Cobit 4.1 y su relación con otros frameworks

Transcripción

1 Cobit 4.1 y su relación con otros frameworks Pablo Caneo G. CISA, CGEIT, ITIL, COBIT Presidente Isaca Capítulo Santiago de Chile

2 Sobre el Presentador Pablo Caneo es Ingeniero Informático y Contador Auditor, Diplomado en Gerencia de Seguridad de la Información y Responsabilidad Social Empresarial. Académico de los programas de Risk y de Auditoría de Sistemas en La Facultad de Economía de la Universidad de Chile. Además posee las certificaciones CISA (Certified Information System Audit), CGEIT (Certified in the Governance of Enterprise IT), COBIT e ITIL. Actualmente se desempeña como Auditor Informático en Ultramar Agencia Marítima Ltda., y es el actual Presidente de ISACA Capítulo Santiago de Chile 2

3 Agenda Introducción Framework de Cobit Procesos de Cobit Objetivos de control detallado asociados a los procesos KPI, KGI y CSF asociados a los procesos Relación entre procesos de Cobit Matriz RACI asociado a los procesos Guías de Aseguramiento de TI y de auditoría Cobit Mapping Project Resumen 3

4 Introducción La necesidad del aseguramiento del valor de TI, la administración de los riesgos asociados a TI, así como el incremento de requerimientos para controlar la información, se entienden ahora como elementos clave del Gobierno Corporativo. El valor, el riesgo y el control constituyen la esencia del gobierno de TI. El gobierno de TI es responsabilidad de los ejecutivos, del consejo de directores y consta de liderazgo, estructuras y procesos organizacionales que garantizan que TI en la empresa sostiene y extiende las estrategias y objetivos organizacionales.

5 Introducción Para que TI tenga éxito en satisfacer los requerimientos del negocio, la dirección debe implementar un sistema de control interno o un marco de trabajo. El marco de trabajo de control COBIT contribuye a estas necesidades de la siguiente manera: Estableciendo un vínculo con los requerimientos del negocio Organizando las actividades de TI en un modelo de procesos generalmente aceptado Identificando los principales recursos de TI a ser utilizados Definiendo los objetivos de control gerenciales a ser considerados

6 Introducción La orientación al negocio que enfoca COBIT consiste en alinear las metas de negocio con las metas de TI, brindando métricas y modelos de madurez para medir sus logros, e identificando las responsabilidades asociadas de los dueños de los procesos de negocio y de TI.

7 Introducción Cómo puede la empresa poner bajo control TI de tal manera que genere la información que la empresa necesita? Cómo puede administrar los riesgos y asegurar los recursos de TI de los cuales depende tanto? Cómo puede la empresa asegurar que TI logre sus objetivos y soporte los del negocio

8 Administración de la Información

9 Áreas de enfoque del Gobierno de TI Alineación Estratégica se enfoca en garantizar la alineación entre los planes de negocio y de TI; definir, mantener y validar la propuesta de valor de TI; y en alinear las operaciones de TI con las operaciones de la empresa. Entrega de valor se refiere a ejecutar la propuesta de valor a lo largo del ciclo de entrega, asegurando. Que TI genere los beneficios prometidos en la estrategia, concentrándose en optimizar los costos y en brindar el valor intrínseco de la TI. Administración de Recursos se trata de la inversión óptima, así como la administración adecuada de los recursos críticos de TI: aplicaciones, información, infraestructura y personas. Los temas claves se refieren a la optimización del conocimiento y de la infraestructura.

10 Áreas de enfoque del Gobierno de TI Administración de riesgos requiere conciencia de los riesgos por parte de los altos ejecutivos de la empresa, un claro entendimiento del apetito de riesgo que tiene la empresa, comprender los requerimientos de cumplimiento, transparencia de los riesgos significativos para la empresa, y la inclusión de las responsabilidades de administración de riesgo dentro de la organización. Medición del Desempeño rastrea y monitorea la estrategia de implementación, la terminación de proyecto, el uso de los recursos, el desempeño de los procesos y la entrega del servicio, con el uso, por ejemplo, de balanced scorecards que traducen la estrategia en acción para lograr las metas medibles más allá del registro.

11 The COBIT Framework 11

12 Productos Cobit

13 Interrelaciones entre los componentes de COBIT

14 Beneficios de implementar COBIT Mejor alineación, con base en su enfoque de negocios Una visión, entendible para la gerencia, de lo que hace TI Propiedad y responsabilidades claras, con base en su orientación a procesos Aceptación general de terceros y reguladores Entendimiento compartido entre todos los Interesados, con base en un lenguaje común Cumplimiento de los requerimientos COSO para el ambiente de control de TI

15 Los 4 dominios interrelacionados de COBIT

16 Planear y Organizar (PO) Este dominio cubre los siguientes cuestionamientos típicos de la gerencia: Están alineadas las estrategias de TI y del negocio? La empresa está alcanzando un uso óptimo de sus recursos? Entienden todas las personas dentro de la organización los objetivos de TI? Se entienden y administran los riesgos de TI? Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?

17 Planeación y Organización PO1 Definir un plan estratégico de TI PO2 Definir la arquitectura de la información PO3 Determinar la dirección tecnológica PO4 Definir la organización de TI y sus relaciones PO5 Administrar las inversiones en TI PO6 Comunicar la dirección y aspiraciones de la gerencia PO7 Administrar los recursos humanos PO8 Asegurar el cumplimiento de requerimientos PO9 Evaluar Riesgos PO10 Administrar Proyectos PO11 Administrar Calidad 17

18 Adquirir e Implementar (AI) Este dominio, por lo general, cubre los siguientes cuestionamientos de la gerencia: Es probable que los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio? Es probable que los nuevos proyectos sean entregados a tiempo y dentro del presupuesto? Trabajarán adecuadamente los nuevos sistemas una vez sean implementados? Los cambios no afectarán a las operaciones actuales del negocio?

19 Adquisición e implementación AI1 Identificar soluciones AI2 Adquirir y mantener software de aplicación AI3 Adquirir y mantener infraestructura tecnológica AI4 Desarrollar y mantener procedimientos de TI AI5 Instalar y acreditar sistemas AI6 Administrar cambios 19

20 Entregar y Dar Soporte(DS) Por lo general cubre las siguientes preguntas de la gerencia: Se están entregando los servicios de TI de acuerdo con las prioridades del negocio? Están optimizados los costos de TI? Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura? Están implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad?

21 Dominio DS - Entrega y Soporte Procesos: DS1 Definir niveles de servicio DS2 Administrar servicios prestados por terceros DS3 Administrar desempeño y capacidad DS4 Asegurar el servicio continuo DS5 Asegurar la seguridad de los sistemas DS6 Identificar y asignar costos DS7 Educar y entrenar a los usuarios DS8 Apoyar y asesorar a los usuarios DS9 Administrar la configuración DS10 Administrar problemas e incidentes DS11 Administrar los datos DS12 Administrar las instalaciones DS13 Administrar las operaciones 21

22 Monitorear y Evaluar (ME) Por lo general abarca las siguientes preguntas de la gerencia: Se mide el desempeño de TI para detectar los problemas antes de que sea demasiado tarde? La Gerencia garantiza que los controles internos son efectivos y eficientes? Puede vincularse el desempeño de lo que TI ha realizado con las metas del negocio? Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño?

23 Monitorear y Evaluar M1 Monitorear el proceso M2 Evaluar lo adecuado del control Interno M3 Obtener aseguramiento independiente M4 Proporcionar auditoría independiente 23

24 Relación entre Procesos, Metas y Métricas (DS5)

25 Cubo COBIT

26 Cobit Framework Prohibida su reproducción

27 Navegación en COBIT

28 Descripción del Proceso

29 Descripción del Proceso

30 Objetivos de Control Detallado

31 Directrices Gerenciales

32 Matriz RACI

33 Metas y Métricas

34 Modelo de Madurez

35 Modelo de Madurez

36 Modelo de Madurez

37 Guía de Aseguramiento de TI

38 Guía de Aseguramiento de TI

39 Guía de Aseguramiento de TI

40 Prácticas de Control

41 Prácticas de Control

42 Guías de Auditoría

43 Guías de Auditoría

44 Guías de Auditoría

45 Guías de Auditoría

46 Guías de Auditoría

47 Guías de Administración

48 CobiT Mapping Project Started in 2003 Integration of Standards Update of CobiT

49 CobiT Mapping Project Started in 2003 Integration of Standards Update of CobiT

50 CobiT Mapping Project Started in 2003 Integration of Standards Update of CobiT

51 CobiT Mapping Project Started in 2003 Integration of Standards Update of CobiT

52 CobiT Mapping Project Started in 2003 Integration of Standards Update of CobiT

53 CobiT Mapping Project Started in 2003 Integration of Standards Update of CobiT

54 CobiT Mapping Project Started in 2003 Integration of Standards Update of CobiT

55 CobiT Mapping Project Started in 2003 Integration of Standards Update of CobiT

56 Plan and Organize ITIL Overview Service Level Service Desk Availability Incident Capacity Problem Financial Change Continuity Release Configuration Deliver and Support

57 Coverage of CobiT Processes by ITIL Processes Plan Plan and Organize CobiT & ITIL Monitor and Evaluate 1 Monitor 2 and 3 Evaluate COBIT 4.0 processes addressed by IT Infrastructure Library Service Desk Service Level Incident Availability Problem Capacity by Jimmy Heschl Deliver 6 and 7 Support Deliver and Support 1 Good coverage Partly addressed No or weak coverage on Process-Level Change Financial Release Continuity Configuration Acquire 2 3 and 4 Maintain CobiT and ITIL by Jimmy Heschl Acquire and Implement

58 Coverage of CobiT Processes by ITIL Processes Plan and Organize Plan and Organize CobiT & ITIL Monitor and Evaluate 1 Monitor 2 and 3 Evaluate COBIT 4.0 processes addressed by IT Infrastructure Library Service Desk Service Level Incident Availability Problem Capacity by Jimmy Heschl Deliver 6 and 7 Support Deliver and Support 1 1 Good coverage Partly addressed No or weak coverage on Process-Level Change Financial Release Continuity Configuration Acquire 2 3 and 4 Maintain CobiT and ITIL by Jimmy Heschl Acquire and Implement

59 Coverage of CobiT Processes by ITIL Processes Plan and Organize Plan and Organize CobiT & ITIL Monitor and Evaluate 1 Monitor 2 and 3 Evaluate COBIT 4.0 processes addressed by IT Infrastructure Library Service Desk Service Level Incident Availability Problem Capacity by Jimmy Heschl Deliver 6 and 7 Support Deliver and Support 1 1 Good coverage Partly addressed No or weak coverage on Process-Level Change Financial Release Continuity Configuration Acquire 2 3 and 4 Maintain CobiT and ITIL by Jimmy Heschl Acquire and Implement

60 Coverage of CobiT Processes by ITIL Processes Plan and Organize Plan and Organize CobiT & ITIL Monitor and Evaluate 1 Monitor 2 and 3 Evaluate COBIT 4.0 processes addressed by IT Infrastructure Library Service Desk Service Level Incident Availability Problem Capacity by Jimmy Heschl Deliver 6 and 7 Support Deliver and Support 1 1 Good coverage Partly addressed No or weak coverage on Process-Level Change Financial Release Continuity Configuration Acquire 2 3 and 4 Maintain CobiT and ITIL by Jimmy Heschl Acquire and Implement

61 Coverage of CobiT Processes by ITIL Processes Plan Plan and Organize CobiT & ITIL Monitor and Evaluate 1 Monitor 2 and 3 Evaluate COBIT 4.0 processes addressed by IT Infrastructure Library Service Desk Service Level Incident Availability Problem Capacity by Jimmy Heschl Deliver 6 and 7 Support Deliver and Support 1 Good coverage Partly addressed No or weak coverage on Process-Level Change Financial Release Continuity Configuration Acquire 2 3 and 4 Maintain CobiT and ITIL by Jimmy Heschl Acquire and Implement

62 Coverage of CobiT Processes by ITIL Processes Plan and Organize Plan and Organize CobiT & ITIL Monitor and Evaluate 1 Monitor 2 and 3 Evaluate COBIT 4.0 processes addressed by IT Infrastructure Library Service Desk Service Level Incident Availability Problem Capacity by Jimmy Heschl Deliver 6 and 7 Support Deliver and Support 1 1 Good coverage Partly addressed No or weak coverage on Process-Level Change Financial Release Continuity Configuration Acquire 2 3 and 4 Maintain CobiT and ITIL by Jimmy Heschl Acquire and Implement

63 Coverage of CobiT Processes by ITIL Processes Plan and Organize Plan and Organize CobiT & ITIL Monitor and Evaluate 1 Monitor 2 and 3 Evaluate COBIT 4.0 processes addressed by IT Infrastructure Library Service Desk Service Level Incident Availability Problem Capacity by Jimmy Heschl Deliver 6 and 7 Support Deliver and Support 1 1 Good coverage Partly addressed No or weak coverage on Process-Level Change Financial Release Continuity Configuration Acquire 2 3 and 4 Maintain CobiT and ITIL by Jimmy Heschl Acquire and Implement

64 Coverage of CobiT Processes by ITIL Processes Plan and Organize Plan and Organize CobiT & ITIL Monitor and Evaluate 1 Monitor 2 and Evaluate COBIT 4.0 processes addressed by IT Infrastructure Library Service Desk Service Level Incident Availability Problem Capacity by Jimmy Heschl Deliver and Support 1Deliver and Support 1 1 Good coverage Partly addressed No or weak coverage on Process-Level Change Financial Release Continuity Configuration Acquire 2 3 and 4 Maintain CobiT and ITIL by Jimmy Heschl Acquire and Implement

65 Coverage of CobiT Processes by ITIL Processes Plan and Organize Plan and Organize CobiT & ITIL Monitor and Evaluate 1 Monitor 2 and Evaluate COBIT 4.0 processes addressed by IT Infrastructure Library Service Desk Service Level Incident Availability Problem Capacity by Jimmy Heschl Deliver and Support Deliver and Support 1 Good coverage 1 Partly addressed 1 No or weak coverage on Process-Level Change Financial Release Continuity Configuration Acquire 3 and 4 Maintain CobiT and ITIL by Jimmy Heschl Acquire and Implement

66 Monitor and Evaluate 1 Monitor 2 and 3 Evaluate 4 Plan and Organize Plan Coverage of CobiT Processes by ITIL Processes COBIT 4.0 processes addressed by IT Infrastructure Library Service Desk Service Level Incident Availability Problem Capacity by Jimmy Heschl Deliver and Support Good coverage 1 Partly addressed 1 No or weak coverage on Process-Level Change Financial Deliver and Support Release Continuity CobiT & ITIL Configuration Acquire 2 3 and Maintain CobiT and ITIL by Jimmy Heschl Acquire and Implement

67 Coverage of CobiT Processes by ITIL Processes Plan Plan and Organize CobiT & ITIL Monitor and Evaluate 1 Monitor 2 and 3 Evaluate COBIT 4.0 processes addressed by IT Infrastructure Library Service Desk Service Level Incident Availability Problem Capacity by Jimmy Heschl Deliver 6 and 7 Support Deliver and Support 1 Good coverage Partly addressed No or weak coverage on Process-Level Change Financial Release Continuity Configuration Acquire 2 3 and 4 Maintain CobiT and ITIL by Jimmy Heschl Acquire and Implement

68 CobiT y muchos otros Monitor and Evaluate Plan and Organize CobiT 4.0 processes addressed by COSO Internal Control - Integrated Framework by Jimmy Heschl Deliver and Support Acquire and Maintain Monitor and Evaluate Plan and Organize CobiT 4.0 processes addressed by FIPS PUB Deliver and Support by Jimmy Heschl Acquire and Maintain Monitor and Evaluate Plan and Organize CobiT 4.0 processes addressed by PRINCE2 by Jimmy Heschl Deliver and Support Acquire and Maintain Monitor and Evaluate Plan and Organize CobiT 4.0 processes addressed by ISO/IEC TR by Jimmy Heschl Deliver and Support Acquire and Maintain Monitor and Evaluate Plan and Organize CobiT 4.0 processes addressed by ISO/IEC 15408:2005 by Jimmy Heschl Deliver and Support Acquire and Maintain Monitor and Evaluate Plan and Organize CobiT 4.0 processes addressed by PMBOK by Jimmy Heschl Deliver and Support Acquire and Maintain Monitor and Evaluate Plan and Organize CobiT 4.0 processes addressed by TickIT by Jimmy Heschl Deliver and Support Acquire and Maintain Monitor and Evaluate Plan and Organize CobiT 4.0 processes addressed by CMMI by Jimmy Heschl Deliver and Support Acquire and Maintain Monitor and Evaluate Plan and Organize CobiT 4.0 processes addressed by NIST Deliver and Support by Jimmy Heschl Acquire and Maintain

69 Resumen COBIT: Control Objectives for Information Technologies Es un Framework. Es un conjunto de categorías relacionadas de mejores prácticas, experiencias, e ideas relativas al Gobierno de las Tecnologías de Información. No es un Método ni tampoco un Manual. Es un marco de referencia para gestionar y controlar las TIs. Se ajusta y sirve como soporte al framework de control Interno COSO-ERM, en lo relativo al control específico de las Tecnologías de Información. Cobit está orientado al Negocio, a los Procesos y basado en Controles.

70 Resumen (cont.) COBIT además de ser el framework de facto con mayor aceptación internacional en el campo de los gobiernos de TIs, está apoyado por un conjunto de guías para apoyar el gobierno corporativo, mapeos con otros estándares y regulaciones, más una creciente familia de publicaciones y productos de software diseñados para ayudar a la implementación de una efectiva gobernabilidad de las TIs en las organizaciones.

71 Información de contacto Pablo Caneo G. 71

72 Preguntas y Respuestas 72

73 Muchas gracias por su atención! PMI Santiago Chile Chapter Av. 11 de Septiembre 1945, oficina 512 Santiago,Chile 73