SCRM EXPRESS

Objetivo

El objetivo del presente informe es tener una visión a alto nivel del grado de madurez en la gestión del software, teniendo en cuenta los riesgos normativos derivados de la instalación y uso del mismo, en relación con el control de la responsabilidad de SAM que lleva a cabo la empresa.

Las preguntas permiten medir el grado de madurez de la compañía en función del tipo de medidas implantadas y controles existentes, de cara a poder cubrir no únicamente la gestión SAM, sino que sean capaces también de mitigar los riesgos normativos derivados de la instalación y el uso del software, creando así un entorno de seguridad jurídica para la empresa y sus directivos.

Se diferencian varios bloques, siguiendo como directrices los estándares nacionales e internacionales aplicables; lo cual permite tener una visión más clara sobre los aspectos principales que puedan afectar a SCRM.

Habitualmente los cuestionarios en esta materia se limitan a verificar la existencia o no de un determinado aspecto prevén como respuesta SI o NO. Sin embargo, como lo que se pretende bajo nuestra metodología es medir el grado de madurez, este tipo de medición no es capaz de reflejar con buena aproximación el grado en los que los diferentes elementos influyen en la gestión general.

Por este motivo se prevé una metodología un poco distinta, a través de la cual se presagian cinco respuestas, a las que se les asigna un valor numérico. De esta manera se hace más fiable el cálculo objetivo del grado de madurez.

En este sentido, las opciones de respuesta son las siguientes:

  1. No se ha practicado ni documentado
  2. Se ha practicado, pero no documentado, o se ha documentado, pero no practicado. O se ha realizado parcialmente
  3. Se ha practicado y documentado de forma completa. No se ha revisado ni actualizado
  4. Se ha practicado, documentado y revisado el ultimo año
  5. Se ha practicado, documentado, revisado y armonizado según estrategia empresarial o de TI
Nombre
Email
Compañía

SCRM: PROTOCOLOS ACTUALIZADOS DE SOFTWARE COMPLIANCE AND RISK MANAGELENT


El objetivo de la revisión periódica de SCRM (Software Compliance and Risk Management) es conocer si el sistema de gestión de riesgos normativos derivados de software es óptimo, teniendo en cuenta la evolución de la empresa y los controles que se encuentren implementados

¿Existe un protocolo de SCRM (Software Compliance Risk Management)?
¿Se lleva a cabo una evaluación anual del propio SCRM?
1 out of 6

GOVERNANCE

El objetivo de Governance o proceso de gobierno corporativo es asegurar que la responsabilidad de la gestión del activo del software se reconozca a nivel del comité de dirección corporativa o entidad equivalente, y que los mecanismos adecuados estén ubicados donde corresponda para asegurar la buena ejecución de esta responsabilidad

¿Se ha informado al Consejo de Administración u Órgano de Direccion de que el software es una fuente de potenciales riesgos normativos especifico y tecnico que pueden alcanzar a la persona juridica y/o a los cargos de dirección?
¿Existe una planificación de la gestión de riesgos normativos deriavdos del uso del software con sistema de reporting periódico sobre dirigido a los Organos de dirección?
2 out of 6

POLÍTICAS DE GESTIÓN DE ACTIVOS

El objetivo de las políticas, procesos y procedimientos para la gestión de activos de software (SAM) es asegurar que una organización mantenga una visión clara que asegure una planificación, funcionamiento y controles eficaces de SAM. Deben incorporar controles que aseguren el cumplimiento normativo

¿Las politicas SAM (gestión de activos de software, como por ejemplo inventarios de contratos, de software instalado incluyendo metricas, de hardware etc.) están relacionadas con los riesgos normativos derivado del software y ademas toda esta información está sistematizada, centralizada y accesible?
¿Las políticas SAM preven la emisión de informes de conformidad periodicos que cubran un porcentaje importante de la instalación?
3 out of 6

CICLO DE VIDA DEL SOFTWARE

El objetivo de los procedimientos que conforman el ciclo de vida del software es asegurar que todos los componentes de éste, desde la gestión del cambio, adquisición, desarrollo hasta la retirada, son evaluados, aprobados, implantados y revisados; y que queden debidamente registrados. Los procedimientos mencionados permiten además comprobar los requisitos establecidos en las políticas SAM y deben estar contrastados con los riesgos normativos para evitar que se produzcan.

¿Existe unos procesos de ciclo de vida del sw que incluyen todas las fases desde la gestiónd del cambio hasta el reciclaje? (gestión del cambio, adquisición, desarrollo, despliegue, implementación, incidente, problema, retirada y reciclaje)?
¿En particular el procedimiento de adquisición tiene en cuenta los controles para evitar riesgos normativos?
4 out of 6

CIBERSEGURIDAD Y SEGURIDAD DE LA INFORMACIÓN

Su objetivo es evitar que se produzcan vulnerabilidades derivadas del software que puedan afectar a la ciberseguridad de la empresa o a la seguridad de la información.

¿Se elabora un informe periódico sobre las vulnerabilidades del software instalado y se comunica a los Organos de dirección?
¿Existe un sistema de eleboración de un informe periodico sobre el software core cuya discontinuidad de soporte por el fabricante se haya producido y se comunica a los Organos de dirección?
5 out of 6

PROTOCOLO DE PREVENCIÓN DE RIESGOS NORMATIVOS DERIVADOS DEL SOFTWARE

Su objetivo es dotar a la gestión de SAM de una capa de controles normativos para asegurar que los procesos de gestión de la empresa que se encuentren asentados sobre el software puedan desarrollarse en términos de normalidad, protegiendo la continuidad del negocio y minimizando las consecuencias económicas, penales o reputacionales que se pudieran devengar en caso de un incumplimiento normativo.

¿Se realiza de forma periodica (no superior a un año) una evaluación de riesgos normativos derivado del uso del sw?
¿Se tiene a disposición del departamento de tecnologia un protocolo contra las acciones del denominado marketing legal?
¿Se realizan sesiones de formacion sobre riesgos normativos derivados del uso del software?
6 out of 6