Aplicamos nuestra experiencia, metodologías y esfuerzo para generar soluciones integrales de alto valor (end-to-end), haciendo un uso innovador y exhaustivo de la tecnología.

Ayudamos a nuestros clientes a:

  • Lograr sus objetivos de negocio en forma eficaz y eficiente, alineando un desempeño superior con el perfil de riesgos deseado y cumpliendo con todos los requerimientos pertinentes.
  • Entender qué decisiones deben tomar, asegurando que cuenten con la información necesaria para soportar un adecuado proceso de toma de decisiones.
  • Contar con una práctica de gestión de riesgos robusta e integral, capaz de enfocarlos en los problemas que realmente deben atender y los aspectos a monitorear.
  • Contar con los procesos y sistemas de gestión que promuevan la responsabilidad en relación al logro de las metas corporativas, apoyando la toma de decisiones y la ejecución operativa.
  • Anticipar sus problemas y necesidades, incluso derivados del uso de tecnologías emergentes o cambios normativos

Nuestros servicios atienden las características de cada sector de actividad, garantizando la excelencia técnica.

  • Adecuamos el desarrollo de nuestros servicios a las necesidades específicas de cada organización, atendiendo sus características así como las del sector en que actúa.
  • Integramos las soluciones implementadas al modelo operativo de la organización, logrando su consolidación y máxima generación de valor.
  • Aprovechamos las sinergias entre las distintas prácticas, ya instaladas o a instalar, para lograr soluciones más eficientes, eficaces y económicas.
  • Contamos con metodologías y herramientas basadas en los estándares internacionales más aplicados pertinentes.

Business Continuity Management (BCM). Resiliencia Corporativa

Si bien la mayoría de las organizaciones son conscientes de la importancia de garantizar la continuidad de sus operaciones e invierten mucho tiempo y recursos en el tema, en los hechos no siempre logran los resultados esperados. La incertidumbre respecto a su capacidad para gestionar una crisis, recuperar sus operaciones o la efectividad de sus medidas preventivas puede ser grande.
Por otro lado, la complejidad en aumento de los modelos de negocio, la globalización, la alta dependencia respecto de proveedores claves y el incremento de los requisitos normativos sobre continuidad operativa, hace que la gestión de la continuidad del negocio sea un gran desafío, que no deja lugar a la improvisación.
No obstante, hoy más que nunca, las organizaciones son conscientes que más allá de recuperarse, lo que desean es poder garantizar su prosperidad futura, con lo cual se abre paso un nuevo enfoque: la “resiliencia corporativa”, que busca mejorar su posicionamiento para poder anticipar y explotar cualquier tipo de cambio, incluso los derivados de una crisis, tratando de adaptarse para prosperar, no solo para “sobrevivir”.

Nuestro diferencial

  • Profesionales con más de 30 años de experiencia trabajando en BCM/BCMS en organizaciones de diferente tamaño e Industria.
  • Enfoque práctico y efectivo que permite desarrollar soluciones de más calidad en menos tiempo (40% menos).
  • Marcos metodológicos y herramientas propietarias, alineados a los estándares internacionales de mayor aplicación.
  • Integración con el resto de prácticas de gestión de la organización.

En qué podemos asistir a nuestros clientes

Foco BCM / BCMS

  • Estrategias, planes y soluciones de continuidad del negocio – BCM (evaluación, diseño e implementación).
  • Sistemas de gestión de la continuidad del negocio (evaluación, diseño e implementación).
  • Diseño e implementación de planes preventivos.
  • Alineación de BCM/BCMS a las prácticas de gestión vinculadas ya instaladas.
  • Preparación para la certificación en la norma ISO 22301.
  • Servicios de mantenimiento y prueba de soluciones de continuidad del negocio y/o planes preventivos.
  • Diseño de modelos de negocio de sitio alternativo de procesamiento de datos.
  • Capacitación en BCM, BSMS y las normas ISO 22301 e ISO 22313.

Foco Resiliencia Corporativa.

  • Análisis de gaps aplicando diferentes marcos de referencia (ISO 22316 y otros).
  • Evaluación del nivel de resiliencia de procesos y críticos.
  • Desarrollo/revisión de modelos y políticas de resiliencia corporativa, incluyendo su vinculación con gestión integral de riesgos (ERM- Enterprise Risk Management), BCM, crisis Management, IT Resilience, Cyber y Seguridad.
  • Supply Chain y IT resilience.
  • Capacitación.

GRC

Los temas de Gobierno, Riesgo y Cumplimiento no son nuevos para las organizaciones, pero sí el énfasis y enfoque integrado con el que se tratan hoy.

Históricamente GRC ha sido visto en el mejor de los casos como una oportunidad de manejar situaciones negativas derivadas de crisis, escándalos, incidentes operativos, incumplimiento, etc, pero en los últimos años las organizaciones vienen cambiando su punto de vista, abandonando esta postura “a la defensiva” viéndolo como una herramienta para alcanzar los objetivos de negocio, satisfacer las expectativas de los stakeholder o mejorar su desempeño.
La gestión efectiva del desempeño corporativo, sustentada en un proceso de toma de decisiones basado en una práctica robusta de gestión integral de riesgos, es fundamental para que las organizaciones alcancen sus objetivos, en forma alineada a su estructura de gobierno (Gobierno Corporativo).
En este contexto, el cumplimiento deja de ser una función en si misma para pasar a ser el resultado de una gestión de riesgos bien realizada, logrando el acatamiento requerido bajo un enfoque holístico (leyes, regulaciones, políticas, procedimientos internos, estándares, buenas prácticas, etc.)

Nuestro diferencial

  • Profesionales con más de 12 años de experiencia.
  • Contamos con marcos metodológicos para implementar modelos GRC efectivos e integrados realmente al modelo operativo de la organización.
  • Implementamos prácticas de gestión de riesgos eficientes, que soporten efectivamente un enfoque de control orientado al riesgo.
  • Contamos con una herramienta de software propietaria, Risk Insight & Compliance, que soporta modelos GRC y automatizar la función de cumplimiento, permitiendo mantener un repositorio centralizado de “Reglas base” a satisfacer.
  • Contamos con “Reglas Base” internacionales y locales pre cargadas.

En qué podemos asistir a nuestros clientes

  • Evaluación del nivel de madurez de las prácticas de GRC.
  • Diseño e implementación de Modelos GRC alineado a las restantes prácticas de gestión y control pertinentes.
  • Automatización de los procesos de GRC y diseño e implementación del plan de despliegue.
  • Capacitación en GRC.
  • Implementación de Risk Insight & Compliance.

Compliance

Actualmente las empresas deben satisfacer muchos requisitos de cumplimiento, tanto externos como interno y no lograrlo pueden causarles daños como nunca antes.
Por otro lado el uso de nueva tecnología (Inteligencia Artificia, robótica, etc.), el aumento en cantidad y sofisticación de los Cyberattacks, las cambiantes y crecientes expectativas de los clientes, el aumento de la normativa, así como cambios propios en la estructura de negocio, impactan fuertemente en su función de Cumplimiento.
En este contexto, riesgo y cumplimiento dejaron de ser un mero formalismo para transformarse en un impulsor de la estrategia, las capacidades y el rendimiento de la organización.
En tal sentido, la convergencia de datos y tecnología de hoy hace posible definir Sistemas de Gestión del Cumplimiento (Compliance Management System – CMS) eficientes como nunca, que incluyen programas de Prueba de Controles y Cumplimiento (PCC) e integran las 3 líneas de defensa: Unidades de negocio, Función de Cumplimiento y Auditoría Interna

Nuestro diferencial

  • Profesionales con más de 12 años de experiencia en el tema, fundamentalmente en la automatización de la función de Cumplimiento.
  • Metodologías para guiar el diseño de los modelos y prácticas vinculadas, alineada a los estándares correspondientes.
  • Enfoques para identificar riesgos de cumplimiento derivados de la utilización de tecnologías emergentes.

En qué podemos ayudar a nuestros clientes

  • Diseño de Sistemas de Gestión del Cumplimiento (CMS) efectivos, incluyendo el programa de Prueba de Controles y Cumplimiento (PCC).
  • Definición de roles y funciones asociados al CMS.
  • Revisión /ajuste del sistema de información para soportar un CMS y/o programa PCC.
  • Apoyo en la selección e implementación de las herramientas de SW requeridas (incluidas las de BI y RPA).
  • Evaluación del nivel de madurez en las prácticas vinculadas para identificar sus oportunidades de mejora en relación al tema.
  • Capacitación.

Privacy

A partir de la implementación de la “General Data Protection Regulation” (GDPR) en la comunidad Europea, en el año 2018, varios territorios, entre los que se encuentra Uruguay, redoblaron esfuerzos para trabajar en el tema.
Es así que la protección de datos personales juega un papel cada vez más relevante en las organizaciones, bajo la presión de la sociedad y los gobiernos, que día a día son más críticos frente a la gran cantidad de datos personales recopilados y procesados.
Por un lado, privacidad, seguridad y confianza, son cada vez más importantes, pero por otro, están más en riesgo. Las violaciones masivas de datos y la recopilación constante de Información personal, nos llevan a preguntarnos si la privacidad hoy es posible.
Además de cumplir con la normativa, las organizaciones deberán estar en condiciones de demostrar que lo hacen ante los organismos Reguladores.
La gran cantidad de información que almacenan las organizaciones hace que el impacto de los Cyberattacks aumente, así como la dificultad de contar con prácticas de gobierno de datos adecuadas, por lo que satisfacer los requerimientos de privacidad es un gran desafío para los CEO.
En este contexto, la tecnología juega un rol decisivo tanto como facilitador para recopilar y procesar esta información, como para garantizar el cumplimiento de las normas y leyes de privacidad correspondientes.

Nuestro diferencial

  • Equipos multidisciplinarios.
  • Metodologías para el diseño de modelos, políticas y declaraciones de privacidad de acuerdo a los estándares internacionales y la normativa local.
  • Herramientas para soportar procesos de awareness y capacitación “on-line”.

En qué podemos asistir a nuestros clientes.

  • Gap Análisis respecto al nivel de cumplimiento de la normativa pertinente.
  • Evaluación de Impacto y gestión de riesgos que comprometan el logro de los objetivos de Cumplimiento establecidos.
  • Análisis de impacto de la Normativa a nivel de la estrategia, gobernanza y responsabilidades organizacionales.
  • Gestión de Riesgos y Cumplimiento.
  • Gestión del Ciclo de Vida de los Datos.
  • Elaboración de la Declaración de Privacidad.
  • Modelo y Política de Gobierno de Datos.
  • Respuesta a incidentes y gestión de brechas (foco privacidad).
  • Gestión de 3eros en relación a la privacidad.
  • Data Security.
  • Servicios de capacitación y awareness en temas de privacidad.

Gestión de riesgos

La gestión de riesgos operativos a nivel corporativo (Enterprise Risk Management -ERM), es una poderosa herramienta que permite identificar y priorizar eventuales riesgos que podrían comprometer el logro de los objetivos de la organización, ya sea a nivel estratégico, operativo, de cumplimiento y/o financiero.
La gestión de riesgos es una competencia clave y debe estar integrada a la cultura, estrategia y gestión en todas las unidades de negocio; y fundamentalmente al proceso de toma de decisiones.
Una adecuada gestión de los riesgos permite tomar decisiones informadas, con confianza y claridad, sin importar el clima o las condiciones del negocio.
Por su parte, la definición formal del Apetito y Tolerancia al riesgo y su adecuada articulación a lo largo de la organización, brinda la guía necesaria para una correcta priorización de los principales riesgos que se debe atacar, disminuyendo los “riesgos sorpresa”.
Para llevar adelante esta práctica, incluyendo la gestión de riesgos de IT y de proyectos, sugerimos aplicar los enfoques COSO II o ISO 30001.

Nuestro diferencial

  • Profesionales con más de 25 años de experiencia trabajando en la gestión integral de riesgos bajo el enfoque propuesto, en diferentes sectores, con foco en el sector financiero y gobierno, a nivel de riesgos operativos, IT y de proyectos y portafolios de proyectos.
  • Personal certificado.
  • Metodologías probadas.
  • Herramienta de software que soporta la práctica: Risk Insight & Compliance.
  • Capacidad de integrar una práctica robusta de gestión de riesgos a las restantes prácticas de gestión de la organización.

En qué podemos asistir a nuestros clientes

  • Implementación de marcos metodológicos para guiar la gestión de riesgos operativos, de IT , proyectos o portafolios de proyectos.
  • Análisis de riesgos operativos, de IT, proyectos o portafolios de proyectos.
  • Análisis de riesgos asociado a la elaboración e implementación de la estrategia organizacional.
  • Implementación de Risk Insight & Compliance como herramienta para soportar esta práctica.
  • Capacitación en gestión de riesgos.

Seguridad en la información

En el sentido amplio, la seguridad de la información es una de las preocupaciones principales en de las organizaciones estos días.
Son muchos los cambios a nivel de IT que obligan a repensar las estrategias y programas de seguridad, así como el rol que deben desempeñar técnicos y alta gerencia para lograr un mejor nivel de seguridad y control y generar las capacidades y recursos requeridos para mantenerlo.
En líneas generales, los requerimientos de seguridad de la información de una organización se pueden organizar según 4 dominios:

  1. Innovación y transformación digital.
  2. Gobierno y gestión de la información.
  3. Gobierno y gestión de la función de IT y todos sus recursos, incluyendo los datos .
  4. Procesos y procedimientos operativos de IT.

Nuestro diferencial

  • Profesionales con más de 25 años de experiencia.
  • Profesionales certificados.
  • Partners de las principales soluciones de seguridad.

En qué podemos asistir a nuestros clientes

  • Estrategia y gobierno de seguridad.
  • Arquitectura y soluciones de seguridad.
  • Revisión/ diagnósticos de seguridad (aplicando diferentes marcos de referencia).
  • Implementación de marcos de referencia.
  • Revisión de Aplicaciones.
  • Gestión de la respuesta ante incidentes.
  • Penetration Testing.
  • Diseño del área de Seguridad.
  • Internet of Things Security (IoT).
  • Active Defence Services.
  • Soluciones para satisfacer los requerimientos de privacidad.
  • Definición del rol del Chief Privacy Officer (CPO).
  • Tercerizar la función Chief Privacy Officer (CPO).
  • Definir el rol del Chief Information Security Officer (CIO).
  • Tercerizar la función Chief Information Security Officer (CIO).
  • Emerging Technology Security.
  • Cloud Security.
  • Capacitación y Awarness en seguridad.

Auditor de sistemas

El rol del auditor ha venido evolucionando en los últimos años, buscando adoptar un enfoque más proactivo que genere más valor al negocio, también cambiante. Y esto es especialmente marcado para el Auditor Informático.

Por otro lado las organizaciones cada vez más reconocen la necesidad de contar con auditores de sistemas con experiencia, si bien en los hechos en general no se cumple. Es muy difícil pensar en poder realizar auditorías contables u operativas en organizaciones que utilizan Blockchain, RPA, AI, Cloud, etc. sin contar con un auditor informático.

Por otro lado, la normativa que aplica al negocio usualmente impacta en la Función de IT, ya que la estructura de control interno de las organizaciones se basa mayormente en controles automáticos. La variedad de riesgos vinculados a IT y su explotación; y la alta exposición que presentas las organizaciones respecto de ellos, es otro argumento más que da relevancia al en el rol del auditor informático.

Nuestro diferencial

  • Profesionales con mas de 30 años de experiencia en la práctica de auditoría y profundos conocimiento de las industrias financiera, telecomunicaciones, retail y energía.
  • Profesionales certificados.
  • Marcos metodológicos ampliamente probados.

En qué podemos asisitir a nuestros clientes

  • Análisis de vulnerabilidades.
  • Diagnósticos respecto a diferentes marcos de referencia.
  • Revisión de controles generales.
  • Auditoría de aplicaciones.
  • Elaboración y ejecución de programas de trabajo.
  • Participación en equipos de proyectos de transformación de IT.
  • Capacitación.
  • Tercerización de la función de Auditoría de IT.

Forensic

Si bien las prácticas de Forensic son útiles para investigar un incidente ocurrido; es más interesante adoptar un enfoque proactivo para prevenir fraudes y corrupción.

Las organizaciones están cada vez más expuestas a estos problemas y el impacto negativo que puede causarles es cada vez mayor, pasando por pérdidas financieras, de imagen, reputación, etc.
En tal sentido, hemos desarrollado una práctica de Digital Forensic para trabajar con los datos y el entorno tecnológico en la prevención, detección e investigación del fraude empresarial y financiero.

Nuestro objetivo es dirigir Investigaciones complejas para detectar delitos digitales o cualquier tipo de delito que deje “rastro” digital, para lo cual es fundamental recolectar y analizar rápidamente datos históricos que puedan proporcionar conocimiento de la situación y evidencia.
De esta forma buscamos asistir a nuestros clientes en crear confianza y cuidar su reputación y activos.

Nuestro diferencial

  • Personal altamente calificado.
  • Herramientas de software.
  • Metodologías probadas que nos permiten: brindar una respuesta ágil; realizar un trabajo sistemático y robusto; aplicar una mentalidad “Forensic”; aprovechar la innovación tecnológica y generar planes de acción dinámicos que se puedan ir ajustando a lo largo de la investigación.

En qué podemos asistir a nuestros clientes

  • Prevención y detección del crimen financiero.
  • Prevención y detección del fraude.
  • Investigación de fraudes.
  • Inteligencia Corporativa (ej.: KYC; Due Diligence de integridad y reputacional, Monitoreo permanente de socios de negocio/empresas).
  • Investigación en procesos transaccionales.
  • Fraude tecnológico.
  • Forenisic Data Analytics.

Ciber security & crisis management

Durante años se ha trabajado en la planificación de la continuidad de las operaciones de IT diseñando estrategias de recuperación a partir de sitios alternativos de procesamiento de datos y capacidades de procesamiento en alta disponibilidad.

No obstante, las amenazas actuales de ciberseguridad como el ransomware, han desafiado todos estos planes, ya que si bien una vez que se detecta la crisis es posible operar desde un sitio remoto, es muy probable que el mismo también esté comprometido y fallen nuestros antiguos planes; a pesar de tener disponible el hardware y software requerido.

Es necesario un cambio de paradigma así como una actualización de los planes considerando los riesgos actuales de ciberseguridad.

Usualmente, una vez registrada una interrupción de las operaciones críticas del negocio (contingencia), hablábamos de crisis cuando la situación podía comprometer la integridad física de las personas o los activos de la organización; pero hoy en día un incidentes de ciberseguridad puede ocasionar un impacto negativo tal, que también requiera ser gestionado como una crisis. En tal sentido, se deberán considerar las acciones de respuesta altamente técnicas de ciberseguridad, así como las de comunicación, dada la visibilidad que puede tener lo sucedido.

Nuestro diferencial

  • Profesionales con experiencia en gestión de centros de respuesta ante incidentes internacionales.
  • Profesionales especializados en respuesta ante incidentes y gestión de crisis.
  • Expertos en Análisis de Malware.
  • Plataforma de ciberentrenamiento y ciberrange.
  • Pruebas reales y escenarios reales.
  • Entendimiento de contexto internacional de ciberseguridad.
  • Expertos en gestión de comuniciación de crisis.
  • Equipo multidisciplinario.

En qué podemos asistir a nuestros clientes

  • Creación de planes de continuidad contemplando ciberseguridad.
  • Creación de escenarios reales de ciber crisis, evaluando su impacto en el negocio.
  • Creación de planes de comunicación de crisis.
  • Desarrollo de Workshops ejecutivos y técnicos.
  • Simulacros de incidentes.
  • Pruebas de equipos técnicos de respuesta,
  • Entrenamiento en análisis de malware y forense digital para la rápida respuesta ante incidentes.
  • Creación de Playbooks de respuesta ante incidentes.
  • Desarrollo de procesos y procedimientos de respuesta ante incidentes.

SOC

El aumento de la exposición de las organizaciones al ciber crimen; hace crítico que cuenten con la capacidad de realizar un monitoreo continuo de sus herramientas de ciberseguridad, de forma de garantizar la detección temprana de eventuales incidentes.

Pero la gran diversidad de herramientas de gestión de ciberseguridad existentes en el mercado y la alta rotación de los profesionales capacitados, dificulta muchas veces llevar adelante esta tarea.

En tal sentido, es una tendencia internacional contratar Servicios de Operaciones de Seguridad que permitan mantener un monitoreo continuo de alertas y eventos de seguridad.

En Quanam Advisory ofrecemos un servicio de SOC (Security Operation Center) de primer nivel, que brinda una función de monitoreo continua, en búsqueda de eventos maliciosos para garantizar su alerta y atención temprana; pudiendo realizar la gestión completa de las soluciones y/o proveedores de servicios de seguridad con los que trabajen nuestros clientes.

Nuestro diferencial

  • Personal especializado en SOC y CSIRT
  • SOC con servicio 24x7
  • Expertos en múltiples tecnologías

En qué podemos asistir a nuestros clientes

  • Monitoreo de soluciones de ciberseguridad.
  • Monitoreo 24x7.
  • Alerta temprana.
  • Reportes mensuales.