UN ENFOQUE SOBRE EL GOBIERNO DE LA SEGURIDAD DE … · transformadas en una estrategia práctica en...
Transcript of UN ENFOQUE SOBRE EL GOBIERNO DE LA SEGURIDAD DE … · transformadas en una estrategia práctica en...
UN ENFOQUE SOBRE EL GOBIERNO DE LA SEGURIDAD DE LA
INFORMACIÓN
Fabiana MARGES y Marcia MAGGIORE Expositores Certificados, ADACSI
Presentada por:
Aclaración:
© Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares de los derechos. Si bien este Congreso ha sido concebido para difusión y promoción en el ámbito de la profesión a nivel internacional, previamente deberá solicitarse una autorización por escrito y mediar la debida aprobación para su uso.
COBIT 5 – Un marco de negocio
Gobierno Corporativo de TI
COBIT 5
Gobierno de TI
COBIT4.0/4.1
Administración
COBIT3
Control
COBIT2
Auditoría
COBIT1
2005/7 2000 1998
Evo
luci
ón d
el A
lcan
ce
1996
Val IT 2.0 (2008)
Risk IT (2009)
2012 © 2012 ISACA® Todos los derechos reservados
Los Interesados (Stakeholders) y la Creación de Valor
Las Organizaciones existen para Crear Valor para sus Interesados (Stakeholders) La Creación de Valor es un Objetivo de Gobierno: Realizar los beneficios esperados por los Interesados con el uso óptimo de los recursos y el tratamiento óptimo de los riesgos
Fuente: COBIT® 5, Figura 3. © 2012 ISACA® Todos los derechos reservados.
Los Interesados y el Concepto de Valor
Las organizaciones tienen muchos interesados, y la “Creación de Valor” significa diferentes cosas para cada uno de ellos — y muchas veces esos conceptos están en conflicto.
Gobierno es negociar y decidir entre los intereses de valor de los diferentes Interesados.
El sistema de Gobierno debe considerar a todos los interesados cuando se toman decisiones sobre beneficios, recursos y evaluación de riesgos.
Por cada decisión, lo siguiente puede y debe ser preguntado: ¿Quién recibe el beneficio? ¿Quién asume el riesgo? ¿Qué recursos son requeridos?
Las necesidades de los interesados tienen que ser transformadas en una estrategia práctica en la organización.
La Cascada de Metas de COBIT 5 traduce las necesidades de los interesados en metas específicas, prácticas y adecuadas al contexto de la organización, en las metas relacionadas con TI y en las metas de los facilitadores.
Source: COBIT® 5, figura 4. © 2012 ISACA® Todos los derechos reservados.
Principio1 Satisfacer las Necesidades de los Interesados
Principio4 Posibilitar un Enfoque Holístico con los Facilitadores 1. Principios, Políticas y Marcos
2. Procesos
3. Estructura Organizativa
4. Cultura, Etica y Comportamiento
5. Información
6. Servicios, Infraestructura y Aplicaciones
7. Personas, Habilidades y Competencias
Fuente: COBIT® 5, Figura 12. © 2012 ISACA® Todos derechos reservados.
Principio 5 Distinguir entre Gobierno y Gestión
GOBIERNO asegura que las necesidades, condiciones y opciones de los interesados, son Evaluadas para determinar UN ACUERDO BALANCEADO para que los objetivos de la organización sean alcanzados; establece Dirección a través de la priorización y la toma de decisiones; con el Monitoreo del desempeño y el cumplimiento de acuerdo con la Alta Gerencia y sus objetivos.
La GESTIÓN Planea, Construye, Ejecuta y Monitorea
actividades alineadas con el conjunto de directrices del cuerpo de gobierno para alcanzar los objetivos de la organización.
COBIT 5 propone que las organizaciones implementen procesos de gobierno y de gestión:
Fuente: COBIT® 5, figura 15. © 2012 ISACA® Todos los derechos
reservados.
Gobierno
Gestión
Evaluar
Dirigir Monitorear
Monitorear Ejecutar Construir Planear
Principio 5 Distinguir entre Gobierno y Gestión
11 Fuente: COBIT® 5, figura 16. © 2012 ISACA® Todos los derechos reservados.
Procesos para el Gobierno de la TI Empresarial
Procesos para la Gestión de la TI Empresarial
12
Evaluar. Dirigir y Monitorear
EDM01 Asegurar el establecimiento y Mantenimiento de los Marcos de Gobierno EDM02 Asegurar la entrega de los Beneficios EDM03 Asegurar la Optimización de Riesgos EDM04 Asegurar la Optimización de los Recursos EDM05 Asegurar la Transparencia a los Interesados (Stakeholder)
Procesos para el Gobierno de la TI Empresarial
Fuente: COBIT® 5, figura 16. © 2012 ISACA® Todos los derechos reservados.
Procesos para la Gestión de la TI Empresarial
Fuente: COBIT® 5, figura 16. © 2012 ISACA® Todos los derechos reservados. 13
Procesos para la Gestión de la TI de la Organización
APO01 Gestionar los Marcos de Gestión de TI APO02 Gestionar la Estrategia APO03 Gestionar la Arquitectura de la Organización APO04 Gestionar la Innovación APO05 Gestionar el Portfolio (Cartera) APO06 Gestionar Presupuestos y Costos APO07 Gestionar los Recursos Humanos APO08 Gestionar las Relaciones APO09 Gestionar los Acuerdos de Servicio APO10 Gestionar los Proveedores APO11 Gestionar la Calidad APO12 Gestionar Riesgos APO13 Gestionar la Seguridad
Alinear, Planificar y Organizar
Procesos para la Gestión de la TI Empresarial
14 Source: COBIT® 5, figure 16. © 2012 ISACA® All rights reserved.
Procesos para la Gestión de la TI de la Organización
BAI01 Gestionar Programas y Proyectos BAI02 Gestionar la Definición de Requerimientos BAI03 Gestionar Identificación de Soluciones y Construcción BAI04 Gestionar la Disponibilidad y la Capacidad BAI05 Gestionar los facilitadores del Cambio Organizacional BAI06 Gestionar los Cambios BAI07 Gestionar la Aceptación y Transición de los Cambios BAI08 Gestionar el Conocimiento BAI09 Gestionar los Activos BAI10 Gestionar la Configuración
Construir, Adquirir e Implementar
Procesos para la Gestión de la TI Empresarial
15 Source: COBIT® 5, figure 16. © 2012 ISACA® All rights reserved.
Procesos para la Gestión de la TI de la Organización
DSS01 Gestionar Operaciones DSS02 Gestionar Reclamos e Incidentes de los Servicios DSS03 Gestionar los Problemas DSS04 Gestionar la Continuidad DSS05 Gestionar la Seguridad de los Servicios DSS06 Gestionar los Controles de los procesos de negocio
Entrega, Servicio y Soporte
Procesos para la Gestión de la TI Empresarial
MEA01 Desempeño y Conformidad MEA02 Sistema de Control Interno MEA03 Cumplimiento con Requerimientos Externos
Monitorear, Evaluar y Asegurar
Procesos para el Gobierno y la Gestión de la TI Empresarial
Fuente: COBIT® 5, figura 16. © 2012 ISACA® Todos los derechos reservados.
Procesos para la Gestión de la TI Empresarial
Guía de Procesos (ejemplo EDM02) Gráfica RACI
A: Accountable – Quien rinde cuenta R: Responsable – Quien ejecuta la Práctica C: Consultado sobre la Práctica I: Informado sobre la ejecución de la Práctica
Metas genéricas de la organización Valor para los partícipes de las inversiones del Servicio
Cartera de productos y servicios efectivos
Riesgos de la operatoria gestionados (Salvaguarda de activos)
Cumplimiento de leyes y regulaciones externas
Transparencia financiera
Cultura se servicio orientada al beneficiario
Continuidad y disponibilidad de la operatoria
Respuestas ágiles a un entorno de demanda cambiante
Toma estratégica de Decisiones basadas en información
Optimización de los costos en la entrega de los servicios
Optimización de la funcionalidad de los procesos
Optimización de los costos de los procesos
Programas de cambio gestionados
Productividad operacional y del personal
Cumplimiento con las políticas internos
Personas preparadas y motivadas
Cultura de innovación de los servicios
12
34
56
78
910
1112
1314
1516
17
METAS DE LA ORGANIZACIÓN
FinancieraBeneficiario
InternaAprend y
Crec
Metas genéricas de la organización Valor para los partícipes de las inversiones del Servicio
Cartera de productos y servicios efectivos
Riesgos de la operatoria gestionados (Salvaguarda de activos)
Cumplimiento de leyes y regulaciones externas
Transparencia financiera
Cultura se servicio orientada al beneficiario
Continuidad y disponibilidad de la operatoria
Respuestas ágiles a un entorno de demanda cambiante
Toma estratégica de Decisiones basadas en información
Optimización de los costos en la entrega de los servicios
Optimización de la funcionalidad de los procesos
Optimización de los costos de los procesos
Programas de cambio gestionados
Productividad operacional y del personal
Cumplimiento con las políticas internos
Personas preparadas y motivadas
Cultura de innovación de los servicios
12
34
56
78
910
1112
1314
1516
17
METAS DE LA ORGANIZACIÓN
FinancieraBeneficiario
InternaAprend y
Crec
Metas genéricas de TI y su relación Perspectiva 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
1Alineamiento de la TI y la estrategia del Servicio P P S P S P P S P S P S S
2
Cumplimiento y soporte de la TI al cumplimiento del Servicio de leyes y regulaciones externas S P P
3Compromiso de la Dirección para tomar decisiones relacionadas con TI P S S S S S S S S
4Riesgos del Servicio relacionados con las TI, gestionados P S P S P S S S
5Realización de beneficios de la cartera de inversiones relacionada con la TI P P S S S S P S S
6Transparencia de los costos, beneficios y riesgos de la TI S S P S P P
7Entrega de los servicios de TI de acuerdo los requerimientos del SNR P P S S P S P S P S S S S
8Uso adecuado de aplicaciones, información y soluciones tecnológicas S S S S S S S P S P S S
9 Agilidad de las TI S P S S P P S S S P
10Seguridad de la información, infraestructuras de procesamiento y aplicaciones P P P P
11Optimización de activos, recursos y capacidades de las TI P S S P S P S S S
12
Capacitación y soporte de procesos integrando aplicaciones y tecnología en procesos del Servicio S P S S S S P S S S S
13
Entrega de Programas que proporcionen beneficios a tiempo, dentro del presupuesto y satisfaciendo los requisitos y normas de calidad P S S S S S P
14Disponibilidad de información útil y relevante para la toma de decisiones S S S S P P S
15Cumplimiento de la TI con políticas internas
S S P
16 Personal competente y motivado S S P S S P P S
17Conocimiento, experiencia e iniciativas para la innovación del Servicio S P S P S S S S P
METAS RELACIONADAS CON LA TI
Aprendizaje y Crecimiento
Interna
Beneficiario
Financiera
METAS DE LA ORGANIZACIÓN
Metas genéricas de TI y su relación Perspectiva 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
1Alineamiento de la TI y la estrategia del Servicio P P S P S P P S P S P S S
2
Cumplimiento y soporte de la TI al cumplimiento del Servicio de leyes y regulaciones externas S P P
3Compromiso de la Dirección para tomar decisiones relacionadas con TI P S S S S S S S S
4Riesgos del Servicio relacionados con las TI, gestionados P S P S P S S S
5Realización de beneficios de la cartera de inversiones relacionada con la TI P P S S S S P S S
6Transparencia de los costos, beneficios y riesgos de la TI S S P S P P
7Entrega de los servicios de TI de acuerdo los requerimientos del SNR P P S S P S P S P S S S S
8Uso adecuado de aplicaciones, información y soluciones tecnológicas S S S S S S S P S P S S
9 Agilidad de las TI S P S S P P S S S P
10Seguridad de la información, infraestructuras de procesamiento y aplicaciones P P P P
11Optimización de activos, recursos y capacidades de las TI P S S P S P S S S
12
Capacitación y soporte de procesos integrando aplicaciones y tecnología en procesos del Servicio S P S S S S P S S S S
13
Entrega de Programas que proporcionen beneficios a tiempo, dentro del presupuesto y satisfaciendo los requisitos y normas de calidad P S S S S S P
14Disponibilidad de información útil y relevante para la toma de decisiones S S S S P P S
15Cumplimiento de la TI con políticas internas
S S P
16 Personal competente y motivado S S P S S P P S
17Conocimiento, experiencia e iniciativas para la innovación del Servicio S P S P S S S S P
METAS RELACIONADAS CON LA TI
Aprendizaje y Crecimiento
Interna
Beneficiario
Financiera
METAS DE LA ORGANIZACIÓN
4 10 14EDM03 Asegurar la Optimización de los Riesgos P P SAPO09 Gestionar los Acuerdos de Servicio S S PAPO10 Cumplimiento de TI con las políticas internas P S SAPO12 Gestionar el Riesgo P P SAPO13 Gestionar la Seguridad P P P
BAI01 Gestionar los Programas y los Proyectos P
BAI04 Gestionar la Disponibilidad y la Capacidad S PBAI06 Gestionar los Cambios P P SBAI10 Gestionar la Configuración S S PDSS01 Gestionar las Operaciones P S SDSS02 Gestionar los reclamos y los incidentes P S SDSS03 Gestionar los Problemas P PDSS04 Gestionar la Continuidad P S PDSS05 Gestionar los Servicios de Seguridad P P SDSS06 Gestionar los Controles de los Procesos del Negocio P S SMEA01 Rendimiento y Conformidad P S SMEA02 Sistema de Control Interno P S SMEA03 Conformidad con los Requerimientos externos P S
PROCESOS DE MODELO COBIT
4. Riesgos de la organización relacionados con la TI, gestionados
10. Seguridad de la Información, Infraestructura de procesamiento y aplicaciones
14. Disponibilidad de información útil y relevante para la toma de decisiones
METAS DE TI
Ejemplo: Metas de TI y su relación con los Procesos
Se alinea con los principios y facilitadores de COBIT 5
Integra los conceptos del Modelo de Negocio de la Seguridad de la Información (BMIS) así como las Guías de Gestión y Gobierno para el Consejo de Dirección y la Gerencia Ejecutiva publicados por ISACA.
Se alinea con otros marcos, están- dares y modelos tales como las ISO/IEC 38500 y la serie ISO/IEC 27000
COBIT 5 – Seguridad de la Información
Fuente: BMIS®, figura 2. © 2010 ISACA® Todos los derechos reservados.
Ofrece guías detalladas específicas para cada uno de los facilitadores, enfocadas en EL NEGOCIO. Por ej. describe 12 Principios (facilitador 1) agrupados en: Dar soporte al negocio – Defender el negocio – Promover una conducta responsable respecto de la seguridad de la información.
Respecto de los Procesos (facilitador 2) agrega a cada uno de los definidos en el marco, las actividades específicas relacionadas con la seguridad de la información.
Incluye un mapeo detallado con otros estándares de seguridad de la información
COBIT 5 – Seguridad de la Información
Fuente: COBIT® 5,
Figura 12. © 2012
ISACA® Todos
derechos reservados.
Respecto de la Estructura Organizacional (facilitador 3) detalla, entre otros y según corresponda, la composición, principios operativos, nivel de autoridad del CISO, Steering Committee, Gerente, ERM Committee, Custodios y Dueños de la información.
Respecto de la Información (facilitador 5) realiza un desarrollo detallado de las metas, ciclo de vida y buenas prácticas de los diferentes tipos de información.
Incluye un mapeo detallado con otros estándares de seguridad de la información
COBIT 5 – Seguridad de la Información
Fuente: COBIT® 5,
Figura 12. © 2012
ISACA® Todos
derechos reservados.
Gracias por asistir a esta sesión…
Curso de Certificación en Fundamentos de COBIT 5
13 a 15 de mayo
ADACSI
Corrientes 389 – EP – CABA www.isaca.org.ar
Tel: 5411 4317-2855 [email protected]
Los invitamos a sumarse al grupo “Segurinfo” en
Para mayor información:
Fabiana Marges y Marcia Maggiore
Corrientes 389 – EP – CABA www.isaca.org.ar
Tel: 5411 4317-2855 [email protected]
Para descargar esta presentación visite
www.segurinfo.org Los invitamos a sumarse al grupo “Segurinfo” en