UN ENFOQUE SOBRE EL GOBIERNO DE LA SEGURIDAD DE … · transformadas en una estrategia práctica en...

UN ENFOQUE SOBRE EL GOBIERNO DE LA SEGURIDAD DE LA

INFORMACIÓN

Fabiana MARGES y Marcia MAGGIORE Expositores Certificados, ADACSI

Presentada por:

Aclaración:

© Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares de los derechos. Si bien este Congreso ha sido concebido para difusión y promoción en el ámbito de la profesión a nivel internacional, previamente deberá solicitarse una autorización por escrito y mediar la debida aprobación para su uso.

COBIT 5 – Un marco de negocio

Gobierno Corporativo de TI

COBIT 5

Gobierno de TI

COBIT4.0/4.1

Administración

COBIT3

Control

COBIT2

Auditoría

COBIT1

2005/7 2000 1998

Evo

luci

ón d

el A

lcan

ce

1996

Val IT 2.0 (2008)

Risk IT (2009)

2012 © 2012 ISACA® Todos los derechos reservados

Los Interesados (Stakeholders) y la Creación de Valor

Las Organizaciones existen para Crear Valor para sus Interesados (Stakeholders) La Creación de Valor es un Objetivo de Gobierno: Realizar los beneficios esperados por los Interesados con el uso óptimo de los recursos y el tratamiento óptimo de los riesgos

Fuente: COBIT® 5, Figura 3. © 2012 ISACA® Todos los derechos reservados.

Los Interesados y el Concepto de Valor

Las organizaciones tienen muchos interesados, y la “Creación de Valor” significa diferentes cosas para cada uno de ellos — y muchas veces esos conceptos están en conflicto.

Gobierno es negociar y decidir entre los intereses de valor de los diferentes Interesados.

El sistema de Gobierno debe considerar a todos los interesados cuando se toman decisiones sobre beneficios, recursos y evaluación de riesgos.

Por cada decisión, lo siguiente puede y debe ser preguntado: ¿Quién recibe el beneficio? ¿Quién asume el riesgo? ¿Qué recursos son requeridos?

Las necesidades de los interesados tienen que ser transformadas en una estrategia práctica en la organización.

La Cascada de Metas de COBIT 5 traduce las necesidades de los interesados en metas específicas, prácticas y adecuadas al contexto de la organización, en las metas relacionadas con TI y en las metas de los facilitadores.

Source: COBIT® 5, figura 4. © 2012 ISACA® Todos los derechos reservados.

Principio1 Satisfacer las Necesidades de los Interesados

Principio4 Posibilitar un Enfoque Holístico con los Facilitadores 1. Principios, Políticas y Marcos

2. Procesos

3. Estructura Organizativa

4. Cultura, Etica y Comportamiento

5. Información

6. Servicios, Infraestructura y Aplicaciones

7. Personas, Habilidades y Competencias

Fuente: COBIT® 5, Figura 12. © 2012 ISACA® Todos derechos reservados.

Principio 5 Distinguir entre Gobierno y Gestión

GOBIERNO asegura que las necesidades, condiciones y opciones de los interesados, son Evaluadas para determinar UN ACUERDO BALANCEADO para que los objetivos de la organización sean alcanzados; establece Dirección a través de la priorización y la toma de decisiones; con el Monitoreo del desempeño y el cumplimiento de acuerdo con la Alta Gerencia y sus objetivos.

La GESTIÓN Planea, Construye, Ejecuta y Monitorea

actividades alineadas con el conjunto de directrices del cuerpo de gobierno para alcanzar los objetivos de la organización.

COBIT 5 propone que las organizaciones implementen procesos de gobierno y de gestión:

Fuente: COBIT® 5, figura 15. © 2012 ISACA® Todos los derechos

reservados.

Gobierno

Gestión

Evaluar

Dirigir Monitorear

Monitorear Ejecutar Construir Planear

Principio 5 Distinguir entre Gobierno y Gestión

11 Fuente: COBIT® 5, figura 16. © 2012 ISACA® Todos los derechos reservados.

Procesos para el Gobierno de la TI Empresarial

Procesos para la Gestión de la TI Empresarial

12

Evaluar. Dirigir y Monitorear

EDM01 Asegurar el establecimiento y Mantenimiento de los Marcos de Gobierno EDM02 Asegurar la entrega de los Beneficios EDM03 Asegurar la Optimización de Riesgos EDM04 Asegurar la Optimización de los Recursos EDM05 Asegurar la Transparencia a los Interesados (Stakeholder)

Procesos para el Gobierno de la TI Empresarial

Fuente: COBIT® 5, figura 16. © 2012 ISACA® Todos los derechos reservados.


Fuente: COBIT® 5, figura 16. © 2012 ISACA® Todos los derechos reservados. 13

Procesos para la Gestión de la TI de la Organización

APO01 Gestionar los Marcos de Gestión de TI APO02 Gestionar la Estrategia APO03 Gestionar la Arquitectura de la Organización APO04 Gestionar la Innovación APO05 Gestionar el Portfolio (Cartera) APO06 Gestionar Presupuestos y Costos APO07 Gestionar los Recursos Humanos APO08 Gestionar las Relaciones APO09 Gestionar los Acuerdos de Servicio APO10 Gestionar los Proveedores APO11 Gestionar la Calidad APO12 Gestionar Riesgos APO13 Gestionar la Seguridad

Alinear, Planificar y Organizar


14 Source: COBIT® 5, figure 16. © 2012 ISACA® All rights reserved.


BAI01 Gestionar Programas y Proyectos BAI02 Gestionar la Definición de Requerimientos BAI03 Gestionar Identificación de Soluciones y Construcción BAI04 Gestionar la Disponibilidad y la Capacidad BAI05 Gestionar los facilitadores del Cambio Organizacional BAI06 Gestionar los Cambios BAI07 Gestionar la Aceptación y Transición de los Cambios BAI08 Gestionar el Conocimiento BAI09 Gestionar los Activos BAI10 Gestionar la Configuración

Construir, Adquirir e Implementar


15 Source: COBIT® 5, figure 16. © 2012 ISACA® All rights reserved.


DSS01 Gestionar Operaciones DSS02 Gestionar Reclamos e Incidentes de los Servicios DSS03 Gestionar los Problemas DSS04 Gestionar la Continuidad DSS05 Gestionar la Seguridad de los Servicios DSS06 Gestionar los Controles de los procesos de negocio

Entrega, Servicio y Soporte


MEA01 Desempeño y Conformidad MEA02 Sistema de Control Interno MEA03 Cumplimiento con Requerimientos Externos

Monitorear, Evaluar y Asegurar

Procesos para el Gobierno y la Gestión de la TI Empresarial

Fuente: COBIT® 5, figura 16. © 2012 ISACA® Todos los derechos reservados.


Guía de Procesos (ejemplo EDM02) Gráfica RACI

A: Accountable – Quien rinde cuenta R: Responsable – Quien ejecuta la Práctica C: Consultado sobre la Práctica I: Informado sobre la ejecución de la Práctica

Metas genéricas de la organización Valor para los partícipes de las inversiones del Servicio

Cartera de productos y servicios efectivos

Riesgos de la operatoria gestionados (Salvaguarda de activos)

Cumplimiento de leyes y regulaciones externas

Transparencia financiera

Cultura se servicio orientada al beneficiario

Continuidad y disponibilidad de la operatoria

Respuestas ágiles a un entorno de demanda cambiante

Toma estratégica de Decisiones basadas en información

Optimización de los costos en la entrega de los servicios

Optimización de la funcionalidad de los procesos

Optimización de los costos de los procesos

Programas de cambio gestionados

Productividad operacional y del personal

Cumplimiento con las políticas internos

Personas preparadas y motivadas

Cultura de innovación de los servicios

12

34

56

78

910

1112

1314

1516

17

METAS DE LA ORGANIZACIÓN

FinancieraBeneficiario

InternaAprend y

Crec

Metas genéricas de TI y su relación Perspectiva 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17

1Alineamiento de la TI y la estrategia del Servicio P P S P S P P S P S P S S

2

Cumplimiento y soporte de la TI al cumplimiento del Servicio de leyes y regulaciones externas S P P

3Compromiso de la Dirección para tomar decisiones relacionadas con TI P S S S S S S S S

4Riesgos del Servicio relacionados con las TI, gestionados P S P S P S S S

5Realización de beneficios de la cartera de inversiones relacionada con la TI P P S S S S P S S

6Transparencia de los costos, beneficios y riesgos de la TI S S P S P P

7Entrega de los servicios de TI de acuerdo los requerimientos del SNR P P S S P S P S P S S S S

8Uso adecuado de aplicaciones, información y soluciones tecnológicas S S S S S S S P S P S S

9 Agilidad de las TI S P S S P P S S S P

10Seguridad de la información, infraestructuras de procesamiento y aplicaciones P P P P

11Optimización de activos, recursos y capacidades de las TI P S S P S P S S S

12

Capacitación y soporte de procesos integrando aplicaciones y tecnología en procesos del Servicio S P S S S S P S S S S

13

Entrega de Programas que proporcionen beneficios a tiempo, dentro del presupuesto y satisfaciendo los requisitos y normas de calidad P S S S S S P

14Disponibilidad de información útil y relevante para la toma de decisiones S S S S P P S

15Cumplimiento de la TI con políticas internas

S S P

16 Personal competente y motivado S S P S S P P S

17Conocimiento, experiencia e iniciativas para la innovación del Servicio S P S P S S S S P

METAS RELACIONADAS CON LA TI

Aprendizaje y Crecimiento

Interna

Beneficiario

Financiera

METAS DE LA ORGANIZACIÓN

4 10 14EDM03 Asegurar la Optimización de los Riesgos P P SAPO09 Gestionar los Acuerdos de Servicio S S PAPO10 Cumplimiento de TI con las políticas internas P S SAPO12 Gestionar el Riesgo P P SAPO13 Gestionar la Seguridad P P P

BAI01 Gestionar los Programas y los Proyectos P

BAI04 Gestionar la Disponibilidad y la Capacidad S PBAI06 Gestionar los Cambios P P SBAI10 Gestionar la Configuración S S PDSS01 Gestionar las Operaciones P S SDSS02 Gestionar los reclamos y los incidentes P S SDSS03 Gestionar los Problemas P PDSS04 Gestionar la Continuidad P S PDSS05 Gestionar los Servicios de Seguridad P P SDSS06 Gestionar los Controles de los Procesos del Negocio P S SMEA01 Rendimiento y Conformidad P S SMEA02 Sistema de Control Interno P S SMEA03 Conformidad con los Requerimientos externos P S

PROCESOS DE MODELO COBIT

4. Riesgos de la organización relacionados con la TI, gestionados

10. Seguridad de la Información, Infraestructura de procesamiento y aplicaciones

14. Disponibilidad de información útil y relevante para la toma de decisiones

METAS DE TI

Ejemplo: Metas de TI y su relación con los Procesos

Se alinea con los principios y facilitadores de COBIT 5

Integra los conceptos del Modelo de Negocio de la Seguridad de la Información (BMIS) así como las Guías de Gestión y Gobierno para el Consejo de Dirección y la Gerencia Ejecutiva publicados por ISACA.

Se alinea con otros marcos, están- dares y modelos tales como las ISO/IEC 38500 y la serie ISO/IEC 27000

COBIT 5 – Seguridad de la Información

Fuente: BMIS®, figura 2. © 2010 ISACA® Todos los derechos reservados.

Ofrece guías detalladas específicas para cada uno de los facilitadores, enfocadas en EL NEGOCIO. Por ej. describe 12 Principios (facilitador 1) agrupados en: Dar soporte al negocio – Defender el negocio – Promover una conducta responsable respecto de la seguridad de la información.

Respecto de los Procesos (facilitador 2) agrega a cada uno de los definidos en el marco, las actividades específicas relacionadas con la seguridad de la información.

Incluye un mapeo detallado con otros estándares de seguridad de la información


Fuente: COBIT® 5,

Figura 12. © 2012

ISACA® Todos

derechos reservados.

Respecto de la Estructura Organizacional (facilitador 3) detalla, entre otros y según corresponda, la composición, principios operativos, nivel de autoridad del CISO, Steering Committee, Gerente, ERM Committee, Custodios y Dueños de la información.

Respecto de la Información (facilitador 5) realiza un desarrollo detallado de las metas, ciclo de vida y buenas prácticas de los diferentes tipos de información.

Incluye un mapeo detallado con otros estándares de seguridad de la información


Fuente: COBIT® 5,

Figura 12. © 2012

ISACA® Todos

derechos reservados.

Gracias por asistir a esta sesión…

Curso de Certificación en Fundamentos de COBIT 5

13 a 15 de mayo

ADACSI

Corrientes 389 – EP – CABA www.isaca.org.ar

Tel: 5411 4317-2855 [email protected]

Los invitamos a sumarse al grupo “Segurinfo” en

Para mayor información:

Fabiana Marges y Marcia Maggiore

Corrientes 389 – EP – CABA www.isaca.org.ar

Tel: 5411 4317-2855 [email protected]

Para descargar esta presentación visite

www.segurinfo.org Los invitamos a sumarse al grupo “Segurinfo” en

UN ENFOQUE SOBRE EL GOBIERNO DE LA SEGURIDAD DE … · transformadas en una estrategia práctica en...

Documents

Transcript of UN ENFOQUE SOBRE EL GOBIERNO DE LA SEGURIDAD DE … · transformadas en una estrategia práctica en...