Entendiendo mi ambiente de Control

Transcripción

1 Riesgos y controles de TI, Entendiendo mi ambiente de Control Victor Vasquez

2 AGENDA

3 Agenda Retos de TI Gobierno de TI Concepto riesgo Control Cobit 3

4 Objetivo

5 Objetivo Lograr que los participantes entiendan la importancia de que las Áreas de Tecnología realicen identificación y evaluaciones de sus riesgos, Adicionalmente como mapear los controles existentes para soportar las visitas de entes de control y auditoria. La charla busca partir de conceptos básicos y al final dar herramientas basados en buenas prácticas como Cobit. 5

6 RETOS DE TI

7 Retos de TI Mantener la operación de TI en marcha Administrar y controlar la complejidad Entregar valor Optimizar costos Alinear a TI con el negocio Proveer mejores niveles de seguridad Asegurar el cumplimiento regulatorio 7

8 GOBIERNO DE TI

9 Gobierno de TI La estructura de relaciones y procesos para dirigir y controlar a la empresa con el fin de alcanzar sus objetivos mediante la generación de valor a través de TI, al tiempo que se mantiene un balance entre los riesgos y el retorno sobre la inversión en TI y en sus procesos. 9

10 Dominios del Gobierno de TI Dominios de Gobierno de TI Strategic alignment Value delivery Risk management Resource management Performance measurement Administración de Recursos 10

11 Beneficios del Gobierno de TI Servicios más confiables (More reliable services) Más transparencia (More transparency) Mayor respuesta (responsiveness) de TI a la empresa Confianza en la administración superior (Confidence of top management) Mayor retorno sobre la inversión (ROI) (Higher return on investment (ROI)) 11

12 COSO- Actividades de control Ambiente de control (control environment) Crear ambiente de control en la empresa Evaluación de riesgos (risk assessment) Identificar y analizar riesgos significativos que puedan evitar el alcanzar objetivos Actividades de control (control activities) Políticas, procedimientos y prácticas que aseguren el logro de objetivos y mitiguen riesgos Información y comunicación (information & communication) Identificar información relevante y comunicarla a los grupos y niveles adecuados Monitoreo (monitoring) Revisión y evaluación continua de los controles internos 12

13 RIESGOS

14 Conceptos de riesgo AMENAZA VULNERABILIDAD RIESGO CONTROL IMPACTO Cuáles son las consecuencias y cómo se miden? ROCA THREAT Impacto: pérdida de vidas o daño en la propiedad NIÑOS CASA

15 EVALUACIÓN DE RIESGOS

16 3. Evaluación de Riesgos de TI La primera fase es identificar y evaluar los riesgos inherentes: La dependencia de los sistemas de TI Dependencia del personal de TI: Dependencia de Terceros: Confiabilidad de TI:

17 Evaluación de riesgos de TI (Continuación) Enfoque de Negocio de las Funciones de TI y los procesos: Activos de Información Cambios en TI: Entorno legislativo y regulatorio

18 Probabilidad e impacto La probabilidad se determina sobre métodos cualitativos y cuantitativos. La consecuencia se mide en términos de daño. Que tan probable es que esta amenaza se materialice???? Que tan probable es que la vulnerabilidad sea explotada por la amenaza???? Cuanto vale la afectación del activo????

19 5. Nivel de Riesgo Inherente Se define como la combinación de las evaluaciones de impacto y probabilidad realizadas anteriormente. La siguiente matriz muestra cómo se obtiene la puntuación final: Likelihood Impact Mínimo Menor Moderado Mayor Catastrófico Certero 5 Considerable Considerable Alto Extremo Extremo Probable 4 Moderate Considerable Considerable Alto Extremo Posible 3 Bajo Moderate Considerable Alto Alto Improbable 2 Bajo Bajo Moderate Considerable Alto Remota 1 Bajo Bajo Moderate Considerable Considerable Bajo 1 De acuerdo a la combinación de las evaluaciones realizadas, la puntuación final se interpreta de acuerdo a la siguiente escala de calificación: Moderado 2 Considerable 3 Alto 4 Extremo 5

20 Cómo reducir los riesgos? R=A x AM x V PROTEGIENDO LOS ACTIVOS REDUCIENDO LAS AMENAZAS REDUCIENDO LAS VULNERABILIDADES

21 CONTROL

22 Definición Control: La palabra control proviene del término francés contrôle y significa comprobación, inspección, fiscalización o intervención. También puede hacer referencia al dominio, mando y preponderancia, o a la regulación sobre un sistema. Controlar: El control asegura que el objetivo se alcanza y que no ocurren incidentes no deseados. Objetivo de Control: La definición del resultado o propósito que se desea alcanzar implementando procedimientos de control en una actividad de TI particularla definición del resultado o propósito que se desea alcanzar implementando procedimientos de control en una actividad de TI particular 22

23 CONTROL Las políticas, prácticas y estructuras de organización diseñadas para proporcionar un razonable aseguramiento de que los objetivos de negocio serán alcanzados y que eventos no deseados serán prevenidos o detectados y corregidos. Beneficios de estar basado en control efectivo Reducir riesgos Promover la entrega de valor Mejorar la eficiencia de los procesos (reducir errores)

24 Características del control Qué? Riesgo Quién? Entradas Control Salidas Evidencia Cuándo? Cómo? Frecuencia

25 Evaluación de Controles Área Administración de TI Aspectos que Contempla Participación de Altos Ejecutivos (Junta Directiva) Estrategia de TI Costo y Gestión de Inversiones en TI Gestión de Niveles de Servicio Computación de Usuario Final Gestión de Servicios Terceros Informes de gestión del desempeño de TI Cumplimiento legal y regulatorio Administración de recursos humanos

26 Evaluación de Controles Área Continuidad de Sistemas Área Seguridad de información y sistemas Área Seguridad Física y Controles Ambientales Aspectos que Contempla Copia de seguridad de datos y sistemas Administración de la Capacidad Administración de Incidentes y Problemas Administración de Operaciones Administración de la Configuración Aspectos que Contempla Políticas de seguridad Administración de la Seguridad Control de acceso lógico a Centros de Cómputo Comunicación Externa Control de Acceso Físico Protección del Ambiente Aspectos que Contempla

27 Evaluación de Controles Área Desarrollo de Sistemas Área Administración de Cambios Aspectos que Contempla Metodología de Desarrollo Gestión de Proyectos Participación del Usuario Calidad y aseguramiento de proyectos Documentación Aspectos que Contempla Administración de Cambios Técnicos Cambios en el negocio Área Aseguramiento y Control Aspectos que Contempla Auditoría de TI Administración de riesgos Evaluación de la adecuación de controles

28 FUNDAMENTOS Antecedentes COBIT 4.1

29 Evolución La evolución de COBIT 5 Gobierno Empresarial de TI Gobierno BMIS (2010) Administración Control Val IT 2.0 (2008) Auditoría Risk IT (2009) COBIT 1 COBIT 2 COBIT 3 COBIT4.0/4.1 COBIT /7 2012

30 Definición COBIT es en realidad un acrónimo formado por las siglas derivadas de Control Objectives for Information and Related Technology (Objetivos de Control para Información y Tecnologías relacionadas) COBIT provee un modelo de procesos orientado al negocio y un conjunto de controles para apoyar el cumplimiento de los objetivos del Gobierno de TI COBIT actúa como integrador de modelos de mejores prácticas en un solo marco de trabajo

31 Qué es COBIT? Es un marco de referencia aceptado generalmente Provee buenas prácticas para el gobierno de TI y el control Es un consenso de expertos Buenas prácticas para el control (auditoría) y gobierno (administración) Está más enfocado en control (el Qué) y menos en la ejecución (el Cómo) Es integrador (umbrella) de buenas prácticas alineado a otros estándares como ITIL, CMM, ISO y COSO Es Flexible (puede implementarse de acuerdo a las necesidades de cada empresa) Su alcance cubre la mayoría de las disciplinas de TI por lo que es el marco de trabajo más aceptado para Gobierno de TI Es de dominio público (free PDF download)

32 Beneficios de implementar COBIT Brinda un enfoque de negocios que permite la alineación entre los objetivos de negocio y de TI Provee una visión entendible de TI para la administración Orientado a procesos - identifica claramente roles y responsabilidades Aceptación general con terceros y reguladores Proporciona un lenguaje común, con un conjunto de términos y definiciones que son comprendidos por todos los stakeholders Ayuda a satisfacer requerimientos regulatorios, al ser consistente con estándares de gobierno corporativo generalmente aceptados (COSO) y con controles de TI requeridos por agentes reguladores y auditores externos

33 MARCO DE REFERENCIA Estructura Fundamental de COBIT

34 Principio básico de COBIT Información efectividad eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad Requerimientos de Negocio Procesos de TI Recursos de TI Información Aplicación Infraestructura Gente

35 Dominios PO Planeación y Organización PO1 Definir un Plan Estratégico de TI PO2 Definir la Arquitectura de Información PO3 Determinar la dirección tecnológica PO4 Definir la Organización y de las Relaciones de TI PO5 Manejar la Inversión en Tecnología de Información PO6 Comunicar la dirección y aspiraciones de la gerencia PO7 Administrar Recursos Humanos PO8 Administrar Calidad PO9 Evaluar y Administrar Riesgos de TI PO10 Administrar proyectos PLANEACÍON Y ORGANIZACIÓN MONITOREO Y EVALUACIÓN ADQUISICIÓN E IMPLEMENTACIÓN ENTREGA Y SOPORTE

36 Dominios Adquisición e implementación (AI) AI1 Identificar Soluciones Automatizadas AI2 Adquirir y Mantener Software de Aplicación AI3 Adquirir y Mantener Infraestructura de Tecnología AI4 Hacer posible Operación y Uso AI5 Procurar recursos de TI AI6 Administrar Cambios AI7 Instalar y Acreditar Soluciones y Cambios PLANEACÍON Y ORGANIZACIÓN MONITOREO Y EVALUACIÓN ADQUISICIÓN E IMPLEMENTACIÓN ENTREGA Y SOPORTE

37 Dominios Entrega y soporte (DS) DS1 Definir y Administrar Niveles de Servicio DS2 Administrar Servicios prestados por terceros DS3 Administrar Desempeño y Capacidad DS4 Asegurar Servicio Continuo DS5 Garantizar la Seguridad de Sistemas DS6 Identificar y Asignar Costos DS7 Educar y Entrenar a Usuarios DS8 Administrar Mesa de Servicios e Incidentes DS9 Administrar la Configuración DS10 Administrar Problemas DS11 Administrar Datos DS12 Administrar el Ambiente Físico DS13 Administrar Operaciones MONITOREO Y EVALUACIÓN PLANEACÍON Y ORGANIZACIÓN ADQUISICIÓN E IMPLEMENTACIÓN ENTREGA Y SOPORTE

38 Dominios Monitorear y Evaluar (ME) ME1 Monitorear y Evaluar Desempeño de TI ME2 Monitorear y Evaluar Control Interno ME3 Asegurar Cumplimiento de Requerimientos Externos ME4 Proporcionar Gobierno de TI. PLANEACÍON Y ORGANIZACIÓN MONITOREO Y EVALUACIÓN ADQUISICIÓN E IMPLEMENTACIÓN ENTREGA Y SOPORTE

39 RESUMEN Marco de Trabajo COBIT ME1 ME2 ME3 ME4 Monitorear y Evaluar el desempeño de TI. Monitorear y Evaluar el control interno. Garantizar el cumplimiento de requerimientos externos. Proveer Gobierno de TI. DS1 Definir y administrar niveles de servicio. DS2 Administrar servicios de terceros. DS3 Administrar desempeño y capacidad. DS4 Asegurar continuidad de servicio. DS5 Garantizar la seguridad de sistemas. DS6 Identificar y asignar costos. DS7 Educar y capacitar usuarios. DS8 Administrar servicios de apoyo e incidentes. DS9 Administrar la configuración. DS10 Administrar problemas. DS11 Administrar datos. DS12 Administrar el ambiente físico. DS13 Administrar operaciones. MARCO DE REFERENCIA C O B I T MONITOREAR Y EVALUAR OBJETIVOS DEL NEGOCIO OBJETIVOS DE GOBIERNO Eficiencia Efectividad Cumplimiento ENTREGA Y SOPORTE Confiabilidad INFORMACION RECURSOS DE TI Aplicaciones Información Infraestructura Personas Integridad Disponibilidad Confidencialidad ADQUISICIÓN E IMPLEMENTACIÓN PLANEACIÓN Y ORGANIZACIÓN PO1 Definir un plan estratégico de TI. PO2 Definir la arquitectura de información. PO3 Determinar la dirección tecnológica. PO4 Definir los procesos de TI, la organización y sus relaciones. PO5 Administrar las inversiones en TI. PO6 Comunicar la dirección y objetivos de la gerencia. PO7 Administrar los recursos humanos de TI. PO8 Administrar calidad. PO9 Evaluar y administrar riesgos de TI. PO10 Administrar proyectos. AI1 AI2 AI3 AI4 AI5 AI6 AI7 Identificar soluciones de automatización. Adquirir y mantener software de aplicación. Adquirir y mantener la infraestructura tecnológica. Permitir la operación y uso. Obtener recursos de TI. Administrar cambios. Instalar y acreditar soluciones y cambios.

40 Matriz RACI PO1 Definir un Plan Estratégico de TI Cobit incluye una matriz RACI para cada uno de los procesos. Esta matriz define: los roles que participan en el proceso Las principales actividades del proceso El tipo de responsabilidad que cada rol tiene respecto a dichas actividades: R: responsable (de ejecución) A: responsable en última instancia de los resultados C: quien es consultado I: a quien proporcionan información

41 Entradas y Salidas de Procesos COBIT define los productos que son recibidos (entradas) y generados (salidas) por cada uno de los procesos Estos procesos son presentado mediante matrices, en las cuales se indica, para cada producto: El proceso del cual se recibe el producto de entrada El proceso al cual está destinado el producto de salida Se incluyen productos que son recibidos de procesos o entidades externas a COBIT (otros procesos de negocio de la empresa o fuera de ésta)

42 MARCO DE REFERENCIA Enfocado en el Negocio

43 Asociación de los procesos de TI a las Metas de TI Metas de TI 1. Responder a requerimientos del negocio en alineamiento con estrategia del negocio. 2. Responder a requerimientos de gobierno en línea con las directrices de la Junta. 3. Garantizar satisfacción usuarios finales con servicios ofrecidos y niveles de servicio. Procesos PO1 PO2 PO4 PO10 AI1 AI6 AI7 DS1 DS3 ME1 PO1 PO4 PO10 ME1 ME3 PO8 AI4 DS1 DS2 DS7 DS8 DS10 DS13 4. Optimizar el uso de la información. PO2 DS11 5. Crear agilidad de TI. PO2 PO4 PO7 AI3 6. Definir cómo los requerimientos funcionales de negocio/control se traducen en soluciones automatizadas efectivas y eficientes. 7. Adquirir/mantener sistemas de aplicación integrados y estandarizados. AI1 AI2 AI6 PO3 AI2 AI5 8. Adquirir/mantener infraestructura de TI integrada y estandarizada. 9. Adquirir/mantener destrezas de TI que respondan a la estrategia de TI. 10. Garantizar satisfacción mutua en relaciones con terceros. AI3 PO7 DS2 AI5 AI5

44 Asociación de los procesos de TI a las Metas de TI Metas de TI 11. Garantizar la integración natural de soluciones de tecnología y aplicaciones en los procesos de negocio. 12. Garantizar la transparencia y entendimiento de los costos de TI, beneficios, estrategia, políticas y niveles de servicio. 13. Garantizar el uso apropiado y el desempeño de las soluciones de tecnología y aplicaciones. 14. Responsabilidad sobre y protección de todos los activos de TI. 15. Optimizar infraestructura, recursos y capacidades de TI. 16. Reducir defectos y reprocesos en las soluciones y entrega del servicio. Procesos PO2 AI4 AI7 PO5 PO6 DS1 DS2 DS6 ME1 ME4 PO6 AI4 AI7 DS7 DS8 PO9 DS5 DS9 DS12 ME2 PO3 AI3 DS3 DS7 DS9 PO8 AI4 AI6 AI7 DS Proteger el logro de los objetivos de TI. PO9 DS10 ME2 18. Establecer claramente el impacto sobre el negocio de los riesgos de los objetivos y recursos de TI. 19. Garantizar que la información crítica y confidencial se oculta a aquellos que no deben tener acceso a ella. 20. Garantizar que transacciones del negocio automatizadas e intercambios de información son confiables. PO9 PO6 DS5 DS11 DS12 PO6 AI7 DS5

45 Asociación de los procesos de TI a las Metas de TI Metas de TI 21. Garantizar que servicios e infraestructura TI pueden resistir/recuperarse de errores, ataques deliberados/desastres. Procesos PO6 AI7 DS4 DS5 DS12 DS13 ME2 22. Garantizar el mínimo impacto en el negocio en caso de una interrupción o cambio en el servicio de TI. 23. Garantizar que los servicios de TI están disponibles tal y como se requieren. 24. Mejorar la eficiencia en los costos de TI y su contribución a la rentabilidad del negocio. 25. Entregar proyectos a tiempo y dentro del presupuesto y dentro de los estándares de calidad. 26. Mantener la integridad de la información y la infraestructura de procesamiento. 27. Garantizar el cumplimiento por parte de TI con las leyes, regulaciones y contratos. 28. Garantizar que TI demuestra servicio de calidad, costo-eficiente, mejoramiento continuo y preparación para cambios futuros. PO6 AI6 DS4 DS12 DS3 DS4 DS8 DS13 PO5 DS6 PO8 PO10 AI6 DS5 DS11 ME2 ME3 ME4 PO5 DS6 ME1 ME3

46 ARQUITECTURA DE TI Recursos de TI Información: son los todos los datos que pueden ser ingresados, procesados y emitidos por los sistemas de información en cualquier forma utilizada por el negocio Aplicaciones: Son los sistemas automatizados y los procedimientos manuales que utilizan y procesan información. Infraestructura: Es la tecnología e instalaciones (hardware, sistemas operativos, sistemas de administración de bases de datos, telecomunicaciones, multimedia, etc. y el ambiente que la hospeda y le brinda soporte) que hace posible el procesamiento de las aplicaciones Gente: Es el personal requerido para planear, organizar, adquirir, implementar, brindar soporte, monitorear y evaluar los sistemas de información y los servicios. Puede ser interno, proveído por terceros o contratado con base en los requerimientos.

47 Gracias Víctor Vasquez Cel