CobiT,, Val IT y Risk IT en la implementación n de un Modelo de GRC

Transcripción

1 CobiT,, Val IT y Risk IT en la implementación n de un Modelo de GRC ISACA Capítulo Monterrey Presentado por Gustavo A. Solís, CISA, CISM, CGEIT gsolis@cynthus.com.mx 1

2 Qué es GRC Definido formalmente, GRC es un sistema de personas, procesos y tecnología que permite que una organización: Comprenda y priorice expectativas de Stakeholders Establezca objetivos congruentes con valores y riesgos Logre objetivos al tiempo que optimiza el perfil de riesgos y protege el valor del negocio. Operar dentro de fronteras legales, contractuales, internas, sociales y éticas Proveer información relevante, confiable y oportuna a los stakeholders apropiados y Permitir la medición del desempeño y la eficacia del sistema 2

3 Desempeño o con Principios (Principled Performance) Es el resultado de una clara articulación entre los objetivos de una organización y la aplicación de métodos de GRC, mediante los cuales se establecen fronteras, dentro de las cuales permanece mientras avanza hacia el logro de sus objetivos. Va más allá del desempeño ético, del desempeño económico o la responsabilidad social corporativa. Representa el logro de todos los objetivos de una organización, al tiempo que se emplea un enfoque efectivo, eficiente y responsivo al Gobierno, a la Administración de Riesgos y a Conformidad, el cual soporta dichos objetivos 3

4 Las Fronteras de la Conducta Corporativa Fronteras Voluntarias Mandatos Internos Fronteras Obligatorias Mandatos Externos Definidas por la Gerencia Definidas por fuerzas legales y requerimientos regulatorios 4

5 Resultados Universales de un sistema GRC de alto desempeño Un sistema de GRC de alto desempeño debe generar los siguientes resultados universales siendo eficaz, eficiente y responsivo. Lograr Objetivos de Negocio Optimizar la Cultura Organizacional Incrementar la Confianza de los Stakeholders Preparar y Proteger a la Organización Prevenir, Detectar & Reducir la Adversidad Motivar e Inspirar la Conducta Deseada Mejorar la eficiencia y capacidad de Respuesta Optimizar el Valor económico y Social 5

6 Modelo de Capacidades de GRC Organizar y Supervisar Monitorear y Medir Responder y Resolver INFORMAR E INTEGRAR Evaluar y Alinear Prevenir y Promover Detectar y Discernir 6

7 Modelo de Capacidades de GRC Organizar y Supervisar Organizar y supervisar el sistema de GRC para que esté integrado con el modelo de operación de negocio actual y pueda modificarlo cuando sea apropiado. Asignar a la Gerencia responsabilidades específicas, autoridad de toma de decisiones y compromiso de rendición de cuentas para lograr las metas del Sistema Resultados y Compromiso Roles y Responsabilidades Enfoque y Rendición de Cuentas 7

8 Contenido Introducción a GRC Qué es GRC El concepto de Desempeño con Principios (Principled Performance) Otros componentes críticos de GRC Características del GRC El modelo de Capacidades de GRC Los Frameworks de ISACA como base de un modelo GRC Productos CobiT para implementar un sistema de GRC de TI Componentes de los Frameworks aplicados al GRC CobiT Val IT Risk IT Conclusiones 8

9 Modelo de Capacidades de GRC Evaluar y Alinear Evaluar riesgos y optimizar el perfil de riesgos organizacionales con un portafolio de iniciativas, tácticas y actividades Identificación de Riesgos Análisis de Riesgos Optimización de Riesgos Prevenir y Promover Promover y motivar la conducta deseable y prevenir eventos y actividades no deseados utilizando una mezcla de controles e iniciativas Códigos de Conducta Políticas Controles Preventivos Conciencia y Educación Incentivos de Capital Humano Relaciones y Requerimientos de Stakeholders Financiamiento de Riesgos / Seguros 9

10 Modelo de Capacidades de GRC Detectar y Discernir Detectar conductas y eventos indeseables tanto potenciales como actuales, así como debilidades del Sistema y preocupaciones de Stakeholders utilizando una amplia red de recopilación de información y técnicas de análisis Mesa de Servicio (Hotline) y Notificación Consulta y Encuesta (Survey) Controles Detectivos 10

11 Modelo de Capacidades de GRC Responder y Resolver Responder a, y recuperarse de eventos de conducta ética no deseada o de incumplimiento o de fallas del Sistema de GRC, para que la organización resuelva cada aspecto inmediato y prevenga o resuelva aspectos similares de formas más eficiente y eficaz en el futuro. Revisión Interna e Investigación Consultas e Investigaciones de Terceros Controles Correctivos Respuesta a Crisis y Recuperación Remediación y Disciplina Monitorear y Medir Monitorear, medir y modificar el sistema GRC de forma periódica y consistente para asegurar que contribuye a los objetivos de negocio, siendo eficiente, eficaz y responsivo a cambios en el ambiente Monitoreo de Contexto Monitoreo de Desempeño y Evaluación Mejora Sistemática Aseguramiento 11

12 Modelo de Capacidades de GRC Contexto y Cultura Comprender la cultura actual y el contexto interno y externo en el que opera la organización para que el sistema de GRC pueda orientarse a realidades actuales (e identificar oportunidades para afectar el contexto y ser más congruente con los resultados organizacionales deseados). Contexto Externo del Negocio Contexto Interno del Negocio Cultura Valores y Objetivos Informar Integrar Capturar, documentar y administrar información de GRC para que fluya de forma eficiente y precisa vertical y horizontalmente a través de la empresa extendida y hacia los Stakeholders externos Administración de Información y Documentación Comunicaciones Internas y Externas Tecnología e Infraestructura 12

13 Otros componentes Críticos de GRC Gobierno Gente Aseguramiento Admón. de Riesgos Conformidad Control 13

14 GRC es para toda la empresa 14 Producir Compras R.H. Contab.. Ventas Ventas Legal Legal Planear Servicio Servicio Tesorería Tesorer Calidad Gobierno Proyectos Admón. de Riesgos Conformidad Seguridad Marketing TI TI Rel. Pub. Rel. Pub. Ecología

15 Los Frameworks del ITGI 15

16 CobiT Extendido Los tres Frameworks del ITGI Administración de Riesgos Administración del Valor Risk IT Evaluar Riesgos y Oportunidades Val IT Dirige Eventos relacionados con TI Dirige CobiT Actividades de TI 16

17 Elementos del ITGI relacionados con GRC Governance Gobierno de TI Gobierno de seguridad de Información CobiT(v4.1) Framework de Control Objetivos de Control (controles generales) Prácticas de Control Lineamientos Gerenciales Guía de Aseguramiento Cobit y Controles de Aplicación Val IT (v2.0) Risk IT (v1.0) 17

18 Productos CobiT para Apalancar un sistema de GRC de TI Directo Indirecto Contextual IT Governance Implement.. Guide Control Objetives Management Guidelines Assurance Guide Control Practices Risk IT Val IT Organizar y Supervisar Evaluar y Alinear Prevenir y Promover Detectar y Discernir Responder y Resolver Monitorear y Medir Cultura y Contexto Informar e Integrar 18

19 CobiT IT Governance Implementation Guide Qué contiene. La Ruta hacia el Gobierno de TI Es una guía para implementar Gobierno de TI utilizando los frameworks de CobiT y de Val IT Áreas Focales de Gobierno de TI. Ciclo de Vida del Gobierno de TI El Ambiente del Gobierno de TI Los Stakeholders del Gobierno de TI Medición de Desempeño Alineamiento Estratégico Generación de Valor Dominios de Gobierno de TI Administración de Recursos Administración de Riesgos Herramientas para autoevaluación, medición y diagnóstico: Dos diagnósticos de conciencia gerencial Herramienta para medición de madurez Formatos de evaluación de objetivos de Control MyCOBIT. Temas para diagnóstico de factores riesgo Temas para diagnóstico de objetivos de control 19

20 Control Objectives for Information and related Technologies 20

21 CobiT Dominios, Recursos y Criterios MARCO DE TRABAJO C O B I T OBJETIVOS DEL NEGOCIO OBJETIVOS DE GOBIERNO ME1 Monitorear y evaluar el desempeño de TI. ME2 Monitorear y evaluar el control interno. ME3 Garantizar Cumplimiento regulatorio. ME4 Proporcionar Gobierno de TI. MONITOREAR Y EVALUAR Eficiencia Efectividad Cumplimiento Confiabilidad INFORMACION RECURSOS DE TI Integridad Disponibilidad Confidencialidad PLANEAR y ORGANIZAR PO1 Definir el plan estratégico de TI. PO2 Definir la arquitectura de la información. PO3 Determinar la dirección tecnológica. PO4 Definir procesos, organización y relaciones de TI. PO5 Administrar la inversión en TI. PO6 Comunicar la dirección y de las aspiraciones y la dirección de la gerencia. PO7 Administrar recursos humanos de TI. PO8 Administrar calidad. PO9 Evaluar y administrar Riesgos de TI. PO10 Administrar proyectos. DS1 Definir y administrar niveles de servicios. DS2 Administrar servicios de terceros. DS3 Administrar desempeño y capacidad. DS4 Garantizar la continuidad del servicio. DS5 Garantizar la seguridad de los sistemas. DS6 Identificar y asignar costos. DS7 Educar y entrenar a los usuarios. DS8 Administrar la mesa de servicio y los incidentes. DS9 Administrar la configuración. DS10 Administrar los problemas. DS11 Administrar los datos. DS12 Administrar el ambiente físico. DS13 Administrar las operaciones. ENTREGAR Y DAR SOPORTE Aplicaciones Información Infraestructura Personas ADQUIRIR E IMPLEMENTAR AI1 Identificar soluciones automatizadas. AI2 Adquirir y mantener el software aplicativo. AI3 Adquirir y mantener la infraestructura tecnológica. AI4 Facilitar la operación y el uso. AI5 Adquirir recursos de TI. AI6 Administrar cambios. AI7 Instalar y acreditar soluciones y cambios. 21

22 CobiT Matriz RACI: Asignación n de responsabilidades por Rol / PO10 Diagrama RACI para PO10 Actividades Definir un marco de trabajo de programas/portafolio para inversiones en TI. Establecer y mantener un marco de trabajo para la administración de proyectos de TI. Establecer y mantener un sistema de monitoreo, medición y administración de sistemas. Elaborar contratos de proyectos, cronogramas, planes de calidad, presupuestos y planes de comunicación y administración de riesgos. Asegurar la participación y el compromiso de los stakeholders del proyecto. Asegurar el control efectivos de proyectos y de cambios a proyectos. Definir e implementar métodos de revisión y aseguramiento de proyectos. Funciones CEO CFO CIO Ejecutivos del Negocio Dueño Proc. Negocio Dirección Operaciones Arquitecto Jefe Dirección Desarrollo PMO Dirección Adm. TI C C A R C C I I I A/R I C C C C R C I I I R C C C C A/R C C C C C C C C A/R C I A R C C C C C C C A/R C I C I A/R C Un diagrama RACI para cada proceso identifica quién es Responsable, Debe Rendir Cuentas, es Consultado, y/o es Informado Cumplimiento, Riesgo, Auditoría, Seguridad Cumplimiento, Cumplimiento, Riesgo, Auditor Auditoría, a, Seguridad Seguridad 22

23 CobiT Management Guidelines: Indicadores Mide Logros Define Metas Meta de Actividad Meta de Proceso Meta de TI Meta de Negocio Comprender Detectar y resolver Asegurar que los Mantener la requerimientos, accesos no servicios de TI reputación y autorizados a vulnerabilidades y información, pueden resistir y liderazgo de la amenazas de aplicaciones e recobrarse de empresa seguridad infraestructura ataques es medido mediante es medido mediante es medido mediante es medido mediante Frecuencia de Número de Número de Número de revisión del tipo de violaciones de incidentes de TI incidentes que eventos de acceso que realmente provocan situaciones seguridad a ser impactan el públicas monitoreados negocio embarazosas KPI Métrica de Negocio KGI Mejora y realinea KPI Métrica de Proceso KGI KPI Métrica de TI KGI Dirige Desempeño 23

24 CobiT Modelos de Madurez y Benchmarking Los Modelos de Madurez proveen una escala para medir comparativamente las prácticas de la compañía contra los estándares y directrices de la industria. Un modelo de madurez es una medida que le permite a la organización calificar su madurez para un proceso específico desde no existente (0) hasta optimizado (5). No existente Inicial Repetible Definido Administrado Optimizado Leyenda para los símbolos utilizados Estatus actual de la empresa Promedio de la industria Meta de la empresa Descripción de niveles de madurez 0- Los procesos adminstrativos no se aplican del todo. 1- Los procesos son ad hoc y desorganizados. 2- Los procesos siguen un patrón regular. 3- Los procesos se documentan y comunican. 4- Los procesos son monitoreados y medidos. 5- Se aplican buenas prácticas y automatización. 24

25 CobiT Assurance Guidelines / Ruta de Aseguramiento Planeación Dimensionamiento Ejecución Establecer el Universo del Aseguramiento de TI Seleccionar un marco de trabajo de control de TI Desarrollar una planeación de aseguramiento basada en riesgo. Realizar una evaluación de alto nivel Dimensionar y definir los objetivos de alto nivel para la Iniciativa Dimensionar y planear iniciativas de aseguramiento Seleccionar los objetivos de control para procesos críticos Personalizar objetivos de control Refinar el entendi_ miento del Objeto de Aseguram. de TI Refinar el alcance de objetivos de control clave para el objeto de Aseguram. de TI Probar la efectividad de diseño del control de los objetivos de control clave. Probar los productos de los objetivos de control clave Documentar el impacto de las debilidades de control. Desarrollar y comunicar conclusiones generales y sugerencias. Planes de aseguramiento de TI Alcance detallado y objetivos Conclusión de Aseguramiento 25

26 CobiT Assurance Guidelines / Ruta de Aseguramiento Cada una de las 34 guías presenta esta estructura y se aplica de manera específica a cada uno de los Procesos y Objetivos de control seleccionados en el alcance de la Iniciativa de aseguramiento. Objetivo de Control (por objetivo de control) Declaración de Valor (por objetivo de control) Declaración de Riesgo (por objetivo de control) Pasos de Aseguramiento para probar el Diseño del Control (para cada objetivo de control) Pasos de Aseguramiento para probar el Producto de los Objetivos de Control (para cada Proceso) Pasos de Aseguramiento para Documentar el impacto de las Debilidades de Control (para cada Proceso) 26

27 CobiT Assurance Guidelines / Controles Generales VS Controles de Aplicaci ación Las guías de aseguramiento diferencian entre controles Generales y Controles de Aplicación Controles Generales de TI Planeación y Organización Requerimientos Funcionales Requerimientos de control Adquisición e Implementación Entrega y soporte Soporte Servicios Automatizados Monitoreo y Evaluación Controles de Aplicación 27

28 28

29 Risk IT Los Principios de Risk IT Gobierno Empresarial efectivo para Riesgos de TI: Siempre se relaciona con objetivos de negocio Alinea la administración de los riesgos relacionadios con TI con la administración general de riesgos de la Empresa Equilibra el costo y los beneficios de la administración de Riesgos Adminstración efectiva de Riesgos de TI: Promueve una comunicación clara y abierta sobre riesgos de TI Establece el tono adecuado desde la parte más alta de la empresa al tiempo que define y refuerza la rendición de cuentas personal sobre la operación dentro de niveles de tolerancia bien definidos. Es un proceso contínuo y es parte de las actividades diarias 29

30 IT Risk Valor de Negocio Falla en Generar Genera Pierde Preserva Valor de Negocio 30

31 IT Risk Framework (Dominios y Procesos) 1 Articular Riesgos 2 Administrar Riesgos 3 Reaccionar ante eventos Gobierno de Riesgos 1 Establecer una visión común n del Riesgo 2 Integrar con ERM 3 Tomar decisiones conscientes del Riesgo Fundamento de Riesgos en TI Comunicación 1 Recolectar Datos 2 Analizar Riesgos Risk IT Framework Presenta una estructura similar al Framework de CobiT Incluye: Prácticas gerenciales Lineamientos Gerenciales Entradas y salidas Roles (con definición) y Responsabilidades Metas y Métricas Modelos de Madurez de los Procesos 3 Mantener el Portafolio de Riesgos Responder a Riesgos Evaluar Riesgos 31

32 IT Risk Escenarios de Riesgo Actor Internos Externos Acción Divulgación Interrupción Modificación Robo Destrucción Diseño o Inefectivo Ejecución ineficiente Regulación Uso inapropiado Activo / Recurso Gente y Organización Procesos Infraestructura Componentes de la Arquitectura de Negocio Tipo de Amenaza Maliciosa Accidental Falla Natural Escenario de Riesgo + Tiempo Duración Tiempo de Ocurrencia Tiempo de detección 32

33 33

34 Val IT Los cuatro Ases Estrategia Hacemos las cosas correctas? Las hacemos en la forma adecuada? Arquitectura Valor Obtenemos los beneficios? Logramos hacerlas bien hechas Entrega Val IT Framework Presenta una estructura con un contenido similar al Framework de CobiT Incluye para cada proceso: Entradas y salidas Roles (con definiciones) y responsabilidades Metas y Métricas Modelos de Madurez Gobierno del Valor Administración del Portafolio Administración de las Inversiones 34

35 Val IT Los Principios de Val IT Las inversiones habilitadas por TI serán administradas como un portafolio de inversiones. Las inversiones habilitadas por TI incluirán el alcance completo de las actividades que son requeridas para lograr el valor de negocio. Las inversiones habilitadas por TI serán administradas a través de su ciclo de vida económico completo. Las prácticas de entrega de valor reconocerán que existen diferentes categorías de inversiones que serán evaluadas y administrada de manera diferente. Las prácticas de entrega de valor definirán y vigilarán métricas clave y responderán rápidamente a cualquier cambio o desviación. Las prácticas de entrega de valor involucrarán a todos los stakeholders y asignaran apropiadamente la rendición de cuentas sobre la entrega de capacidades y la realización de beneficios de negocio. Las prácticas de entrega de valor serán vigiladas, evaluadas y mejoradas continuamente. 35

36 Val IT Principales Conceptos Valor El (los) resultado(s) final(es) de negocio esperado(s) de una inversión de negocio habilitada por tecnología en donde tal(es) resultado(s) pueden ser financieros, no financieros o una combinación de ambos. Portafolio Un agrupamiento de programas, proyectos, servicios o activos seleccionados, administrados y vigilados para optimizar el retorno del negocio (notar que el foco inicial en Val IT esta interesado de manera primaria en un portafolio de programas. COBIT esta interesado en portafolios de proyectos, servicios o activos). Programa Un grupo estructurado de proyectos interdependientes que son tanto necesarios como suficientes para lograr los resultados de negocio para generar valor. Estos proyectos podrían incluir, pero no limitarse a cambios en la naturaleza del negocio, procesos de negocio, el trabajo desempeñado por gente, así como las competencias requeridas para llevar al cabo el trabajo, tecnología habilitadora y estructuras organizacionales. El programa de inversión es la unidad primaria de inversión dentro de Val IT. Proyecto Un conjunto estructurado de actividades concernientes a la entrega de una capacidad definida a la empresa (que es necesaria por NO suficiente para lograr los resultados requeridos por el negocio) basadas en un calendario y presupuestos acordados. Implementar Incluye el ciclo de vida económico completo de un programa de inversión, hasta el retiro de la misma. Ie. cuando el valor esperado completo de la inversión es realizado, se ha obtenido tanto valor como se estima posible o cuando se determina que el valor esperado no puede ser realizado y el programa es terminado. 36

37 Val IT Sus procesos Gobierno del Valor (VG) Su objetivo es optimizar el valor de las inversiones de negocio habilitadas por tecnología de una organización. Su objetivo es asegurar que los programas individuales de inversión habilitada por TI, generan un valor óptimo a un costo accesible con un nivel de riesgo conocido y aceptable Administración de Inversiones (IM) Administración del Portafolio (PM) Su objetivo es asegurar que el portafolio general de inversiones habilitadas por TI, se encuentre alineado con los objetivos estratégicos de la organización y contribuye con un valor óptimo al logro de los mismos 37

38 Relación n Detallada GRC Red Book y CobiT Control Practices 38

39 Referencias GRC Capability Model Red Book 2.0. Open Compliance & Ethics Group (OCEG) CobiT4.1. IT Governance Institute IT Assurance Guide. IT Governance Institute CobiT Control Practices. Guidence to achieve control objectives for succesful governance. IT Governance Institute. Enterprise Risk: Identify, Govern and Manage IT Risk. The Risk IT Framework. IT Governance Institute. Enterprise Value: Governance of IT Investments. The Val IT Framework 2.0. IT Governance Institute. IT Governance Implementation Guide Using CobiT and Val IT TM 2nd edition. IT Governance Institute. Copyright 2007 IT Governance Institute. Copyright Open Compliance & Ethics Group. IT Governance Institute Open & Compliance Group 39

40 CobiT,, Val IT y Risk IT en la implementación n de un Modelo de GRC ISACA Capítulo Monterrey Muchas Gracias! Gustavo A. Solís, CISA, CISM, CGEIT gsolis@cynthus.com.mx 40