Una organización financiera con sede en Portugal necesitaba asegurarse de que su ciberseguridad con poca madurez cumplía la normativa. La organización también necesitaba asistencia en la aplicación de los controles y la supervisión de su eficacia. Se proporcionó una combinación de actividades de GRC y RTS para abordar y resolver los problemas de la institución. Las actividades de GRC incluyeron ISOaaS (Responsable de seguridad de la información como servicio) basado en varias prácticas recomendadas, que cubren los controles de CIS, los puntos de referencia de CIS, las normativas del sector financiero, etc., mientras que las actividades de RTS consistieron en pruebas de penetración y análisis.

Los siguientes resultados, considerados como beneficios, surgieron de este enfoque:

1. Flexibilidad: El ISOaaS puede adaptarse ahora para complementar las capacidades internas con habilidades especializadas en áreas específicas en las que estas competencias o capacidades pueden no estar disponibles dentro de la organización.
2. Capacidad de respuesta: Disponer de un ISOaaS y de un conjunto de recursos bajo demanda significa que la organización puede tener un acceso más rápido a la experiencia o a la asistencia a corto plazo cuando sea necesario.
3. Escalabilidad: El servicio puede ampliarse durante más o menos tiempo en función de las necesidades detectadas. Por ejemplo, la organización puede querer aumentar el número de días de servicio al iniciar un proyecto y luego volver a la normalidad.

Por último, pero no por ello menos importante, las oportunidades de RTS en relación con las pruebas de penetración y el análisis (venta cruzada) fueron otro gran resultado en este caso.