Pablo Caneo G. COBIT 5 y COBIT 5 PARA RIESGOS
Cinco Principios COBIT 5 Los cinco principios de COBIT 5: Satisfacer las Necesidades de las Partes Interesadas Cubrir la Empresa de Extremo a Extremo Aplicar un Marco de Referencia Unico Integrado Hacer Posible un Enfoque Holístico Separar el Gobierno de la Gestión
Satisfacer las Necesidades de las Partes Interesadas Principio 1. Satisfacer las Necesidades de las Partes Interesadas Las empresas existen para crear valor para sus accionistas. Source: COBIT® 5, figure 3. © 2012 ISACA® All rights reserved.
Satisfacer las Necesidades de las Partes Interesadas (cont.) Principio 1. Satisfacer las Necesidades de las Partes Interesadas: Las empresas tienen muchas partes interesadas, y ‘crear valor’ significa cosas diferentes — y a veces contradictorias —para cada uno de ellos. Las actividades de gobierno tratan sobre negociar y decidir entre los diferentes intereses en el valor de las partes interesadas. En consecuencia, el sistema de gobierno debe considerar a todas las partes interesadas al tomar decisiones sobre beneficios, evaluación de riesgos y recursos. Para cada decisión, las siguientes preguntas pueden y deben hacerse: ¿Para quién son los beneficios? ¿Quién asume el riesgo? ¿Qué recursos se requieren?
Satisfacer las Necesidades de las Partes Interesadas (cont.) Principio 1. Satisfacer las Necesidades de las Partes Interesadas: Las necesidades de las partes interesadas deben transformarse en una estrategia corporativa factible. La cascada de metas de COBIT 5 es el mecanismo para traducir las necesidades de las partes interesadas en metas corporativas, metas relacionadascon las TI y metas catalizadoras específicas, útiles y a medida. Source: COBIT® 5, figure 4. © 2012 ISACA® All rights reserved.
Satisfacer las Necesidades de las Partes Interesadas (cont.) Principio 1. Satisfacer las Necesidades de las Partes Interesadas : Beneficios de la Cascada de Metas de COBIT : La cascada de metas es importante porque permite la definición de prioridades de implementación, mejora y aseguramiento del gobierno de las TI de la empresa, que se basa en metas corporativas (estratégicas) de la empresa y el riesgo relacionado. En la práctica, la cascada de metas : Define objetivos y metas relevantes y tangibles a varios niveles de responsabilidad. Filtra la base de conocimiento de COBIT 5, sobre la base de las metas corporativas, para extraer las guías relevantes a incluir en proyectos específicos de implementación, mejora o aseguramiento Identifica claramente y comunica cómo (algunas veces de forma muy operativa) los catalizadores son importantes para alcanzar metas de la empresa.
Cubrir la Empresa Extremo-a-Extremo Principio 2. Cubrir la Empresa Extremo-a-Extremo : COBIT 5 contempla el gobierno y la gestión de la información y la tecnología relacionada desde una perspectiva extremo a extremo y para toda la empresa. Esto significa que COBIT 5: Integra el gobierno de la empresa TI en el gobierno corporativo. Es decir, el sistema de gobierno para la empresa TI propuesto por COBIT 5 se integra sin problemas en cualquier sistema de gobierno. COBIT 5 se alinea con las últimas visiones sobre gobierno. Cubre todas las funciones y procesos dentro de la organización; COBIT 5 no se focaliza solamente en la “Función de TI”, pero trata la información y tecnologías relacionadas como activos que necesitan ser tratados como cualquier otro activo dentro de la empresa
Cubrir la Empresa Extremo-a-Extremo Principio 2. Cubrir la Empresa Extremo-a-Extremo Componentes claves de un sistema de gobierno Source: COBIT® 5, figure 8. © 2012 ISACA® All rights reserved. Source: COBIT® 5, figure 9. © 2012 ISACA® All rights reserved.
Aplicar un Marco de Referencia Único Integrado Principio 3. Aplicar un Marco de Referencia Único Integrado Se alinea con otros estándares y marcos de referencia relevantes usados por las empresas: Empresas: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000 Relacionadas TI: ISO/IEC 38500, ITIL, ISO/IEC 27000 series, TOGAF, PMBOK/PRINCE2, CMMI Esto permite a la empresa usar COBIT 5 como el marco integrador general de gestión y gobierno. Es completo en cuanto a la cobertura de la empresa, proporcionando una base para integrar de manera efectiva otros marcos, estándares y prácticas utilizadas.
Hacer Posible un Enfoque Holístico Principio 4. Hacer Posible un Enfoque Holístico Habilitadores COBIT 5: Los habilitadores son factores que, individual y colectivamente, influyen sobre si algo funcionará en este caso, el gobierno y la gestión de la empresa TI Los habilitadores son guiados por la cascada de metas, es decir, objetivos de alto nivel relacionados con TI definen lo que los diferentes catalizadores deberían conseguir El marco de referencia COBIT 5 describe siete categorías de habilitadores
Hacer Posible un Enfoque Holístico(cont.) Principio 4. Hacer Posible un Enfoque Holístico Source: COBIT® 5, figure 12. © 2012 ISACA® All rights reserved.
Hacer Posible un Enfoque Holístico(cont.) Principio 4. Hacer posible un Enfoque Holístico: Los procesos describen un conjunto organizado de prácticas y actividades para alcanzar ciertos objetivos y producir un conjunto de resultados que soporten las metas generales relacionadas con TI Las estructuras organizativas son las entidades de toma de decisiones clave en una organización La Cultura, ética y comportamiento de los individuos y de la empresa son muy a menudo subestimados como factor de éxito en las actividades de gobierno y gestión Principios, políticas y marcos de referencia son el vehículo para traducir el comportamiento deseado en guías prácticas para la gestión del día a día.
Hacer Posible un Enfoque Holístico(cont.) La información impregna toda la organización e incluye toda la información producida y utilizada por la empresa. La información es necesaria para mantener la organización funcionando y bien gobernada, pero a nivel operativo, la información es muy a menudo el producto clave de la empresa en sí misma. Los servicios, infraestructuras y aplicaciones incluyen la infraestructura, tecnología y aplicaciones que proporcionan a la empresa, servicios y tecnologías de procesamiento de la información. Las personas, habilidades y competencias están relacionadas con las personas y son necesarias para poder completar de manera satisfactoria todas las actividades y para la correcta toma de decisiones y de acciones correctivas
Hacer Posible un Enfoque Holístico(cont). Principio 4. Hacer Posible un Enfoque Holístico : Cualquier empresa debe siempre considerar un conjunto interconectado de habilitadores: Necesita del resultado de otros catalizadores para ser completamente efectivo, por ejemplo, los procesos necesitan información, las estructuras organizativas necesitan habilidades y comportamiento Proporciona una salida para beneficio de otros catalizadores, por ejemplo, los procesos proporcionan información, habilidades y el comportamiento hace los procesos eficientes
Separar el Gobierno de la Gestión Principio 5. Separar el Gobierno de la Gestión : El marco de COBIT 5 realiza una clara distinción entre gobierno y gestión. Estas dos disciplinas : Engloban diferentes tipos de actividades Requieren estructuras organizativas diferentes Sirven para diferentes propósitos Gobierno En la mayoría de las empresas, el gobierno es responsabilidad del consejo de administración bajo la dirección de su presidente. Gestión En la mayoría de las empresas, la gestión es responsabilidad de la dirección ejecutiva bajo la dirección del CEO.
Separar el Gobierno de la Gestión(cont.) Principio 5. Separar el Gobierno de la Gestión: El Gobierno asegura que se evalúan las necesidades, condiciones y opciones de las partes interesadas para determinar que se alcanzan las metas corporativas equilibradas y acordadas; estableciendo la dirección a través de la priorización y la toma de decisiones; y midiendo el rendimiento y el cumplimiento respecto a la dirección y metas acordadas. (EDM). La gestión planifica, construye, ejecuta y controla actividades alineadas con la dirección establecida por el cuerpo de gobierno para alcanzar las metas empresariales(PBRM).
Separar el Gobierno de la Gestión(cont.) Principio 5. Separar el Gobierno de la Gestión : COBIT 5 no es prescriptivo, pero sí defiende que las empresas implementen procesos de gobierno y de gestión de manera que las áreas fundamentales estén cubiertas, tal y como se muestra. Source: COBIT® 5, figure 15. © 2012 ISACA® All rights reserved.
Separar el Gobierno de la Gestión(cont.) Principio 5. Separar el Gobierno de la Gestión : COBIT 5 framework describe siete categorías de habilitadores (Principio 4). Los Procesos son una categoría. Una empresa puede organizar sus procesos como crea conveniente, siempre y cuando las metas de gobierno y gestión queden cubiertas. Empresas más pequeñas pueden tener pocos procesos; empresas más grandes y complejas pueden tener numerosos procesos, pero todos con el ánimo de cubrir las mismas metas. COBIT 5 incluye un modelo de referencia de procesos (PRM), el cuál define y describe en detalle una cantidad de procesos de gobierno y gestión. El detalle de este modelo se encuentra en COBIT 5: Enabling Processes volume.
COBIT 5: Procesos Habilitadores
Source: COBIT® 5, figure 16. © 2012 ISACA® All rights reserved. COBIT 5: Habilitadores Source: COBIT® 5, figure 16. © 2012 ISACA® All rights reserved.
COBIT 5 Implementación
Source: COBIT® 5, figure 17. © 2012 ISACA® All rights reserved. COBIT 5 Implementación Source: COBIT® 5, figure 17. © 2012 ISACA® All rights reserved.
Cobit para Riesgos
Riesgos de TI
Principios para la Gestión de Riesgos
Políticas de Riesgos
Procesos de Soporte de la Función de Riesgos
Procesos Claves de Soporte de la Función de Riesgos
Cultura y Conducta Conducta General
Cultura y Conducta Conducta de la Gerencia
Habilidades y Competencias
Panorama de Escenarios de Riesgos
Factores de Riesgo
Estructura de Escenario de Riesgos
Ejemplo de Escenario de Riesgos
Flujo de Respuesta al Riesgo
Ejemplo de Escenarios de Riesgos Código Malicicioso
Escenario Nro. 15 Código Malicioso
Proceso Habilitador para alcanzar el Objetivo
Habilitadores Código Malicioso
Habilitadores Código Malicioso