Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

Siete consideraciones al evaluar herramientas GRC automatizadas

No faltan herramientas para ayudar a las empresas de servicios financieros a automatizar sus requisitos de gobernanza, riesgo y cumplimiento (GRC). Gartner Inc. a principios de este año estimó el mercado total de herramientas GRC en $ 117 millones en 2009 y predijo que tendrá un crecimiento constante pero lento a corto plazo.

A medida que aumenta el número de regulaciones sobre las empresas de servicios financieros, estas herramientas de GRC se vuelven esenciales para resolver los diversos informes que exigen las agencias gubernamentales, así como un medio para ser más proactivo. La mayoría de los productos proporcionan paneles de control simples que muestran de un vistazo qué partes de una organización cumplen con regulaciones particulares.

Muchos administradores de riesgos y de TI comienzan con el análisis GRC mediante el uso de una hoja de cálculo simple para rastrear riesgos y políticas de seguridad. Pero ese no es un enfoque muy escalable o confiable, y es muy laborioso y propenso a errores. Una estrategia mucho mejor es utilizar una herramienta de evaluación GRC automatizada que funcione mediante la recopilación de información de su aparato de seguridad de TI existente: registros de configuración de firewall, análisis de vulnerabilidades, bases de datos que contienen información del cliente y similares. Estas herramientas luego identifican las brechas y pueden ser utilizadas por auditores o consultores de cumplimiento para lograr un mayor cumplimiento legal y una reducción del riesgo.

Los proveedores que ofrecen herramientas GRC incluyen: Agiliance Inc. (RiskVision), Archer Technologies (adquirida a principios de este año por EMC Corp.), Wolter Kluwer’s ARCO Unidad de lógica (Axentis), BWise Inc. (Plataforma GRC), eGestalt Technologies Inc. (Secure GRC), Global Velocity Inc. (GV-2010), Lumension Security Inc. (Analizador de riesgos), MEGA International (MEGA Suite), MetricStream Inc. (Plataforma GRC), OpenPages Inc. (Gestión de cumplimiento general), Thomson Reuters (Paisley Enterprise GRC); QUMAS Inc. (Solución de cumplimiento), Relational Security Corp. (rSam) y Symantec Corp. (Suite de cumplimiento de control).

CONTENIDO RELACIONADO  Low-code y sin servidor, ¿como fuego y hielo?

Antes de sumergirse para evaluar cualquiera de estas herramientas automatizadas, aquí hay siete preguntas para responder que pueden ayudar a dar forma a su análisis:

  1. ¿Cómo se integra su aparato de seguridad existente con su herramienta GRC prevista? Algunos de ellos, como Rsam y Agiliance, tienen conectores que pueden importar directamente escaneos de vulnerabilidades de más de una docena de productos diferentes como Qualys o Nessus. Otros requieren que los analice a través de XML, consultas SQL o archivos separados por comas que pueden llevar mucho más tiempo.
  2. ¿Quiere un marco común para identificar el riesgo en todas sus aplicaciones empresariales externas? Puede que no sea necesario si solo un departamento es responsable de la mayor parte de su respuesta. Por otro lado, si tiene evaluaciones de riesgos conflictivas que están siendo realizadas por diferentes departamentos, un terreno común puede ser útil para acelerar los cuestionarios que son parte integral de estos productos.
  3. ¿Cuán flexibles y comprensibles son las secciones de informes? Es útil obtener una vista previa de esta sección y comprender cuánto trabajo se necesita para producir informes que tengan sentido para sus analistas y ejecutivos.
  4. ¿Cómo funciona el proceso de escalada cuando hay un problema de cumplimiento o riesgo y quién es, en última instancia, responsable de resolverlo?? La herramienta elegida debería ayudar en este proceso y tener un flujo de trabajo integrado. También debería ser relativamente fácil de incorporar a su esquema de autenticación existente, como Active Directory o LDAP.
  5. ¿Qué porcentaje de los ingresos del proveedor proviene de las ventas de software frente al servicio? Si está buscando un producto que sea más fácil de usar e implementar, considere principalmente los proveedores de software impulsados ​​por las ventas. Si desea pagar por consultores y configuración, elija este último.
  6. ¿Quiere software local o SaaS? Algunos productos, como Agiliance, vienen en ambas configuraciones; algunos como eGestalt vienen solo en versiones alojadas. Este último puede ser más fácil de instalar y configurar y también podría costar menos, dependiendo de sus circunstancias. Pero algunas empresas no se sienten cómodas con los servicios basados ​​en la nube y aún prefieren las herramientas locales para estas tareas.
  7. ¿Cuántas plantillas preestablecidas vienen en la caja? Algunos productos toman los cuestionarios de las diversas regulaciones de cumplimiento y los incorporan directamente a su software. Otros, como Global Velocity, no vienen con muchas plantillas.
CONTENIDO RELACIONADO  Función del director de datos: búsqueda de consenso

Como puede ver, hay mucho involucrado en estas herramientas GRC, tanto en términos de evaluación como de implementación. Espere que estas herramientas maduren en los próximos años a medida que la demanda continúe aumentando, y también ver las características de GRC incorporadas en los dispositivos de seguridad existentes.

Sobre el Autor: David Strom es un escritor independiente, revisor de productos, orador profesional y podcaster con sede en St. Louis. Ha escrito sobre temas de redes durante más de 20 años y fue el ex editor en jefe de Network Computing, Tom’s Hardware.com y DigitalLanding.com.

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )

También te puede interesar...

Directrices de implementación del proyecto MDM-CDI

El siguiente extracto de Gestión de datos maestros e Integración de datos de clientes para la empresa global, por Alex … Berson y Larry Dubov, se imprime con permiso de McGraw-Hill. Copyright 2007. Haga clic

Supere la brecha de OT e IT con IIoT

La aparición de tecnologías móviles, en la nube y otras tecnologías digitales que facilitan el acceso de las personas a los sistemas de TI ha transformado la economía. Impulsada especialmente por las aplicaciones SaaS creadas

¿Qué es SoLoMo (social, local y móvil)?

SoLoMo (social, local y móvil) es la convergencia de tecnologías colaborativas, basadas en la ubicación y en movimiento. El término se utiliza principalmente en marketing. Las aplicaciones SoLoMo permiten a los anunciantes enviar notificaciones a

Use contenedores con confianza siguiendo estos consejos

Los contenedores han ido creciendo en popularidad desde hace algún tiempo, especialmente a medida que más proveedores ofrecen diferentes tipos de contenedores y orquestación. Si todavía duda en adoptar contenedores, no está solo. Al igual

No es una proposición de uno u otro

SANTA CLARA, CALIFORNIA. — Los profesionales de TI se han enfrentado a la pregunta de cuándo usar contenedores y cuándo usar máquinas virtuales. Al menos por ahora, la respuesta es ambas. Tanto las máquinas virtuales

¿Qué agregó Microsoft a Hyper-V Replica en 2012 R2?

Hyper-V Replica proporciona servicios de replicación para cargas de trabajo virtualizadas que se ejecutan en hosts Hyper-V de Windows Server 2012 (y versiones posteriores). En su primera versión con Windows Server 2012, Hyper-V Replica proporcionó

Repensar el desarrollo de software en la era del 5G

A medida que 5G se convierte en realidad, está señalando el comienzo de una nueva era de tecnología celular que transforma no solo la velocidad, sino también la capacidad de respuesta de las redes inalámbricas.

¿Están sus aplicaciones comerciales en la nube?

photobank.kiev.ua – Fotolia El tema de este número de Información de negocios – el futuro de las aplicaciones empresariales – nos llevó rápida e inevitablemente a la nube. Entonces, el futuro está en la nube.

¿Cómo pueden los usuarios mitigar el malware Janus?

Android reveló recientemente la vulnerabilidad de Janus, que permitió la inyección de código malicioso en aplicaciones de buena reputación, infectando el punto final de cualquier usuario que lo descargó. ¿Cómo funciona esta vulnerabilidad y cómo

Cuatro capacidades clave para detectar

La recuperación ante desastres como servicio permite a las organizaciones de todos los tamaños, algunas por primera vez, crear estrategias sólidas de recuperación ante desastres que son rentables y fáciles de verificar como viables. En

¿Qué es el virus Anna Kournikova VBS.SST?

El virus informático Anna Kournikova VBS.SST, conocido informalmente como «Anna», es un gusano viral que utiliza Visual Basic para infectar sistemas Windows cuando un usuario abre sin saberlo una nota de correo electrónico con un

El servicio AWS Machine Learning hace su debut

SAN FRANCISCO – Amazon Web Services ahora tiene un servicio de aprendizaje automático inspirado en el utilizado por Amazon.com, un movimiento que los profesionales de TI dan la bienvenida como un potencial cambio de juego

¿Qué son las cinco fuerzas de Porter?

Las cinco fuerzas de Porter es un marco desarrollado por el economista Michael E. Porter para determinar la rentabilidad y el atractivo de un mercado o segmento de mercado. Publicado en 1979 cuando Porter era

Cómo concatenar filas en un solo CLOB en PL/SQL

¿Cómo combinaría varias filas varchar2 en una fila de tipo CLOB? Ejemplo: crear la tabla A (número de claves, texto CLOB); crear la tabla B (número de claves, texto varchar2(100)); insertar en valores B (1,

Guías de seguridad en la nube

Todo lo que necesita saber sobre seguridad multinube Haga realidad la seguridad de múltiples nubes en su organización con estos consejos y estrategias de expertos de la industria a medida que implementa más plataformas en

4 consejos para migrar ECM a la nube

Hoy en día, existen muchos sistemas de gestión de contenido empresarial locales y antiguos en los lugares de trabajo, obsoletos y que necesitan urgentemente ser reemplazados. Hace una década, es posible que las empresas hayan

¿Cómo audito un entorno de Kubernetes?

Para implementar aplicaciones en Kubernetes, los administradores deben escribir archivos de configuración relativamente extensos que definan cómo Kubernetes debe administrar las aplicaciones. Los administradores de Kubernetes a menudo escriben archivos de configuración adicionales para administrar

Cómo conectar scripts de PowerShell a vCenter Orchestrator

La primera parte de esta serie explicó cómo los administradores registran e integran vCenter Orchestrator en vSphere… Cliente web para ejecutar flujos de trabajo dentro del cliente. Los flujos de trabajo predeterminados de vCenter Orchestrator

Deja un comentario