Nuestros servicios atienden las características de cada sector de actividad, garantizando la excelencia técnica.

  • Adecuamos el desarrollo de nuestros servicios a las necesidades específicas de cada organización, atendiendo sus características propias, así como las del sector en que actúa.
  • Integramos las soluciones implementadas al modelo operativo de la organización, logrando su consolidación y máxima generación de valor.
  • Aprovechamos las sinergias entre las distintas prácticas, ya instaladas o a instalar, para lograr soluciones más eficientes, eficaces y económicas.
  • Contamos con metodologías y herramientas basadas en los estándares internacionales pertinentes más aplicados.

Risk Insight & Compliance

Risk Insight & Compliance es una plataforma que permite implementar una práctica robusta de gestión integral de riesgos, aplicable a la:

  • gestión de riesgos Operativos (Enterprise Risk Management –ERM);
  • gestión de riesgos Tecnológicos;
  • gestión de riesgos de Portafolios de Proyectos y Proyectos;
  • gestión de riesgos asociadas a Sistemas de Gestión;
  • gestión de riesgos de Privacidad;
  • gestión de riesgos de Cumplimiento en general.

RI&C cuenta con funcionalidades adicionales para soportar un modelo de Gobernanza, Riesgo y Cumplimiento (GRC e IT GRC), bajo un eficiente enfoque convergente, integrando estas prácticas en forma óptima, automatizando la función de Cumplimiento.

Desde el punto de vista metodológico, RI&C puede ser configurada para soportar los principales marcos de referencia aplicables a la gestión de riesgos operativos, tecnológicos o de proyectos, entre los que se destacan el enfoque COSO II (Committee of Sponsoring Organizations of the Treadway Commission) y la Norma ISO 31000:2019.

Leer más

 

Principales características de RI&C

FLEXIBILIDAD: RI&C es configurable para reflejar las expectativas específicas de cada organización respecto de la gestión de riesgos, pudiendo incluso coexistir distintos enfoques sin perder la capacidad de consolidar los resultados obtenidos.

MULTIEMPRESA: RI&C ha sido diseñado para poder implementar modelos de GRC de múltiples empresas, manteniendo las características específicas de cada una, a la vez de permitir compartir los aspectos comunes que se desee; y manteniendo la capacidad de consolidar /comparar resultados, incluso entre empresas diferentes

INFRAESTRUCTURA: RI&C tiene requerimientos de infraestructura mínimos, pudiendo ser explotado bajo modalidad SaaS u On Premise.

SEGURIDAD: RI&C cuenta con una solución de 2FA de última generación embebida, para garantizar que no pueden ser usadas sin interacción y conformidad del usuario.

CULTURA BASADA EN RIESGOS: Al soportar distintas prácticas de gestión de riesgos (operativos, tecnológicos, de proyectos, privacidad, etc.) RI&C permite el uso de un lenguaje común en relación al tema a lo largo de toda la organización; que junto a la capacidad de comparar los resultados obtenidos, promueve el desarrollo de una visión ampliada respecto de los riesgos.

CONTROL ORIENTADO AL RIESGO: Esta visión facilita la implementación de un enfoque de “control orientado al riesgo”, cada vez más necesario.

GRC: RI&C permite modelar en forma flexible la línea de reporte y jerarquías en toda la organización, o parte de ella, e incluso de un grupo de organizaciones; permitiendo gestionar los riesgos y controles que son responsabilidad de cada nivel, de cara a lograr los objetivos definidos (estratégicos, operativos, o de cualquier tipo), satisfaciendo los requisitos de cumplimiento que corresponda. RI&C permite gestionar tantos modelos de gobernanza como sean requeridos en una misma instalación.

INTEGRACIÓN DE LAS 3 LÍNEAS DE DEFENSA: La capacidad de consolidar automáticamente un conjunto de evaluaciones de riesgos y la generación de reportes de cumplimiento,  facilita el trabajo coordinado entre las distintas unidades  que conforman la 1era y 2da línea de defensa, promoviendo el cumplimiento respecto de la Estructura de Control Interno y demás requisitos (de cumplimiento) acordados.

Nuestro Diferencial

EQUIPO MULTIDISCIPLINARIO: Entendemos sus necesidades. Nuestro equipo de soporte está conformado por especialistas en gestión de riesgos y GRC con más de 20 años de trayectoria y técnico expertos en las tecnologías de punta quienes mantienen el “estado del arte” tecnológico de nuestra plataforma RI&C.

Business Continuity Management (BCM). Resiliencia Corporativa

Si bien la mayoría de las organizaciones son conscientes de la importancia de garantizar la continuidad de sus operaciones, e invierten mucho tiempo y recursos en el tema; en los hechos no siempre logran los resultados esperados. La incertidumbre respecto a su capacidad para gestionar una crisis, recuperar sus operaciones o la efectividad de sus medidas preventivas puede ser grande.

Por otro lado, la complejidad en aumento de los modelos de negocio, la globalización, la alta dependencia respecto de proveedores claves y el incremento de los requisitos normativos sobre continuidad operativa, hacen que la gestión de la continuidad del negocio sea un gran desafío, que no deja lugar a la improvisación.
Adicionalmente, hoy más que nunca, las organizaciones son conscientes que más allá de recuperarse de interrupciones operativas puntuales….o no tanto,  lo que desean es poder garantizar su prosperidad futura, con lo cual se abre paso a un nuevo desafío: la “resiliencia corporativa”. Ésta busca mejorar el posicionamiento de una organización para poder anticipar y explotar cualquier tipo de cambio, incluso los derivados de una crisis, tratando de adaptarse para prosperar, no solo para “sobrevivir”.

Leer más

Nuestro diferencial

  • Profesionales con más de 30 años de experiencia trabajando en BCM/Busienss Continuity Management Systems (BCMS) en organizaciones de diferente tamaño e Industria.
  • Enfoque práctico y efectivo que permite desarrollar soluciones de más calidad en menos tiempo (del orden del 40% menos).
  • Marcos metodológicos y herramientas propietarias para soportar nuestros servicios
  • Integración de nuestras soluciones con el resto de prácticas de gestión de la organización.

En qué podemos asistir a nuestros clientes

  • Diseño e implementación de Estrategias, Planes y Soluciones de continuidad del negocio.
  • Diseño e implementación de Sistemas de gestión de la continuidad del negocio.
  • Diseño e implementación de Planes preventivos.
  • Preparación para la certificación en las Normas ISO correspondientes.
  • Asistencia para mantenimiento y prueba de soluciones de continuidad del negocio y/o planes preventivos.
  • Diseño e implementación de sitio alternativo de procesamiento de datos.
  • Diseño e implementación de Estrategias de Resiliencia Corporativa.
  • Evaluación del nivel de resiliencia de procesos y críticos.
  • Desarrollo/revisión de modelos y políticas de resiliencia corporativa, incluyendo su vinculación con las prácticas correspondientes (BCM, Gestión de Riesgos, GRC, CyberSecurity, etc.)
  • Supply Chain y IT resilience.
  • Capacitación.

GRC

Los temas de Gobierno, Riesgo y Cumplimiento no son nuevos para las organizaciones, pero sí el énfasis y enfoque integrado con el que se tratan hoy.

Históricamente GRC ha sido visto, en el mejor de los casos, como un mecanismo para manejar situaciones negativas derivadas de crisis, escándalos, incidentes operativos, incumplimiento, etc., pero en los últimos años las organizaciones están cambiando su punto de vista, abandonando esta postura “a la defensiva” y viéndolo como una herramienta para alcanzar los objetivos de negocio, satisfacer las expectativas de los stakeholder y/o mejorar su desempeño.

La gestión efectiva del desempeño corporativo, sustentada en un proceso de toma de decisiones basado en una práctica robusta de gestión integral de riesgos, es fundamental para que las organizaciones alcancen sus objetivos, en forma alineada a su estructura de gobierno. Lo cual es un requisito fundamental del Gobierno Corporativo..
En este contexto, el cumplimiento deja de ser una función en sí misma para pasar a ser el resultado de una gestión de riesgos bien realizada, logrando el acatamiento requerido bajo un enfoque holístico (leyes, regulaciones, políticas, procedimientos internos, estándares, buenas prácticas, etc.)

Nuestro diferencial

  • Profesionales con más de 15 años de experiencia.
  • Marcos metodológicos para implementar modelos GRC efectivos y realmente integrados al modelo operativo de la organización.
  • Diseño e implementación de prácticas de gestión de riesgos eficientes, que soporten efectivamente un enfoque de control orientado al riesgo.
  • Herramienta de software propietaria, Risk Insight & Compliance (RI&C), que soporta modelos GRC y automatiza gran parte de la función de cumplimiento, permitiendo además gestionar en forma flexible un repositorio centralizado de todos los requisitos a satisfacer.
  • Bibliotecas de requisitos de cumplimiento (objetivos de control) internacionales y locales precargados en RI&C, listos para ser aplicados.

En qué podemos asistir a nuestros clientes

  • Evaluación del nivel de madurez de las prácticas de GRC.
  • Diseño e implementación de Modelos GRC, adecuados a la realidad de cada organización  e integrando las restantes prácticas de gobernanza y gestiones instaladas.
  • Automatización de los procesos de GRC y diseño e implementación del plan de despliegue.
  • Capacitación.
  • Implementación de Risk Insight & Compliance.
  • Reducción de costos asociados a GRC.

Compliance

Cada vez  las  organizaciones  deben satisfacer más requisitos de cumplimiento, tanto externos como internos; y no lograrlo puede causarles daños como nunca antes.
Por otro lado, el uso de nueva tecnología (Inteligencia Artificia, robótica, etc.), el aumento en cantidad y sofisticación de los Cyberattacks, las cambiantes y crecientes expectativas de los clientes, el aumento de la normativa, así como los cambios propios de sus modelos de negocio, impactan fuertemente en su función de Cumplimiento.

En este contexto, riesgo y cumplimiento dejaron de ser un mero formalismo para transformarse en un impulsor de la estrategia, las capacidades y el rendimiento de la organización.
En tal sentido, la convergencia de datos y tecnología de hoy hace posible definir Sistemas de Gestión del Cumplimiento (Compliance Management System – CMS) eficientes como nunca, que incluyen programas de Prueba de Controles y Cumplimiento (PCC) e integran las 3 líneas de defensa: Unidades de negocio, Función de Cumplimiento y Auditoría Interna

Nuestro diferencial

  • Profesionales con más de 15 años de experiencia en el tema, fundamentalmente en la automatización de la función de Cumplimiento.
  • Metodologías para guiar el diseño e implementación de la función /área de Cumplimiento
  • Enfoques para identificar riesgos de cumplimiento derivados de la utilización de tecnologías emergentes.

En qué podemos ayudar a nuestros clientes

  • Diseño de Sistemas de Gestión del Cumplimiento (CMS) efectivos, incluyendo el programa de Prueba de Controles y Cumplimiento (PCC).
  • Definición de roles y funciones asociados al CMS.
  • Revisión /ajuste del sistema de información para soportar un CMS y/o programa PCC.
  • Implementación de nuestra herramienta Risk Insight & Compliance para soportar la función de Cumplimiento
  • Evaluación del nivel de madurez en las prácticas vinculadas para identificar sus oportunidades de mejora en relación al tema.
  • Capacitación.

Privacy

A partir de la implementación en la Comunidad Europea de la nueva reglamentación en relación a la protección de los datos personales de las personas físicas   ( “General Data Protection Regulation” -GDPR), en el 2018, varios territorios, entre los que se encuentra Uruguay, redoblaron esfuerzos para trabajar en el tema.
Es así que la protección de datos personales juega un papel cada vez más relevante en las organizaciones, bajo la presión de la sociedad y los gobiernos, que día a día son más críticos frente a la gran cantidad de datos personales recopilados y procesados.
Por un lado, la privacidad, seguridad y confianza, son cada vez más importantes para las organizaciones y sus clientes; pero por otro, están más en riesgo. Las violaciones masivas a los datos y la recopilación constante de información personal, nos llevan a preguntarnos si la privacidad hoy es posible.
La gran cantidad de información  almacenada en las organizaciones hace que el impacto de los Cyberattacks aumente, así como la dificultad de contar con prácticas de gobierno de datos adecuadas, por lo que satisfacer los requerimientos de privacidad es un gran desafío para los CEO.
En este contexto, la tecnología juega un rol decisivo para garantizar el cumplimiento de las normas y leyes de privacidad correspondientes, así como para demostrar este cumplimiento.

Nuestro diferencial

  • Equipos multidisciplinarios.
  • Metodologías para el diseño e implementación de Programas de Privacidad adecuados a los requerimientos territoriales y sectorial que correspondan, así como a las expectativas propias de cada organización.
  • Herramienta (Risk Inisght & Compliance) para soportar procesos de auto evaluación de controles de privacidad, relevamiento y clasificación de tratamientos datos personales y ejecución de la gestión de riesgos de privacidad de los tratamientos de datos personales y la evaluación de impacto en la protección de datos personales (Data Protection Impact Assessment -DPIA)

En qué podemos asistir a nuestros clientes

  • Gap Análisis respecto al nivel de cumplimiento de la normativa pertinente.
  • Diseño e implementación de Programas para la Protección de Datos Personales
  • Diseño e implementación de metodologías para guiar la Evaluación de Impacto en la protección de datos personales (DPIA) y la Gestión de riesgos de privacidad.
  • Análisis del impacto de la Normativa a nivel de la estrategia, gobernanza y responsabilidades organizacionales.
  • Revisión del Modelo y Política de Gobierno de Datos desde el punto de vista de la privacidad
  • Revisión y mejora de los procesos de Respuesta a incidentes y Gestión de brechas de seguridad, con foco en privacidad.
  • Gestión de 3eros en relación a la privacidad.
  • Data Security.
  • Diseño de modelo de protección de datos por defectos desde el diseño (PDpD, PbD)
  • Servicios de capacitación y awareness en temas de privacidad.

Gestión de riesgos

La gestión de riesgos es una poderosa herramienta que permite identificar y priorizar eventuales riesgos que podrían comprometer el logro de los objetivos, de cualquier tipo, de la organización , ya sean a nivel estratégico, operativo, tecnológico, de privacidad o de cumplimiento. Por lo anterior, la gestión de riesgos es una competencia clave y debe estar integrada a la cultura, estrategia y demás prácticas de gobernanza y gestión en todas las unidades de negocio; y fundamentalmente al proceso de toma de decisiones.
En este sentido, una adecuada gestión de los riesgos permite tomar decisiones informadas, con confianza y claridad. Y si bien es deseable que la práctica de gestión de riesgos se alinee respecto del estándar internacional seleccionado, deberá recoger las expectativas de la organización en relación a su perfil de riesgo, de manera de asegurar una correcta priorización de los principales riesgos identificados, disminuyendo los “riesgos sorpresa”.

Nuestro diferencial

  • Profesionales certificados, con más de 25 años de experiencia trabajando en la gestión integral de riesgos, en diferentes sectores, con foco en el sector financiero y gobierno, a nivel de riesgos operativos, IT y de proyectos y portafolios de proyectos.
  • Metodologías probadas.
  • Herramienta de software que soporta la práctica: Risk Insight & Compliance.
  • Capacidad de integrar una práctica robusta de gestión de riesgos a las restantes prácticas de gobernanza y gestión de la organización.

En qué podemos asistir a nuestros clientes

  • Implementación de marcos metodológicos para guiar la gestión de riesgos operativos, de IT, proyectos, portafolios de proyectos, cumplimiento, sistemas de gestión o privacidad.
  • Conducción de Análisis de riesgos asociado a la elaboración e implementación de la estrategia organizacional.
  • Implementación de Risk Insight & Compliance como herramienta para soportar una práctica de gestión de riesgos robusta.
  • Capacitación.

Seguridad de la información

En el sentido amplio, la seguridad de la información es una de las preocupaciones principales de las organizaciones en estos días.
Son muchos los cambios a nivel de IT que obligan a repensar las estrategias y programas de seguridad, así como el rol que deben desempeñar los técnicos y alta gerencia para lograr un mejor nivel de seguridad y control; y generar las capacidades y recursos requeridos para mantenerlo.

En líneas generales, los requerimientos de seguridad de la información de una organización se pueden agrupar según de 4 dominios:

  1. Innovación y transformación digital.
  2. Gobierno y gestión de la información.
  3. Gobierno y gestión de la función de IT y todos sus recursos, incluyendo los datos.
  4. Procesos y procedimientos operativos de IT.

Leer más

Nuestro diferencial

  • Profesionales con más de 25 años de experiencia
  • Profesionales certificados.
  • Partners de las principales soluciones de seguridad.

En qué podemos asistir a nuestros clientes

  • Diseño e implementación de Estrategias de seguridad de la información, aplicables a tecnología emergente.
  • Diseño e implementación Arquitectura y soluciones de seguridad.
  • Revisión/ diagnósticos de seguridad (aplicando diferentes marcos de referencia).
  • Implementación de marcos de referencia en seguridad de la información y ciberseguridad.
  • Revisión de Aplicaciones.
  • Diseño e implementación de prácticas para la gestión de la respuesta ante incidentes de seguridad.
  • Penetration Testing.
  • Diseño del área de Seguridad.
  • Diseño e implementación de estrategias de seguridad enfocadas en Internet of Things (IoT).
  • Active Defence Services.
  • Servicios de apoyo al  Chief Privacy Officer (CPO).
  • Servicios de apoyo al Chief Information Security Officer (CIO).
  • Tercerización de  la función Chief Information Security Officer (CIO).
  • Servicios asociados a Cloud Security.
  • Capacitación y Awarness en seguridad.

Auditoría de Sistemas

El rol del auditor ha venido evolucionando en los últimos años, buscando adoptar un enfoque más proactivo que genere más valor al negocio, también cambiante. Y esto es especialmente marcado para el Auditor de Sistemas

Por otro lado las organizaciones cada vez más reconocen la necesidad de contar con Auditores de Sistemas con experiencia, si bien en los hechos en general esto no se cumple.

Es muy difícil pensar en poder realizar auditorías contables u operativas en organizaciones que utilizan Blockchain, RPA, AI, Cloud, etc. sin contar con un Auditor de Sistemas. Adicionalmente, la normativa que aplica al negocio usualmente impacta en la Función de IT, ya que la estructura de control interno de la organización se basa mayormente en controles automáticos.

La variedad de riesgos vinculados a IT y  la alta exposición que presentan las organizaciones respecto de ellos es otro argumento más que da relevancia al rol del Auditor de Sistemas.

Nuestro diferencial

  • Profesionales con más de 30 años de experiencia en la práctica de auditoría y profundos conocimiento de los sectores: Financiero, Telecomunicaciones, Retail y Energía.
  • Profesionales certificados.
  • Marcos metodológicos ampliamente probados.

En qué podemos asistir a nuestros clientes

  • Análisis de vulnerabilidades.
  • Diagnósticos respecto a diferentes marcos de referencia.
  • Revisión de controles generales.
  • Auditoría de aplicaciones.
  • Elaboración y ejecución de Planes de Auditoría y Programas de trabajo.
  • Assurance en equipos de proyectos de transformación de IT.
  • Capacitación.
  • Tercerización de la función de Auditoría de IT.

Forensic

Si bien las prácticas de Forensic son útiles para investigar un incidente ocurrido; también pueden ser adoptadas bajo un enfoque proactivo para prevenir fraudes y corrupción.

Las organizaciones están cada vez más expuestas a estos problemas y el impacto negativo que pueden causarles va en aumento, considerando pérdidas financieras, de imagen, reputación, etc.
En tal sentido, hemos desarrollado una práctica de Digital Forensic para trabajar con los datos y el entorno tecnológico, en la prevención, detección e investigación del fraude empresarial y financiero.

Nuestro objetivo es dirigir investigaciones complejas para detectar delitos digitales o cualquier tipo de delito que deje “rastro” digital, para lo cual es fundamental recolectar y analizar rápidamente datos históricos que puedan proporcionar conocimiento de la situación y evidencia.

De esta forma buscamos asistir a nuestros clientes en crear confianza y cuidar su reputación y activos.

Nuestro diferencial

  • Personal altamente calificado.
  • Herramientas de software.
  • Metodologías probadas que nos permiten: brindar una respuesta ágil; realizar un trabajo sistemático y robusto; aplicar una mentalidad “Forensic”; aprovechar la innovación tecnológica y generar planes de acción dinámicos que se puedan ir ajustando a lo largo de la investigación.

En qué podemos asistir a nuestros clientes

  • Asistencia en la prevención y detección del crimen financiero.
  • Asistencia en la prevención y detección del fraude.
  • Investigación de fraudes.
  • Asistencia para implementar Inteligencia Corporativa (ej.: KYC; Due Diligence de integridad y reputacional, Monitoreo permanente de socios de negocio/empresas).
  • Investigación en procesos transaccionales.
  • Investigación de Fraude tecnológico.
  • Forenisic Data Analytics.

Ciber security & crisis management

Durante años se ha trabajado en la planificación de la continuidad de las operaciones de IT diseñando estrategias de recuperación a partir de sitios alternativos de procesamiento de datos y capacidades de procesamiento en alta disponibilidad.

No obstante, las amenazas actuales de ciberseguridad como el ransomware, han desafiado todos estos planes, ya que si bien una vez que se detecta la crisis es posible operar desde un sitio remoto, es muy probable que el mismo también esté comprometido y fallen nuestros antiguos planes; a pesar de tener disponible el hardware y software requerido.

Es necesario un cambio de paradigma y actualizar nuestros planes considerando los riesgos actuales de ciberseguridad.

Usualmente, una vez registrada una interrupción de las operaciones críticas del negocio (contingencia), hablábamos de crisis cuando la situación podía comprometer la integridad física de las personas o los activos de la organización; pero hoy en día un incidentes de ciberseguridad puede ocasionar un impacto negativo tal, que también requiera ser gestionado como una crisis. En tal sentido, se deberán considerar las acciones de respuesta altamente técnicas de ciberseguridad, así como las de comunicación, dada la visibilidad que puede tener lo sucedido.

Nuestro diferencial

  • Profesionales con experiencia en gestión de centros de respuesta ante incidentes internacionales.
  • Profesionales especializados en respuesta ante incidentes y gestión de crisis.
  • Expertos en Análisis de Malware.
  • Plataforma de ciberentrenamiento y ciberrange.
  • Pruebas reales y escenarios reales.
  • Entendimiento de contexto internacional de ciberseguridad.
  • Expertos en gestión de comunicación de crisis.
  • Equipo multidisciplinario.

En qué podemos asistir a nuestros clientes

  • Creación de planes de continuidad contemplando ciberseguridad.
  • Creación de escenarios reales de ciber crisis, evaluando su impacto en el negocio.
  • Creación de planes de comunicación de crisis.
  • Desarrollo de Workshops ejecutivos y técnicos.
  • Simulacros de incidentes.
  • Pruebas de equipos técnicos de respuesta,
  • Entrenamiento en análisis de malware y forense digital para la rápida respuesta ante incidentes.
  • Creación de Playbooks de respuesta ante incidentes.
  • Desarrollo de procesos y procedimientos de respuesta ante incidentes.

SOC

El aumento de la exposición de las organizaciones al ciber crimen, hace crítico que cuenten con la capacidad de realizar un monitoreo continuo de sus herramientas de ciberseguridad, de forma de garantizar la detección temprana de eventuales incidentes.

Pero la gran diversidad de estas herramientas existente en el mercado y la alta rotación de los profesionales capacitados dificulta muchas veces llevar adelante esta tarea.

En tal sentido, es una tendencia internacional contratar Servicios de Operaciones de Seguridad, que permitan mantener un monitoreo continuo de alertas y eventos de seguridad.

En Quanam Advisory ofrecemos un servicio de SOC (Security Operation Center) de primer nivel, que brinda una función de monitoreo continua, en búsqueda de eventos maliciosos, para garantizar su alerta y atención temprana; pudiendo realizar la gestión completa de las soluciones y/o proveedores de servicios de seguridad con los que trabajen nuestros clientes.

Nuestro diferencial

  • Personal especializado en SOC y CSIRT.
  • SOC con servicio 24x7.
  • Expertos en múltiples tecnologías.

En qué podemos asistir a nuestros clientes

  • Monitoreo de soluciones de ciberseguridad.
  • Monitoreo 24x7.
  • Alerta temprana.
  • Reportes mensuales.