Plataforma · Evidence GRC

Inteligencia viva

La probabilidad cambia cuando
cambia el contexto

El riesgo no es una foto fija. Feeds de amenazas y contexto sectorial alimentan el motor de calibración, y la probabilidad de cada riesgo se mueve sola, con trazabilidad de por qué.

Datos públicos

ENISA, INCIBE, CVE, aseguradoras cyber. Calibración disponible desde el primer día.

Datos propios anonimizados

El histórico de la consultoría afina probabilidad e impacto por sector.

Ajuste con trazabilidad

Cada valor declara su nivel de confianza, con su porqué y su aprobador.

La calibración perfecta no existe; la transparente sí

▸ ANSWER ONCE: una evidencia responde a muchos marcos a la vez.

La familia Evidence<X>

Diez módulos. Cuatro dominios.
Un núcleo común

Hub orbital de la plataforma Evidence GRC con sus diez módulos agrupados en cuatro dominios alrededor de un núcleo común

Gobierno y riesgo

EvidenceRiskEvidenceControlsEvidenceCompliance

Evidencia y aseguramiento

EvidenceVaultEvidenceAudit

Terceros y resiliencia

EvidenceVendorsEvidenceIncidentsEvidenceBIA

Dominios especializados

EvidencePrivacyEvidenceAI

Se empieza por el dolor principal y se amplía sin rehacer metodología ni migrar datos: los módulos comparten activos, controles, evidencias y responsables.

Rigor del modelo

Un control no vale lo mismo
declarado que verificado

Dos distinciones que faltan en las herramientas actuales: el estado real de cada control y los tres niveles de riesgo que conviven en todo momento.

Tres estados del control

La efectividad se calcula sobre el estado real, no sobre el papel.

Declarado≈ 20%

Existe en un documento. Punto de partida, no garantía. La IA puede extraerlo.

Evidenciado≈ 60%

Hay prueba de que se aplica: logs, registros, capturas, informes.

Verificado≈ 85%

Un auditor o el sistema comprobó que funciona. Nunca 100%: la cobertura no es total.

Tres niveles de riesgo, a la vez

El comité deja de discutir si es «3 o 4» y decide «¿MFA o PAM este trimestre?».

Inherente

Sin ningún control aplicado. Sólo mapa, amenazas e impacto: la exposición bruta.

Actual (residual real)

Con los controles realmente implantados y evidenciados. La foto honesta de hoy.

Proyectado

Cuando el plan de tratamiento esté ejecutado. Qué se gana y qué coste se evita.

Pantalla de madurez del análisis de riesgo en Evidence GRC: nivel actual, riesgos activos, latentes vigilados y críticos bloqueados — Madurez del análisis: lo crítico entra en análisis activo; el resto queda latente y vigilado hasta que cambie el contexto.

El resultado

El resultado no es otro dashboard.
Es una decisión defendible

Evidence GRC se presenta con un mapa de partida real: en una sesión guiada se ve de dónde sale cada riesgo y qué cambia al ejecutar el plan.

Solicitar demo guiada Hablar con el equipo

La probabilidad cambia cuandocambia el contexto

Diez módulos. Cuatro dominios.Un núcleo común