Software GRC NovaSec MS®  |  Una solución práctica para la gestión del gobierno, riesgo y cumplimiento

Implementar, operar y mejorar los sistemas de gestión de forma sencilla es posible. ¡No te lo vas a creer!

"NovaSec MS® se puede adquirir como servicio
invirtiendo solo en los módulos que necesita
de acuerdo con el alcance de su gestión".

Módulos NovaSec MS®
Todos
Gobierno
RIESGO
CUMPLIMIENTO

Balanced Scorecard

Gestión de la estrategia empresarial, plan estratégico de TIC y estrategia de seguridad de la información basada en cuadro de mando integral. PETI. Indicadores. ISO 27004.

BSC
Gobierno

Gestión de Planes

Administración seguimiento y reporte de proyectos, planes de acción, planes de tratamiento de riesgos, iniciativas estratégicas y portafolio de proyectos. PMO. Gerencia de Proyectos.

Planes y Proyectos
Gobierno

Gestión de Políticas

Cargar el documento de la política, documentar comentarios de revisión y aprobación para trazabilidad de versiones, y distribución de la versión actualizada y aprobada. Para una gestión centralizada de documentos de la organización. ISO 9001, ISO31000, Auditoria IIA.

Leer más
Gobierno

Gestión de Riesgos

Software para riesgos operativos, de seguridad de la información, continuidad del negocio, ciberseguridad, SARLAFT, riesgos de procesos y de seguridad digital. ISO 31000, ISO 27005, MAGERIT.

Riesgos
RIESGO

Activos de Información

Inventario, clasificación, controles para activos de información y ciberactivos, gestión de información, infraestructura crítica, protección de datos personales y privacidad. ISO 27001, SGSI.

Leer más
RIESGO

Gestión de Incidentes

Incidentes de seguridad de la información, ciberseguridad, continuidad del negocio y de sistemas de gestión ISO. Tratamiento de incidentes. ISO 27035. NIST 800-61.

Incidentes
RIESGO

BIA

Gestión y reporte del análisis de impacto al negocio con las pérdidas, variables críticas de recuperación como RTO RPO, dependencias, recursos críticos, criticidad de procesos y recursos. ISO 22301. ISO 22317.

BIA
RIESGO

Eventos de Riesgos

Administración de eventos de seguridad de la información, seguridad informática, eventos de riesgo operacional, ciberseguridad y de sistemas integrados de gestión ISO.

Eventos
RIESGO

Gestión de Pruebas

Diseño, ejecución, registro y reportes de resultados de pruebas de continuidad del negocio, pruebas de recuperación ante desastres, procedimientos de gestión de incidentes y de crisis. ISO 22301, ISO27001, ISO27035.

Leer más
RIESGO

Gestión de Cumplimiento

Análisis de brecha, diagnóstico, GAP, leyes, regulaciones, normas ISO 27001, PCI, COBIT, SOX, ISO 22301, LPDP, GDPR, MSPI, GEL, ISO 9001, Arquitectura empresarial.

Cumplimiento
CUMPLIMIENTO

Gestión de Auditoría

Solución para el diseño, planeación, ejecución y reporte de auditorías internas o externas de sistemas de gestión, tecnología y sistemas de control interno. Auditoría SOX, ISO 27001, COBIT, ISO 9001, LPDP.

Auditorías
CUMPLIMIENTO

Gestión de Indicadores

Diseño, medición, monitoreo y reporte de indicadores de riesgo, procesos, controles y sistemas de gestión ISO. Cuadro de mando de indicadores. ISO 27004. KPI, KRI.

Indicadores
CUMPLIMIENTO

Reporte de Hallazgos

Software para la gestión y el seguimiento de las acciones para el cierre de los hallazgos en auditorías.

Hallazgos
CUMPLIMIENTO

Software Continuidad del Negocio

  • Análisis de impacto al negocio (BIA) - ISO 22301

    Análisis de Impacto al Negocio con el software GRC NovaSec MS

    Software para el diseño, reporte y actualización del análisis de impacto al negocio BIA como base para definir las estrategias de continuidad del negocio BCP y los planes de recuperación antes desastres de tecnología DRP.

    FUNCIONALIDADES

    • Identificar cuáles son las pérdidas económicas, operacionales, de imagen u otras que puede tener la organización por indisponibilidad de sus operaciones o recursos críticos.
    • Establecer los montos de las pérdidas acumuladas de diferentes actividades o procesos de la organización.
    • Gestionar las variables críticas de punto objetivo de recuperación (RPO), tiempo objetivo de recuperación (RTO) u otras necesarias para definir las necesidades de continuidad de los procesos y de la recuperación tecnológica.
    • Definir cuáles son los recursos críticos necesarios para la ejecución de los procesos de la organización y sus dependencias.
    • Conocer cuáles son los procesos más críticos relacionados con la continuidad del negocio.
    • Tener un registro de las interrupciones ocurridas en la organización.
    • Generar sus propios reportes del análisis de impacto al negocio, aplicando diferentes criterios de filtrado y selección de información a través de un generador dinámico de reportes.
     

    BENEFICIOS

    • Contar con la información necesaria para la toma de decisiones sobre el diseño e implementación de las estrategias de continuidad de los procesos y la recuperación de las TICs.
    • Obtener reportes en línea personalizados, para conocer los impactos generados por indisponibilidad de procesos, recursos críticos o de todo el negocio.
    • Actualizar y mantener fácilmente todos los análisis de impacto al negocio, teniendo un histórico de las diferentes evaluaciones realizadas.
    • Responder rápidamente a las preguntas relacionadas con la criticidad de los procesos y sus pérdidas asociadas.
    • Observar gráficamente las pérdidas específicas y acumuladas así como las criticidades de las actividades y de los procesos.
    • Tener centralizada toda la información del análisis de impacto, permitiendo que los procesos directamente mantengan y actualicen su información.

    INTEGRACIONES

    • Con el módulo de riesgos se pueden identificar, valorar y tratar los riesgos que afectan la continuidad de los activos de información y de los procesos del negocio.
    • Cuando ocurra un evento de pérdida de la continuidad se puede registrar y gestionar la atención del incidente de manera eficaz en todo su ciclo.
    • Con el módulo de auditoría se puede realizar el registro de las pruebas o las auditorías a los planes de continuidad, dejando evidencia documental de las acciones y pruebas realizadas.
    • Puede contar con toda la documentación de los planes en línea, para que los equipos de continuidad y recuperación puedan acceder a los planes, guías, procedimientos e instructivos de referencia para la ejecución de las actividades.
     
  • Cómo vender los proyectos de seguridad de la información

    Cómo justificar los proyectos de seguridad de la información

    Buscar la aprobación de proyectos al interior de las organizaciones es un reto, más aun cuando se trata de iniciativas en seguridad de la información. En este artículo te proponemos algunas herramientas.

  • Gestión de políticas y procedimientos

    Gestión de políticas y procedimientoscon el software GRC NovaSec MS

    Las organizaciones requieren mantener un repositorio centralizado de políticas, para asegurar que todos los interesados tienen acceso a las últimas versiones de estos documentos y están alineados para su cumplimiento. El módulo de Políticas de NovaSec GRC permite cargar, gestionar y distribuir las políticas dentro de su organización.

    FUNCIONALIDADES

    • Segmentar los documentos/políticas por tipo.
    • Cargar el documento de política u otro documento, en formatos *.docx, *xlsx o *.pdf
    • Registrar la política con información clave de codificación, tipo y detalles generales.
    • Asignar usuarios en los roles de revisión, aprobación, interesados y usuarios del documento.
    • Mantener en un repositorio centralizado las diferentes versiones de la política/documento.
    • Documentar comentarios de revisión de las diferentes versiones de la política.
    • Tener el flujo de gestión para revisión, aprobación y distribución/publicación de la política.
    • Tener acceso directo para descarga de la política/documento para los usuarios autorizados.
    • Notificaciones a responsables e interesados a través de correo electrónico.
    • Mantener versiones historias y/u obsoletas.
    • Consultar información de los registros de políticas a través de una funcionalidad avanzada de generador de reportes.
     

    BENEFICIOS

    • Gestión centralizada de las políticas en su versión actual y versiones históricas.
    • Registro estructurado de versiones y sus comentaros de revisión y aprobación.
    • Disponer de la última versión del documento para consulta de los interesados.
    • Distribución automática de la última versión de la política para asegurar que reciben el documento de forma oportuna.
    • Notificar a través de correo electrónico de nuevas versiones del documento para mantener a todos los empleados informados.
    • Registro de confirmación de lectura de la política, para mantener trazabilidad de comunicación.
    • Gestión de las políticas y documentos en el marco de Gobierno, Riesgo y Cumplimiento para una visión holística del cumplimiento normativo.
    • Contar con reportes actualizados del estado de las políticas dentro de su organización.

    INTEGRACIONES

    • Las políticas se pueden integrar con el módulo de pruebas, ya que se permite que la documentación de las políticas, planes de continuidad, procedimientos o guías se referencien en las pruebas.
  • Pruebas de gestión de Continuidad, Incidentes y Crisis

    Pruebas de gestión de Continuidad, Incidentes y Crisiscon el software GRC NovaSec MS

    Las organizaciones deben realizar ejercicios de prueba para validar las capacidades reales de sus planes recuperación ante desastres, de continuidad del negocio, y de sus prácticas de gestión de incidentes y de crisis. El módulo de pruebas de NovaSec GRC permite probar y mejorar la resiliencia operacional de su organización.

    FUNCIONALIDADES

    • Diseñar planes para pruebas de planes de contingencia, DRP, BCP o procedimientos de gestión de incidentes o de crisis, con sus fases, actividades, descripción, dependencias, responsables y tiempos objetivo.
    • Documentar las características, objetivos, procesos alcance, BIA relacionado, riesgos y documentación de cada prueba.
    • Realizar ejecuciones de las pruebas para que el NovaSec GRC notifique automáticamente a los responsables y tome los tiempos de ejecución de las tareas en tiempo real.
    • Documentar los resultados de las ejecuciones de las pruebas dejando evidencia de sus resultados y tiempos a nivel general y por actividad.
    • Generar hallazgos sobre tareas de las pruebas que requieran mejoras.
    • Dar acceso basado en roles a los usuarios a las pruebas y a las acciones específicas que pueden realizar sobre estas.
    • Contar con motores para generar reportes, análisis de datos y cuadros de mando con gráficos a la medida y compartirlos con interesados.
     

    BENEFICIOS

    • Comprobar de manera objetiva las capacidades reales de recuperación y continuidad del negocio.
    • Tener una práctica estructurada y sistemática para realizar ejercicios y pruebas de continuidad, recuperación, incidentes y crisis.
    • Contar con una solución en donde se pueden llevar a cabo pruebas y ejercicios en tiempo real, coordinando a los equipos de trabajo y documentando los resultados de manera colaborativa.
    • Validar los procedimientos, identificando fallas y debilidades de estos y mejorar la preparación para la gestión de la continuidad del negocio, la gestión de incidentes y de crisis.
    • Mejorar el cumplimiento normativo relacionado con la ejecución y documentación de pruebas de continuidad.
    • Tener reportes y cuadros de mando del estado de la práctica de ejecución de pruebas de la organización.

    INTEGRACIONES

    • A las pruebas se le pueden relacionar los riesgos de ciberseguridad, operacionales o de continuidad del negocio, y los análisis de impacto al negocio (BIA) a los cuales responde, de tal manera que el contexto de la prueba y su escenario tenga información de otros módulos de interés del sistema.
    • Se podrá relacionar información del módulo de políticas para poder referenciar los documentos, planes, procedimientos, listas de chequeo, entre otros, que apoyan la realización, documentación o justificación de la prueba.
    • Se pueden integrar servicios de correo para realizar notificaciones de las actividades de la prueba a los responsables.
    • Se pueden crear reportes en el sistema que se pueden enviar a sistemas de visualización y análisis de datos como Power BI, Tableau o otros que permitan integración con API.

Descubre cómo el software GRC NovaSec MS se adapta a las necesidades de tu negocio.