Gobierno,
Riesgo y
Compliance
| 01 :: ¿Qué es el GRC?
¿Qué es el GRC?
GRC es la estrategia que integra las funciones de Gobierno corporativo, Gestión del Riesgo y el Cumplimiento normativo y las implementa conjuntamente para que sean lo más efectivas y eficientes:
:: | Garantizando que las actividades de la organización, como la gestión de las operaciones, estén alineadas de manera que apoyen los objetivos empresariales. |
:: | Asegurando que cualquier riesgo (u oportunidad) asociado con las actividades de la organización se identifica y se aborda de una manera que apoya los objetivos empresariales en un contexto tecnológico. |
:: | Asegurando que las actividades de la organización funcionen de manera que cumpla con las leyes y regulaciones a los que está sometida la actividad y que afectan a los sistemas de información. |
Desde ESCUDA te ayudamos a implantar la estrategia de GRC adecuada para mejorar la seguridad y organización de tu empresa.
Estrategias GRC para la mejora de la seguridad y organización de la empresa
| 02 :: Sistemas de gestión de seguridad de la información (SGSI)
Sistemas de gestión de seguridad de la información (SGSI)
¿Qué es un SGSI?
Un SGSI consiste en las políticas, procedimientos, directrices y recursos y actividades asociados, gestionados colectivamente por una organización, con el fin de proteger sus activos de información.
Un SGSI es un enfoque sistemático para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información de una organización para lograr los objetivos del negocio.
Se basa en una evaluación de riesgos y en los niveles de aceptación de riesgos, diseñados para tratar y gestionar eficazmente los riesgos.
ISO 27001 - Implantación de Seguridad de la Información
El estándar ISO 27001 es una norma internacionalmente reconocida para garantizar las buenas prácticas de seguridad de la información, brindando a las organizaciones los mecanismos y herramientas necesarios para gestionar su información de forma segura.
Beneficios de implantar la ISO 27001
:: | Ofrece una ventaja competitiva para la empresa frente a la competencia. |
:: | Mayor confianza frente a clientes, socios estratégicos y proveedores mediante la garantía de una buena gestión de la información confiada a la organización. |
:: | Garantía de cumplimiento legal. |
:: | Minimización de los riesgos inherentes a la seguridad de la información como pérdida de datos, robo, corrupción, etc. |
:: | Mejora de la eficiencia de la organización. |
:: | Reducción de costes y mejor desempeño del proceso. |
:: | Cultura de mejora continua para adaptarse a las necesidades actuales y futuras de la empresa. |
¿Quién se puede certificar en ISO 27001?
Escuda implanta y mantiene la ISO 27001 Más información
Adecuación al Esquema Nacional de Seguridad (ENS)
El ENS (Esquema Nacional de Seguridad) tiene por objeto determinar la política de seguridad en la utilización de medios electrónicos en su ámbito de aplicación, constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información.
Beneficios del Esquema Nacional de Seguridad (ENS)
:: | Ventaja competitiva y valor diferencial respecto a otras empresas del mercado. |
:: | Incrementar las oportunidades de venta y colaboración con la Administración Pública. |
:: | Cumplir con la legislación aplicable. |
:: | Dar confianza a las Administraciones Públicas y Entidades del Sector Privado sobre la seguridad de los servicios informáticos prestados. |
:: | Lograr mayor confianza entre los usuarios en el uso de medios electrónicos. |
:: | Proteger los activos de información. |
:: | Mejora continua de la seguridad de los sistemas de información. |
¿Quién debe estar certificado en ENS?
:: | Administraciones Públicas españolas. |
:: | Entidades de derecho público como Hospitales, Universidades, etc. |
:: | Entidades públicas. |
:: | Empresas privadas que presten servicios o soluciones dentro del ámbito del ENS. |
Escuda adecua y mantiene el ENS
| 02 :: Sistemas de gestión de seguridad de la información (SGSI)
Sistemas de gestión de seguridad de la información (SGSI)
¿Qué es un SGSI?
Un SGSI consiste en las políticas, procedimientos, directrices y recursos y actividades asociados, gestionados colectivamente por una organización, con el fin de proteger sus activos de información.
Un SGSI es un enfoque sistemático para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información de una organización para lograr los objetivos del negocio.
Se basa en una evaluación de riesgos y en los niveles de aceptación de riesgos, diseñados para tratar y gestionar eficazmente los riesgos.
ISO 27001 - Implantación de Seguridad de la Información
El estándar ISO 27001 es una norma internacionalmente reconocida para garantizar las buenas prácticas de seguridad de la información, brindando a las organizaciones los mecanismos y herramientas necesarios para gestionar su información de forma segura.
Beneficios de implantar la ISO 27001
:: | Ofrece una ventaja competitiva para la empresa frente a la competencia. |
:: | Mayor confianza frente a clientes, socios estratégicos y proveedores mediante la garantía de una buena gestión de la información confiada a la organización. |
:: | Garantía de cumplimiento legal. |
:: | Minimización de los riesgos inherentes a la seguridad de la información como pérdida de datos, robo, corrupción, etc. |
:: | Mejora de la eficiencia de la organización. |
:: | Reducción de costes y mejor desempeño del proceso. |
:: | Cultura de mejora continua para adaptarse a las necesidades actuales y futuras de la empresa. |
¿Quién se puede certificar en ISO 27001?
Escuda implanta y mantiene la ISO 27001 Más información
Adecuación al Esquema Nacional de Seguridad (ENS)
El ENS (Esquema Nacional de Seguridad) tiene por objeto determinar la política de seguridad en la utilización de medios electrónicos en su ámbito de aplicación, constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información.
Beneficios del Esquema Nacional de Seguridad (ENS)
:: | Ventaja competitiva y valor diferencial respecto a otras empresas del mercado. |
:: | Incrementar las oportunidades de venta y colaboración con la Administración Pública. |
:: | Cumplir con la legislación aplicable. |
:: | Dar confianza a las Administraciones Públicas y Entidades del Sector Privado sobre la seguridad de los servicios informáticos prestados. |
:: | Lograr mayor confianza entre los usuarios en el uso de medios electrónicos. |
:: | Proteger los activos de información. |
:: | Mejora continua de la seguridad de los sistemas de información. |
¿Quién debe estar certificado en ENS?
:: | Administraciones Públicas españolas. |
:: | Entidades de derecho público como Hospitales, Universidades, etc. |
:: | Entidades públicas. |
:: | Empresas privadas que presten servicios o soluciones dentro del ámbito del ENS. |
Escuda adecua y mantiene el ENS
| 03 :: Privacidad de datos personales
Privacidad de datos personales
La legislación vigente en privacidad de datos personales recoge y protege el derecho fundamental de cualquier ciudadano a proteger su intimidad y privacidad frente a posibles vulneraciones, así como el de ser dueño de sus datos personales que empresas y entidades recopilan y tratan.
Por ello, las empresas deben cumplir lo establecido en el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Datos Personales y garantía de los derechos digitales (LOPD-GDD).
Adecuación a la Privacidad de Datos Personales
Establecemos los controles y medidas organizativas y de seguridad adecuadas que garanticen las libertades y los derechos de las personas afectadas, y así cumplir con las obligaciones legales de la organización respecto a la protección de datos personales (RGPD y LOPD-GDD).
Elaboración de Evaluaciones de Impacto de la Privacidad de Datos personales (EIPD)
Realizamos Evaluaciones de Impacto de la Privacidad de Datos personales (EIPD) para evaluar la necesidad y proporcionalidad, y así gestionar los potenciales riesgos para los derechos y libertades a los que estarán expuestos los datos personales en función de las actividades de tratamiento, determinando las medidas necesarias para reducirlos hasta un nivel de riesgo aceptable.
Más información sobre Evaluaciones de Impacto de Privacidad de Datos Personales
Seguimiento de cumplimiento del RGPD y LOPD-GDD
Para garantizar el cumplimiento continuo de los requisitos de protección de datos ofrecemos un soporte de seguimiento que garantiza la detección, análisis y control de riesgos en privacidad de datos personales (RGPD y LOPD-GDD).
Delegado de Protección de Datos (DPO)
Ofrecemos la posibilidad de contar con un perfil experto que realice las funciones propias de un DPO como son entre otras las de informar, asesorar y atender las consultas en materia de privacidad de datos personales, así como cooperar y actuar como enlace con la autoridad de control.
| 03 :: Privacidad de datos personales
Privacidad de datos personales
La legislación vigente en privacidad de datos personales recoge y protege el derecho fundamental de cualquier ciudadano a proteger su intimidad y privacidad frente a posibles vulneraciones, así como el de ser dueño de sus datos personales que empresas y entidades recopilan y tratan.
Por ello, las empresas deben cumplir lo establecido en el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Datos Personales y garantía de los derechos digitales (LOPD-GDD).
Adecuación a la Privacidad de Datos Personales
Establecemos los controles y medidas organizativas y de seguridad adecuadas que garanticen las libertades y los derechos de las personas afectadas, y así cumplir con las obligaciones legales de la organización respecto a la protección de datos personales (RGPD y LOPD-GDD).
Seguimiento de cumplimiento del RGPD y LOPD-GDD
Para garantizar el cumplimiento continuo de los requisitos de protección de datos ofrecemos un soporte de seguimiento que garantiza la detección, análisis y control de riesgos en privacidad de datos personales (RGPD y LOPD-GDD).
Elaboración de Evaluaciones de Impacto de la Privacidad de Datos personales (EIPD)
Realizamos Evaluaciones de Impacto de la Privacidad de Datos personales (EIPD) para evaluar la necesidad y proporcionalidad, y así gestionar los potenciales riesgos para los derechos y libertades a los que estarán expuestos los datos personales en función de las actividades de tratamiento, determinando las medidas necesarias para reducirlos hasta un nivel de riesgo aceptable.
Más información sobre Evaluaciones de Impacto de Privacidad de Datos Personales
Delegado de Protección de Datos (DPO)
Ofrecemos la posibilidad de contar con un perfil experto que realice las funciones propias de un DPO como son entre otras las de informar, asesorar y atender las consultas en materia de privacidad de datos personales, así como cooperar y actuar como enlace con la autoridad de control.
| 04 :: Otros servicios
Otros servicios
- Auditorías de seguridad de la información y protección de datos personales
- Políticas, procedimientos e instrucciones técnicas
- Planes de Contingencia e ISO 22301
- Formación y concienciación en seguridad de la información
- Director de Seguridad de la Información (CISO)
Auditorías de seguridad de la información y protección de datos personales
Realizamos auditorías de seguridad de la información y protección de datos personales con la finalidad de analizar y verificar el grado de cumplimiento de tu organización, recomendando las acciones correctivas y de mejora que se requieren según la normativa (ISO 27001, ISO 27002 y ENS) o la legislación en privacidad de datos personales (RGPD y LOPD-GDD).
Políticas, procedimientos e instrucciones técnicas
Ayudamos a la organización en la definición de un marco de gestión para la seguridad de la información que soporte las actividades de negocio y aquellas que la sustentan, estableciendo los principios y reglas básicas esenciales para el futuro y excelencia de la compañía, implementando políticas, procedimientos e instrucciones técnicas.
Planes de Contingencia e ISO 22301
Realización de Análisis de Impacto (BIA) y establecimiento del Plan de Continuidad y de Contingencia, así como la implantación de la norma ISO 22301, con el objetivo de que la organización pueda seguir ofreciendo sus servicios y desarrollando los procesos productivos en caso de que se produzca un incidente o desastre. Y propiciando también la recuperación de la normalidad en el menor espacio de tiempo.
Formación y concienciación en seguridad de la información
Se articulan programas de formación, sensibilización y campañas de concienciación para todos los usuarios con acceso a la información, en materia de seguridad de la información.
Director de Seguridad de la Información (CISO)
Ofrecemos la posibilidad de contar con un perfil experto y con el respaldo de un equipo que pueda realizar las funciones propias de un CISO (Chief Information Security Officer) como son, entre otras, las de liderar, gestionar, supervisar, así como definir políticas de seguridad de la organización.
Auditorías de seguridad de la información y protección de datos personales
Realizamos auditorías de seguridad de la información y protección de datos personales con la finalidad de analizar y verificar el grado de cumplimiento de tu organización, recomendando las acciones correctivas y de mejora que se requieren según la normativa (ISO 27001, ISO 27002 y ENS) o la legislación en privacidad de datos personales (RGPD y LOPD-GDD).
Políticas, procedimientos e instrucciones técnicas
Planes de Contingencia e ISO 22301
Realización de Análisis de Impacto (BIA) y establecimiento del Plan de Continuidad y de Contingencia, así como la implantación de la norma ISO 22301, con el objetivo de que la organización pueda seguir ofreciendo sus servicios y desarrollando los procesos productivos en caso de que se produzca un incidente o desastre. Y propiciando también la recuperación de la normalidad en el menor espacio de tiempo.
Formación y concienciación en seguridad de la información
Se articulan programas de formación, sensibilización y campañas de concienciación para todos los usuarios con acceso a la información, en materia de seguridad de la información.
Director de Seguridad de la Información (CISO)
Ofrecemos la posibilidad de contar con un perfil experto y con el respaldo de un equipo que pueda realizar las funciones propias de un CISO (Chief Information Security Officer) como son, entre otras, las de liderar, gestionar, supervisar, así como definir políticas de seguridad de la organización.
