SCRM

Software Compliance
Risk Management

Conjunto de políticas, procesos y controles que debe implementar una corporación (con independencia de su tamaño) para el uso del software comercial en un entorno de servicios digitales.

Tiene como objetivo la monitorización continua de una serie de controles previstos en los estándares internacionales, completados con los contratos marco de licencia.

Completa la actual gestión de activos de software (SAM, por sus siglas en inglés) para extenderla a la gestión de los impactos de los riesgos normativos que supone el uso del software, enlazando los resultados SAM con las políticas de Gobernance, Risk & Compliance (GRC) de la corporación a través de un protocolo específico de compliance software.

Generamos valor aportando protección continua frente

a las amenazas derivadas del uso del software

TIPOLOGÍA DE SERVICIOS

Auto declaración de licenciamiento certificada

Análisis de la conformidad del software desde la declaración de la persona responsable en la empresa.

Revisión de licenciamiento certificada

Análisis de la conformidad del software incorporando evidencias de la instalación y de la adquisición.

Auditoría o auditoría de segunda opinión de software

Análisis de la conformidad del software incorporando evidencias de la instalación y de la adquisición, realizado por un tercero experto objetivo e independiente.

Diagnostico de madurez en compliance SW

Análisis del grado de implantación de los controles, las políticas y los procedimientos de la gestión necesaria para estar protegido contra los riesgos normativos del software y las amenazas.

Evaluación de controles genéricos

Resultado del análisis y valoración de los controles necesarios para mitigar los riesgos normativos derivados del software que son aplicables a la empresa del sector de actividad.

Diagnostico de riesgos

Resultado del análisis de los riesgos normativos derivados del uso del software que son de aplicación a la empresa teniendo en cuenta el sector de actividad y el tipo de gestión.

Evaluación del 'bridge' de seguridad

Resultado del análisis y valoración de los puntos de conexión entre el software desplegado y la posible afección a la ciberseguridad de la empresa.

Evaluación de controles específicos

Resultado del análisis y valoración de los controles necesarios para mitigar los riesgos normativos derivados del software que son aplicables a la empresa teniendo en cuenta parámetros específicos determinados.

Evaluación de la cultura de compliance SW de la corporación

Resultado del análisis y valoración del grado de penetración en la empresa de la cultura de cumplimiento normativo derivado de la instalación y uso del software, de los riesgos que se derivan de ello y de las amenazas.

Modulo GRC Compliance SW

Protocolos y procedimientos sobre la gobernanza del software en relación con la gestión de sus riesgos normativos, la responsabilidad de la gestión derivada de su ciclo de vida y del control del cumplimiento.

Modulo RPA Compliance SW

Protocolos y procedimientos automatizados a través de RPA en la gestión de la responsabilidad derivada de la actividad SAM (software asset management)

Definición de la herramienta (según concertado con el equipo de transformación Digital)

Es el Conjunto de procesos y procedimientos utilizados para la gestión de la responsabilidad derivada de la instalación y uso del software y la protección contra las amenazas específicas.

Implantación normativa

Aplicación de las normas e indicaciones y otro contenido (como el relacionado a los controles) que se encuentran en los manuales, informes y otros entregables para la mitigación de los riesgos normativos del software.

Monitorización continua RPA

Medición de forma permanente y periódica a través de un proceso automatizado del grado de madurez de la gestión SCRM, del porcentaje de implementación de los controles y del riesgo normativo derivado del software a que está expuesta la empresa.

Modulo de Formación

Conjunto de acciones para incrementar el conocimiento sobre los riesgos normativos del software, su impacto en la empresa y las amenazas existentes; incluyendo las acciones de sensibilización.