo de la economía digital y los crecientes datos corporativos.

Como casos ilustrativos, todos vimos en las noticias, en julio de 2015, el caso Ashley Madison, donde 37 millones de usuarios estuvieron expuestos a verse "delatados" por un grupo de hackers. A finales de 2015 conocíamos el fraude de las emisiones de los motores de Volkswagen, donde unos pocos empleados fueron capaces de manipular el software que controla el motor para comportarse adecuadamente durante las pruebas de contaminación. En ambos casos, con una gestión correcta y holística de GRC, se podría haber evitado llegar a la situación que les hizo aparecer en las portadas de los periódicos.

Incluso las empresas más pequeñas, organizaciones sin ánimo de lucro o administraciones públicas locales se enfrentan con desafíos importantes:

Usuarios, clientes y ciudadanos exigen un alto rendimiento, altos niveles de transparencia en sus relaciones con las organizaciones con las que tratan, pero también aseguramiento de su información.

Las leyes y normativas evolucionan y cambia su alcance y forma.

El crecimiento de las relaciones con terceros en un mundo hiperconectado mediantes las redes sociales y la movilidad expone a las empresas a riesgos no presentes en las relaciones tradicionales.

La incorporación de nuevos proveedores y la externalización de las tecnologías de la información, provoca que los controles se deban extender fuera de las organizaciones.

Todo ello, implica que los costes de la gestión de los riesgos y los requerimientos de cumplimiento aumenten. Así pues, se genera una necesidad de soluciones y servicios de GRC, que ayuden a las empresas a automatizar al cumplimiento de requerimientos legales, regulatorios e internos:

Garantizando que los procesos corporativos sigan cumpliendo con los requisitos regulatorios.

Realizando evaluaciones internas para asegurar el cumplimiento de las mejores prácticas de la industria.

Estableciendo las responsabilidades en cada capa de la arquitectura de negocio e IT asociada.

Registrando los niveles de riesgo y priorizando las acciones para su remedio o mitigación.

Dichas actividades, muchas veces se realizan usando herramientas no adecuadas, típicamente una hoja de cálculo, lo que dificulta su mantenimiento. Además, en las últimas décadas hemos visto la aparición de normas y regulaciones (Sarbannes-Oxley Act, PCI, LOPD, etc.) que precisan de aplicación consistente de los controles, en conjunción con los marcos y mejores prácticas en la operación IT (COBIT, ITIL, CMMi, COSO, y las normas ISO asociadas).

Hay que destacar que la incorporación de una solución o servicio GRC favorecerá y reforzará su aplicación, pero solo tiene sentido en aquellas organizaciones que ya lo estaban aplicando de forma congruente con su estrategia corporativa.

Las soluciones y

servicios GRC ayudan a

automatizar tareas y procesos

para elevar el nivel de madurez de las empresas

en relación a GRC

IT Knowledge:_Soluciones GRC | 3

Propiedad Penteo. Prohibida su reproducción y venta. Noviembre de 2016

Nivel de implantación y uso de funcionalidades En las empresas entrevistadas, se ha constatado un alto nivel de implantación, teniendo en cuenta que el segmento al que pertenecen se sitúa en la gran empresa multinacional, probablemente con necesidades importantes de GRC por operar en múltiples mercados, trabajar con varios proveedores y disponer de estructuras organizativas complejas.

Nivel de adopción en multinacionales españolas y modelo de provisión Figura 2 :

On premise vs. On demand

BPO vs. Proceso in-house

También es interesante destacar que el modelo de provisión predominante implica una instalación de la solución en las propias instalaciones del cliente. Esto es así porque los proveedores todavía tienen una oferta incipiente en modo "as a Service", y la mayoría de clientes disponen de estas soluciones desde ya hace algunos años. Adicionalmente a que el cliente adopte la solución y la opere directamente, también existe la posibilidad de externalizar el proceso, en formato BPO. En este caso, el volumen de servicios también es pequeño en comparación con disponer de una herramienta y mantener la operación in-house debido a cuestiones de lock-in con el proveedor, que usa sus herramientas propias y hay menos capacidad de adaptación a necesidades específicas.

En cuanto a funcionalidad, el 75% de los clientes utiliza una solución GRC para controlar el gobierno corporativo y, por lo tanto, la gestión de los accesos y roles en procesos, seguimiento de actividades, y controles sobre flujos de negocio. Esta información sugiere que el paraguas bajo el que opera toda la organización es por donde se empieza a automatizar, y que el resto de actividades que caen debajo se siguen realizando con herramientas complementarias.

2 de cada 3

empresas entrevistadas

utilizan soluciones y

servicios GRC

IT Knowledge:_Soluciones GRC | 4

Propiedad Penteo. Prohibida su reproducción y venta. Noviembre de 2016

Nivel de uso de las funcionalidades de las soluciones GRC Figura 3 :

Adopción de la solución La reducción de costes administrativos y la convergencia hacia un modelo único que ofrece la adopción de una solución GRC integrado a partir de un producto estándar, son los aspectos que condicionan en mayor medida entre las empresas analizadas la implantación del proyecto.

Drivers que motivan la adopción de soluciones GRC Figura 4 :

Estos dos elementos suelen tener un peso importante en el business case, al tratarse de proyectos transversales con implicaciones en toda la organización. Todas las empresas entrevistadas reconocen que los beneficios obtenidos tras la adopción de este tipo de soluciones compensan la inversión realizada.

Una vez implantada la solución, ventajas como la automatización de tareas, la flexibilidad de la herramienta a medida que cambian las necesidades de la compañía, así como la capacidad de control de evidencias, normativas y otros factores, aseguran la viabilidad de un proyecto GRC y contribuyen a la percepción del valor aportado por la solución.

Los beneficios

obtenidos compensan la

inversión realizada

IT Knowledge:_Soluciones GRC | 5

Propiedad Penteo. Prohibida su reproducción y venta. Noviembre de 2016

Principales beneficios aportados Figura 5 :

Una vez puesto en marcha el proyecto de implantación, las empresas entrevistadas manifiestan que la automatización de procesos, en muchos casos, ha sido complicada de definir inicialmente. En gran medida, por la existencia de diferentes tipologías (perfiles únicos de clientes, procesos o flujos), que no se corresponden con los estándares, y que son difíciles de integrar dentro del GRC. También suelen aprovecharse estos proyectos para revisar procesos existentes e incluso documentarlos, llevando a situaciones largas de refinado y ajuste.

Tras este primer escollo superado, las empresas también constatan que los resultados después de su implantación son muy positivos.

Barreras identificadas durante el proceso de implantación Figura 6 :

IT Knowledge:_Soluciones GRC | 6

Propiedad Penteo. Prohibida su reproducción y venta. Noviembre de 2016

De los resultados obtenidos en la investigación, la decisión de apostar por una herramienta preparametrizada con los aspectos regulatorios de cada país y procesos estándares, se considera clave para acortar el ciclo de implantación. Por otra parte, seleccionar un proveedor solvente con expertise en la solución es otro de los aspectos que garantiza el éxito de la implantación.

Aspectos clave que garantizan el éxito de una implantación similar Figura 7 :

Panorama de mercado Las soluciones GRC son un nicho de mercado especializado, donde se encuentran fabricantes con productos específicos, y con portafolios relacionados con la ciberseguridad en todas sus vertientes. En esta categoría, encontramos a empresas como a RSA (Archer), NASDAQ Bwise (GRC Platform), MetricStream (GRC Platform), Lockpath (Keylight Platform), Lumension (Risk Manager) o Aegify (RSC suite).

Además, también podemos encontrar a fabricantes más generalistas como SAP (SAP GRC) o IBM (OpenPages), o empresas consultoras que ofrecen servicios BPO usando plataformas GRC propias como puede ser PriceWaterhouseCoopers.

Todas las soluciones cubren los requisitos básicos que se suponen claves en una plataforma GRC, las diferencias se encuentran en las capacidades adicionales y en los modelos de provisión. Los clientes consultados no creen que existan carencias en la solución GRC contratada. Adicionalmente, es interesante destacar que la mayoría permite la adquisición por módulos, facultando una implantación progresiva acorde a las necesidades de cada momento.

La pre-

parametrización de la

herramienta acorde a las

leyes y regulaciones de

cada país acelera la implantación

IT Knowledge:_Soluciones GRC | 7

Propiedad Penteo. Prohibida su reproducción y venta. Noviembre de 2016

Conclusiones El uso consistente y alineado con los objetivos de negocio de GRC aporta beneficios

derivados de la operación bajo una cultura común, basada tanto en el aseguramiento como en el control de las actividades.

Todas las organizaciones realizan actividades de GRC, aunque no todas las ejecutan de forma consistente (procesos documentados, monitorizados y automatizados).

En la economía digital de la hiperconexión, el big data y la externalización de servicios especializados, el GRC es el único mecanismo para garantizar la fiabilidad de los objetivos y el control de las operaciones de las empresas.

Las soluciones GRC ayudan a automatizar y a elevar el nivel de madurez de las organizaciones en relación a GRC, pero si la empresa no dispone de una base, por si solas no serán efectivas.

Las áreas de negocio, empezando por la Dirección deben estar implicadas, pues es un proceso que requiere una visón holística, que empieza en el gobierno corporativo y termina en la operación IT.

Las soluciones y servicios GRC están presentes en 2 de cada 3 compañías entrevistadas, lo que sugiere que es un aspecto sobre el que las organizaciones han tomado plena consciencia.

Aunque existen barreras en los proyectos de implantación que requieren dedicación y esfuerzo, las organizaciones también consideran que los beneficios obtenidos tras la adopción de este tipo de soluciones comerciales compensan la inversión realizada.

La herramienta preparametrizada con aspectos regulatorios locales y procesos estándares, conjuntamente con el expertise del proveedor, son los elementos clave para acortar el ciclo de implantación.

Los fabricantes de soluciones GRC disponen de portafolios relacionados con la ciberseguridad en todas sus vertientes. Además, dichas soluciones permiten su contratación modular facilitando los procesos de compra e implantación.

Sobre Penteo PenteoeselanalistaTICindependientequelideralamayorComunidaddeConocimientoTICdeEspaña,yofreceunservicioespecialmente diseñado para Directivos con influencia o responsabilidad en las decisiones TIC-Negocio, ayudándoles agarantizarelaciertodesusdecisiones,compartiendoconocimiento,asesorándolesyfacilitándoleshacernetworking.YparaproveedoresTI,Penteoaportainformacióndelmercadosobretendenciasyposicionamientos,yproporcionaapoyoexpertoconelquemaximizareléxitoensusestrategias.

Desdehacemásde20añosdamosservicioamásde200compañíaseinstitucionesdeprimerniveldelmercadoespañol.Unservicioconelqueminimizar riesgo, tiempoycoste,yextraerde lasTICSy lasTecnologíasDigitaleselmáximovalorparaelnegocio.

Tu asesor TIC de confianza

que te proporciona el conocimiento y el apoyo experto e

independiente

Propiedad Penteo. Esta publicación no puede ser reproducida sin permiso expreso de Penteo. La información que contiene este informe se ha obtenido de fuentes consideradas fiables. Penteo no se responsabiliza de posibles errores, omisiones o inexactitudes que pueda contener este informe, así como del uso que pueda hacerse de las recomendaciones u opiniones que contiene. El contenido del informe está sujeto a cambios sin preaviso.