UN ENFOQUE SOBRE EL GOBIERNO DE LA SEGURIDAD DE LA INFORMACIÓN

Transcripción

1 UN ENFOQUE SOBRE EL GOBIERNO DE LA SEGURIDAD DE LA INFORMACIÓN

2 Presentada por: Fabiana MARGES y Marcia MAGGIORE Expositores Certificados, ADACSI

3 Aclaración: Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares de los derechos. Si bien este Congreso ha sido concebido para difusión y promoción en el ámbito de la profesión a nivel internacional, previamente deberá solicitarse una autorización por escrito y mediar la debida aprobación para su uso.

4 COBIT 5 Un marco de negocio Gobierno Corporativo de TI Evolución del Alcance Gobierno de TI Administración Control Auditoría COBIT1 COBIT2 COBIT3 Val IT 2.0 (2008) Risk IT (2009) COBIT4.0/4.1 COBIT / ISACA Todos los derechos reservados

5 Los Interesados (Stakeholders) y la Creación de Valor Fuente: COBIT 5, Figura ISACA Todos los derechos reservados. Las Organizaciones existen para Crear Valor para sus Interesados (Stakeholders) La Creación de Valor es un Objetivo de Gobierno: Realizar los beneficios esperados por los Interesados con el uso óptimo de los recursos y el tratamiento óptimo de los riesgos

6 Los Interesados y el Concepto de Valor Las organizaciones tienen muchos interesados, y la Creación de Valor significa diferentes cosas para cada uno de ellos y muchas veces esos conceptos están en conflicto. Gobierno es negociar y decidir entre los intereses de valor de los diferentes Interesados. El sistema de Gobierno debe considerar a todos los interesados cuando se toman decisiones sobre beneficios, recursos y evaluación de riesgos. Por cada decisión, lo siguiente puede y debe ser preguntado: Quién recibe el beneficio? Quién asume el riesgo? Qué recursos son requeridos?

7 Principio1 Satisfacer las Necesidades de los Interesados Las necesidades de los interesados tienen que ser transformadas en una estrategia práctica en la organización. La Cascada de Metas de COBIT 5 traduce las necesidades de los interesados en metas específicas, prácticas y adecuadas al contexto de la organización, en las metas relacionadas con TI y en las metas de los facilitadores. Source: COBIT 5, figura ISACA Todos los derechos reservados.

8 Principio4 Posibilitar un Enfoque Holístico con los Facilitadores 1. Principios, Políticas y Marcos 2. Procesos 3. Estructura Organizativa 4. Cultura, Etica y Comportamiento 5. Información 6. Servicios, Infraestructura y Aplicaciones 7. Personas, Habilidades y Competencias Fuente: COBIT 5, Figura ISACA Todos derechos reservados.

9 Principio 5 Distinguir entre Gobierno y Gestión GOBIERNO asegura que las necesidades, condiciones y opciones de los interesados, son Evaluadas para determinar UN ACUERDO BALANCEADO para que los objetivos de la organización sean alcanzados; establece Dirección a través de la priorización y la toma de decisiones; con el Monitoreo del desempeño y el cumplimiento de acuerdo con la Alta Gerencia y sus objetivos. La GESTIÓN Planea, Construye, Ejecuta y Monitorea actividades alineadas con el conjunto de directrices del cuerpo de gobierno para alcanzar los objetivos de la organización.

10 Principio 5 Distinguir entre Gobierno y Gestión COBIT 5 propone que las organizaciones implementen procesos de gobierno y de gestión: Gobierno Evaluar Dirigir Monitorear Gestión Planear Construir Ejecutar Monitorear Fuente: COBIT 5, figura ISACA Todos los derechos reservados.

11 Procesos para el Gobierno de la TI Empresarial Procesos para la Gestión de la TI Empresarial Fuente: COBIT 5, figura ISACA Todos los derechos reservados. 11

12 Procesos para el Gobierno de la TI Empresarial Evaluar. Dirigir y Monitorear EDM01 Asegurar el establecimiento y Mantenimiento de los Marcos de Gobierno EDM02 Asegurar la entrega de los Beneficios EDM03 Asegurar la Optimización de Riesgos EDM04 Asegurar la Optimización de los Recursos EDM05 Asegurar la Transparencia a los Interesados (Stakeholder) Procesos para la Gestión de la TI Empresarial Fuente: COBIT 5, figura ISACA Todos los derechos reservados. 12

13 Procesos para la Gestión de la TI Empresarial Alinear, Planificar y Organizar APO01 Gestionar los Marcos de Gestión de TI APO02 Gestionar la Estrategia APO03 Gestionar la Arquitectura de la Organización APO04 Gestionar la Innovación APO05 Gestionar el Portfolio (Cartera) APO06 Gestionar Presupuestos y Costos APO07 Gestionar los Recursos Humanos APO08 Gestionar las Relaciones APO09 Gestionar los Acuerdos de Servicio APO10 Gestionar Procesos los Proveedores para la Gestión de la TI de la Organización APO11 Gestionar la Calidad APO12 Gestionar Riesgos APO13 Gestionar la Seguridad Fuente: COBIT 5, figura ISACA Todos los derechos reservados. 13

14 Procesos para la Gestión de la TI Empresarial Construir, Adquirir e Implementar BAI01 Gestionar Programas y Proyectos BAI02 Gestionar la Definición de Requerimientos BAI03 Gestionar Identificación de Soluciones y Construcción BAI04 Gestionar la Disponibilidad y la Capacidad Procesos para la Gestión de la TI de la Organización BAI05 Gestionar los facilitadores del Cambio Organizacional BAI06 Gestionar los Cambios BAI07 Gestionar la Aceptación y Transición de los Cambios BAI08 Gestionar el Conocimiento BAI09 Gestionar los Activos BAI10 Gestionar la Configuración Source: COBIT 5, figure ISACA All rights reserved. 14

15 Procesos para la Gestión de la TI Empresarial Entrega, Servicio y Soporte DSS01 Gestionar Operaciones DSS02 Gestionar Reclamos e Incidentes de los Servicios DSS03 Gestionar los Problemas DSS04 Gestionar la Continuidad DSS05 Gestionar la Seguridad de los Servicios Procesos para la Gestión de la TI la Organización DSS06 Gestionar los Controles de los procesos de negocio Source: COBIT 5, figure ISACA All rights reserved. 15

16 Procesos para el Gobierno y la Gestión de la TI Empresarial Monitorear, Evaluar y Asegurar MEA01 Desempeño y Conformidad MEA02 Sistema de Control Interno MEA03 Cumplimiento con Requerimientos Externos Procesos para la Gestión de la TI Empresarial Fuente: COBIT 5, figura ISACA Todos los derechos reservados.

17 Guía de Procesos (ejemplo EDM02) Gráfica RACI A: Accountable Quien rinde cuenta R: Responsable Quien ejecuta la Práctica C: Consultado sobre la Práctica I: Informado sobre la ejecución de la Práctica

18 Metas genéricas de la organización Valor para los partícipes de las inversiones del Servicio Cartera de productos y servicios efectivos Riesgos de la operatoria gestionados (Salvaguarda de activos) Cumplimiento de leyes y regulaciones externas Transparencia financiera Cultura se servicio orientada al beneficiario Continuidad y disponibilidad de la operatoria Respuestas ágiles a un entorno de demanda cambiante Toma estratégica de Decisiones basadas en información Optimización de los costos en la entrega de los servicios Optimización de la funcionalidad de los procesos Optimización de los costos de los procesos Programas de cambio gestionados Productividad operacional y del personal Cumplimiento con las políticas internos Personas preparadas y motivadas Cultura de innovación de los servicios Financiera Beneficiario Interna Aprend y Crec METAS DE LA ORGANIZACIÓN

19 Metas genéricas de la organización Valor para los partícipes de las inversiones del Servicio Cartera de productos y servicios efectivos Riesgos de la operatoria gestionados (Salvaguarda de activos) Cumplimiento de leyes y regulaciones externas Transparencia financiera Cultura se servicio orientada al beneficiario Continuidad y disponibilidad de la operatoria Respuestas ágiles a un entorno de demanda cambiante Toma estratégica de Decisiones basadas en información Optimización de los costos en la entrega de los servicios Optimización de la funcionalidad de los procesos Optimización de los costos de los procesos Programas de cambio gestionados Productividad operacional y del personal Cumplimiento con las políticas internos Personas preparadas y motivadas Cultura de innovación de los servicios Financiera Beneficiario Interna Aprend y Crec METAS DE LA ORGANIZACIÓN

20 Metas genéricas de TI y su relación METAS DE LA ORGANIZACIÓN Perspectiva METAS RELACIONADAS CON LA TI Alineamiento de la TI y la estrategia del 1 Servicio P P S P S P P S P S P S S Cumplimiento y soporte de la TI al cumplimiento del Servicio de leyes y 2 regulaciones externas S P P Compromiso de la Dirección para tomar Financiera 3 decisiones relacionadas con TI P S S S S S S S S Riesgos del Servicio relacionados con las TI, 4 gestionados P S P S P S S S Realización de beneficios de la cartera de 5 inversiones relacionada con la TI P P S S S S P S S Transparencia de los costos, beneficios y 6 riesgos de la TI S S P S P P Entrega de los servicios de TI de acuerdo los Beneficiario 7 requerimientos del SNR P P S S P S P S P S S S S Uso adecuado de aplicaciones, información y 8 soluciones tecnológicas S S S S S S S P S P S S Interna 9 Agilidad de las TI S P S S P P S S S P Seguridad de la información, infraestructuras 10 de procesamiento y aplicaciones P P P P Optimización de activos, recursos y 11 capacidades de las TI P S S P S P S S S 12 Capacitación y soporte de procesos integrando aplicaciones y tecnología en procesos del Servicio S P S S S S P S S S S 13 Entrega de Programas que proporcionen beneficios a tiempo, dentro del presupuesto y satisfaciendo los requisitos y normas de calidad P S S S S S P Disponibilidad de información útil y relevante 14 para la toma de decisiones S S S S P P S 15 Cumplimiento de la TI con políticas internas S S P Aprendizaje y Crecimiento 16 Personal competente y motivado S S P S S P P S Conocimiento, experiencia e iniciativas para la 17 innovación del Servicio S P S P S S S S P

21 Metas genéricas de TI y su relación METAS DE LA ORGANIZACIÓN Perspectiva METAS RELACIONADAS CON LA TI Alineamiento de la TI y la estrategia del 1 Servicio P P S P S P P S P S P S S Cumplimiento y soporte de la TI al cumplimiento del Servicio de leyes y 2 regulaciones externas S P P Compromiso de la Dirección para tomar Financiera 3 decisiones relacionadas con TI P S S S S S S S S Riesgos del Servicio relacionados con las TI, 4 gestionados P S P S P S S S Realización de beneficios de la cartera de 5 inversiones relacionada con la TI P P S S S S P S S Transparencia de los costos, beneficios y 6 riesgos de la TI S S P S P P Entrega de los servicios de TI de acuerdo los Beneficiario 7 requerimientos del SNR P P S S P S P S P S S S S Uso adecuado de aplicaciones, información y 8 soluciones tecnológicas S S S S S S S P S P S S Interna 9 Agilidad de las TI S P S S P P S S S P Seguridad de la información, infraestructuras 10 de procesamiento y aplicaciones P P P P Optimización de activos, recursos y 11 capacidades de las TI P S S P S P S S S 12 Capacitación y soporte de procesos integrando aplicaciones y tecnología en procesos del Servicio S P S S S S P S S S S 13 Entrega de Programas que proporcionen beneficios a tiempo, dentro del presupuesto y satisfaciendo los requisitos y normas de calidad P S S S S S P Disponibilidad de información útil y relevante 14 para la toma de decisiones S S S S P P S 15 Cumplimiento de la TI con políticas internas S S P Aprendizaje y Crecimiento 16 Personal competente y motivado S S P S S P P S Conocimiento, experiencia e iniciativas para la 17 innovación del Servicio S P S P S S S S P

22 Ejemplo: Metas de TI y su relación con los Procesos PROCESOS DE MODELO COBIT EDM03 Asegurar la Optimización de los Riesgos P P S APO09 Gestionar los Acuerdos de Servicio S S P APO10 Cumplimiento de TI con las políticas internas P S S APO12 Gestionar el Riesgo P P S APO13 Gestionar la Seguridad P P P BAI01 Gestionar los Programas y los Proyectos P METAS DE TI 4. Riesgos de la organización relacionados con la TI, gestionados BAI04 Gestionar la Disponibilidad y la Capacidad S P BAI06 Gestionar los Cambios P P S BAI10 Gestionar la Configuración S S P DSS01 Gestionar las Operaciones P S S DSS02 Gestionar los reclamos y los incidentes P S S DSS03 Gestionar los Problemas P P DSS04 Gestionar la Continuidad P S P DSS05 Gestionar los Servicios de Seguridad P P S DSS06 Gestionar los Controles de los Procesos del Negocio P S S MEA01 Rendimiento y Conformidad P S S MEA02 Sistema de Control Interno P S S MEA03 Conformidad con los Requerimientos externos P S 10. Seguridad de la Información, Infraestructura de procesamiento y aplicaciones 14. Disponibilidad de información útil y relevante para la toma de decisiones

23 COBIT 5 Seguridad de la Información Se alinea con los principios y facilitadores de COBIT 5 Integra los conceptos del Modelo de Negocio de la Seguridad de la Información (BMIS) así como las Guías de Gestión y Gobierno para el Consejo de Dirección y la Gerencia Ejecutiva publicados por ISACA. Se alinea con otros marcos, estándares y modelos tales como las ISO/IEC y la serie ISO/IEC Fuente: BMIS, figura ISACA Todos los derechos reservados.

24 COBIT 5 Seguridad de la Información Ofrece guías detalladas específicas para cada uno de los facilitadores, enfocadas en EL NEGOCIO. Por ej. describe 12 Principios (facilitador 1) agrupados en: Dar soporte al negocio Defender el negocio Promover una conducta responsable respecto de la seguridad de la información. Respecto de los Procesos (facilitador 2) agrega a cada uno de los definidos en el marco, las actividades específicas relacionadas con la seguridad de la información. Incluye un mapeo detallado con otros estándares de seguridad de la información Fuente: CO BIT 5, Figura ISACA Todos derechos reservados.

25 COBIT 5 Seguridad de la Información Respecto de la Estructura Organizacional (facilitador 3) detalla, entre otros y según corresponda, la composición, principios operativos, nivel de autoridad del CISO, Steering Committee, Gerente, ERM Committee, Custodios y Dueños de la información. Respecto de la Información (facilitador 5) realiza un desarrollo detallado de las metas, ciclo de vida y buenas prácticas de los diferentes tipos de información. Incluye un mapeo detallado con otros estándares de seguridad de la información Fuente: CO BIT 5, Figura ISACA Todos derechos reservados.

26 Gracias por asistir a esta sesión

27 Curso de Certificación en Fundamentos de COBIT 5 13 a 15 de mayo ADACSI Corrientes 389 EP CABA Tel: info@isaca.org.ar Los invitamos a sumarse al grupo Segurinfo en

28 Para mayor información: Fabiana Marges y Marcia Maggiore Corrientes 389 EP CABA Tel: info@isaca.org.ar Para descargar esta presentación visite Los invitamos a sumarse al grupo Segurinfo en