SUITE COBIT 5 Beneficios

Transcripción

1 SUITE COBIT 5 Beneficios 13 de Agosto de 2014 Alfonso Mateluna CISA-CISM-CRISC-CISSP Past President de ISACA CHILE

2 SUITE COBIT 5: un largo y fructífero camino

3 Qué es ISACA y cómo apoya a la Comunidad? Creada en 1967 Inicialmente era una organización gremial de auditores de sistemas Presente en más 80 países, con 200+ capítulos. Cuenta con más de miembros en el mundo Creadores de las Certificaciones CISA, CISM, CRISC y CGEIT IT Governance Institute COBIT, RiskIT, Val IT, ITAF, etc. Hoy ISACA está orientada al Gobierno Corporativo, la seguridad y gestión de riesgos en Tecnologías de Información. El capítulo local tiene mas de 20 años y cuenta con 209 miembros

4 Qué es ISACA y cómo aporta hoy Documentos de Primer Nivel

5 No olvidar Principios Básicos de Gestión No se puede gestionar lo que no se comunica No se puede comunicar lo que no se mide No se puede medir lo que no se define No se puede definir lo que no se entiende

6 Casos de la vida real Se ha encontrado usted con lo siguiente? - Para hacer pruebas se clona una base de datos y se le entrega a los desarrolladores, que generalmente son de una empresa externa - La velocidad de entrega de soluciones móviles es mayor que la penetración de otras tecnologías - Los proyectos de TI se justifican en lenguaje técnico, cuesta entender y justificar sus beneficios - La alta gerencia recibe métricas de TI que no logra entender en términos de negocio - TI se mira como caja negra, no se logra determinar el valor estratégico que entrega - Se desarrollan / compran sistemas de información, que no entregan los beneficios esperados - Los contratos con las software factories se encarecen, pero la disponibilidad es baja - Los contratos de servicios TI son administrados por personas que no saben de administración - TI se entera a última hora de que habrá una fusión / cambios estructurales, o que la adopción de estándares, normas y otros le traerá serios cambios radicales - Todo se consolida en Excel - Cada nuevo marco que se quiere implementar tiene su propia terminología - Los usuarios entienden que quien debe proteger la información es TI, no ellos. Los riesgos sólo vienen de los hackers - Etc. Aquí falta Gobierno de TI

7 Aterrizando

8 Aterrizando Cómo se armonizan los marcos?

9 Recordando.. El Gobierno Corporativo es un proceso efectuado por el consejo de administración de una entidad, su dirección y restante personal, aplicable a la definición de estrategias en toda la empresa y diseñado para identificar eventos potenciales que puedan afectar a la organización, gestionar sus riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre el logro de los objetivos. (COSO) El gobierno de TI es un subconjunto del gobierno corporativo. El Gobierno de TI es responsabilidad de ejecutivos y Juntas Directivas y consiste en liderazgo, estructuras organizacionales y procesos que aseguren que TI sostiene y extiende las estrategias de la organización y sus objetivos. (Instituto de Gobierno de TI, ISACA)

10 El Gobierno de TI busca: Asegurar la sobrevivencia de las instituciones Fomentar la transparencia y la rendición de cuentas Promover el ambiente ético y la cultura de control Fomentar la administración de riesgos Incrementar la credibilidad de las instituciones Promover el mejoramiento sistemático del desempeño institucional

11 Dominios del Gobierno de TI: Alineación estratégica Entrega de Valor Administración del riesgo Administración de recursos Medición del desempeño

12

13 COBIT el marco de ISACA COBIT es el marco de gobierno y gestión de las tecnologías de información. Proporciona una serie de herramientas para que la gerencia pueda conectar los objetivos de negocios y los requerimientos de control, con los aspectos técnicos y los riesgos COBIT permite el desarrollo de las políticas y buenas prácticas para el control de las tecnologías en toda la organización, enfatizando el cumplimiento regulatorio, la seguridad y auditabilidad, ayuda a las organizaciones a incrementar su valor a través de las tecnologías. SOX y otras leyes se basan o apoyan en él. Información disponible en:

14 Evolución del alcance EVOLUCIÓN DE COBIT De ser una herramienta de auditoría a un marco de gobierno de las TI Gobierno de la TI en la Empresa Gobierno de TI Gestión Val IT 2.0 (2008) Control Auditoría Risk IT (2009) COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT / Source: COBIT 5, Introduction PPT, slide ISACA All rights reserved.

15 COBIT HOY - Compendio de mejores prácticas aceptadas internacionalmente - Orientado al gerenciamiento de las tecnologías - Complementado con herramientas y capacitación - Es certificable tanto por empresas como por personas - Respaldado por una comunidad de expertos - En evolución permanente, PAM basado en ISO/IEC Mantenido por una organización sin fines de lucro, con reconocimiento internacional, al ser base para leyes, como SOX - Mapeado con otros estándares - Orientado a Procesos, sobre la base de Dominios de Responsabilidad

16 COBIT 5: bienvenido a la familia

17 COBIT 5 La nueva versión COBIT 5 es producto de la mejora estratégica de ISACA impulsando la próxima generación de guías sobre el Gobierno y la Administración de la información y los Activos Tecnológicos de las Organizaciones Construido sobre más de 15 años de aplicación práctica, ISACA desarrolló COBIT 5 para cubrir las necesidades de los interesados, y alinearse a las actuales tendencias sobre técnicas de gobierno y administración relacionadas con la TI

18 Integra los anteriores marcos referenciales de ISACA Val IT es un marco de referencia de gobierno que incluye principios rectores generalmente aceptados y procesos de soporte relativos a la evaluación y selección de inversiones de negocios de TI Risk IT es un marco de referencia normativo basado en un conjunto de principios rectores para una gestión efectiva de riesgos de TI. BMIS (Business Model for Information Security) una aproximación holística y orientada al negocio para la administración de la seguridad informática ITAF (IT Assurance Framework) un marco para el diseño, la ejecución y reporte de auditorias de TI y de tareas de evaluación de cumplimiento ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.

19 y esto se ha implementado?.. Casos de éxito: Center/cobit/cobit-focus/Pages/COBIT-Focus-Volumen-1-enero-de-2014.aspx DuPont: Modelo de mejora continua Hdfc Bank; gestión de la seguridad Santander COMBANC Etc ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.

20 COBIT 5 Familia de Productos Source: COBIT 5, figure ISACA reserved. All rights

21 Modelo de Implementación

22 COBIT 5 El marco La publicación inicial, define y describe los componentes que forman el Marco COBIT Principios Arquitectura Habilitadores Guía de implementación Otras publicaciones futuras de interés

23 COBIT 5 Sus principios Marco Integrador Conductores de valor para los Interesados Enfoque al Negocio y su Contexto para toda la organización Fundamentado en facilitadores Estructurado de manera separada para el Gobierno y la Gestión Source: COBIT 5, figure ISACA reserved. All rights

25 Fundamentación de Habilitadores Cultura, Ética y Comportamiento Estructura Organizacional Información Principios Políticas Habilidades y Competencias Capacidad de brindar Servicios Procesos Source: COBIT 5, figure ISACA reserved. All rights 2012 ISACA. All rights reserved.

26 Procesos de Gobierno y Gerenciamiento Procesos de Gobierno Permite que las múltiples partes interesadas tengan una lectura organizada del análisis de opciones, identificación del norte a seguir y la supervisión del cumplimiento y avance de los planes establecidos Procesos de Gestión Utilización prudente de medios (recursos, personas, procesos, practicas) para lograr un fin específico

27 COBIT 5 Procesos Habilitadores

28 Beneficios al utilizar COBIT 5 Incremento de la creación de valor a través un gobierno y gestión efectiva de la información y de los activos tecnológicos. La función de TI se vuelve mas enfocada al negocio Incremento de la satisfacción del usuario con el compromiso de TI y sus servicios prestados TI es visto como facilitador clave. Incremento del nivel de cumplimiento con las leyes regulaciones y políticas relevantes Las personas que participan son mas proactivas en la creación de valor a partir de la gestión de TI, caso de éxito, DuPont con modelos de mejora continua

29 Entender el negocio y su gestión back to basis.. Un caso práctico

30 Alineamiento con BSC

31 Caso vida real: Reguladores Un gran apoyo de COBIT es para formular objetivos de control, establecer y modelar procesos, definir controles y pruebas sustantivas ante SSAE 16, norma que reemplaza al SAS 70. Principio: Aunque los controles críticos puedan ser ejecutados por un tercer, no se puede delegar la responsabilidad de la gerencia en garantizar la efectividad del ambiente de control interno.

32

33

34

35 De lo general a lo particular.. BYOD! Cuáles son las potencialidades de una tablet o un smatphone?

36 Macrovisión

37 Macrovisión

38

39 Visión de Vulnerabilidades, Amenazas y Riesgos

40 Visión de Vulnerabilidades, Amenazas y Riesgos Es esto todo el ámbito de riesgo ante BYOD? No.. Los medios sociales en el teléfono / Ipad / tablet del usuario también son un riesgo.. En donde las políticas de filtro de la empresa no pueden operar Y si el usuario se pone a contar todo lo que hace?. Y si chatea? si pasa información confidencial?..

41 Visión de Vulnerabilidades, Amenazas y Riesgos Cuáles son los principales ámbitos de riesgo?. - Físico: ejemplo, robo y la pesadilla de que todos mis datos, hasta bancarios, van allí..pérdida de identidad - firma digital.. - Organizacional: Los permisos que tengo en las aplicaciones de la empresa los heredo en mi celular.. - Reputacional - Técnicos: capa 8..