metodología de evaluación y control de riesgos

Transcripción

1 El Gobierno de la TI es una parte importante de la Gobernabilidad Empresarial que apunta a desarrollar procesos, estructuras organizacionales y liderazgo para asegurar que la Tecnología de la Información ayude a consumar y reflejar adecuadamente las estrategias y objetivos de la organización. COBIT es el modelo internacional para el Gobierno de la TI. El software Meycor COBIT provee las herramientas necesarias para implantar el gobierno de TI en organizaciones que buscan cumplir con pautas de gobierno corporativo, gobierno empresarial, etc. metodología de evaluación y control de riesgos Todos los recursos de COBIT 4.0 Edición. Las pautas establecidas en la guía de implantación de IT Governance y la exposición a la dirección sobre Gobierno de TI (2 da Edición). Los siguientes módulos (pueden adquirirse de forma independiente): Meycor COBIT CSA Meycor COBIT MG Meycor COBIT AG Meycor COBIT Risk Manager Meycor COBIT Knowledge Provider Meycor COBIT Delphos Manual de usuario y ayuda en línea de cada módulo. Apoyar todos los pasos de la implantación del gobierno de TI mediante COBIT. Gestionar la documentación de conocimiento explícito que se ha generado y evaluar la comprensión del mismo. Determinar la relación entre el negocio y la tecnología. Documentación de procesos de negocio, objetivos de negocio, objetivos de TI y recursos de TI. Realizar la evaluación de riesgos siguiendo el modelo de COSO. Diagnosticar el estado de situación de una organización: el valor real, el valor objetivo y la brecha existente a nivel del modelo de maduración y los objetivos de control. Crear proyectos de mejora y realizar el seguimiento de los mismos. Gestionar indicadores KGI (indicadores clave de meta) y KPI (indicadores clave de desempeño) con una herramienta de tablero de mando, así como también considerar los CSF (factores críticos de éxito). Realizar auditorías según las guías de auditoría de COBIT. MG KNOWLED GE DELPHOS USUARIO ROUTE RISK MANAGE AG CSA

2 El software Meycor COBIT CSA es una herramienta de auto-evaluación que permite la participación de la auditoría. Permite diagnosticar el status de la organización sujeta a medición a nivel de seguridad, calidad, eficacia y eficiencia en Tecnología de la Información (TI) de acuerdo al marco mundial COBIT. Los procesos y los objetivos de control de bajo nivel de COBIT. Recomendaciones para cada objetivo de control de COBIT. Preguntas específicas de ejemplo de diversas plataformas tales como: Oracle, ISO 17799, Novell NetWare, Unix, seguridad lógica y física. Las siguientes planillas para ser completadas: IT Governance Checklist, IT Governance Self-Assessment Checklist y Management s IT Concerns Diagnostic Tool. Un módulo para auditar las respuestas con las guías de auditoría de COBIT. Manual de usuario y ayuda en línea del módulo de evaluación y el módulo de auditoría. Trabajar simultáneamente con varios centros de análisis cuyos resultados podrán ser consolidados. Definir los procesos a evaluar en cada centro de análisis. Priorizar los procesos según las respuestas a las planillas de apoyo incluidas. Medir el grado de cumplimiento actual con la Gobernabilidad en TI. Ingresar restricciones inherentes al estado de los recursos de TI de COBIT. Realizar la autoevaluación de controles. Agregar nuevas clasificaciones, preguntas y recomendaciones. Generar cuestionarios para responder y cargar las respuestas directamente al software. Generar reportes de resultados de la evaluación y recomendaciones. Generar gráficas con los resultados de la evaluación. Realizar evaluaciones off-line y luego consolidarlas en la base de datos. Auditar en forma independiente las evaluaciones realizadas. Realizar evaluaciones en diferentes períodos y comparar los resultados. El software Meycor COBIT MG permite definir el nivel de madurez de la organización respecto de la gestión de la TI. Permite realizar un diagnóstico de la situación actual de madurez para cada proceso de COBIT, generación de recomendaciones e implementación de proyectos de mejora. Los procesos de COBIT con una descripción en cada uno de los niveles de madurez. Preguntas que ayudan a determinar el nivel de madurez en cada proceso. Recomendaciones para la mejora en cada proceso. Manual de usuario y ayuda en línea. Definir los procesos que tiene cada centro de análisis y los procesos para los cuales tiene permiso de acceso cada usuario. Definir el nivel de madurez en cada proceso con la ayuda de un cuestionario y establecer el objetivo. Obtener automáticamente recomendaciones de mejora. Generar cuestionarios para responder y cargar las respuestas directamente al software. Generar reportes de resultados de la evaluación y recomendaciones. Generar gráficas con los resultados de la evaluación. Crear proyectos de implantación de mejoras y asignar recomendaciones a los mismos. Priorizar los proyectos mediante el impacto y la relación costo/riesgo. Realizar evaluaciones en diferentes centros de análisis y realizar comparaciones de los i

3 El software Meycor COBIT AG permite crear y administrar proyectos de auditoría de TI basado en las Guías de auditoría de COBIT. La estructura del producto permite, para cada proyecto, definir los objetivos de COBIT que serán evaluados, los centros que serán auditados, los procedimientos que serán usados y los auditores que estarán asignados a cada objetivo. Los procesos y objetivos de control de bajo nivel de definidos por COBIT. Preguntas específicas de ejemplo de Oracle, ISO 17799, Novell NetWare, Unix. Seis planillas del ToolSet de COBIT para ser completadas. Las guías de auditoría de COBIT. Manual de usuario y ayuda en línea para cada perfil de usuario. Crear usuarios de tipos evaluadores, supervisores y supervisores-evaluadores, además de un usuario administrador y un usuario responsable. Crear centros de análisis e ingresar para cada uno el organigrama, los procesos de negocio, los objetivos de negocio, los objetivos de TI y los recursos de TI (opcionalmente es posible incorporar un inventario tecnológico completo de la realidad de la organización). Crear proyectos de 4 tipos: IT Processes Audit, Activities/Task Audit, High Level Control Objetives Review and Detailed Control Objetives Review; y seleccionar entre 3 escalas de evaluación. Asignar centros de análisis y auditores a cada proyecto. Definir permisos para usuarios en proyectos. Realizar evaluaciones para cada centro de análisis de un proyecto y comparar las evaluaciones de cada centro. Ingresar observaciones y recomendaciones, archivos vinculados y registro de actividades. Supervisar el trabajo de los auditores. Realizar una planificación de auditorías. Generar el informe final de forma automática e informes con resultados de las evaluaciones. Realizar evaluaciones en diferentes centros de análisis y realizar comparaciones de los mismos. Realizar evaluaciones e ingresar datos off-line y luego consolidarlos en la base de datos. El software Meycor COBIT Risk Manager permite realizar evaluaciones del riesgo de TI según el modelo COSO. Se identifican las amenazas que pueden tener efecto crítico sobre el cumplimiento de los objetivos. Permite evaluaciones cuantitativas o cualitativas. Todos los indicadores KGI y KPI de las guías de gerenciamiento expresadas como riesgos. Manual de usuario y ayuda en línea. Crear usuarios y grupos de usuarios. Definir el organigrama de una organización e ingresar los procesos de negocio. Asignar grupos de trabajo a procesos de negocio. Definir objetivos de negocio y los riesgos de cada objetivo. Crear y personalizar la lista de amenazas. Realizar la evaluación de los riesgos según la probabilidad y el impacto. Realizar reportes y gráficas de los resultados de la evaluación. Generar un mapa de los riesgos global y para cada área de la organización. Realizar evaluaciones en diferentes períodos y luego ser comparadas.

4 El software Meycor COBIT Delphos es un administrador de indicadores de gestión estratégica, conocido normalmente como Cuadro de Mando Integral (CMI). En este caso se usan sus facilidades para crear un CMI tecnológico que pueda ser integrado con otros CMI que existan en la organización. Los indicadores clave de desempeño (KPI) e indicadores clave de meta (KGI) de COBIT. Los factores críticos de éxito (CSF) de COBIT. Ayuda en línea. Implementar íntegramente, de una manera muy sencilla y sólida a la vez, un Enterprise Balanced ScoreCard. Incorporar o adaptar nuevos indicadores. Integrar totalmente y de forma coherente con la estrategia de la organización los objetivos, metas e indicadores. Especificar planes de acción compartidos o independientes para cada objetivo y/o meta del modelo, para un adecuado seguimiento. A los usuarios designados estar informados, al momento de presentarse una situación que amerite su intervención mediante un sistema de envío automático de correos electrónicos. Mediante el análisis Causa-Efecto y el diseño de escenarios, la gerencia podrá evaluar la concordancia entre los diferentes indicadores de sus modelos. Tomar los valores objetivos y mediciones de los indicadores de distintas fuentes de datos, ingresarlos manualmente o ingresarlos como expresiones aritméticas dependiendo inclusive de otros indicadores. Generar numerosas gráficas y vistas del desempeño de los indicadores. Definir un esquema de períodos y hacer cierres de los mismos. metodología de evaluación y control de El software Meycor COBIT Knowledge Provider es un producto que permite el desarrollo, residencia, distribución y mantenimiento de sistemas de gestión, planes de continuidad de negocio y todo tipo de contenidos generados durante la implantación del gobierno de la TI. Es un producto web que permite el acceso masivo de usuarios pertenecientes a la intranet de la organización o a través de Internet. Acceso separado para el administrador y creadores de contenido, y los usuarios que solamente visualizan datos. Los siguientes módulos: Módulo central (administración de usuarios, grupos y documentos). Módulo de cuestionarios (administración de cuestionarios). Módulo de datos (creación de conexiones a datos y administración de los registros). Módulo de comunicaciones (control de pendiente y envío de notificaciones por ). Módulo de incidentes (administración de tipos de incidentes y registro de incidentes). Un editor completo para la creación de documentos. Ayuda en línea para todos los perfiles de usuario. Acceso ilimitado de usuarios al producto. Crea usuarios y grupos de usuarios. Administrar proyectos, documentos, cuestionarios y datos. Asignar los permisos de accesos a proyectos, documentos, cuestionarios y datos. Agregar, eliminar y modificar registro de datos. Definir los encargados de mantenimiento de los proyectos, documentos, cuestionarios y datos. Definir los aprobadores de documentos y cuestionarios.

5 Mapa de ruta para implantar el Gobierno de TI en su organización según el ITGI Generar conciencia y tomar decisiones Analizar valor y riesgos Identificar necesidades Selección de procesos Definir dónde estamos Solución sustentable: Establecer políticas, objetivos y metas. Implantar políticas, responsabilidades, procesos y procedimientos. Medir el desempeño respecto a políticas y mejores prácticas referenciales. Tomar medidas preventivas y correctivas, mejorando continuamente. Definir dónde Analizar queremos estar brechas Visualizar la solución Planificar la solución Revisión de post-implantación: Medir resultados de los proyectos de mejora. Retroalimentar otros proyectos de mejora. Definir proyectos Planificar Implementación de Mejoras Integrar en las prácticas del día a día Integrar medidas en un Tablero de Mando Implantar la solución Uso de recursos de TI Los recursos de TI dan un soporte adecuado a los objetivos del negocio? Riesgos operativos en TI Cuáles son los riesgos tecnológicos más críticos? Puede convivir con ellos? Cuánto cuesta atenderlos? Niveles de madurez en la gestión de la TI Cuál es la brecha existente en los controles entre la evaluación actual según COBIT y el nivel objetivo? Planes de acción Qué acciones requieren inmediata atención para que la TI entregue valor y disminuya sus riesgos? Medición de objetivos e indicadores Cómo construir un Cuadro de Mando tecnológico? Cuál es el grado de satisfacción de los stakeholders respecto al valor que brinda la TI? Meycor COBIT Suite ayuda efectivamen-te a cambiar el grado de satisfacción en un plazo razonable de tiempo.

6 COBIT SUITE Teléfonos: (2) (2) Fax: (2) Copyright: Este programa está basado en COBIT Copyright 1996, 1998, 2000 de la ISACF y su uso está autorizado por la ISACF. Todos los derechos reservados.