Cobit 4.1 y su relación con otros frameworks Pablo Caneo G. CISA, CGEIT, ITIL, COBIT Presidente Isaca Capítulo Santiago de Chile
Sobre el Presentador Pablo Caneo es Ingeniero Informático y Contador Auditor, Diplomado en Gerencia de Seguridad de la Información y Responsabilidad Social Empresarial. Académico de los programas de Risk y de Auditoría de Sistemas en La Facultad de Economía de la Universidad de Chile. Además posee las certificaciones CISA (Certified Information System Audit), CGEIT (Certified in the Governance of Enterprise IT), COBIT e ITIL. Actualmente se desempeña como Auditor Informático en Ultramar Agencia Marítima Ltda., y es el actual Presidente de ISACA Capítulo Santiago de Chile 2
Agenda Introducción Framework de Cobit Procesos de Cobit Objetivos de control detallado asociados a los procesos KPI, KGI y CSF asociados a los procesos Relación entre procesos de Cobit Matriz RACI asociado a los procesos Guías de Aseguramiento de TI y de auditoría Cobit Mapping Project Resumen 3
Introducción La necesidad del aseguramiento del valor de TI, la administración de los riesgos asociados a TI, así como el incremento de requerimientos para controlar la información, se entienden ahora como elementos clave del Gobierno Corporativo. El valor, el riesgo y el control constituyen la esencia del gobierno de TI. El gobierno de TI es responsabilidad de los ejecutivos, del consejo de directores y consta de liderazgo, estructuras y procesos organizacionales que garantizan que TI en la empresa sostiene y extiende las estrategias y objetivos organizacionales.
Introducción Para que TI tenga éxito en satisfacer los requerimientos del negocio, la dirección debe implementar un sistema de control interno o un marco de trabajo. El marco de trabajo de control COBIT contribuye a estas necesidades de la siguiente manera: Estableciendo un vínculo con los requerimientos del negocio Organizando las actividades de TI en un modelo de procesos generalmente aceptado Identificando los principales recursos de TI a ser utilizados Definiendo los objetivos de control gerenciales a ser considerados
Introducción La orientación al negocio que enfoca COBIT consiste en alinear las metas de negocio con las metas de TI, brindando métricas y modelos de madurez para medir sus logros, e identificando las responsabilidades asociadas de los dueños de los procesos de negocio y de TI.
Introducción Cómo puede la empresa poner bajo control TI de tal manera que genere la información que la empresa necesita? Cómo puede administrar los riesgos y asegurar los recursos de TI de los cuales depende tanto? Cómo puede la empresa asegurar que TI logre sus objetivos y soporte los del negocio
Administración de la Información
Áreas de enfoque del Gobierno de TI Alineación Estratégica se enfoca en garantizar la alineación entre los planes de negocio y de TI; definir, mantener y validar la propuesta de valor de TI; y en alinear las operaciones de TI con las operaciones de la empresa. Entrega de valor se refiere a ejecutar la propuesta de valor a lo largo del ciclo de entrega, asegurando. Que TI genere los beneficios prometidos en la estrategia, concentrándose en optimizar los costos y en brindar el valor intrínseco de la TI. Administración de Recursos se trata de la inversión óptima, así como la administración adecuada de los recursos críticos de TI: aplicaciones, información, infraestructura y personas. Los temas claves se refieren a la optimización del conocimiento y de la infraestructura.
Áreas de enfoque del Gobierno de TI Administración de riesgos requiere conciencia de los riesgos por parte de los altos ejecutivos de la empresa, un claro entendimiento del apetito de riesgo que tiene la empresa, comprender los requerimientos de cumplimiento, transparencia de los riesgos significativos para la empresa, y la inclusión de las responsabilidades de administración de riesgo dentro de la organización. Medición del Desempeño rastrea y monitorea la estrategia de implementación, la terminación de proyecto, el uso de los recursos, el desempeño de los procesos y la entrega del servicio, con el uso, por ejemplo, de balanced scorecards que traducen la estrategia en acción para lograr las metas medibles más allá del registro.
The COBIT Framework 11
Productos Cobit
Interrelaciones entre los componentes de COBIT
Beneficios de implementar COBIT Mejor alineación, con base en su enfoque de negocios Una visión, entendible para la gerencia, de lo que hace TI Propiedad y responsabilidades claras, con base en su orientación a procesos Aceptación general de terceros y reguladores Entendimiento compartido entre todos los Interesados, con base en un lenguaje común Cumplimiento de los requerimientos COSO para el ambiente de control de TI
Los 4 dominios interrelacionados de COBIT
Planear y Organizar (PO) Este dominio cubre los siguientes cuestionamientos típicos de la gerencia: Están alineadas las estrategias de TI y del negocio? La empresa está alcanzando un uso óptimo de sus recursos? Entienden todas las personas dentro de la organización los objetivos de TI? Se entienden y administran los riesgos de TI? Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?
Planeación y Organización PO1 Definir un plan estratégico de TI PO2 Definir la arquitectura de la información PO3 Determinar la dirección tecnológica PO4 Definir la organización de TI y sus relaciones PO5 Administrar las inversiones en TI PO6 Comunicar la dirección y aspiraciones de la gerencia PO7 Administrar los recursos humanos PO8 Asegurar el cumplimiento de requerimientos PO9 Evaluar Riesgos PO10 Administrar Proyectos PO11 Administrar Calidad 17
Adquirir e Implementar (AI) Este dominio, por lo general, cubre los siguientes cuestionamientos de la gerencia: Es probable que los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio? Es probable que los nuevos proyectos sean entregados a tiempo y dentro del presupuesto? Trabajarán adecuadamente los nuevos sistemas una vez sean implementados? Los cambios no afectarán a las operaciones actuales del negocio?
Adquisición e implementación AI1 Identificar soluciones AI2 Adquirir y mantener software de aplicación AI3 Adquirir y mantener infraestructura tecnológica AI4 Desarrollar y mantener procedimientos de TI AI5 Instalar y acreditar sistemas AI6 Administrar cambios 19
Entregar y Dar Soporte(DS) Por lo general cubre las siguientes preguntas de la gerencia: Se están entregando los servicios de TI de acuerdo con las prioridades del negocio? Están optimizados los costos de TI? Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura? Están implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad?
Dominio DS - Entrega y Soporte Procesos: DS1 Definir niveles de servicio DS2 Administrar servicios prestados por terceros DS3 Administrar desempeño y capacidad DS4 Asegurar el servicio continuo DS5 Asegurar la seguridad de los sistemas DS6 Identificar y asignar costos DS7 Educar y entrenar a los usuarios DS8 Apoyar y asesorar a los usuarios DS9 Administrar la configuración DS10 Administrar problemas e incidentes DS11 Administrar los datos DS12 Administrar las instalaciones DS13 Administrar las operaciones 21
Monitorear y Evaluar (ME) Por lo general abarca las siguientes preguntas de la gerencia: Se mide el desempeño de TI para detectar los problemas antes de que sea demasiado tarde? La Gerencia garantiza que los controles internos son efectivos y eficientes? Puede vincularse el desempeño de lo que TI ha realizado con las metas del negocio? Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño?
Monitorear y Evaluar M1 Monitorear el proceso M2 Evaluar lo adecuado del control Interno M3 Obtener aseguramiento independiente M4 Proporcionar auditoría independiente 23
Relación entre Procesos, Metas y Métricas (DS5)
Cubo COBIT
Cobit Framework Prohibida su reproducción
Navegación en COBIT
Descripción del Proceso
Descripción del Proceso
Objetivos de Control Detallado
Directrices Gerenciales
Matriz RACI
Metas y Métricas
Modelo de Madurez
Modelo de Madurez
Modelo de Madurez
Guía de Aseguramiento de TI
Guía de Aseguramiento de TI
Guía de Aseguramiento de TI
Prácticas de Control
Prácticas de Control
Guías de Auditoría
Guías de Auditoría
Guías de Auditoría
Guías de Auditoría
Guías de Auditoría
Guías de Administración
CobiT Mapping Project Started in 2003 Integration of Standards Update of CobiT
CobiT Mapping Project Started in 2003 Integration of Standards Update of CobiT
CobiT Mapping Project Started in 2003 Integration of Standards Update of CobiT
CobiT Mapping Project Started in 2003 Integration of Standards Update of CobiT
CobiT Mapping Project Started in 2003 Integration of Standards Update of CobiT
CobiT Mapping Project Started in 2003 Integration of Standards Update of CobiT
CobiT Mapping Project Started in 2003 Integration of Standards Update of CobiT
CobiT Mapping Project Started in 2003 Integration of Standards Update of CobiT
Plan and Organize ITIL Overview 1 2 3 4 5 6 7 8 9 10 11 1 2 3 4 Service Level Service Desk Availability Incident Capacity Problem Financial Change Continuity Release Configuration 1 2 3 4 5 6 1 2 3 4 5 6 7 8 9 10 11 12 13 Deliver and Support
Coverage of CobiT Processes by ITIL Processes Plan Plan and Organize CobiT & ITIL 1 2 3 44 5 5 6 6 7 78 89 10 9 11 10 Monitor and Evaluate 1 Monitor 2 and 3 Evaluate 4 1 2 3 4 COBIT 4.0 processes addressed by IT Infrastructure Library Service Desk Service Level Incident Availability Problem Capacity 1 2 3 4 5 6 7 8 9 10 11 12 13 by Jimmy Heschl 1 2 3 4 5 Deliver 6 and 7 Support 8 9 10 11 12 13 1 1 Deliver and Support 1 Good coverage Partly addressed No or weak coverage on Process-Level Change Financial Release Continuity Configuration 1 2 3 4 5 6 1 Acquire 2 3 and 4 Maintain 5 6 7 CobiT and ITIL by Jimmy Heschl Acquire and Implement
Coverage of CobiT Processes by ITIL Processes Plan and Organize Plan and Organize CobiT & ITIL 1 2 3 44 5 5 6 6 7 78 89 10 9 11 10 Monitor and Evaluate 1 Monitor 2 and 3 Evaluate 4 1 2 3 4 COBIT 4.0 processes addressed by IT Infrastructure Library Service Desk Service Level Incident Availability Problem Capacity 1 2 3 4 5 6 7 8 9 10 11 12 13 by Jimmy Heschl 1 2 3 4 5 Deliver 6 and 7 Support 8 9 10 11 12 13 1Deliver and Support 1 1 Good coverage Partly addressed No or weak coverage on Process-Level Change Financial Release Continuity Configuration 1 2 3 4 5 6 1 Acquire 2 3 and 4 Maintain 5 6 7 CobiT and ITIL by Jimmy Heschl Acquire and Implement
Coverage of CobiT Processes by ITIL Processes Plan and Organize Plan and Organize CobiT & ITIL 1 2 3 44 5 5 6 6 7 78 89 10 9 11 10 Monitor and Evaluate 1 Monitor 2 and 3 Evaluate 4 1 2 3 4 COBIT 4.0 processes addressed by IT Infrastructure Library Service Desk Service Level Incident Availability Problem Capacity 1 2 3 4 5 6 7 8 9 10 11 12 13 by Jimmy Heschl 1 2 3 4 5 Deliver 6 and 7 Support 8 9 10 11 12 13 1Deliver and Support 1 1 Good coverage Partly addressed No or weak coverage on Process-Level Change Financial Release Continuity Configuration 1 2 3 4 5 6 1 Acquire 2 3 and 4 Maintain 5 6 7 CobiT and ITIL by Jimmy Heschl Acquire and Implement
Coverage of CobiT Processes by ITIL Processes Plan and Organize Plan and Organize CobiT & ITIL 1 2 3 44 5 5 6 6 7 78 89 10 9 11 10 Monitor and Evaluate 1 Monitor 2 and 3 Evaluate 4 1 2 3 4 COBIT 4.0 processes addressed by IT Infrastructure Library Service Desk Service Level Incident Availability Problem Capacity 1 2 3 4 5 6 7 8 9 10 11 12 13 by Jimmy Heschl 1 2 3 4 5 Deliver 6 and 7 Support 8 9 10 11 12 13 1Deliver and Support 1 1 Good coverage Partly addressed No or weak coverage on Process-Level Change Financial Release Continuity Configuration 1 2 3 4 5 6 1 Acquire 2 3 and 4 Maintain 5 6 7 CobiT and ITIL by Jimmy Heschl Acquire and Implement
Coverage of CobiT Processes by ITIL Processes Plan Plan and Organize CobiT & ITIL 1 2 3 44 5 5 6 6 7 78 89 10 9 11 10 Monitor and Evaluate 1 Monitor 2 and 3 Evaluate 4 1 2 3 4 COBIT 4.0 processes addressed by IT Infrastructure Library Service Desk Service Level Incident Availability Problem Capacity 1 2 3 4 5 6 7 8 9 10 11 12 13 by Jimmy Heschl 1 2 3 4 5 Deliver 6 and 7 Support 8 9 10 11 12 13 1 1 Deliver and Support 1 Good coverage Partly addressed No or weak coverage on Process-Level Change Financial Release Continuity Configuration 1 2 3 4 5 6 1 Acquire 2 3 and 4 Maintain 5 6 7 CobiT and ITIL by Jimmy Heschl Acquire and Implement
Coverage of CobiT Processes by ITIL Processes Plan and Organize Plan and Organize CobiT & ITIL 1 2 3 44 5 5 6 6 7 78 89 10 9 11 10 Monitor and Evaluate 1 Monitor 2 and 3 Evaluate 4 1 2 3 4 COBIT 4.0 processes addressed by IT Infrastructure Library Service Desk Service Level Incident Availability Problem Capacity 1 2 3 4 5 6 7 8 9 10 11 12 13 by Jimmy Heschl 1 2 3 4 5 Deliver 6 and 7 Support 8 9 10 11 12 13 1Deliver and Support 1 1 Good coverage Partly addressed No or weak coverage on Process-Level Change Financial Release Continuity Configuration 1 2 3 4 5 6 1 Acquire 2 3 and 4 Maintain 5 6 7 CobiT and ITIL by Jimmy Heschl Acquire and Implement
Coverage of CobiT Processes by ITIL Processes Plan and Organize Plan and Organize CobiT & ITIL 1 2 3 44 5 5 6 6 7 78 89 10 9 11 10 Monitor and Evaluate 1 Monitor 2 and 3 Evaluate 4 1 2 3 4 COBIT 4.0 processes addressed by IT Infrastructure Library Service Desk Service Level Incident Availability Problem Capacity 1 2 3 4 5 6 7 8 9 10 11 12 13 by Jimmy Heschl 1 2 3 4 5 Deliver 6 and 7 Support 8 9 10 11 12 13 1Deliver and Support 1 1 Good coverage Partly addressed No or weak coverage on Process-Level Change Financial Release Continuity Configuration 1 2 3 4 5 6 1 Acquire 2 3 and 4 Maintain 5 6 7 CobiT and ITIL by Jimmy Heschl Acquire and Implement
Coverage of CobiT Processes by ITIL Processes Plan and Organize Plan and Organize 1 2 3 4 5 6 7 8 9 10 1 2 3 4 5 6 7 8 9 10 11 CobiT & ITIL Monitor and Evaluate 1 Monitor 2 and Evaluate 3 4 1 2 3 4 COBIT 4.0 processes addressed by IT Infrastructure Library Service Desk Service Level Incident Availability Problem Capacity 1 2 3 4 5 6 7 8 9 10 11 12 13 by Jimmy Heschl 1 2 3 4 5 6 7 8 9 10 11 12 13 Deliver and Support 1Deliver and Support 1 1 Good coverage Partly addressed No or weak coverage on Process-Level Change Financial Release Continuity Configuration 1 2 3 4 5 6 1 Acquire 2 3 and 4 Maintain 5 6 7 CobiT and ITIL by Jimmy Heschl Acquire and Implement
Coverage of CobiT Processes by ITIL Processes Plan and Organize Plan and Organize 1 2 3 4 5 6 7 8 9 10 1 2 3 4 5 6 7 8 9 10 11 CobiT & ITIL Monitor and Evaluate 1 Monitor 2 and Evaluate 3 4 1 2 3 4 COBIT 4.0 processes addressed by IT Infrastructure Library Service Desk Service Level Incident Availability Problem Capacity 1 2 3 4 5 6 7 8 9 10 11 12 13 by Jimmy Heschl 1 2 3 4 5 6 7 8 9 10 11 12 13 Deliver and Support Deliver and Support 1 Good coverage 1 Partly addressed 1 No or weak coverage on Process-Level Change Financial Release Continuity Configuration 1 2 3 4 5 6 1 2 Acquire 3 and 4 Maintain 5 6 7 CobiT and ITIL by Jimmy Heschl Acquire and Implement
Monitor and Evaluate 1 Monitor 2 and 3 Evaluate 4 Plan and Organize Plan 1 2 3 4 5 6 7 8 9 10 11 4 5 6 7 8 9 10 1 2 3 4 Coverage of CobiT Processes by ITIL Processes COBIT 4.0 processes addressed by IT Infrastructure Library Service Desk Service Level Incident Availability Problem Capacity 1 2 3 4 5 6 7 8 9 10 11 12 13 by Jimmy Heschl Deliver and Support 1 2 3 4 5 6 7 8 9 10 11 12 13 1 Good coverage 1 Partly addressed 1 No or weak coverage on Process-Level Change Financial Deliver and Support Release Continuity CobiT & ITIL Configuration 1 2 3 4 5 6 1 Acquire 2 3 and Maintain 4 5 6 7 CobiT and ITIL by Jimmy Heschl Acquire and Implement
Coverage of CobiT Processes by ITIL Processes Plan Plan and Organize CobiT & ITIL 1 2 3 44 5 5 6 6 7 78 89 10 9 11 10 Monitor and Evaluate 1 Monitor 2 and 3 Evaluate 4 1 2 3 4 COBIT 4.0 processes addressed by IT Infrastructure Library Service Desk Service Level Incident Availability Problem Capacity 1 2 3 4 5 6 7 8 9 10 11 12 13 by Jimmy Heschl 1 2 3 4 5 Deliver 6 and 7 Support 8 9 10 11 12 13 1 1 Deliver and Support 1 Good coverage Partly addressed No or weak coverage on Process-Level Change Financial Release Continuity Configuration 1 2 3 4 5 6 1 Acquire 2 3 and 4 Maintain 5 6 7 CobiT and ITIL by Jimmy Heschl Acquire and Implement
CobiT y muchos otros Monitor and Evaluate 1 2 3 4 Plan and Organize 1 2 3 4 5 6 7 8 9 10 CobiT 4.0 processes addressed by COSO Internal Control - Integrated Framework by Jimmy Heschl 1 2 3 4 5 6 7 8 9 10 11 12 13 Deliver and Support 1 2 3 4 5 6 7 Acquire and Maintain Monitor and Evaluate 1 2 3 4 Plan and Organize 1 2 3 4 5 6 7 8 9 10 CobiT 4.0 processes addressed by FIPS PUB 200 1 2 3 4 5 6 7 8 9 10 12 Deliver and Support by Jimmy Heschl 11 13 1 2 3 4 5 6 7 Acquire and Maintain Monitor and Evaluate 1 2 3 4 Plan and Organize 1 2 3 4 5 6 7 8 9 10 CobiT 4.0 processes addressed by PRINCE2 by Jimmy Heschl 1 2 3 4 5 6 7 8 9 10 11 12 13 Deliver and Support 1 2 3 4 5 6 7 Acquire and Maintain Monitor and Evaluate 1 2 3 4 Plan and Organize 1 2 3 4 5 6 7 8 9 10 CobiT 4.0 processes addressed by ISO/IEC TR 13335 by Jimmy Heschl 1 2 3 4 5 6 7 8 9 10 11 12 13 Deliver and Support 1 2 3 4 5 6 7 Acquire and Maintain Monitor and Evaluate 1 2 3 4 Plan and Organize 1 2 3 4 5 6 7 8 9 10 CobiT 4.0 processes addressed by ISO/IEC 15408:2005 by Jimmy Heschl 1 2 3 4 5 6 7 8 9 10 11 12 13 Deliver and Support 1 2 3 4 5 6 7 Acquire and Maintain Monitor and Evaluate 1 2 3 4 Plan and Organize 1 2 3 4 5 6 7 8 9 10 CobiT 4.0 processes addressed by PMBOK by Jimmy Heschl 1 2 3 4 5 6 7 8 9 10 11 12 13 Deliver and Support 1 2 3 4 5 6 7 Acquire and Maintain Monitor and Evaluate 1 2 3 4 Plan and Organize 1 2 3 4 5 6 7 8 9 10 CobiT 4.0 processes addressed by TickIT by Jimmy Heschl 1 2 3 4 5 6 7 8 9 10 11 12 13 Deliver and Support 1 2 3 4 5 6 7 Acquire and Maintain Monitor and Evaluate 1 2 3 4 Plan and Organize 1 2 3 4 5 6 7 8 9 10 CobiT 4.0 processes addressed by CMMI by Jimmy Heschl 1 2 3 4 5 6 7 8 9 10 11 12 13 Deliver and Support 1 2 3 4 5 6 7 Acquire and Maintain Monitor and Evaluate 1 2 3 4 Plan and Organize 1 2 3 4 5 6 7 8 9 10 CobiT 4.0 processes addressed by NIST 800-14 1 2 3 4 5 6 7 8 9 10 12 Deliver and Support by Jimmy Heschl 11 13 1 2 3 4 5 6 7 Acquire and Maintain
Resumen COBIT: Control Objectives for Information Technologies Es un Framework. Es un conjunto de categorías relacionadas de mejores prácticas, experiencias, e ideas relativas al Gobierno de las Tecnologías de Información. No es un Método ni tampoco un Manual. Es un marco de referencia para gestionar y controlar las TIs. Se ajusta y sirve como soporte al framework de control Interno COSO-ERM, en lo relativo al control específico de las Tecnologías de Información. Cobit está orientado al Negocio, a los Procesos y basado en Controles.
Resumen (cont.) COBIT además de ser el framework de facto con mayor aceptación internacional en el campo de los gobiernos de TIs, está apoyado por un conjunto de guías para apoyar el gobierno corporativo, mapeos con otros estándares y regulaciones, más una creciente familia de publicaciones y productos de software diseñados para ayudar a la implementación de una efectiva gobernabilidad de las TIs en las organizaciones.
Información de contacto Pablo Caneo G. pcaneo@ultramar.cl pablo.caneo@gmail.com 71
Preguntas y Respuestas 72
Muchas gracias por su atención! PMI Santiago Chile Chapter Av. 11 de Septiembre 1945, oficina 512 Santiago,Chile pmi@pmi.cl 73