cap 5 - riesgo y seguridad
Post on 13-Sep-2015
225 Views
Preview:
DESCRIPTION
TRANSCRIPT
-
1Page 1
Diapositiva 1
Pontificia Universidad Catlica del PerFacultad de Ciencias e IngenieraSeccin Ingeniera Informtica
ADMINISTRACIN DE LA FUNCIN
INFORMTICA
Horario: 981Prof: Ing. Manuel Tupia A., COBIT 5.0 Trainer
2014-1
Captulo 5Riesgo y seguridad en la
implementacin de COBIT 5.0
Diapositiva 2
Contenido
Riesgo
Seguridad de informacin
Generalidades de la implementacin de COBIT 5.0
-
2Page 2
Diapositiva 3
Objetivos
Entender los conceptos relacionados a riesgos y seguridad como parte de la implementacin de COBIT 5.0
Identificar las fases generales de la implementacin del gobierno de TI usando COBIT 5.0
Diapositiva 4
RIESGOParte 1
-
3Page 3
Diapositiva 5
Introduccin
Cada actividad de negocio trae consigo tanto riesgos como oportunidades.
Se debe garantizar al interior de las empresas que tanto el riesgo financiero, riesgo operacional, riesgo legal o de cumplimiento y otros tipos de riesgos mas estn convenientemente identificados, monitoreados y tratados.
Diapositiva 6
Definiciones
Riesgo: Refleja la probabilidad de ocurrencia de un evento que puede
impactar sobre la empresa.
Potencialmente, este evento y sus consecuencias pueden ser:
Oportunidades de beneficio o mejora
Amenazas a la continuidad del negocio
-
4Page 4
Diapositiva 7
Gestin de riesgos
La correcta identificacin y evaluacin de los riesgos permite determinar los cursos de accin a seguir por la empresa, para hacer frente a las amenazas de su entorno.
La gestin de riesgos permite: Identificar el riesgo asociado a amenazas producidas por
personas, procesos, tecnologa, arquitecturas, aplicaciones, informacin, factores naturales y fsicos.
Determinar los niveles de riesgos e impacto asociados a cada amenaza.
Calcular los riesgos desde perspectivas cuantitativas y cualitativas.
Diapositiva 8
COBIT 5.0 for risk
COBIT 5 for Risk presenta dos perspectivas: Funcin de riesgos
Gestin de riesgos
-
5Page 5
Diapositiva 9
Perspectiva de la Funcin de Riesgos
Se enfoca en lo que es necesario construir o mantener dentro de la empresa con el objetivo de dar soporte a los riesgos: Polticas, procedimientos, metodologas.
Inventario y clasificacin de activos
Diapositiva 10
Perspectiva de la gestin de riesgos
Se enfoca en los procesos que permiten: Gobernar los riesgos
Identificar, analizar y responder a los riesgos.
Reportar impacto y medidas correctivas
-
6Page 6
Diapositiva 11
Drivers para riesgo
Los principales son: Stakeholders
Apetito de riesgos y tolerancia establecida dentro de la empresa
Metodologa elegida para la gestin de riesgos.
Escalas de manejo de impacto, expectativa de prdida
Diapositiva 12
Procesos de COBIT que dan soporte a los riesgos
-
7Page 7
Diapositiva 13
Procesos de COBIT que dan soporte a los riesgos
Diapositiva 14
Los habilitadores y el riesgo
La relacin entre habilitadores y riesgos puede verse: Existencia de procesos de gestin de riesgos.
Informacin para predecir escenarios de riesgos y calcular el impacto.
-
8Page 8
Diapositiva 15
Flujo de respuesta a los riesgos segn COBIT 5.0 for Risk
Diapositiva 16
Otros frameworks relacionados
ISO 31000:2009Risk management
ISO 27005:2011Information security risk management
COSO ERM
-
9Page 9
Diapositiva 17
SEGURIDADParte 2
Diapositiva 18
Introduccin
La informacin es el recurso ms importante en cualquier empresa, y en su ciclo de vida interviene profundamente las TICs.
La publicacin COBIT 5 for Information Security define cmo la seguridad de informacin puede ser aplicada en el mundo empresarial sobre la base de los principios y habilitadores planteados para el gobierno de TI.
-
10
Page 10
Diapositiva 19
COBIT 5.0 for Information Security
COBIT 5 for Information Security proporciona una serie de procedimientos para dotar de capacidades a la empresa, suficientes para: Reducir la complejidad e incrementar el costo beneficio
de las inversiones en seguridad.
Permite la integracin de estndares y buenas prcticas a nivel empresarial sobre seguridad.
Permite incrementar el nivel de satisfaccin de los usuarios con respecto al uso y calidad de la informacin usada para alcanzar sus objetivos
Mejora de los procesos de prevencin y recuperacin.
Permite reducir el impacto ante amenazas.
Diapositiva 20
Los habilitadores y la seguridad
COBIT 5 for Information Security establece lasrelaciones entre los habilitadores: Information security Policies, Principles and Frameworks
Processes, including information security-specific details and activities
Information security-specific Organisational Structures
In terms of Culture, Ethics and Behaviour, factors determining the success of information security governance and management
Information security-specific Information types
Service capabilities required to provide information security functions to an enterprise
People, Skills and Competencies specific to information security
-
11
Page 11
Diapositiva 21
Polticas de seguridad
Diapositiva 22
Otros frameworks relacionados
Business Model for Information Security (BMIS)ISACA
Standard of Good Practice for Information Security (ISF)
ISO/IEC 27000 Series
NIST SP 800-53a
Payment Card Industry (PCI)-Data Security Standard (DSS)
-
12
Page 12
Diapositiva 23
IMPLEMENTACIN DE COBIT 5.0
Parte 3
Diapositiva 24
Componentes del ciclo de vida
-
13
Page 13
Diapositiva 25
Componentes del ciclo de vida
Diapositiva 26
Factores externos e internos que influyen
tica y cultura
Legislacin y regulaciones
Misin, visin, valores y polticas
Planes y estrategias de negocios
Modelo operativo y estilos de gestin
Apetito de riesgo
Capacidades y recursos disponibles
-
14
Page 14
Diapositiva 27
Factores crticos de xito
Alta Gerencia provee direccin para cada una de las iniciativas.
Todos los interesados en los procesos de gobierno y gestin conocen y entienden los objetivos del negocio y de TI
Aseguramiento de un proceso de comunicacin eficiente y de aprobacin a los cambios que sean necesarios conducir.
Adaptar los marcos que se usen al contexto propio de la empresa.
Enfocarse en los objetivos y mejoras ms fciles de alcanzar e implementar.
Diapositiva 28
Fase 1 - Cules son los motivos?
Comienza con el reconocimiento y aceptacin de la necesidad de una iniciativa de implementacin o mejora. Iniciar el programa de implementacin
Establecer el deseo de cambio
Reconocer la necesidad de actuar
Identifica los puntos dbiles actuales (pain points) y los eventos que desencadenan (triggers) y crean el nimo de cambio a un nivel de direccin ejecutiva.
Objetivo: desarrollar el business case, identificando stakeholder, roles y responsabilidades.
-
15
Page 15
Diapositiva 29
Fase 1 - Cules son los motivos?
Puntos dbiles Triggers
Fallas en las iniciativas de TI por sus altos costos
Fusiones o adquisiciones de empresas
Percepcin de que las inversiones en TI aportan poco valor al negocio
Cambios en el mercado, la economa y la posicin y la operativa del negocio
Gran cantidad de incidentes de TI Nueva regulacin
Problemas para la entrega de servicios Cambios significativos en la tecnologa
Fallas en el cumplimiento de regulatorio o contractual por TI
Nuevos CIO, CFO, COO o CEO
Resultados negativos de auditoras de TI
Recursos insuficientes, sobrecargados, desmotivados, duplicados.
Alta Direccin es reacia a incluir a TI como elemento estratgico
Diapositiva 30
Fase 2- Dnde estamos ahora?
Definir problemas actuales que conducirn a crear / aprovechar las oportunidades que se presenten.
Motivar y asegurar el cambio estableciendo un equipo de trabajo de programa con poder de decisin Comit estratgico de TI
Auditar estado actual: Identificar las metas de TI actuales y verificar si estn
mapeadas a las metas del negocio (% de alineacin)
Identificar procesos de negocio core
Identificar riesgos
Entender el nivel de madurez de gobierno
-
16
Page 16
Diapositiva 31
Fase 3 - Dnde queremos estar?
Alta Direccin debe definir adonde se va a llegar. Definir el mapa de ruta para cubrir GAP
Comunicar visin deseada
Definir el estado ideal Definir los mecanismos para alcanzar dicho estado ideal,
en forma de programas de mejora continua
Diapositiva 32
Fase 4 - Qu se necesita hacer?
Desarrollar planes de programas Priorizar iniciativas
Desarrollar y justificar portafolios de proyectos
Dotar de poder de decisin a los roles claves
Disear y construir la mejora continua como concepto, ms que como planes aislados. Adoptar y adaptar mejores prcticas y que se materialicen en
polticas y procedimientos.
-
17
Page 17
Diapositiva 33
Fase 5 - Cmo conseguiremos llegar?
Ejecutar planes y programas Proveer reportes regulares a los stakeholders
Documentar y monitorear la contribucin de los proyectos a los objetivos de negocio.
Controlar los riegos
Medir lo que se est conduciendo
Implementar las mejoras
Diapositiva 34
Fase 6 - Hemos conseguido llegar?
Verificar los beneficios Monitorear performance total del programa versus lo
calculado en el business case.
Comparar inversin con beneficios obtenidos
Establecer y revisar las mtricas ms idneas para verificar convenientemente performance y cumplimiento de objetivos y responsabilidades.
Establecer mecanismos de ajuste y alineacin en caso se detecten mediciones Costo de la oportunidad
-
18
Page 18
Diapositiva 35
Fase 7 - Cmo mantener el impulso?
Tener una poltica clara para el establecimiento de mejoras Mantener el impulso es vital en el ciclo de vida
Revisar los beneficios alcanzados Verificar si son suficientes
Lecciones aprendidas.
Diapositiva 36
Referencias
COBIT 5 framework
COBIT 5 enabler guides
top related