Cómo lograr Aseguramiento de TI Utilizando COBIT 5 A/S Gerardo Alcarraz, CISA, CRISC Banco de la República Oriental del Uruguay ARGENTINA 2014 15 - 16 de Mayo
Agenda Evolución de COBIT y Aseguramiento Innovación El Proceso para adoptar COBIT COBIT 5 for Assurance Ejemplos Reflexiones Finales
Gobierno Empresarial de IT Evolución de COBIT Y Aseguramiento COBIT: Un 2005/7 2000 1998 Evolución del alcance 1996 Gobierno Empresarial de IT COBIT 5 Gobierno de IT COBIT4.0/4.1 v Gestión COBIT3 Val IT 2.0 (2008) Control COBIT2 Risk IT (2009) Auditoría COBIT1 2012 An business framework from ISACA, at www.isaca.org/cobit
El Proceso para adoptar COBIT
Paso 1
Paso 2
Pasos 3 y 4
Paso 5
COBIT 5 Conceptos Clave
Catalizadores
Modelo de Referencia de Procesos Governance TI
Estructura de Procesos Dominio Governance Management Proceso Descripción y Propósito Metas y Métricas Prácticas Entradas y Salidas Matriz RACI Actividades
COBIT 5 for Assurance
Las Dos Perspectivas La perspectiva de aseguramiento describe QUE es lo requerido para entregar aseguramiento a la empresa por medio del los catalizadores de COBIT 5 La perspectiva de la evaluación busca los procesos principales de la evaluación y describe COMO proveer aseguramiento sobre los punto de TI a evaluar representados por los catalizadores de COBIT 5
Alcance de COBIT 5 for Assurance
Perspectiva desde la función de Assurance
Catalizadores – Ejemplo 1 Repositorio de modelo de riesgos Herramientas CAATs Biblioteca de prácticas de Auditoría Sistema de Gestiócn Documental Herramientas de Planificación ….
Catalizadores – Ejemplo 2
Mapa de Procesos EDM01 – Determinar el Marco de Gobierno EDM02 – Asegurar la Entrega de Beneficios EDM03 – Asegurar la Optimización de los Riesgos EDM05 – Asegurar transparencia a los interesados APO02 – Gestionar la Estrategia APO06 – Gestionar el Presupuesto y los Costos APO07 – Gestionar los Recursos Humanos APO08 – Gestionar el Relacionamiento APO11 – Gestionar la Calidad APO12 – Gestionar Riesgos BAI08 – Gestionar el Conocimiento
Procesos Clave
Diseño del Proceso - Assurance
Prácticas y Actividades Entradas y Salidas - Assurance
Diagrama RACI - Assurance
Perspectiva desde la Evaluación
Fases de la Evaluación Fase A Fase B Fase C Alcance de la Iniciativa de Aseguramiento Fase B Evaluación y Ejecución - Catalizadores Fase C Enfoque de Comunicación
Objetivos Estratégicos del Banco Plan de Aseguramiento 1 – Mapear los Objetivos Estratégicos de la Organización con los Objetivos Estratégicos Empresariales establecidos en COBIT 5 Objetivos Estratégicos del Banco Objetivo 1 Objetivo 2
Plan de Aseguramiento 2 – Seleccionar los Objetivos Estratégicos Empresariales en COBIT 5
Lo que nos pasó o nos puede pasar…
22-2-2014
Impacto Fuente DealerWorld Abril 2014 465 millones de usuarios individuales 20.000 millones de msj. Enviados/Día 44.000 millones de msj. Recibidos/Día 19.000 millones de U$S – Venta Facebook Fuente DealerWorld Abril 2014
Relación Empresa - TI Objetivos de la Empresa 04 – Riesgo de Negocio relacionados con las TI gestionados 07 – Seguridad de la Información, Infraestructura de procesamiento y aplicaciones 14 – Disponibilidad de Información útil y relevante para la toma de decisiones
Relación Metas deTI - Procesos
Procesos Candidatos Procesos de COBIT 5 4 10 14 EDM03 Asegurar la Optimización del Riesgo P S APO09 Gestionar los Acuerdos de Servicio APO10 Gestionar los Proveedores APO12 Gestionar los Riesgos APO13 Gestionar la Seguridad BAI01 Gestionar los Programas y Proyectos BAI04 Gestionar la Disponibilidad y Capacidad BAI06 Gestionar los Cambios BAI10 Gestionar la Configuración DSS01 Gestionar las Operaciones DSS02 Gestionar los Incidentes DSS03 Gestionar los Problemas DSS04 Gestionar la Continuidad DSS05 Gestionar los Servicios de Seguridad DSS06 Gestionar los Controles de los Procesos de Negocio
Ranking de Procesos Candidatos Procesos de COBIT 5 4 10 14 APO13 Gestionar la Seguridad P EDM03 Asegurar la Optimización del Riesgo S APO12 Gestionar los Riesgos BAI06 Gestionar los Cambios DSS05 Gestionar los Servicios de Seguridad DSS04 Gestionar la Continuidad DSS03 Gestionar los Problemas APO10 Gestionar los Proveedores DSS01 Gestionar las Operaciones DSS02 Gestionar los Incidentes DSS06 Gestionar los Controles de los Procesos de Negocio APO09 Gestionar los Acuerdos de Servicio BAI10 Gestionar la Configuración BAI04 Gestionar la Disponibilidad y Capacidad BAI01 Gestionar los Programas y Proyectos
Evaluación del Proceso - RACI Estructura Organizativa Personas Involucradas Habilidades y Competencias
Evaluación del Proceso – Entradas, Actividades, Salidas EVIDENCIAS información EJECUCION DE ACTIVIDADES Principios, Políticas y Marcos Servicios Infraestructura y Aplicaciones Cultura y ética
REFLEXIONES Finales
Reflexiones Finales… “No sean NABOS…” “Lo inevitable no se lloriquea. Lo inevitable hay que enfrentarlo”. ”Enfrentamos el sedentarismo con caminadores, al insomnio con pastillas, a la soledad con electrónica”.
Preguntas y Respuestas
A/S Gerardo Alcarraz, CISA, CRISC COBIT Foundation Certificate ¡Muchas Gracias por su atención! A/S Gerardo Alcarraz, CISA, CRISC COBIT Foundation Certificate ger@rdo@lc@rr@z@gmail.com