Taller Principios de COBIT

Facilitadores:

Ing. David Ricardo Rodríguez Calderón, Lic. Gestión Recursos

Ing. Jorge E. López Martínez, MBA

Programa de capacitación continua en tecnologías de información

BIENVENIDO AL CURSO!

Por favor preséntese usted mismo y describa su conocimiento actual de COBIT

y de Gobierno de TI

Objetivo General

Proporcionar al personal de la organización una introducción a los conceptos de gobierno de TI y los procesos COBIT y de gestión de Tecnologías de Información.

Objetivos Específicos

Reflexionar sobre la importancia del Control de TI

Conocer los factores claves de la Gestión de TI

Conocer los aspectos básicos sobre Gobierno de TI

Conocer el marco de referencia COBIT

Fortalecer el trabajo en equipo

¿Por qué tanto control

Minimizar el riesgo

RAE Control.

(Del fr. contrôle).

• 1. m. Comprobación, inspección, fiscalización, intervención.

Control. (Def. Moderna)

“... la serie de acciones diseñadas por la administración activa para proporcionar una seguridad razonable en torno a la consecución de los objetivos de la organización...”

¿Para quién Controlamos?

• Para satisfacer en buena medida los requerimientos de los "clientes”.

http://www.youtube.com/watch?v=t2WfEB7mghw

http://www.iarnoticias.com/2011/noticias/norteamerica/0098_banca_ataque_hackers_13jun2011.html

41%

50%

9%

Incidentes de Seguridad Experimentados

Si

No

No tiene idea

Fuente: 2010 CSI (Computer Security Institute) Entrevista sobre Crimen y Seguridad de TI

2010: 285 entidades entrevistadas

Perdidas por incidentes de seguridad

Tipo de ataque % Monto de la pérdida $

Fraude financiero 34,4% 21.124.750,00

Virus 13,7% 8.391.800,00

Sistema vulnerados 11,2% 6.875.000,00

Robo de información de clientes o empleados 9,3% 5.685.000,00

Robo de dispositivos móviles (PC) 6,3% 3.881.150,00

Abuso en el acceso de red interna 4,7% 2.889.700,00

Negación de servicio 4,7% 2.888.600,00

Ataque de Phising 4,5% 2.752.000,00

Robo de la propiedad intelectual - información 3,8% 2.345.000,00

Sabotaje 1,7% 1.056.000,00

Acceso no autorizado a la información 1,7% 1.042.700,00

Obtención de claves de acceso 1,7% 1.042.700,00

Desconfiguración del Web site 1,2% 725.300,00

Abuso de las redes inalámbricas 0,9% 542.850,00

Uso indebido de mensajería instantánea 0,3% 200.700,00

100% 61.443.250,00

Incidentes de seguridad Riesgos Asociados

?

Alto

Medio

Bajo

Riesgo .

•

Riesgo ?

•

Riesgo ?

Exposición al riesgo

Alto

Medio

Bajo

Riesgo Operativo

• “…posible perdida como consecuencia de fallas en los contratos y transacciones, derivadas de actuaciones malintencionadas, negligencia …”

Riesgo legal:

• “… posible pérdida en que incurre por desprestigio, mala imagen, publicidad negativa …”

Riesgo reputacional:

¿Por qué tanto control

Pérdida o deterioro de activos y bienes

Pérdida de dinero

Pérdida de prestigio ante los usuarios

Cobro de multas ante instituciones por pagos a destiempo de obligaciones permanentes

Adquisiciones al margen de la ley

Funcionarios que incumplen con sus obligaciones laborales

¿Cuáles son los aspectos claves

de la adecuada Gestión TI?

www.youtube.com/watch?v=-q15LPlyMDU

RAE Gestionar.

(De gestión). 1. tr. Hacer diligencias conducentes al logro de un negocio o de un deseo cualquiera.

Gestión de TI

Pretende prestar a los usuarios o clientes servicios de calidad, mediante procesos eficientes y con una actitud innovadora.

Gestión de TI

Tecnología

Centro de Costo

Negocio

Tecnología

•Administración de Recursos

Centro de Costo

•Administración de Sistemas

Negocio

•Administración de Servicios

En muchas organizaciones TI NO es el “core” del negocio, pero es vital para su funcionamiento

Sala de máquinas de un barco Función de TI en una organización

Gestión de Riesgo de TI en Servicoop RL

Gestión de TI como:

Tecnología

Centro de Costo

Negocio

Justificación

¿Cuáles son los aspectos claves

de la adecuada Gestión TI?

Gestión de TI como negocio

Servicios de calidad

• Cumplen de forma consistente los parámetros acordados en términos de funcionalidad, rapidez, disponibilidad y seguridad.

Procesos eficientes

• Utilizan la menor cantidad posible de recursos materiales, humanos y financieros sin menoscabar su resultado.

Una actitud innovadora

• Permanente curiosidad por las novedades en las tecnologías o métodos de gestión, que son sistemáticamente evaluadas para determinar su aplicabilidad

• Una actitud crítica respecto al "status quo" o el modo tradicional de hacer las cosas.

• Tolerancia al fallo, es decir, admisión de la prueba de novedades que sale mal, siempre que se haya aprendido algo útil de la experiencia.

¿Cuáles son los aspectos claves

de Gobierno de TI?

RAE Gobierno.

1. m. Acción y efecto de gobernar o gobernarse. (Guiar y dirigir, Regirse según una norma, regla o idea.)

Acuerdo SUGEF 16-09 (Gobierno Corporativo)

Conjunto de políticas, normas y órganos internos

mediante los cuales se dirige y controla la gestión de una entidad. Comprende las relaciones entre los accionistas o asociados, la Junta Directiva u órgano equivalente, ejecutivos, sus comités de apoyo, las unidades de control, la gerencia y las auditorías interna y externa.

Componentes de gestión de Gobierno Corporativo

IT Governance Institute (Gobierno de TI)

Un conjunto de responsabilidades

prácticas ejecutadas por la junta directiva y la administración ejecutiva con el fin de proveer dirección estratégica, garantizando que los objetivos sean Alcanzados, estableciendo que los riesgos son administrados apropiadamente y verificando que los recursos de la empresa son usados responsablemente.

Gobierno de TI

Pilares para un buen Gobierno

Estructura

Procesos Comunicación

RAE Gobernanza

1. f. …Arte o manera de gobernar que se propone como objetivo el logro de un desarrollo económico, social e institucional duradero, promoviendo un sano equilibrio …

Niveles de Gobernanza Gobernanza Corporativa (COSO)

La provisión de la estructura que

permita determinar los objetivos de la

Organización y supervisar el

rendimiento, a fin de asegurar que los

objetivos son cumplidos. OCDE

(2004).

Gobernanza de TI

La especificación del marco de derechos a la toma de decisiones

y la alta responsabilidad para

favorecer un comportamiento

deseable en el uso de las TIC. MIT/Sloan

School of Management (2004)

Gobernanza de la Seguridad de la Información y Tecnologías afines

El establecimiento y mantenimiento de un marco que provea garantía de que las estrategias de seguridad de la información están alineadas con los objetivos del negocio y son conformes a las leyes y regulaciones aplicables ISACA/CISM BoK

(2002)

¿Cómo se lleva a cada la integración de Gobierno de TI con Gobierno Corporativo?

¿Cuáles son los aspectos claves

de Gobierno de TI?

Estructura

Procesos Comunicación

¿Cómo se realiza un adecuado

control de TI?

Datos

Información

Concepto

Activos

Información

Aseguramiento del Valor

Administración de Riesgos

Requerimientos de Control

INFORMACIÓN

Bases de datos Sistemas Servicoop RL

Control de TI

COBIT Control OBjectives por Information end

related Technology

Brindan buenas prácticas a través de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lógica.

COBIT optimiza

Las inversiones facilitadas por la TI

Asegurarán la entrega del servicio

Brindarán una medida contra la cual juzgar cuando las cosas no

vayan bien.

Marco de Referencia

Éxito de TI

• Satisfacer los requerimientos del negocio

• Marco de Referencia o Marco de Control

Es responsabilidad de la Dirección

Estableciendo un vínculo con los requerimientos del negocio

Organizando las actividades de TI en un modelo de procesos generalmente aceptado

Identificando los principales recursos de TI a ser utilizados

Definiendo los objetivos de control gerenciales a ser considerados

¿Cómo puede la empresa poner bajo control la TI de tal manera que genere la información que la empresa necesita?

¿Cómo puede administrar los riesgos y asegurar los recursos de TI de los cuales depende tanto?

¿Cómo puede la empresa asegurar que TI logre sus objetivos y soporte los del negocio?

lo que no se puede medir no se puede controlar

Benchmarking:

• De la capacidad de los procesos de TI, expresada como modelos de madurez, derivados del Modelo de Madurez de la Capacidad del Instituto de Ingeniería de Software

Metas y métricas de los procesos de TI

• Para definir y medir sus resultados y su desempeño, basados en los principios de balanced business Scorecard de Robert Kaplan y David Norton

Metas de actividades:

• Para controlar estos procesos, con base en los objetivos de control detallados de COBIT

COBIT

Se enfoca en qué se requiere para lograr una administración

y un control adecuado de TI, y se

posiciona en un nivel alto.

Alineado y armonizado con

otros estándares y mejores prácticas más detallados de

TI

Resume los objetivos clave bajo un mismo marco de trabajo integral que también se vincula

con los requerimientos de

gobierno y de negocios.

Actúa como un integrador de todos estos materiales guía

Marcos de Control

Tecnologías (COBIT)

Empresarial (COSO)

Principios

Requerimientos del negocio

Recursos de TI

Procesos de TI

COBIT

• Brinda un modelo de procesos genéricos que representa todos los procesos que normalmente se encuentran en las funciones de TI

E1

E2 S3

S1 S2

P1

A1

A2

P2

A1

A2

P3

A1

A2

http://www.youtube.com/watch?v=lPkYqX-ATvo

Requerimientos

Control

Calidad

Fiduciarios

Seguridad

Criterios de Información de TI

• Relevante, pertinente, correcta, consistente, utilizable y oportuna a los procesos del negocio.

La efectividad

• optimizan los recursos (más productivo y económico) La eficiencia

• Protección de información sensitiva contra revelación no autorizada. Confidencialidad

• La precisión y completitud y su validez de acuerdo a los valores y expectativas del negocio

La integridad

• Disponible en cualquier momento y protección de los recursos y las capacidades necesarias asociadas.

La disponibilidad

• Acatar aquellas leyes, reglamentos y acuerdos contractuales a los cuales está sujeto así como políticas internas.

El cumplimiento

• Apropiada para que la gerencia administre la entidad y ejercite sus responsabilidades fiduciarias y de gobierno.

La confiabilidad

Gestión de las Metas del Negocio y TI

Administración de los Recursos de TI

Componentes de COBIT

Negocio Procesos TI Objetivos de

Control

Metas de actividades

Directrices de Auditoria

Practicas de Control

Indicadores Clave de

desempeño

Indicadores Clave de Metas

Modelos de Madurez

Relaciones de los componentes COBIT

Marco de Control Gobierno de TI

¿Por qué ?

• Para satisfacer los requerimientos del negocio

¿A quién ?

• Interesados internos y externos (Directivos, Gerencia Dueños de Procesos, Auditores, Reguladores, Proveedores, entre otros)

¿Qué brinda?

• Un lenguaje común, con un juego de términos y definiciones que sean comprensibles en lo general para todos los Interesados.

El Cubo COBIT

Marco de Referencia

Áreas Focales de Gobierno de TI

Niveles de Madurez

Modelo de Responsabilidades

Procesos Metas y Métricas

Navegando por COBIT

Dominios COBIT

PO Planear y Organizar

AI Adquirir e

Implementar

DS Entrega y Dar

Soporte

ME Monitorear y

Evaluar

Dominios COBIT PO (10)

Planear y Organizar

Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI pueda contribuir de la mejor manera al logro de los objetivos del negocio. Además, la realización de la visión estratégica requiere ser planeada, comunicada y administrada desde diferentes perspectivas

PO1 • Definir un plan estratégico de TI

PO2 • Definir la arquitectura de la información

PO3 • Determinar la dirección tecnológica

PO4 • Definir los procesos, organización y relaciones de TI

PO5 • Administrar la inversión en TI

PO6 • Comunicar las aspiraciones y la dirección de la gerencia

PO7 • Administrar recursos humanos de TI

PO8 • Administrar la calidad

PO9 • Evaluar y administrar los riesgos de TI

PO10 • Administrar proyectos

Dominios COBIT AI (7)

Adquirir e Implementar

Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas así como la implementación e integración en los procesos del negocio. Además, el cambio y el mantenimiento de los sistemas existentes está cubierto por este dominio para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio.

AI1 • Identificar soluciones automatizadas

AI2 • Adquirir y mantener software aplicativo

AI3 • Adquirir y mantener infraestructura tecnológica

AI4 • Facilitar la operación y el uso

AI5 • Adquirir recursos de TI

AI6 • Administrar cambios

AI7 • Instalar y acreditar soluciones y cambios

Dominios COBIT DS (13)

Entrega y Dar Soporte

Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operacionales.

DS1 • Definir y administrar los niveles de servicio

DS2 • Administrar los servicios de terceros

DS3 • Administrar el desempeño y la capacidad

DS4 • Garantizar la continuidad del servicio

DS5 • Garantizar la seguridad de los sistemas

DS6 • Identificar y asignar costos

DS7 • Educar y entrenar a los usuarios

DS8 • Administrar la mesa de servicio y los incidentes

DS9 • Administrar la configuración

DS10 • Administrar los problemas

DS11 • Administrar los datos

DS12 • Administrar el ambiente físico

DS13 • Administrar las operaciones

Dominios COBIT ME (4)

Monitorear y Evaluar

Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administración del desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del gobierno.

ME1

• Monitorear y evaluar el desempeño de TI

ME2 • Monitorear y evaluar el control interno

ME3 • Garantizar el cumplimiento regulatorio

ME4 • Proporcionar gobierno de TI

COBIT online

Formularios de Evaluación

Referencias

• http://www.isaca.org

• http://www.tgti.es