SCRM COMPLEX

Objetivo

El objetivo del presente informe es tener una visión a alto nivel del grado de madurez en la gestión del software, teniendo en cuenta los riesgos normativos derivados de la instalación y uso del mismo, en relación con el control de la responsabilidad de SAM que lleva a cabo la empresa.

Las preguntas permiten medir el grado de madurez de la compañía en función del tipo de medidas implantadas y controles existentes, de cara a poder cubrir no únicamente la gestión SAM, sino que sean capaces también de mitigar los riesgos normativos derivados de la instalación y el uso del software, creando así un entorno de seguridad jurídica para la empresa y sus directivos.

Se diferencian varios bloques, siguiendo como directrices los estándares nacionales e internacionales aplicables; lo cual permite tener una visión más clara sobre los aspectos principales que puedan afectar a SCRM.

Habitualmente los cuestionarios en esta materia se limitan a verificar la existencia o no de un determinado aspecto prevén como respuesta SI o NO. Sin embargo, como lo que se pretende bajo nuestra metodología es medir el grado de madurez, este tipo de medición no es capaz de reflejar con buena aproximación el grado en los que los diferentes elementos influyen en la gestión general.

Por este motivo se prevé una metodología un poco distinta, a través de la cual se presagian cinco respuestas, a las que se les asigna un valor numérico. De esta manera se hace más fiable el cálculo objetivo del grado de madurez.

En este sentido, las opciones de respuesta son las siguientes:

  1. No se ha practicado ni documentado
  2. Se ha practicado, pero no documentado, o se ha documentado, pero no practicado. O se ha realizado parcialmente
  3. Se ha practicado y documentado de forma completa. No se ha revisado ni actualizado
  4. Se ha practicado, documentado y revisado el ultimo año
  5. Se ha practicado, documentado, revisado y armonizado según estrategia empresarial o de TI
Nombre
Email
Compañía

SCRM: PROTOCOLOS ACTUALIZADOS DE SOFTWARE COMPLIANCE AND RISK MANAGELENT


El objetivo de la revisión periódica de SCRM (Software Compliance and Risk Management) es conocer si el sistema de gestión de riesgos normativos derivados de software es óptimo, teniendo en cuenta la evolución de la empresa y los controles que se encuentren implementados

¿Existe un protocolo de SCRM (Software Compliance Risk Management)?
¿Se lleva a cabo una evaluación anual del propio SCRM?
1 out of 7

GOVERNANCE

El objetivo de Governance o proceso de gobierno corporativo es asegurar que la responsabilidad de la gestión del activo del software se reconozca a nivel del comité de dirección corporativa o entidad equivalente, y que los mecanismos adecuados estén ubicados donde corresponda para asegurar la buena ejecución de esta responsabilidad

¿Se ha informado al Consejo de Administración u Órgano de Direccion de que el software es una fuente de potenciales riesgos normativos especifico y tecnico que pueden alcanzar a la persona juridica y/o a los cargos de dirección?
¿Se ha nombrado un responsable de cumplimiento normativo especializado en sw o se ha asignado esa responabilidad a otro rol?
¿Se ha definido y comunicado las funciones del responsable de cumplimiento normativo del software?
¿Se ha definido un comité de gobierno sobre el software que integre responsables de las diferentes areas involucradas?
¿Se han definido y comunicado las funciones del comité de gobierno corporativo sobre el software?
¿Se ha definido el ambito objetivo que debe estar bajo responsabilidad y control de la actividad SCRM?
¿Se ha definido el ambito subjetivo que debe estar bajo responsabilidad y control de la actividad de SCRM?
¿Se ha definido el ambito territorial que debe estar bajo responsabilidad y control de la actividad SCRM?
¿Se ha definido el ambito normativo que debe estar bajo responsabilidad y control de la actividad SCRM?
¿Existe una planificación de la gestión de riesgos normativos deriavdos del uso del software?
¿Existe un sistema de reporting periódico sobre los riesgos normativos derivados del uso del software periódico y dirigido al comité de gobierno sobre el software
2 out of 7

POLÍTICAS DE GESTIÓN DE ACTIVOS

El objetivo de las políticas, procesos y procedimientos para la gestión de activos de software (SAM) es asegurar que una organización mantenga una visión clara que asegure una planificación, funcionamiento y controles eficaces de SAM. Deben incorporar controles que aseguren el cumplimiento normativo

¿Dispone la compañía de politicas de SAM (gestión de activos de software)?
¿Existe un inventario de contratos de software?
¿Existe un inventario de software instalado, incluyendo metricas?
¿Existe un inventario de hardware?
¿Están relacionados los equipos que contienen software cuya politicas de licenciamiento estan relacionada con la capacidad de la maquinas?
¿Existe un repositorio organizado de estos inventarios que sea accesible facilmente?
¿Existe una relación del sw cuyo contrato incluye una clausula de auditoría?
¿Se mantiene una relación de los sw vendors que han auditado a la empresa?
¿Existe una política de seguridad en la gestión de accesos y de contraseñas para el software?
¿Existe un control de la asignación de las licencias de todos los usuarios?
¿Dispone de sistemas de single sing-on como forma de acceso al software?
¿Las políticas SAM incluyen controles de cobertura de riesgos?
¿Las políticas SAM incluyen controles de optimización financiera?
¿Las políticas SAM preven la emisión de informes de conformidad periodicos?
¿Los informes de conformidad abarcan todo el despliegue tecnológico de software con licencia?
¿La gestion de Activos de Software se lleva a cabo de forma automatizada?
¿Se aplica inteligencia artificial en la gestión de activos de software?
3 out of 7

CICLO DE VIDA DEL SOFTWARE

El objetivo de los procedimientos que conforman el ciclo de vida del software es asegurar que todos los componentes de éste, desde la gestión del cambio, adquisición, desarrollo hasta la retirada, son evaluados, aprobados, implantados y revisados; y que queden debidamente registrados. Los procedimientos mencionados permiten además comprobar los requisitos establecidos en las políticas SAM y deben estar contrastados con los riesgos normativos para evitar que se produzcan.

¿Existe un proceso de ciclo de vida del sw que incluye todas las fases desde la gestiónd del cambio hasta el reciclaje? (gestión del cambio, adquisición, desarrollo, despliegue, implementación, incidente, problema, retirada y reciclaje)
¿Los procedimientos de adquisición y retirada se encuentran conectados con el inventario de contratos?
¿Existe una planificación de la obsolescencia del software?
¿El procedimiento de adquisición involucra todas la areas relacionadas ( compras, TI, asesoria juridica, compliance)?
¿El procedimiento de adquisición tiene en cuenta los controles para evitar riesgos normativos?
¿El procedimiento de retirada segura tiene en cuenta la generación de evidencias de desinstalación?
4 out of 7

CIBERSEGURIDAD Y SEGURIDAD DE LA INFORMACIÓN

Su objetivo es evitar que se produzcan vulnerabilidades derivadas del software que puedan afectar a la ciberseguridad de la empresa o a la seguridad de la información.

¿La compañía dispone de una politica de seguridad de la información conocida por todos sus empleados?
¿Se elabora un informe periódico sobre las vulnerabilidades del software instalado?
¿Existe un procedimiento de comunicación interno de vulnerabilidades detectadas?
¿Existe un procedimiento de comunicación externo de vulnerabilidades detectadas?
¿Existe un sistema de eleboración de un informe periodico sobre el software core cuya discontinuidad de soporte por el fabricante se haya producido?
¿Existe un sistema de eleboración de un informe periodico sobre la afección de la integridad, confidencialidad y disponibilidad de los datos tratados por el software core?
¿Se aplican medidas tecnicas y organizativas suficientes para garantizar la confidencialidad, integridad, disponibilidad y resilencia permanentes de los sistemas y servicios de tratamiento para garantizar un nivel de seguridad adecuado de las operaciones de tratamiento que se esten realizando, de acuerdo con el riesgo analizado?
5 out of 7

PROTOCOLO DE PREVENCIÓN DE RIESGOS NORMATIVOS DERIVADOS DEL SOFTWARE

Su objetivo es dotar a la gestión de SAM de una capa de controles normativos para asegurar que los procesos de gestión de la empresa que se encuentren asentados sobre el software puedan desarrollarse en términos de normalidad, protegiendo la continuidad del negocio y minimizando las consecuencias económicas, penales o reputacionales que se pudieran devengar en caso de un incumplimiento normativo.

¿Se realiza de forma periodica (no superior a un año) una evaluación de riesgos normativos derivado del uso del sw?
¿Se realiza un catalogo de riesgos normatvios derivado del uso del sw?
¿Se realiza un catalogo de controles para gestionar los riesgos normativos?
¿Se lleva a cabo un mapa de riesgos normativos derivados del uso del software?
¿Se tiene a disposición de la empresa un Manual de Prevención de Delitos derivados del uso del software, de forma que se complemente el Programa de Compliance General (en caso de que exista?)
¿Se tiene a disposición un Manual de Prevención de Otros Riesgos No penales derivados del uso del SW, de forma que complemente el Programa de Compliance General (en caso de que exista)?
¿Se tiene a disposición del departamento de tecnologia un protocolo contra las acciones del denominado marketing legal?
¿Se aplica el criterio de segregación de funciones en el software para evitar que un usuario disponga de todos los privilegios de acceso y pueda cometer fraude en la empresa?
¿Se guarda trazabilidad de las operaciones relacionadas con el uso del software?
¿Se guardan evidencias digitales de las operaciones realizadas con el uso del software?
¿Se realizan sesiones de formacion sobre riesgos normativos derivados del uso del software a los trabajadores?
¿Se realizan sesiones de formacion sobre riesgos normativos derivados del uso del software a la alta dirección?
¿Existe un procedimiento para la valoración inicial de los riesgos que se puedan derivar de la contratacion de un nuevo software sobre los derechos y libertades de lo afectados?
¿Se ha establecido un procedimiento para asegurar la diligencia en la elección de los encargados del tratamiento y la posibilidad de demostrarla?
6 out of 7

EXPOSICIÓN A FABRICANTES DE RIESGO


El objetivo de la "exposición a fabricantes de riesgo" es determinar el grado en que existe una amenaza especialmente relevante derivada de la actuación de algunos software vendors concretos del mercado, en relación a sus políticas de revisión de licenciamiento. Esta amenaza incrementaría de forma considerable el nivel de riesgo normativo para la empresa licenciataria y requeriría el despliegue de controles específicos para mitigarlo. Además sería conveniente una forma de seguimiento especial.

¿Se lleva a cabo un análisis de los sw vendors que suponen un riesgo especial?
¿Se lleva a cabo una relación de los sw vendors que han ejecutado auditorías de sw?
¿Se ha implementado un protocolo contra el marketing legal?
¿Se ha establecido un canal de seguimiento de los fabricantes de los proveedores de riesgo?
¿Se ha establecido un sistema de trabajo específico para el despliegue de controles en los fabricantes de riesgo?
7 out of 7