Nuevo Marco de Control de las TI Lucio Augusto Molina Focazzio Certified information Systems Auditor – CISA Certified Information Security Manager – CISM Certified in Risk and Control Systems - CRISC CobiT Trainer Certified ITIL ISACA / ITGI PAST PRESIDENT Punta Cana, República Dominicana, Agosto 5 de 2011
Agenda Para qué los Controles Un nuevo marco de Control para las TI: CoBiT CobiT un Marco de Gobierno de TI Conclusiones TM TM
Para qué los Controles
Fraudes financieros Cibercriminales Primera Generación Porqué lo hice?? Para probar que podía Segunda Generación Show me de money Fraudes financieros
Fraudes financieros Cibercriminales Tercera Generación Cibercrime goes big time Fraudes financieros
Fraudes financieros Cibercriminales Cuarta Generación Do you want to buy an exploit kit? Fraudes financieros
Fraudes financieros Cibercriminales Generación actual How I can serve your malware today? Fraudes financieros
5 Principales Preocupaciones del Negocio que son impactadas por TI 1 Gobierno de TI y Gestión de TI basado en la Empresa 2 Cumplimiento Regulatorio 3 Gestión de la Seguridad de la Información 4 Recuperación de Desastres / Continuidad del Negocio 5 Mejoramiento continuo de procesos / Agilidad del Negocio Top Business / Technology Issues Survey Results, ISACA, 2008
7 Principales Preocupaciones del negocio 1 Cumplimiento Regulatorio 2 Gobierno de TI y Gestión de TI basado en la Empresa 3 Gestión de la Seguridad de la Información 4 Recuperación de Desastres / Continuidad del Negocio 5 Retos de gestionar los riesgos de TI 6 Gestión de Vulnerabilidades 7 Mejoramiento continuo de procesos / Agilidad del Negocio Top Business / Technology Issues Survey Results, ISACA, 2008
QUÉ DEBE SER PROTEGIDO? Sus Datos Sus Recursos Confidencialidad – Quiénes deben conocer qué Integridad – Quiénes deben cambiar qué Disponibilidad - Habilidad para utilizar sus sistemas Sus Recursos Su organización y sus sistemas
QUÉ DEBE SER PROTEGIDO? Su Reputación Revelación de información confidencial Realización de fraudes informáticos No poder superar un desastre Utilización de software ilegal
Desafíos Garantizar Supervivencia de la Organización Confianza de: Ciudadanos Entidades gubernamentales Clientes Prevenir y detectar riesgos informáticos
Agenda Para qué los Controles Un nuevo marco de Control para las TI: CoBiT CobiT un Marco de Gobierno de TI Conclusiones TM TM
Un nuevo marco de Control de las TI: COBIT TM
CobiT … su definición C Control OB Objectives I for Information TM C Control OB Objectives I for Information T and Related Technology TM IT Governance Institute ISACA
CoBiT y el cumplimiento de leyes y regulaciones TM CoBiT y el cumplimiento de leyes y regulaciones Internal Control COSO CobiT Interno
CoBiT y el cumplimiento de leyes y regulaciones TM CoBiT y el cumplimiento de leyes y regulaciones Internal Control COSO CobiT Regulaciones Financieras TM
CoBiT y el cumplimiento de leyes y regulaciones TM CoBiT y el cumplimiento de leyes y regulaciones Internal Control COSO CobiT Ley Sarbanes Oxley
CobiT ME PO AI DS PROCESOS DE NEGOCIO OBJETIVOS DEL GOBIERNO Eficiencia Efectividad Confidencialidad Disponibilidad Integridad Cumplimiento Confiabilidad CobiT REQUERIMIENTOS DEL NEGOCIO INFORMACION TM RECURSOS DE TI Datos Sistemas de aplicación Infraestructura personas ME MONITOREAR Y EVALUAR PO PLANEAR Y ORGANIZAR DS AI ENTREGAR Y DAR SOPORTE ADQUIRIR E IMPLEMENTAR 19
Modelo del Marco de Trabajo de CoBiT Objetivos TI Procesos TI Objetivos Control Prácticas Control Pruebas Diseño Controles Actividades clave Modelos de Madurez Medidas de resultados Indicadores de desempeño Negocio Requerimientos Información Controlados por Implementados con Auditados por Desglosados en Medidos por Para desempeño Para resultados Para madurez Diagramas RACI Realizados por Pruebas Resultado del Control Derivadas de Basados en TM
Características de un Framework de Control Enfocado al Negocio Orientado a Procesos Globalmente Aceptado Induce al uso de un Lenguaje Común Promueve el cumplimiento de requerimientos Regulatorios
COBIT y las mejores Prácticas COSO COBIT ISO 38500 VAL IT RISK IT ISO 2700X ITIL … PMBOK ISO 9000 Qué Cómo Cobertura
Agenda Para qué los Controles Un nuevo marco de Control para las TI: CoBiT CobiT un Marco de Gobierno de TI Conclusiones TM TM
COBIT TM Un Marco de Gobierno de TI
Internal Control COSO CobiT Gobierno Corporativo de TI de TI
El Gobierno de TI se define como Medición del Desempeño Administracion De Recursos Gestión de Riesgos Dar Valor Alineamiento Estrategico www.itgi.org PERFORMANCE MEASUREMENT RESOURCE MANAGEMENT RISK VALUE DELIVERY STRATEGIC ALIGNMENT www.itgi.org El Gobierno de TI es: Responsabilidad del Board de Directores y de los directivos Parte integral del Gobierno Corporativo, que consiste en el liderazgo, estructuras organizacionales y procesos que aseguran que el TI de la empresa soportará y complementará las estrategias y objetivos de la empresa
La necesidad del Gobierno de TI Alinearse con el negocio y proveer soluciones colaborativas Ejecutar la propuesta de valor a través del ciclo de entrega Medición del Desempeño Administracion De Recursos Gestión de Riesgos Dar Valor Alineamiento Estrategico www.itgi.org PERFORMANCE MEASUREMENT RESOURCE MANAGEMENT RISK VALUE DELIVERY STRATEGIC ALIGNMENT www.itgi.org Proteger los activos, evaluar y gestionar riesgos y cumplir las leyes, regulaciones y contratos Optimizar el desarrollo y uso de los recursos disponibles Monitorear los resultados para aplicar acciones correctivas
Agenda Para qué los Controles Un nuevo marco de Control para las TI: CoBiT CobiT un Marco de Gobierno de TI Conclusiones TM TM
Conclusiones La información es uno de los principales activos de la Organización. Los riesgos informáticos crecen en la medida que aparecen nuevas tecnologías Es fundamental implementar adecuados controle en el ambiente de TI para gestionar riesgos. CoBiT es un marco de control que ayuda a cumplir con regulaciones y normas CoBiT es un marco de control para TI CoBiT es la vía para la implementación del Gobierno de TI
PREGUNTAS? PREGUNTAS?
Lucio Augusto Molina Focazzio, CISM, CRISC, CISA, ITIL CobiT Trainer lucio_molina@etb.net.co Bogotá, Colombia