taller principios de cobit
Post on 13-Aug-2015
59 Views
Preview:
TRANSCRIPT
Taller Principios de COBIT
Facilitadores:
Ing. David Ricardo Rodríguez Calderón, Lic. Gestión Recursos
Ing. Jorge E. López Martínez, MBA
Programa de capacitación continua en tecnologías de información
BIENVENIDO AL CURSO!
Por favor preséntese usted mismo y describa su conocimiento actual de COBIT
y de Gobierno de TI
Objetivo General
Proporcionar al personal de la organización una introducción a los conceptos de gobierno de TI y los procesos COBIT y de gestión de Tecnologías de Información.
Objetivos Específicos
Reflexionar sobre la importancia del Control de TI
Conocer los factores claves de la Gestión de TI
Conocer los aspectos básicos sobre Gobierno de TI
Conocer el marco de referencia COBIT
Fortalecer el trabajo en equipo
Control. (Def. Moderna)
“... la serie de acciones diseñadas por la administración activa para proporcionar una seguridad razonable en torno a la consecución de los objetivos de la organización...”
41%
50%
9%
Incidentes de Seguridad Experimentados
Si
No
No tiene idea
Fuente: 2010 CSI (Computer Security Institute) Entrevista sobre Crimen y Seguridad de TI
2010: 285 entidades entrevistadas
Perdidas por incidentes de seguridad
Tipo de ataque % Monto de la pérdida $
Fraude financiero 34,4% 21.124.750,00
Virus 13,7% 8.391.800,00
Sistema vulnerados 11,2% 6.875.000,00
Robo de información de clientes o empleados 9,3% 5.685.000,00
Robo de dispositivos móviles (PC) 6,3% 3.881.150,00
Abuso en el acceso de red interna 4,7% 2.889.700,00
Negación de servicio 4,7% 2.888.600,00
Ataque de Phising 4,5% 2.752.000,00
Robo de la propiedad intelectual - información 3,8% 2.345.000,00
Sabotaje 1,7% 1.056.000,00
Acceso no autorizado a la información 1,7% 1.042.700,00
Obtención de claves de acceso 1,7% 1.042.700,00
Desconfiguración del Web site 1,2% 725.300,00
Abuso de las redes inalámbricas 0,9% 542.850,00
Uso indebido de mensajería instantánea 0,3% 200.700,00
100% 61.443.250,00
Exposición al riesgo
Alto
Medio
Bajo
Riesgo Operativo
• “…posible perdida como consecuencia de fallas en los contratos y transacciones, derivadas de actuaciones malintencionadas, negligencia …”
Riesgo legal:
• “… posible pérdida en que incurre por desprestigio, mala imagen, publicidad negativa …”
Riesgo reputacional:
Pérdida o deterioro de activos y bienes
Pérdida de dinero
Pérdida de prestigio ante los usuarios
Cobro de multas ante instituciones por pagos a destiempo de obligaciones permanentes
Adquisiciones al margen de la ley
Funcionarios que incumplen con sus obligaciones laborales
www.youtube.com/watch?v=-q15LPlyMDU
RAE Gestionar.
(De gestión). 1. tr. Hacer diligencias conducentes al logro de un negocio o de un deseo cualquiera.
Gestión de TI
Pretende prestar a los usuarios o clientes servicios de calidad, mediante procesos eficientes y con una actitud innovadora.
Tecnología
•Administración de Recursos
Centro de Costo
•Administración de Sistemas
Negocio
•Administración de Servicios
En muchas organizaciones TI NO es el “core” del negocio, pero es vital para su funcionamiento
Sala de máquinas de un barco Función de TI en una organización
Gestión de Riesgo de TI en Servicoop RL
Gestión de TI como:
Tecnología
Centro de Costo
Negocio
Justificación
Gestión de TI como negocio
Servicios de calidad
• Cumplen de forma consistente los parámetros acordados en términos de funcionalidad, rapidez, disponibilidad y seguridad.
Procesos eficientes
• Utilizan la menor cantidad posible de recursos materiales, humanos y financieros sin menoscabar su resultado.
Una actitud innovadora
• Permanente curiosidad por las novedades en las tecnologías o métodos de gestión, que son sistemáticamente evaluadas para determinar su aplicabilidad
• Una actitud crítica respecto al "status quo" o el modo tradicional de hacer las cosas.
• Tolerancia al fallo, es decir, admisión de la prueba de novedades que sale mal, siempre que se haya aprendido algo útil de la experiencia.
RAE Gobierno.
1. m. Acción y efecto de gobernar o gobernarse. (Guiar y dirigir, Regirse según una norma, regla o idea.)
Acuerdo SUGEF 16-09 (Gobierno Corporativo)
Conjunto de políticas, normas y órganos internos
mediante los cuales se dirige y controla la gestión de una entidad. Comprende las relaciones entre los accionistas o asociados, la Junta Directiva u órgano equivalente, ejecutivos, sus comités de apoyo, las unidades de control, la gerencia y las auditorías interna y externa.
IT Governance Institute (Gobierno de TI)
Un conjunto de responsabilidades
prácticas ejecutadas por la junta directiva y la administración ejecutiva con el fin de proveer dirección estratégica, garantizando que los objetivos sean Alcanzados, estableciendo que los riesgos son administrados apropiadamente y verificando que los recursos de la empresa son usados responsablemente.
RAE Gobernanza
1. f. …Arte o manera de gobernar que se propone como objetivo el logro de un desarrollo económico, social e institucional duradero, promoviendo un sano equilibrio …
Niveles de Gobernanza Gobernanza Corporativa (COSO)
La provisión de la estructura que
permita determinar los objetivos de la
Organización y supervisar el
rendimiento, a fin de asegurar que los
objetivos son cumplidos. OCDE
(2004).
Gobernanza de TI
La especificación del marco de derechos a la toma de decisiones
y la alta responsabilidad para
favorecer un comportamiento
deseable en el uso de las TIC. MIT/Sloan
School of Management (2004)
Gobernanza de la Seguridad de la Información y Tecnologías afines
El establecimiento y mantenimiento de un marco que provea garantía de que las estrategias de seguridad de la información están alineadas con los objetivos del negocio y son conformes a las leyes y regulaciones aplicables ISACA/CISM BoK
(2002)
Activos
Información
Aseguramiento del Valor
Administración de Riesgos
Requerimientos de Control
INFORMACIÓN
Bases de datos Sistemas Servicoop RL
Control de TI
COBIT Control OBjectives por Information end
related Technology
Brindan buenas prácticas a través de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lógica.
COBIT optimiza
Las inversiones facilitadas por la TI
Asegurarán la entrega del servicio
Brindarán una medida contra la cual juzgar cuando las cosas no
vayan bien.
Marco de Referencia
Éxito de TI
• Satisfacer los requerimientos del negocio
• Marco de Referencia o Marco de Control
Es responsabilidad de la Dirección
Estableciendo un vínculo con los requerimientos del negocio
Organizando las actividades de TI en un modelo de procesos generalmente aceptado
Identificando los principales recursos de TI a ser utilizados
Definiendo los objetivos de control gerenciales a ser considerados
¿Cómo puede la empresa poner bajo control la TI de tal manera que genere la información que la empresa necesita?
Benchmarking:
• De la capacidad de los procesos de TI, expresada como modelos de madurez, derivados del Modelo de Madurez de la Capacidad del Instituto de Ingeniería de Software
Metas y métricas de los procesos de TI
• Para definir y medir sus resultados y su desempeño, basados en los principios de balanced business Scorecard de Robert Kaplan y David Norton
Metas de actividades:
• Para controlar estos procesos, con base en los objetivos de control detallados de COBIT
COBIT
Se enfoca en qué se requiere para lograr una administración
y un control adecuado de TI, y se
posiciona en un nivel alto.
Alineado y armonizado con
otros estándares y mejores prácticas más detallados de
TI
Resume los objetivos clave bajo un mismo marco de trabajo integral que también se vincula
con los requerimientos de
gobierno y de negocios.
Actúa como un integrador de todos estos materiales guía
COBIT
• Brinda un modelo de procesos genéricos que representa todos los procesos que normalmente se encuentran en las funciones de TI
E1
E2 S3
S1 S2
P1
A1
A2
P2
A1
A2
P3
A1
A2
http://www.youtube.com/watch?v=lPkYqX-ATvo
Criterios de Información de TI
• Relevante, pertinente, correcta, consistente, utilizable y oportuna a los procesos del negocio.
La efectividad
• optimizan los recursos (más productivo y económico) La eficiencia
• Protección de información sensitiva contra revelación no autorizada. Confidencialidad
• La precisión y completitud y su validez de acuerdo a los valores y expectativas del negocio
La integridad
• Disponible en cualquier momento y protección de los recursos y las capacidades necesarias asociadas.
La disponibilidad
• Acatar aquellas leyes, reglamentos y acuerdos contractuales a los cuales está sujeto así como políticas internas.
El cumplimiento
• Apropiada para que la gerencia administre la entidad y ejercite sus responsabilidades fiduciarias y de gobierno.
La confiabilidad
Componentes de COBIT
Negocio Procesos TI Objetivos de
Control
Metas de actividades
Directrices de Auditoria
Practicas de Control
Indicadores Clave de
desempeño
Indicadores Clave de Metas
Modelos de Madurez
Marco de Control Gobierno de TI
¿Por qué ?
• Para satisfacer los requerimientos del negocio
¿A quién ?
• Interesados internos y externos (Directivos, Gerencia Dueños de Procesos, Auditores, Reguladores, Proveedores, entre otros)
¿Qué brinda?
• Un lenguaje común, con un juego de términos y definiciones que sean comprensibles en lo general para todos los Interesados.
Dominios COBIT
PO Planear y Organizar
AI Adquirir e
Implementar
DS Entrega y Dar
Soporte
ME Monitorear y
Evaluar
Dominios COBIT PO (10)
Planear y Organizar
Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI pueda contribuir de la mejor manera al logro de los objetivos del negocio. Además, la realización de la visión estratégica requiere ser planeada, comunicada y administrada desde diferentes perspectivas
PO1 • Definir un plan estratégico de TI
PO2 • Definir la arquitectura de la información
PO3 • Determinar la dirección tecnológica
PO4 • Definir los procesos, organización y relaciones de TI
PO5 • Administrar la inversión en TI
PO6 • Comunicar las aspiraciones y la dirección de la gerencia
PO7 • Administrar recursos humanos de TI
PO8 • Administrar la calidad
PO9 • Evaluar y administrar los riesgos de TI
PO10 • Administrar proyectos
Dominios COBIT AI (7)
Adquirir e Implementar
Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas así como la implementación e integración en los procesos del negocio. Además, el cambio y el mantenimiento de los sistemas existentes está cubierto por este dominio para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio.
AI1 • Identificar soluciones automatizadas
AI2 • Adquirir y mantener software aplicativo
AI3 • Adquirir y mantener infraestructura tecnológica
AI4 • Facilitar la operación y el uso
AI5 • Adquirir recursos de TI
AI6 • Administrar cambios
AI7 • Instalar y acreditar soluciones y cambios
Dominios COBIT DS (13)
Entrega y Dar Soporte
Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operacionales.
DS1 • Definir y administrar los niveles de servicio
DS2 • Administrar los servicios de terceros
DS3 • Administrar el desempeño y la capacidad
DS4 • Garantizar la continuidad del servicio
DS5 • Garantizar la seguridad de los sistemas
DS6 • Identificar y asignar costos
DS7 • Educar y entrenar a los usuarios
DS8 • Administrar la mesa de servicio y los incidentes
DS9 • Administrar la configuración
DS10 • Administrar los problemas
DS11 • Administrar los datos
DS12 • Administrar el ambiente físico
DS13 • Administrar las operaciones
Dominios COBIT ME (4)
Monitorear y Evaluar
Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administración del desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del gobierno.
ME1
• Monitorear y evaluar el desempeño de TI
ME2 • Monitorear y evaluar el control interno
ME3 • Garantizar el cumplimiento regulatorio
ME4 • Proporcionar gobierno de TI
Referencias
• http://www.isaca.org
• http://www.tgti.es
top related