Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
SandaS GRC: nuestra solución integral para cumplir con las normativas NIS2, ENS y RGPD
La herramienta GRC multinorma
SandaS GRC es una herramienta GRC (Gobierno, Riesgo y Cumplimiento) en modalidad SaaS que desarrollamos y ofrecemos a través de nuestra empresa Govertis. Permite identificar riesgos en los activos esenciales y críticos de las organizaciones, implementar marcos normativos (ENS, Privacidad, ISO, Seguridad IoT, GSMA...) y otros muchos contenidos en nuestro catálogo, así como marcos personalizados y buenas prácticas internacionales (continuidad de negocio, PCI-DSS, NIS2, DORA…).
SandaS GRC proporciona inteligencia directa y accionable sobre seguridad tanto en IT como en OT. Diseña cuadros de mando dinámicos a partir de indicadores pudiendo obtener su información de datos disponibles en la propia plataforma, y de sistemas externos. Permite su uso en las distintas fases de la adecuación y el mantenimiento de las normas como sistema centralizador de los modelos (arquitectura. empresarial, gestión del riesgo, marco de controles y gestión de tareas) y la documentación generada, garantizando su coherencia.
■ SandaS GRC está incluida y certificada en el Catálogo de Productos de Conformidad y Gobernanza de la Seguridad del CCN-CPSTIC.
Algunas funcionalidades y módulos de SandaS GRC
SandaS GRC dispone de grandes funcionalidades para la evolución de todas las fases relacionadas con un SGSI (Sistema de Gestión de la Seguridad de la Información), como por ejemplo:
- Módulo DRM (Gestión de Riesgos, Amenazas, Vulnerabilidades, Matrices…)
- Módulo de Cumplimiento Normativo (Normas, Controles y Auditorias)
- Modulo RGPD, Comunicación y Gestión de Incidentes
- Módulo DPO
- Módulo Canal de Denuncias
- Módulo de Continuidad de Negocio
- Gestión de Roles y Accesos a las funcionalidades
- Multi Organización
- Multi Idioma
- Gestor Documental
- Cuadros de Mandos predefinidos y personalizables
- Módulo de Proyectos y tareas
- Modelado Visual de la arquitectura de Activos y Relaciones entre Activos.
Ejemplo de Modelado Visual en Sandas, basado en Togaf y Archimate
Ejemplo de Valoración BIA (Business Impact Analysis) de un Activo en SandaS GRC
Directiva NIS2: aterrizaje de la normativa europea y el papel de SandaS GRC
Aunque este enfoque es aplicable a múltiples marcos normativos (ENS, ISO 27001:2022, DORA, entre otros), tomaremos como referencia la Directiva NIS2 o Directiva (UE) 2022/2555. Anunciada el 16 de enero de 2023 y con fecha límite de transposición al Derecho nacional el 17 de octubre de 2024, tal y como comunicaba el INCIBE-CERT.
En 2025, esta normativa ha irrumpido con fuerza en las organizaciones que prestan Servicios Esenciales o Críticos, poniendo el foco en la ciberseguridad de los Sistemas y las Redes de dichas entidades.
En respuesta, SandaS GRC refuerza su plataforma GRC para estas entidades, ofreciendo una herramienta integral que facilita tanto la adecuación continua a NIS2 como la gestión completa de su SGSI (Sistema de Gestión de la Seguridad de la Información).
En el caso de NIS2, SandaS GRC incorpora una serie de funcionalidades específicas, algunas desarrolladas a medida por nuestro equipo de producto, junto con todas las capacidades estándar que ofrece la plataforma:
- Gestión total de los Activos Esenciales y Críticos de la entidad, asignando a los activos una valoración BIA (Business Impact Analysis), valoración propia para la continuidad de negocio, propietarios de los activos, costes de reemplazo, documentación propia del activo, y características propias de los activos. Además, proporciona la gestión de relaciones entre los activos a través del modelado visual, que permite ver de forma clara la dirección de los riesgos y las dependencias entre activos.
Módulos DRM y Cumplimiento de la Norma con visión de Clases de Activos
- Marco de Controles alineado con NIS2, que permite realizar un seguimiento detallado del cumplimiento de cada control de la norma. La plataforma facilita la ejecución de auditorías, la asociación de evidencias a cada control y la creación de tareas relacionadas con su implementación o modificación. Todo ello se gestiona con un completo log de auditoría, que registra los cambios realizados y permite visualizar la evolución de cada control a lo largo del tiempo.
Gestión de Controles NIS2 en SandaS GRC
- Gestión y comunicación de incidentes, en cumplimiento con los requisitos obligatorios de NIS2.
La herramienta incorpora un Sistema de Registro y Notificación de Incidentes, fácilmente configurable, que permite definir qué incidentes deben notificarse y a quién (por ejemplo, a los miembros del Comité de Seguridad). Además, incluye la gestión de roles dentro del Comité de Seguridad de la entidad y un conjunto de formularios estructurados que garantizan el registro detallado de los incidentes, asegurando que se recopile toda la información necesaria para cumplir adecuadamente con la normativa.
Comunicación de Incidentes de Seguridad y vista del módulo
- Gestión de Riesgos sobre activos esenciales y críticos, con soporte para automatización mediante la asociación de controles NIS2 orientados a mitigar amenazas específicas, en función de la categoría del activo, conforme al marco MAGERIT v3.
Sandas GRC permite un control total sobre el catálogo de eventos (amenazas), pudiendo utilizar tanto el catálogo oficial de MAGERIT v3 como catálogos personalizados definidos por el cliente. Además, ofrece flexibilidad para configurar y gestionar matrices de riesgo según las necesidades de la organización, incluyendo modelos precargados basados en la norma ISO/IEC 27005:2018.
Cada amenaza se gestiona como una entidad única, lo que permite asociar tareas y documentación directamente desde el Gestor Documental y el Módulo de Proyectos, integrando de forma natural la gestión del riesgo con la operativa y la planificación de medidas.
Visión general del riesgo actual de la Entidad en SandaS GRC
- Módulo de Proyectos, diseñado para gestionar y realizar el seguimiento de las tareas asociadas tanto a los controles de NIS2 como a los riesgos de los activos. Permite asignar propietarios, supervisores y auditores de tareas, así como planificar entregas, generar informes de estado y gestionar los costes asociados a la planificación y ejecución de tareas.
Incluye un tablero KANBAN para una visualización ágil del avance de los proyectos, y cuenta con funcionalidades adicionales como la programación automática de informes por correo electrónico según las necesidades del cliente, notificaciones automáticas de tareas a los responsables asignados y un gestor documental integrado para asociar archivos y evidencias a cada tarea.
Módulo de Proyectos mostrando opciones de configuración y planificación
SandaS GRC: mejora continua y soporte técnico especializado
Con SandaS GRC, nuestro compromiso es ofrecer una mejora continua de la plataforma a través de un equipo de producto dedicado que trabaja mediante Sprints Ágiles a corto plazo. Esto nos permite incorporar nuevas funcionalidades y mejoras basadas tanto en el conocimiento experto de nuestro equipo de consultoría como en las recomendaciones de nuestros clientes. Así, mantenemos una herramienta GRC en constante evolución, esencial para la gestión, gobierno, riesgos y cumplimiento de cualquier normativa, estándar ISO o marco personalizado.
Actualmente, estamos desarrollando un innovador método para describir y categorizar sistemas de inteligencia artificial asociados a casos de uso, posicionando a SandaS GRC como una solución clave para la detección temprana de riesgos y la generación de evidencias de cumplimiento en los emergentes marcos regulatorios sobre IA.
Además, ofrecemos un soporte técnico especializado permanente y, opcionalmente, un servicio de acompañamiento y consultoría, siempre con consultores senior expertos en GRC que cubren todos los ámbitos normativos.
■ Si quieres conocer más a fondo el funcionamiento de SandaS GRC, verlo en acción de la mano de uno de nuestros consultores, ver una demostración adaptada a tus necesidades normativas y tu propio SGSI, contacta con nosotros y estaremos encantados de presentarte este servicio en el que ya confían cientos de empresas y organismos de diferentes países y sectores.
