Tag: Software ACL

Su plataforma GRC: ¿en la nube o local?

Su solución GRC es la columna vertebral de sus equipos de cumplimiento y administración de riesgos, por lo que es crucial que su tecnología no experimente fallas de seguridad o interrupciones del servicio y pueda actualizarse fácilmente cuando sea necesario.

Al alojar su plataforma GRC, su organización tiene dos opciones: en la nube o en las instalaciones. Evaluaremos los pros y los contras de cada uno.

En las instalaciones

Cuando decide alojar su plataforma GRC en las instalaciones, eso significa que está utilizando servidores internos e infraestructura de TI para ejecutar el software.

  • Mantenimiento y almacenaje. Usted es totalmente responsable del tiempo de actividad del servidor, así como de las actualizaciones y la configuración de las aplicaciones. Necesitará tener técnicos especializados disponibles que comprendan cómo mantener los servidores y administrar las actualizaciones. También hay un límite en la cantidad de datos que puede contener cada servidor, así que esté preparado para agregar servidores adicionales cuando se requiera más almacenamiento. La implementación de soluciones locales también puede llevar más tiempo que las soluciones en la nube porque primero deberá completar la instalación en su servidor y luego en computadoras individuales.
  • Comprará una licencia de software en lugar de pagar una tarifa mensual por el uso, pero el costo de la licencia puede ser alto por adelantado y también será responsable del costo continuo del mantenimiento del servidor y el consumo de energía. Aunque las tarifas de licencia pueden eventualmente ser más bajas que pagar por un servicio mensual, podría llevar años alcanzar el punto de equilibrio, momento en el que puede descubrir que sus necesidades de software han cambiado.
  • Muchas organizaciones sienten que el software local es más seguro que el software basado en la nube, pero no siempre es así. Debido a que el software local depende de su personal para completar las actualizaciones, los parches de seguridad no se instalan automáticamente, lo que deja su software vulnerable a los piratas informáticos. En lugar de administradores especializados, las organizaciones que ejecutan software local a menudo tienen especialistas de TI responsables de las actualizaciones de software, lo que significa que estas herramientas son extremadamente vulnerables a los ataques.

Nube

Cuando se cambia a un entorno de nube, depende de los servidores del proveedor para alojar su aplicación y podrá acceder a ella desde cualquier dispositivo, sin importar dónde se encuentre.

  • Mantenimiento y almacenaje. Debido a que el proveedor tiene la responsabilidad de alojar su aplicación, la implementación puede ocurrir en cuestión de horas o días, sin necesidad de instalación física en dispositivos individuales. El proveedor también es responsable de administrar las actualizaciones, que deberían ocurrir automáticamente. Y debido a que su organización comparte el espacio del servidor con otros clientes, tiene el potencial de escalar hacia arriba o hacia abajo rápidamente según sus necesidades.
  • En lugar de comprar una licencia por adelantado, normalmente pagará por una solución, con su precio basado en el nivel de servicio que necesita y la cantidad de usuarios que tiene. No hay gastos de capital iniciales, y el precio generalmente se garantiza por un período de 12 meses. También puede realizar actualizaciones fácilmente y agregar servicios o usuarios adicionales sin tener que realizar actualizaciones manuales en la aplicación para hacerlo.
  • Si bien la seguridad de una herramienta GRC basada en la nube se reduce al software individual, muchos tienen estándares de seguridad más altos que las herramientas locales. Los parches de seguridad se instalan instantáneamente en todas las aplicaciones de sus usuarios, eliminando la necesidad de depender del personal interno para realizar actualizaciones. Para garantizar altos niveles de seguridad, elija una plataforma que encripte sus datos y tenga certificación gubernamental para demostrar su cumplimiento de seguridad. La plataforma HighBond de Galvanize, por ejemplo, recibió una Autorización de Agencia FedRAMP del Gobierno Federal de los EE. UU. En 2019, después de cumplir con los estrictos requisitos de cumplimiento de ciberseguridad exigidos por las agencias gubernamentales. Y este año, anunciamos una certificación adicional: la Autorización de Nivel 5 de Impacto del Departamento de Defensa.

Evaluando sus opciones

Si bien el software local puede ser necesario para ciertas empresas debido a los requisitos de cumplimiento, la gran mayoría de las organizaciones ahora tienen la libertad de migrar a la nube. Y como muchos proveedores de software basados ​​en la nube se han asegurado de que sus soluciones sean lo suficientemente seguras y estables para el uso empresarial y gubernamental, hemos visto que las tasas de adopción se dispararon: Gartner predice que el gasto en la nube pública en todo el mundo crecerá un 23% al termino del 2021.

La pandemia de COVID-19 y el cambio a equipos más distribuidos ha demostrado los peligros de depender de herramientas e infraestructura locales. Al adoptar la transformación digital y crear una pila tecnológica segura de herramientas basadas en la nube, puede dormir tranquilo sabiendo que sus equipos tienen las herramientas para trabajar desde cualquier lugar, en cualquier momento, sin comprometer la seguridad de su organización.

Al elegir una herramienta GRC basada en la nube, debería proporcionar una plataforma integrada donde todo su equipo de gestión de riesgos pueda colaborar y compartir datos. También debe tener la capacidad de automatizar los flujos de trabajo de cumplimiento comunes y proporcionar imágenes y análisis en tiempo real para ayudarlo a medir sus niveles de riesgo para los indicadores clave de riesgo.

Pasar de una solución local a una basada en la nube puede ser un gran acto de fe, pero con el socio adecuado, verá muchos beneficios. La elección es clara: una solución GRC basada en la nube es el camino del futuro.

Brindamos soluciones de Software líderes a nivel mundial para la automatización de sus procesos de trabajo.

Más información
  • pmn
  • 30 noviembre, 2021
  • More

¿Son efectivas sus medidas de control y gestión de riesgo?

Una vez que haya establecido los controles para administrar los riesgos, ¿cómo sabe que están funcionando?

El análisis de datos permite examinar sus riesgos y procesos de control más de cerca, y reducir las instancias de fallas de control. Algo que su sistema ERP no puede entregar. Un paso a menudo que falta en el monitoreo de riesgos y controles es detenerse para evaluar qué funciona bien y qué no.

“Los líderes en nuestra industria aplican docenas de pruebas automatizadas a través de transacciones en cada área de proceso de negocio de manera regular para obtener información sobre el estado de su proceso”.

El análisis de datos ha transformado totalmente la evaluación de riesgos

Utilice el análisis de datos para examinar cada transacción en una población completa de datos (por ejemplo, cada actividad registrada que tuvo lugar dentro de un proceso financiero o comercial) para determinar si:

  1. La transacción cumple con los procedimientos de control establecidos.
  2. Puede haber riesgos y problemas sin un control efectivo.

Puede hacerlo probando cada transacción de varias maneras. Por ejemplo, se puede examinar un monto de pago a un proveedor para determinar que:

  • El proveedor es válido, está debidamente aprobado y no está duplicado en el archivo maestro de proveedores; no incluido en una lista de personas / entidades excluidas, o en una lista de no pago; o en una base de datos de personas expuestas políticamente.
  • El pago coincide con una factura, los registros de bienes recibidos y una orden de compra debidamente aprobada, y no ha habido intentos de eludir los controles de aprobación (por ejemplo, dividiendo los pagos en cantidades más pequeñas justo por debajo de un umbral de aprobación).
  • Los pagos no se han duplicado debido a cambios erróneos o deliberados en los detalles del número de factura.

Estos son solo algunos ejemplos, pero el análisis de datos se puede utilizar de innumerables maneras para probar una variedad de controles internos y crear una cobertura de datos del 100%. Todos estos análisis, y muchos más, se pueden configurar y ejecutar en minutos. También se pueden automatizar y repetir, diseñados para ejecutarse regularmente.

Los líderes en nuestra industria aplican docenas de pruebas automatizadas similares a través de transacciones en cada área de proceso de negocio de manera regular para obtener información sobre el estado de su proceso.

Mire grandes volúmenes de datos para encontrar tendencias extrañas o predecir el rendimiento.

Otro uso importante del análisis y monitoreo de datos es examinar todas las transacciones que tuvieron lugar dentro de un proceso comercial determinado para encontrar problemas y áreas de mejora. Sus datos pueden revelar respuestas a preguntas como:

  1. ¿Por qué los pagos de horas extras o gastos de viaje son inusualmente altos en una oficina específica?
  2. ¿Por qué a un proveedor se le paga el doble que a otros proveedores por el mismo tipo de artículo?
  3. ¿Por qué una cuenta previamente inactiva se utiliza de repente para una serie de entradas de diario?
  4. ¿Qué tendencias indican un problema que empeora constantemente?
  5. ¿Qué resulta ser un problema mucho menor de lo que se pensó originalmente?

¿Por qué no confiar solo en los controles del sistema ERP?

En un mundo ideal, todas las aplicaciones de procesos de negocios tendrían controles integrados que evitarían que se realicen transacciones incorrectas, inválidas o sospechosas. Pero esto no siempre sucede.

También es posible que no pueda configurar su ERP para que coincida con su proceso, especialmente cuando se trata de un servicio comercial compartido y puede tener varios impactos posteriores.

Cuando se realiza el análisis de datos y el monitoreo de transacciones después del hecho, es relativamente sencillo detectar dónde están ocurriendo las debilidades de control primario. Las transacciones problemáticas se pueden identificar y abordar rápidamente. Las debilidades de control que permitieron que ocurriera el problema pueden fortalecerse para evitar una recurrencia. Una gran ventaja: el análisis y la supervisión de las transacciones pueden convertirse en un nivel de control adicional, reforzando los controles que ya están implementados y compensando los controles basados ​​en ERP que no funcionan.

Brindamos soluciones de Software líderes a nivel mundial para la automatización de sus procesos de trabajo.

Más información
  • pmn
  • 12 mayo, 2020
  • More

LEY 19.574 – Solución integral para cumplimiento

Dada la actualización de la Ley 19.574, “Ley integral contra el lavado de activos” en el marco del  decreto 379/018, se  establece la reglamentación de efectuar, por parte de los sujetos obligados del sector NO FINANCIERO (inmobiliarias, casinos, escribanos, contadores, rematadores, ONGs, Zonas francas, entre otros),  reportes de operaciones sospechosas de lavado de activos de sus clientes. A efectos de prevenir, detectar y reprimir con eficacia la circulación de activos vinculados con actividades ilícitas o delitos graves.

En consecuencia de dicha ley ofrecemos, a través de ACL, una solución automatizada que permite a su organización la realización del control de manera rápida y eficaz gracias a su robusto sistema de procesamiento y cruzamiento de datos.

¿Qué le brinda ACL?

ACL cuenta con más de treinta años de experiencia asesorando organismos de todo el mundo en la detección de Fraudes y Actividades de Lavado, con análisis de datos pre diseñados y adaptados para la legislación local.

Nuestro servicio pone a disposición dicho know-how para la generación automática de controles y reportes mediante Robots que aseguren el cumplimiento normativo, así como las herramientas tecnológicas más avanzadas para su ejecución por medio de análisis complejos de datos, cruzamiento de información y formularios online que le permitirán hacer seguimiento de los resultados.

¿Qué tipo de controles se ejecutan?

  • Identificar transacciones con organizaciones de países de una lista clasificada de alto riesgo.
  • Identificar clientes con actividades sospechosas
  • Identificar transacciones con cualquier titular que coincida con listas de exclusión (OFAC, ONU).
  • Identificar transacciones con personas públicas políticamente expuestas (listas PEP).
  • Analizar transacciones que superen los valores definidos.
  • Controles de cumplimiento normativo.
  • Administración y gestión de formularios y canales de denuncia prediseñados.
  • Gestión Integral de un programa de evaluación y tratamiento de riesgos.

¿Cómo funciona? 

 

Una vez importados o cargados los registros a la solución, ACL cruza de forma automática toda la información, detectando los casos a gestionar y enviando las alertas correspondientes a todos los involucrados.

Estos casos son levantados por un módulo de gestión de resultados que permite generar alertas, informes y gráficos de manera tal, de poder llevar los indicadores del proceso.

 

¿Cómo se ven los resultados? 

Nuestra solución le permite generar gráficos y reportes de ágil lectura para una mejor visualización de los resultados. La información quedará guardada y disponible para su gestión, respaldo y seguimiento en el software ACL.

 

 

Ofrecemos una solución integral , automatizada y sin margen de error. Acompañado de personal altamente capacitado, que le ayudará a poner en práctica el cumplimiento de dichas obligaciones, ganando en prestigio y preservando una buena imagen institucional.   

Brindamos soluciones de Software líderes a nivel mundial para la automatización de sus procesos de trabajo.

Más información
  • pmn
  • 30 abril, 2020
  • More

Ley de Tercerización 18.251: Controles Automatizados

Control de empresas tercerizadas

Como consecuencia de la Ley 18.251 que actualiza la responsabilidad de las organizaciones ante el personal tercerizado, las áreas financieras, administrativas y de control ven incrementados de manera radical los riesgos y por lo tanto los controles a realizar, insumiendo una gran cantidad de recursos, tiempo y pérdidas financieras.

ACL ofrece una solución automatizada que permite a su organización la realización del control de manera rápida y eficaz gracias a su robusto sistema de procesamiento y cruzamiento de datos.

En que consiste el control?

Para realizar el control, su organización debe destinar una gran cantidad de horas de personal administrativo que básicamente realiza las siguientes tareas:

  • Determinar a partir de las marcas de horas un detalle de las horas de cada funcionario, discriminando horas extra comunes, nocturnas o especiales.
  • Comparar dichas horas con las que figuran en los recibos de sueldo
  • Verificar que todo el personal figure en la nómina de BPS, planilla de MTSS y BSE
  • Verificar que los datos en cada uno de los organismos coincidan: monto nominal, horas, fecha de ingreso, monto según laudo entre otros.
  • Reportar las excepciones encontradas y sobre ellas gestionar con cada uno de los proveedores

¡Ahora imagine que todo esto pueda hacerse en forma rápida desde un software… ACL es la solución!

Que ofrece ACL?

El software ACL a través de sus módulos permite integrar en un solo lugar la información proveniente de los distintos orígenes de datos y cruzar la misma de manera tal de generar una serie de informes que le permita mediante una sencilla interfaz web hacer seguimiento de la gestión de cada uno de los casos encontrados.

Como funciona?

Se importa a ACL los archivos proveniente de los recibos de sueldo, planilla de MTSS, marca de horas y nomina de BPS en el formato que se encuentren: PDF, EXCEL, base de datos ACCESS, SQL, SAP, ORACLE, INFORMIX, étc.

Una vez importados los registros el software cruza toda la información, detectando los casos a gestionar.

Esos casos son levantados por un módulo de gestión de resultados que permite generar alertas vía mail, informes y gráficos de manera de poder llevar los indicadores del proceso

La información quedará disponible para su gestión y seguimiento en el software ACL permitiendo luego incorporar la respuesta del proveedor a la solución e integrando todo el proceso en un solo lugar!

Brindamos soluciones de Software líderes a nivel mundial para la automatización de sus procesos de trabajo.

Más información
  • pmn
  • 24 abril, 2020
  • More

Gestión del riesgo COVID-19

La pandemia de COVID-19 ha cambiado no solo los negocios globales y la economía, sino todo nuestro mundo tal como lo conocemos. Pero, ¿quién mejor para liderar organizaciones en estos tiempos sin precedentes que los profesionales de GRC?

Hemos tenido que aprender y adaptarnos rápidamente a los desafíos que se nos han impuesto. Y aunque nunca antes habíamos experimentado algo así, decidimos construir sobre nuestra serie de herramientas poderosas, combinadas con tácticas probadas, para ayudarnos a navegar esta situación teniendo acceso a una amplia visión de los hechos:

Para que desde aquí, con un manejo responsable de los datos, podamos gestionar de manera eficaz lo que representa la situación COVID-19.

8 aspectos comerciales centrales

Incluimos algunos ejemplos de lo que, específicamente, puede profundizar para ayudar a guiar la toma de decisiones basada en el riesgo.

  1. Salud de la fuerza laboral: ¿mantenemos a nuestros empleados
  1. Eficacia de la fuerza laboral: ¿Los empleados mantienen la productividad?
  1. Continuidad del cliente: ¿Cómo cambia la actividad del cliente con el tiempo?
  1. Continuidad de terceros: ¿Cómo se gestionan los socios, proveedores y otros terceros?

“Cuando se trata de responder al riesgo durante una crisis global, podría adoptar el enfoque de reaccionar a los eventos después de que ocurrieron. O, utilizando sus datos y un enfoque estratégico basado en el riesgo, podría crear una línea de visión más larga para ver venir el riesgo y actuar para mitigarlo”.

  1. Contingencia financiera: ¿Estamos pronosticando y ajustando correctamente?
  1. Comunicaciones: ¿Estamos actualizando a los empleados, socios, clientes y proveedores regularmente?  Compartimos nuestro Plan de preparación para una pandemia 
  1. Seguridad: ¿Están protegidos los activos de la organización contra estos nuevos riesgos?
  1. Monitoreo de represalia: ¿cómo podemos continuar para garantizar que la reputación de la organización no esté en riesgo?

Estos son solo algunos ejemplos de dónde podría señalar sus esfuerzos y utilizar sus datos organizacionales para descubrir riesgos ocultos y emergentes.

Sea proactivo, no reactivo.

Nunca antes habíamos experimentado una pandemia global en esta escala, y ciertamente ningún evento de crisis que haya sido tan perjudicial para los negocios y la vida global. Ya sea que su organización tenga un plan de gestión de crisis establecido para hacer frente a una pandemia de esta escala o no, todos los oficiales de cumplimiento y riesgo se enfrentan actualmente a desafíos similares. Cuando se trata de responder al riesgo durante una crisis global, puede adoptar el enfoque de reaccionar ante los eventos después de que sucedan. O, utilizando sus datos y un enfoque estratégico basado en el riesgo, podría crear una línea de visión más larga para ver venir el riesgo y actuar para mitigarlo.

Recientemente realizamos un seminario web donde compartimos una descripción general del conjunto de herramientas, por qué lo construimos y cómo creemos que puede ayudar a los profesionales de GRC a liderar con certeza en estos tiempos inciertos. Mira el seminario web. Y para otra perspectiva, consulte el blog del especialista en cumplimiento y riesgos Matt Kelly sobre Radical Compliance, donde amplió nuestro seminario web y habló más sobre los riesgos de pandemia y los controles de respuesta.

Brindamos soluciones de Software líderes a nivel mundial para la automatización de sus procesos de trabajo.

Más información
  • pmn
  • 16 marzo, 2020
  • More

Un enfoque basado en el riesgo para la gestión de amenazas y vulnerabilidades

Las amenazas a la seguridad aumentan cada año, pero es útil adoptar un enfoque basado en el riesgo para la gestión de amenazas y vulnerabilidades. Aquí hay cinco pasos para comenzar.

Como antecedente, 2018 fue un año récord para la ciberseguridad, y no en el buen sentido. Más de 16,500 vulnerabilidades de seguridad fueron descubiertas y catalogadas en la Base de Datos de Vulnerabilidad y Exposición Común de Mitre . Este es un aumento del 12% desde 2017.

Con un crecimiento como ese, puede pensar que es imposible mantenerse por delante de ellos. Pero la automatización y un enfoque basado en el riesgo para la gestión de vulnerabilidades pueden ayudarlo a abordar este problema creciente.

Para comenzar, debe analizar su estrategia de ciberseguridad de manera integral. Pero esto es a menudo más fácil decirlo que hacerlo.

Entonces, ¿qué primeros pasos debe seguir para encaminarse hacia un enfoque de gestión de vulnerabilidades basado en el riesgo?

Comprenda la importancia de sus activos (haga un inventario)

La criticidad de los activos es el valor que asigna a los activos más vitales de la organización, incluido el hardware, el software y la información confidencial. Definir esto dirige su enfoque a monitorear y mantener los activos más importantes. Estos son los que costarán más si fallan, son robados o quedan obsoletos. Los costos se obtienen al considerar el reemplazo de activos, la pérdida de servicio / tiempo de inactividad y la responsabilidad legal. Para comprender la importancia de sus activos, el primer paso es crear un inventario de los mismos.

“Una buena plataforma de gestión de amenazas y vulnerabilidades utilizará su puntuación y clasificaciones para delegar y asignar automáticamente tareas de corrección”.

Asigne una calificación de riesgo (cuantifique su enfoque)

Ahora que sus activos están catalogados, el siguiente paso es identificar los riesgos, o combinaciones de amenazas y vulnerabilidades, que pueden afectar sus activos. Esta no es una tarea rápida, pero vale la pena el esfuerzo. Piense en los escenarios que podrían afectar las computadoras de la organización, los dispositivos móviles, el almacenamiento y los empleados. ¿Qué tipo de incidentes no deseados pueden tener lugar? ¿Qué debilidades podrían ser explotadas?

Así es como calculará una calificación de riesgo, una puntuación que determina el impacto y la probabilidad de que cada riesgo ocurra realmente. Estos puntajes le brindan un punto de referencia, para que sepa exactamente cuándo los riesgos están más allá de los niveles aceptables, y puede tomar medidas.

 

Normalice las definiciones de seguridad y riesgo (hable el mismo idioma)

A medida que realiza un inventario de los activos y asigna sus puntajes de riesgo, es importante crear definiciones de riesgo y seguridad interna estándar. Esto se debe a que los escáneres de vulnerabilidades y otras fuentes de información sobre amenazas no registran la gravedad de manera uniforme. Algunos asignan calificaciones numéricamente (por ejemplo, 1-10), mientras que otros califican las cosas cualitativamente (“urgente” o “crítico”). Debe elegir lo que funcione para usted, en lugar de encerrarse en las definiciones de gravedad y riesgo de otra persona.

Si está utilizando un software de gestión de vulnerabilidades específico, aquí es donde ingresaría sus propias clasificaciones de riesgo y mapearía cómo interpreta un puntaje de Qualys versus un puntaje de Nexpose. Hacer esto crea un sistema de puntuación unificado que normaliza los hallazgos del escáner y estandariza los planes de corrección. También extrae los hallazgos de todas las herramientas de seguridad para crear informes y paneles precisos y oportunos.

Delegar la gestión de amenazas y vulnerabilidades (tomar medidas)

Una buena plataforma de gestión de amenazas y vulnerabilidades utilizará la puntuación y las clasificaciones para delegar automáticamente y asignar tareas de remediación a la persona o equipo correcto para manejar la amenaza.

Muchas organizaciones tienen políticas sobre la cantidad máxima de tiempo que debería tomar resolver una vulnerabilidad basada en el nivel de amenaza, por ejemplo:

  • 1-10 días para vulnerabilidades críticas
  • 30 días para vulnerabilidades de alta gravedad
  • 60 días para vulnerabilidades medias.

Pero estos plazos para la reparación son a menudo difíciles de cumplir. Una encuesta del Instituto SANS señaló que solo el 68% de los encuestados pudieron reparar, parchar o mitigar vulnerabilidades críticas en menos de un mes. Obviamente, eso no es lo ideal, porque cuanto más tiempo se demore en resolver, mayor será el riesgo. Pero al automatizar el cálculo de estas amenazas y asignar las clasificaciones de riesgo apropiadas, puede comenzar a rastrear los plazos y priorizar los flujos de trabajo.

Esta configuración y automatización optimizarán su trabajo y lo ayudarán a lidiar con las enormes cantidades de datos de vulnerabilidad que recibe diariamente. Muchas organizaciones que automatizan estos procesos ven reducciones sólidas en el tiempo que lleva realizar la gestión diaria del riesgo cibernético. Y al crear esta jerarquía, responderá a los elementos de alta prioridad más rápido.

Aprovecha al máximo tus datos

Una de las partes más importantes de todo este proceso es tener una comprensión clara de cómo analizar sus datos. Muchos profesionales de seguridad de TI se encuentran con muchos datos, pero sin poder darles utilidad. Pero como ya tiene los datos, ahora es solo cuestión de llevarlos a una plataforma de administración de amenazas y vulnerabilidades. Luego, puede completar esas primeras asignaciones para comprender la crítica.

Vale la pena trabajar la vulnerabilidad de su organización, especialmente cuando comienza a ver el ahorro de tiempo, la corrección más rápida y la reducción de riesgos y amenazas.

Brindamos soluciones de Software líderes a nivel mundial para la automatización de sus procesos de trabajo.

Más información
  • pmn
  • 24 enero, 2020
  • More

Cómo el aprendizaje automático facilita los trabajos de GRC

El aprendizaje automático y la inteligencia artificial (IA). Se han convertido en palabras de moda en múltiples sectores, incluido el sector de gobierno, riesgo y cumplimiento (GRC). Pero, ¿qué es lo que realmente significa, y cómo se vincula con los profesionales de GRC?

El objetivo de la IA es permitir que las máquinas inteligentes piensen y actúen como humanos. Por otro lado, el aprendizaje automático es un subconjunto de IA. Su objetivo es conseguir que los sistemas aprendan de los datos, identifiquen patrones, y tomen decisiones sin ayuda humana. Básicamente, se trata de que las computadoras aprendan y se adapten, sin necesidad de ser programadas.

En resumen, el aprendizaje automático utiliza sus experiencias para buscar patrones y aprender de ellos. La IA utiliza sus experiencias para adquirir conocimientos / habilidades e información sobre cómo aplicar ese conocimiento en nuevas circunstancias.

El aprendizaje automático ha sido adoptado ampliamente. Esto se debe principalmente a su capacidad para resolver los problemas comerciales críticos que enfrentan muchas organizaciones globales.

“Un beneficio importante del aprendizaje automático es la capacidad de eliminar la subjetividad de calificación de riesgo”.

Entonces, ¿cómo ayuda el aprendizaje automático a GRC?

El aprendizaje automático tiene aplicaciones muy importantes en una variedad de configuraciones y funciones de GRC. Vemos algunos de estos en el libro electrónico de Galvanize, Aprendizaje automático para profesionales de la gobernanza , pero aquí hay algunos ejemplos:

  • Gestión de riesgos y oportunidades en función de factores más avanzados, estimaciones y respuestas.
  • Identificar patrones de fraude y desperdicio, extraer datos financieros y utilizar técnicas predictivas para desarrollar controles más efectivos.
  • La comprensión y la prevención exitosa de las ciberamenazas mediante el análisis de los datos y el aprendizaje automático respecto a los ataques.
  • Hacer un mejor uso de las tecnologías de cortesía como la automatización de procesos robóticos para mejorar la gestión, decisiones basadas en la informática refinada y la mejora de los algoritmos.

Obviamente, hay muchas más posibilidades, pero nos vamos a centrar en cómo ayuda a la gestión de riesgos. Mediante el análisis de grandes conjuntos de datos en tiempos cortos, el aprendizaje automático está cambiando la forma en la que se evalúan los riesgos. Los siguientes son algunos ejemplos:

La determinación de la solvencia

Los prestamistas pueden determinar la solvencia crediticia de los prestatarios potenciales al examinar conjuntos de datos como su huella digital. Esto se ha vuelto más común para la evaluación de los prestatarios con poco o ningún historial de crédito. Varias compañías utilizan la tecnología en sus sistemas para examinar fuentes de datos alternativas (como el uso de redes sociales, el historial de navegación y los GPA) para generar puntajes de crédito más precisos. Un estudio del MIT encontró que esto podría reducir las pérdidas bancarias de clientes morosos hasta en un 25%.

Identificar riesgos operacionales

El riesgo operacional está presente en todas las organizaciones, a partir de una pequeña empresa a una corporación global. Aquí hay un par de formas en que el aprendizaje automático puede ayudar con el riesgo operativo:

  • Amenazas de ciberseguridad. Se puede utilizar el análisis estadístico y algoritmos para detener las amenazas antes de que causen daños. Por ejemplo, la tecnología anti-spam utiliza para protegerse contra los spammers el análisis de la lengua en millones de mensajes para detectar amenazas potenciales.
  • Intentos de lavado de dinero. El costo del cumplimiento contra el lavado de dinero (AML) se estima en $ 23.5 mil millones por año, solo en EEUU. La agrupación de las técnicas utilizadas o la funcionalidad que las transacciones representan, pueden descubrir los intentos de lavado de dinero.

Distribuyendo recursos

Utilizando los datos del pasado a las transacciones de proyecto de un período a otro, los gestores de riesgos pueden determinar dónde dirigir los recursos. El aprendizaje automático ayuda a los gerentes de riesgo predecir automáticamente qué sucursales son propensas a fallar una auditoría, y cuales son susceptibles de pasar. Esto les permite concentrar sus esfuerzos en lugares que necesitan más atención. 

Escenarios modelos

Los gestores de riesgos pueden alterar los datos de entrada para averiguar el impacto que podría tener sobre los resultados previstos (por ejemplo, cómo se podría aumentar o disminuir las puntuaciones de riesgo). La tecnología puede explorar una multitud de modelos, permitiendo a los profesionales de GRC hacer predicciones y continuar repitiéndolas y refinándolas.

Eliminar la puntuación subjetiva de riesgo

Un beneficio importante del aprendizaje automático es la capacidad de eliminar la subjetividad de calificación de riesgo. La alimentación de datos en los sistemas y el uso de un modelo para determinar el riesgo basadas en datos, evita el proceso manual y humano de la puntuación de riesgo, que es a menudo inexacta.

El aprendizaje automático no es un concepto nuevo. Una gran cantidad de tiempo, esfuerzo, y la investigación ha entrado en el desarrollo y la construcción de esta modalidad. Que eleva los procesos y sistemas existentes, mejora la asignación de recursos, y libera a su personal para centrarse en las cosas que requieren atención humana real.

Brindamos soluciones de Software líderes a nivel mundial para la automatización de sus procesos de trabajo.

Más información
  • pmn
  • 3 enero, 2020
  • More

5 Formas en que la tecnología facilita el cumplimiento de TI

Los equipos de TI deben administrar un sinfín de responsabilidades de seguridad, cumplimiento y gestión de riesgos. Así que, un software adecuado puede reducir estos dolores de cabeza.

Los sistemas de TI efectivos forman la columna vertebral de cada organización. A medida que aumentan las demandas, los desafíos y la dependencia con determinados sistemas, también aumenta la presión sobre los equipos de TI.

Además de las responsabilidades diarias, los equipos de TI tienen la tarea de:

  • Identificar cuáles de las cientos de regulaciones y estándares deben seguirse, y cómo cumplir con todos los requisitos.
  • Preocupaciones de seguridad que podrían descarrilar los objetivos estratégicos de la compañía o las operaciones diarias.
  • Encontrar formas de medir, monitorear y garantizar la efectividad del estado general de seguridad de la organización.

No suena fácil, ¿verdad? Pero cuando tiene las herramientas correctas, como una solución IT GRC basada en datos y diseñada específicamente, puede ser mucho más fácil.

Obtenga rápidamente la supervisión de las vulnerabilidades

Imagine que desea evaluar el riesgo de adoptar una nueva tecnología, o tal vez investigar las vulnerabilidades de la infraestructura de TI de su empresa. Un buen lugar para comenzar es enviando un cuestionario de seguridad, que le dará una idea de qué tan bien (o qué tan mal) puede su organización proteger la integridad de los datos.

Hacer esto por su cuenta puede llevar mucho tiempo y limitarlo a los resultados de la encuesta. Muchas tecnologías incorporan estos cuestionarios en flujos de trabajo y paneles para que pueda:

  • Distribuir ampliamente cuestionarios detallados de seguridad
  • Ver y capture una evaluación general de la empresa a través de datos
  • Generar un informe sobre una puntuación para comparar con otros proveedores similares
  • Aplicar umbrales y recibir notificaciones si se necesitan revisiones de seguimiento.

Mapear controles específicos a marcos de TI

Con cientos de marcos de la industria de TI a seguir, puede ser difícil elegir los controles correctos y alinear las actividades de control para asegurarse de que está cubriendo todas sus bases. Una plataforma tecnológica rica en contenido puede gestionar innumerables marcos de control o estándares (por ejemplo, ISO, NIST, COBIT, PCI). A continuación, puede asignar controles internos a cada requisito de cumplimiento respectivo dentro de la plataforma para ver claramente qué esfuerzos se están realizando y descubrir lo que podría estar perdiendo.

“El uso de monitoreo continuo para ejecutar cientos de pruebas diariamente ayuda a demostrar que existen procedimientos efectivos para reducir el riesgo de incidentes de seguridad”.

Administrar los procedimientos de cumplimiento de seguridad de SOC

Si está trabajando para obtener su Informe de Certificación SOC, debe pasar por una auditoría y demostrar que cuenta con controles de seguridad y procedimientos corporativos adecuados para proteger los datos de los clientes.

Con una solución tecnológica dedicada, es más rápido y fácil:

  • Identificar objetivos de control detallados.
  • Capturar los pasos de revisión y la evidencia de cumplimiento
  • Asignar acciones apropiadas a los interesados ​​en toda la organización.

Calibre e informe sobre la adopción de políticas de seguridad

Su equipo de TI envía actualizaciones importantes sobre la política de seguridad de su empresa, como nuevos requisitos de contraseña o cómo manejar información confidencial. Pero, ¿cómo sabe que sus empleados realmente leen y digieren esta información? Las herramientas como nuestra plataforma HighBond le permiten distribuir encuestas en toda la organización o en departamentos específicos, proporcionar acceso a los documentos de política respectivos y hacer que los empleados certifiquen la comprensión de las políticas.

Se asegurará de que los empleados aprueben su comprensión, vean rápidamente quién no ha leído o atestiguado las políticas, e informarán fácilmente sobre esos datos a la alta gerencia y a los oficiales de seguridad.

Realizar revisiones de acceso de usuarios

Joe, Sally y Mike trabajan en su departamento de TI. Cada uno tiene diferentes responsabilidades y acceso a diferentes sistemas organizacionales. Joe tiene acceso a los registros de ventas. Sally no está autorizada para aprobar órdenes de compra. Y Mike es responsable de aprobar pedidos superiores a $ 15,000.

Ahora multiplique esto por 500, 1,000 o la cantidad total de empleados que se encuentren dentro de su organización. Ahora tiene miles de reglas y cientos de sistemas de aplicaciones diferentes. Por lo tanto, tomar muestras de los perfiles de usuario para asegurarse de que todos tengan el acceso correcto a los datos correctos no solo es insuficiente, sino que también es muy arriesgado.

El uso de monitoreo continuo para ejecutar cientos de pruebas diariamente ayuda a demostrar que existen procedimientos efectivos para reducir el riesgo de incidentes de seguridad.

La próxima vez que evalúe una solución para cumplimiento, riesgo, auditoría, operaciones o finanzas, considere cómo puede hacer uso de una solución integrada y diseñada específicamente para sus necesidades de cumplimiento de TI. Si tiene problemas con alguno de los puntos mencionados, puede ser el momento de comenzar a evaluar nuevas herramientas para ayudarlo con el cumplimiento de TI.

Brindamos soluciones de Software líderes a nivel mundial para la automatización de sus procesos de trabajo.

Más información
  • pmn
  • 24 diciembre, 2019
  • More