Ir al contenido

6 cosas que necesitas saber sobre ServiceNow Vancouver para IRM

#cybersecurity#IRM#ServiceNow#Vancouver release
6 Things You Need to Know About ServiceNow Vancouver Release for IRM

ServiceNow IRM, o Gestión Integrada de Riesgos, es un conjunto de aplicaciones diseñadas para ayudar a las organizaciones a gestionar procesos de riesgo, cumplimiento, políticas y auditoría de forma unificada e integrada. El término “Gestión de riesgos integrada” refleja la capacidad de la plataforma para consolidar datos de riesgo y cumplimiento de diversas fuentes, optimizar los flujos de trabajo y proporcionar una visión integral del panorama de riesgos de una organización.

En este artículo, conocerá los cambios clave que trae consigo ServiceNow en la versión Vancouver y que consideramos aportarán el mayor valor empresarial a los clientes. La versión Vancouver han realizado nuevas funciones y mejoras en las siguientes áreas:

Risk Management

Policy & Audit Management and Core

Compliance Case Management

Third-Party Risk Management

Business Continuity Management

ESG Management

1. Risk Management

Target Risk Assessment

Target risk se refiere a la condición futura/ideal de un riesgo después de la implementación de controles adicionales y medidas de remediación, que deben alinearse con lacantidad de riesgo que la organización está dispuesta a asumir (Risk Appetite). Para lograr que el riesgo esté dentro de los límites aceptados, se diseña un plan de mitigación de riesgos, que generalmente implica costos asociados. Para evaluar si estos costos están justificados por los beneficios esperados, las organizaciones suelen realizar una evaluación de riesgos objetivo. Este proceso ayuda a evaluar los posibles resultados y compensaciones asociadas con las estrategias de gestión de riesgos, asegurando que las decisiones se alineen con los objetivos generales de la organización y la tolerancia al riesgo.

La evaluación de riesgos de ServiceNow Target permite:

  • Flexibilidad para adaptar la metodología de evaluación de riesgos objetivo según las necesidades únicas
  • Definir reglas para que la evaluación del riesgo objetivo sea condicionalmente obligatoria
  • Evaluar el riesgo objetivo similar al inherente y residual como parte del RCSA
  • Analizar el estado futuro del apetito de riesgo una vez que se alcance el estado de riesgo objetivo
  • Agregar el riesgo objetivo a través de una declaración de riesgo, una entidad o una combinación de ambos
  • Informar y visualizar el riesgo objetivo en la visualización del mapa de calor
  • Analizar la tendencia del riesgo y el movimiento de inherente a residual a objetivo

De manera similar a las evaluaciones de riesgos inherentes y residuales, los evaluadores pueden analizar el estado anticipado del riesgo en función de los factores definidos de la metodología de evaluación, la lógica de puntuación y los criterios de calificación. Además de esto, el sistema calcula el estado futuro del apetito de riesgo de acuerdo con el perfil de riesgo objetivo. Esto permite a los evaluadores evaluar si el riesgo objetivo se alinea con el apetito de riesgo de la organización. Los aprobadores de riesgos pueden revisar de manera eficiente la calificación de riesgo objetivo y el estado de apetito futuro, proporcionándoles la información necesaria para evaluar y aprobar el riesgo de manera efectiva. Vale la pena señalar que las evaluaciones de riesgos de objetivos se pueden realizar tanto para metodologías de evaluación basadas en riesgos como para metodologías de evaluación basadas en objetos. Sin embargo, cuando se utiliza un enfoque basado en objetos, el “Estado futuro del apetito” no se calculará ni se mostrará.

Nota: Si la evaluación de objetivos está habilitada para una metodología, ese riesgo solo se puede evaluar utilizando Next Experience.

An example of risk assessment, Source: ServiceNow

Una vez que se publica la evaluación de riesgos, el sistema también consolida la calificación de riesgo objetivo en toda la declaración de riesgos, la entidad o una combinación de ambas. En la visualización del mapa de calor, los usuarios pueden examinar el perfil de riesgo objetivo para obtener una comprensión integral del riesgo, lo que les permite analizar los estados inicial (inherente), actual (residual) y futuro (objetivo) del riesgo. Si los criterios de evaluación de riesgos se comparten entre el riesgo inherente, residual y objetivo, entonces los usuarios también pueden evaluar la transición del riesgo de inherente a residual y a objetivo. A través de la capacidad de tendencia del riesgo, los usuarios pueden examinar más a fondo cómo ha evolucionado el riesgo durante los cinco períodos anteriores y si está progresando en la dirección deseada.

Nota: Los widgets de descripción general y página de inicio no se han modificado para la evaluación del riesgo objetivo y se mejorarán en versiones futuras.

Heatmap visualisation of a risk movement, Source: ServiceNow

Antes de que se introdujera esta nueva característica, los clientes tenían una visibilidad limitada para cuantificar qué tan lejos estaba su puntuación de riesgo actual de su puntuación de riesgo objetivo en función del apetito. Ahora, los clientes pueden ver y priorizar las actividades de mitigación para lograr el nivel de riesgo deseado..

2. Compliance Case Management

Compliance Case Management (CCM) es una nueva aplicación que viene con la versión ServiceNow Vancouver. Permite informar, investigar y resolver casos de cumplimiento, como quejas e infracciones, modificaciones de políticas, aclaraciones o consultas, y que el equipo de cumplimiento los aborde. Viene con nuevos términos:

  • Caso de cumplimiento: para denunciar cualquier violación de las políticas de la organización.
  • Solicitud de cumplimiento: para buscar asesoramiento u orientación sobre las políticas de la organización.

Como ejemplo de la vida real del caso/solicitud de cumplimiento:

  • Manipulación de información comercial confidencial por parte de un empleado (C),
  • Pago duplicado de facturas de proveedores y limpieza de archivos maestros de proveedores (C),
  • Eliminación no autorizada de información corporativa (C),
  • El empleado presentó una solicitud sobre su participación en una actividad de consultoría externa (R),
  • Consulta sobre la retención de datos relacionada con la política (R).

CCM aporta el siguiente paso al Compliance office open-door: un canal simple y seguro para que todas las partes interesadas se comuniquen con la oficina de cumplimiento sobre una política o consulta/infracción regulatoria. En segundo lugar, al denunciar un caso, se reducen las acciones regulatorias adversas que podrían afectar las finanzas, la reputación y el crecimiento de la empresa.

Características clave:

  • Informar un caso desde el Centro de empleados o el Espacio de trabajo de cumplimiento (Employee Center or Compliance Workspace): los empleados pueden presentar un caso/solicitud de cumplimiento y comunicarse con el equipo de cumplimiento desde una página de portal común, “Centro de empleados”. Lo mismo se puede hacer desde el espacio de trabajo Cumplimiento.
  • Obtenga información operativa sobre el estado actual de los casos y solicitudes de cumplimiento: el equipo de cumplimiento analiza el caso/solicitud y realiza las investigaciones y evaluaciones necesarias colaborando con varios equipos mediante la creación y asignación de tareas del caso. Además, el equipo de cumplimiento identifica políticas y controles relacionados con la solicitud y obtiene aprobaciones adicionales si es necesario.
Compliance case detail in the workspace, Source: ServiceNow
  • Vista de casos de cumplimiento de 360 grados: proporciona información valiosa sobre cómo los objetos relacionados (regulaciones, citaciones, áreas impactadas, áreas relacionadas, entidades y tareas de casos) interactúan y se relacionan entre sí dentro del caso de cumplimiento. Puede tomar medidas sobre los registros mostrados. Por ejemplo, cuando selecciona la opción Política, le permite explorar la lista de políticas relacionadas con el caso de cumplimiento.
  • Tareas de casos que apoyan la investigación: los analistas de casos de cumplimiento pueden crear tareas de casos y asignarlas a la persona relevante. Cada caso puede tener múltiples tareas de caso y hay múltiples tipos de tareas de caso, por ejemplo: investigación y evaluación (incluidas plantillas de evaluación listas para usar con preguntas predefinidas). De esta manera, el analista de casos de cumplimiento puede colaborar con varios equipos para investigar, evaluar y capturar observaciones relacionadas con el caso.
  • Funciones de administración: configuran el comportamiento mediante la gestión de tipos de casos/solicitudes. Para cada tipo de caso, es posible configurar un flujo de trabajo específico (transiciones de estado, aprobaciones), vista de formulario y reglas/plantillas de asignación. Además, el espacio de trabajo es personalizable.

Simplemente puede instalarlo como el complemento: “GRC: Gestión de casos de cumplimiento (sn_comp_case)”. La gestión de casos de cumplimiento está disponible en IRM Standard, IRM Professional e IRM Enterprise. El operador IRM lite tiene acceso a las tareas de gestión de casos de cumplimiento.

3. Policy & Compliance, common GRC features

Employee Center Enhancements

En la versión de ServiceNow Vancouver, se agregaron varias mejoras al Centro de empleados para brindar una excelente experiencia de usuario. Las mejoras continuas en la experiencia del usuario le permiten adoptar productos más rápido y brindar una experiencia de usuario excepcional.

Específicamente se agregaron estas características:

  • Capacidad de ver todas las políticas y todas las solicitudes en un solo lugar y ordenarlas por artículo de KB o filtro de solicitudes,
  • Capacidad de ver enlaces rápidos para informar problemas, solicitar excepciones, informar eventos de riesgo, etc.

Policy Authoring Enhancements

Gracias al lanzamiento, los clientes ahora pueden cambiar el documento vinculado al registro de póliza sin generar un nuevo registro de póliza. Además, hay un nuevo trabajo programado que establece automáticamente los permisos de usuario según el revisor, aprobador, propietario y colaborador de políticas para los archivos de políticas de MS OneDrive.

Las versiones anteriores introdujeron la integración con Microsoft OneDrive: los usuarios podían crear un nuevo documento en OneDrive proporcionando el nombre y la ubicación de la carpeta. La nueva funcionalidad de actualización automática establece la conexión con el nuevo documento y lo crea en OneDrive. Antes, la creación de políticas requería “clics” de actualización para actualizar los datos.

*Tenga en cuenta que la integración con MS OneDrive requiere una configuración adicional en ambas plataformas: ServiceNow y Microsoft Tenant.

Linking MS Word document with Policy record in ServiceNow, Source: ServiceNow

Grouping attestations in the Workspace

La característica de atestaciones agrupadas ya existe, pero en la versión de Vancouver se agrega al espacio de trabajo de Cumplimiento: la misma respuesta o una respuesta diferente para cada evaluación, ambas en una sola interfaz de usuario.

Licensing and IRM Lite Operator role

La función de operador IRM Lite (usuario empresarial de GRC – Lite) se actualiza y se pueden realizar nuevas actividades. Si es un operador básico y no tiene una licencia de operador, aún puede aprobar excepciones de políticas, solicitudes de evidencia, evaluaciones de riesgos avanzadas, informar y leer problemas, y muchos otros. Si es propietario de una tarea de indicador, puede responder a las tareas de indicador con la licencia de operador lite. También puede realizar tareas similares en el Centro de servicios para empleados. Todas las mejoras están disponibles en IRM Standard/Professional/Enterprise.

4. Third-party Risk Management

La visión de la gestión de riesgos de proveedores ha cambiado y ampliado para abordar todos los riesgos potenciales de todo el ecosistema de terceros de una organización. Por lo tanto, el nombre de la aplicación se cambia de Gestión de riesgos de proveedores a Gestión de riesgos de terceros.

Due Diligence Workflow

El comunicado de Vancouver presenta un nuevo marco para los procesos TPRM. El objetivo es tener un flujo de trabajo consolidado para la incorporación, diligencia debida y baja de terceros. Los usuarios ahora pueden solicitar la diligencia debida para un compromiso con un tercero nuevo o existente y responder a los IRQ (cuestionarios de riesgo inherente) que se les asignen.

El ciclo de vida tiene varios pasos.

Requesting new due diligence process from Employee Center, Source: ServiceNow

Due diligence ayuda a reducir el riesgo y mejorar la resiliencia organizacional y el cumplimiento en todo el ecosistema de terceros. Proporciona un enfoque holístico para gestionar todos los dominios de riesgos de terceros.

Risk Concentration Map

La versión de ServiceNow Vancouver también trae nuevas funciones al espacio de trabajo de gestión de proveedores, ejemplo, Mapa de concentración de riesgos que permite visualizar entidades y compromisos de terceros en el mapa. Aporta capacidad adicional para priorizar tareas y soluciones en función de la ubicación geográfica. Tenga en cuenta que se requiere una licencia adicional para la clave API de Google Maps.

5. Business Continuity Management

Business Continuity Management Workspace

Espacio de trabajo basado en personas diseñado para gerentes de BCM. Mejoras en páginas de inicio y paneles de control en análisis de impacto empresarial, planificación, ejercicios, comunicación, gestión de crisis y pérdidas y recuperación para mejorar la visibilidad e impulsar la eficiencia con una experiencia personalizada.

Resultados comerciales:

  • Aumenta la productividad del equipo al reducir la cantidad de clics, datos de referencia en línea, informes completos y visualizaciones.
  • Capacidad para configurar el espacio de trabajo y adaptarlo a las necesidades comerciales del cliente y, aún así, evitar personalizaciones.
  • Permite mejores casos comunes mediante el uso de integraciones con otros espacios de trabajo de aplicaciones.
  • Mejora la productividad y la facilidad de uso con un nuevo diseño moderno, una experiencia de usuario mejorada y espacios de trabajo configurables basados en personas.
  • Aprovecha nuevos paneles para gestión de crisis, análisis de impacto empresarial, planificación y ejercicios de programas y tareas.
Business Continuity Management Workspace, Source: ServiceNow

Además, crea conciencia situacional al conectarse sin problemas a otras aplicaciones de ServiceNow para monitorear los activos afectados, comunicarse con las personas afectadas e impulsar acciones de recuperación en caso de una crisis:

  • Rastrear alertas de amenazas de múltiples fuentes,
  • Capa en la información de activos de la plataforma Now,
  • Monitorear los activos impactados según el radio de amenaza,
  • Comunicarse a través de múltiples canales con las personas afectadas,
  • Iniciar acciones de recuperación y realizar un seguimiento del progreso desde el panel.


Anteriormente, BCM ofrecía una experiencia de espacio de trabajo para los equipos de gestión de Continuidad y Crisis. Sin embargo, este espacio de trabajo no se creó en el generador de interfaz de usuario y, por lo tanto, es inflexible y no coherente con la experiencia de la plataforma. Ahora, los espacios de trabajo de BCM se basan en el generador de interfaz de usuario, lo que permite configuraciones fáciles y seguras para actualizar.

6. ESG Management

La Gestión de ESG introduce una nueva capacidad clave diseñada para el equipo de TI responsable de mejorar el impacto ambiental de la infraestructura de TI, específicamente los activos de hardware y los centros de datos.

ESG Management trabaja con ServiceNow Hardware Asset Management para estimar información sobre las emisiones de carbono o gases de efecto invernadero, el uso de agua y el uso de energía de los sistemas que utiliza para administrar su negocio. Estos conocimientos se convierten en parte del flujo de trabajo de contabilidad e informes de carbono que muchas empresas están desarrollando. Los datos del panel llegan a través de la integración HAM para realizar un seguimiento del ciclo de vida de los activos hasta su disposición, p. ¿Esa computadora portátil fue a parar a otro empleado, a un centro de donación o a un vertedero? Un nuevo panel dentro de Gestión ESG reúne la información para que sea más fácil comprender qué funciona, cumplir con una supervisión cada vez mayor por parte de las partes interesadas e impulsar mejoras con el tiempo.

También permite integraciones con:

  • Microsoft Word para mejorar los informes
  • SAP Concur para capturar datos ESG relacionados con viajes y gastos
  • Paquetes de contenido para los principales marcos y estándares internacionales

Sustainable IT dashboard

  • Vea la huella de carbono de TI de la organización procedente de activos de hardware y centros de datos.
  • Los clientes pueden realizar un seguimiento de las métricas de eficiencia de los centros de datos, como la eficiencia en el uso de energía (PUE) y la eficiencia en el uso del agua (WUE).
  • Los clientes pueden completar el ciclo de vida de sus activos de hardware mediante el seguimiento de la eliminación de desechos electrónicos.

Microsoft Office 365 Integration 

Optimice la generación de informes y la gestión de datos mediante revisiones incorporando datos ESG seguros, auditables y actualizables directamente desde ServiceNow ESGM en documentos de Microsoft Word:

  • Acceda a métricas, temas de materiales y datos de informes personalizados desde el panel ESG de ServiceNow.
  • Vea una lista completa de todos los datos incrustados y cuándo se actualizaron por última vez, con hipervínculos para ver cada campo en línea dentro del documento creado o dentro de ServiceNow.
  • Agregue datos auditables de forma masiva con tablas e informes configurados, o elija métricas individuales para agregarlas en línea dentro del texto del documento.

SAP Concur Integration

Esta integración aborda el desafío común de informar sobre las emisiones de gases de efecto invernadero relacionadas con los viajes de negocios que forman parte de la huella de carbono de una empresa. Más específicamente, las emisiones relacionadas con los viajes de negocios forman parte de las emisiones de Alcance 3, que se producen en la cadena de suministro de una empresa y en el uso de sus productos por parte de los clientes. Las empresas pueden incluir automáticamente las emisiones de gases de efecto invernadero relacionadas con los viajes de negocios en sus informes ESG:

  • Automatizar la recopilación de datos de viajes de negocios de los empleados para los cálculos de emisiones de Alcance 3
  • Minimizar el riesgo de errores en la entrada de datos
  • Agilizar los esfuerzos de recopilación de datos

ESG Content Accelerator

El acelerador de contenido ayuda a los usuarios a comenzar rápidamente con sus requisitos de informes ESG al completar automáticamente conjuntos de definiciones de métricas (indicadores obligatorios) para los cuales los usuarios deben proporcionar datos para informar de acuerdo con los marcos ESG voluntarios. Los paquetes de contenido aceleran el tiempo de obtención de valor al eliminar la necesidad de crear manualmente docenas, potencialmente cientos, de definiciones de métricas para permitir a los usuarios comenzar a recopilar datos mediante la gestión ESG. Los paquetes de contenido proporcionados en este comunicado son para GRI (Global Reporting/Initiative), SASB (Sustainability Accounting Standards Board), UN SDG (United Nations Sustainable Development Goals) y TCFD (Task Force for Climate-Related Financial Disclosures).

Comience rápidamente a generar informes según GRI, SASB, TCFD y los Objetivos de Desarrollo Sostenible de las Naciones Unidas:

  • Precargar definiciones de métricas para los marcos de informes ESG más comunes,
  • Ahorre tiempo en la implementación utilizando los paquetes de contenido de métricas proporcionados,
  • Acelerar el tiempo de obtención de valor para la herramienta de informes ESG.

Las empresas tienen que elaborar informes ESG: los paquetes de contenido ayudan a automatizar estos informes cuando sea posible, ahorrando tiempo, esfuerzo y costos asociados, y ayudando a garantizar la precisión y la integridad.

____

¿Tienes alguna pregunta? Contacta con nuestro equipo.