Una visión integral del gobierno, la seguridad y la gestión de la información Patricia Prandini, CISA, CRISC Rodolfo Szuster, CISA, CIA , CBA

Agenda Breve reseña de COBIT COBIT 5: un marco integral Lo nuevo de COBIT 5 Introducción a “COBIT 5 for (Information) Security” © 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.

COBIT: un largo camino … © 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product. 3

COBIT – el marco de ISACA COBIT es un marco para el gobierno y la gestión de las tecnologías de información que permite a la gerencia conectar los requerimientos de control con los aspectos técnicos y los riesgos del negocio COBIT permite el desarrollo de las políticas y prácticas requeridas y necesarias para el control de las tecnologías en toda la organización COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a incrementar su valor a través de las tecnologías, y permite su alineamiento con los objetivos del negocio © 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product. 4

Gobierno Corporativo de TI Evolución de COBIT De la auditoría a un marco de gobierno de TI Gobierno Corporativo de TI COBIT 5 Gobierno de TI COBIT4.0/4.1 Administración COBIT3 Control COBIT2 Auditoría COBIT1 2005/7 2000 1998 Evolución del Alcance 1996 2012 Val IT 2.0 (2008) Risk IT (2009) © 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.

COBIT hoy Marco para el gobierno y la gestión de las TI aceptado internacionalmente Aplicable a todo tipo de organizaciones Complementado con herramientas y capacitación Gratuito Respaldado por una comunidad de expertos En evolución permanente Avalado por una organización sin fines de lucro, con reconocimiento internacional Mapeado con otros estándares © 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.

Para cada Proceso, se definen… Denominación, Area y Dominio Descripción y propósito Objetivos de IT a los que da soporte y métricas relacionadas Objetivos del proceso y métricas relacionadas

Para cada Proceso, se definen… Niveles de responsabilidad de las partes interesadas Prácticas , inputs, outputs y actividades Estándares relacionados

Un marco integral para el gobierno y la gestión de las TI en la organización © 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product. 9

COBIT 5 – La nueva versión La Información es un recurso clave para todas las Organizaciones, desde el momento en que es creada hasta el momento de su disposición. Como resultado, hoy más que nunca se requiere: Mantener información de alta calidad para sostener las decisiones del negocio La generación de valor desde las inversiones de TI Lograr una excelencia operativa mediante la aplicación de la tecnología Mantener el riesgo relativo a la tecnología en valores aceptables Optimizar el costo de la tecnología y sus servicios Dar cumplimiento a regulaciones cada vez más complejas

COBIT 5 – Integra los anteriores marcos referenciales de ISACA Val IT es un marco de referencia de gobierno que incluye principios rectores generalmente aceptados y procesos de soporte relativos a la evaluación y selección de inversiones de negocios de TI Risk IT es un marco de referencia normativo basado en un conjunto de principios rectores para una gestión efectiva de riesgos de TI. BMIS (Business Model for Information Security) una aproximación holística y orientada al negocio para la administración de la seguridad informática ITAF (IT Assurance Framework) un marco para el diseño, la ejecución y reporte de auditorias de TI y de tareas de evaluación de cumplimiento. © 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.

COBIT 5 – El marco La publicación, define y describe los componentes que forman el Marco COBIT Principios Arquitectura Facilitadores Guía de implementación Otras publicaciones futuras de interés © 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.

COBIT 5 – Sus principios Enfocado a las necesidades de las partes interesadas Cubriendo la Organización íntegramente Aplicando un único marco Integrador Permitiendo un enfoque holístico Separando el Gobierno y la Gestión Source:  COBIT® 5, figure 2. © 2012 ISACA® All rights reserved.

COBIT 5 – Su Arquitectura COBIT 5 Family of Products COBIT 5 Enterprise Enablers Source:  COBIT® 5, figure 11. © 2012 ISACA® All rights reserved.

Fundamentación de Facilitadores Source:  COBIT® 5, figure 12. © 2012 ISACA® All rights reserved. © 2012 ISACA. All rights reserved.

Procesos Habilitadores COBIT 5 Familia de Productos – La guía detallada de procesos aún está aquí ! COBIT ® 5 Implementación Otras Guías Profesionales COBIT® 5 Ambiente Colaborativo en Línea Guías de los Habilitadoress de COBIT® 5 Procesos Habilitadores Habilitadoras COBIT ® 5 Información Habilitadora para la Seguridad de la Información para el Aseguramiento para Riesgos Guías para Profesionalesde COBIT® 5 © 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product. 16

Guía de Referencia de Procesos Una publicación independiente que desarrolla el modelo de facilitadores de los procesos Source:  COBIT® 5: Enabling Processes, figure 8. © 2012 ISACA® All rights reserved.

Procesos de Gobierno y Gerenciamiento Permite que las múltiples partes interesadas tengan una lectura organizada del análisis de opciones, identificación del norte a seguir y la supervisión del cumplimiento y avance de los planes establecidos Procesos de Gestión Utilización prudente de medios (recursos, personas, procesos, practicas) para lograr un fin específico © 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.

COBIT 5 Procesos Facilitadores Source:  COBIT® 5, figure 16. © 2012 ISACA® All rights reserved.

Procesos Habilitadores COBIT ® 5 Implementación Otras Guías Profesionales COBIT® 5 Ambiente Colaborativo en Línea Guías de los Habilitadoress de COBIT® 5 Procesos Habilitadores Habilitadoras COBIT ® 5 Información Habilitadora para la Seguridad de la Información para el Aseguramiento para Riesgos Guías para Profesionalesde COBIT® 5 © 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product. 20

COBIT 5 Guía de Implementación La Guía de Implementación COBIT 5 cubre los siguientes temas: Posicionar al Gobierno de IT dentro de la organización Tomar los primeros pasos hacia un Gobierno de IT superador Desafíos de implementación y factores de éxitos Facilitar la gestión del cambio Implementar la mejora continua La utilización del COBIT 5 y sus componentes © 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.

COBIT 5 Guía de Implementación Reconociendo los puntos débiles Frustración del negocio por iniciativas fallidas, escalada de costos y baja percepción de valor Incremento de incidentes de TI Problemas con servicios tercerizados Regulaciones o requerimientos contractuales incumplidos Limitaciones a la innovación, poca agilidad del negocio Observaciones recurrentes de auditoría Baja performance o calidad Costos ocultos o inflexibles Perdida de recursos, duplicación de esfuerzos Modelos complejos de operación Falta de sponsors o racios a participar de iniciativas de TI © 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.

COBIT 5 Guía de Implementación Iniciar el programa Sostener Monitorear y evaluar Revisar la Efectividad Establecer el deseo de cambiar Reconocer la necesidad de actuar Realizar los beneficios Definir los problemas y las oportunidades Ejecutar el plan Planificar el programa Definir la ruta a seguir Incorporar nuevos enfoques Formar el equipo de implementación Operay y utilizar Identificar los roles claves Comunicar el resultado Evaluar la situación actual Operar y medir Implementar las mejoras Construir Mejoras Definir el objetivo meta Gestión del Programa (anillo exterior) Habilitación del Cambio (anillo medio) Ciclo de Vida de Mejora Continua (anillo interior) 7 Cómo logramos que el impulso continue? 1 ¿Cuáles son los impulsadores? 2 ¿Dónde estamos ahora? 6 Llegamos dónde queríamos estar? 5 Cómo vamos a llegar allá? 4 ¿Qué se necesita hacer? 3 Dónde queremos estar?

Beneficios al utilizar COBIT 5 Incremento de la creación de valor a través un gobierno y gestión efectiva de la información y de los activos tecnológicos con sus riesgos administrados. La función de TI se vuelve mas enfocada al negocio Incremento de la satisfacción del usuario con el compromiso de TI y sus servicios prestados – TI es visto como facilitador clave. Incremento del nivel de cumplimiento con las leyes regulaciones y políticas relevantes Las personas que participan son mas proactivas en la creación de valor a partir de la gestión de TI. © 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product. 24

Lo nuevo de © 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product. 25

Principales cambios 5 dominios 4 dominios 34 procesos Dominio Evaluar, Evaluar, Dirigir & Monitorear 4 dominios 37 procesos Nuevos procesos y nueva organización 34 procesos Dominio Evaluar, Dirigir & Monitorear Pentágono de COBIT Objetivos de control Actividades © 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product. 26

Criterios de la Información Principales cambios Criterios de la Información COBIT 4.1 COBIT 5 Efectividad Utilidad Eficiencia Usabilidad Integridad Libre de Error Confiabilidad Credibilidad Disponibilidad Accesibilidad Confidencialidad Seguridad Cumplimiento Conformidad © 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product. 27

Principales cambios Integra Val IT, Risk IT, BMIS e ITAF Se modifican las metas del negocio y de TI, dándole una mayor precisión al nexo entre ellas y discriminándolas entre primarias y secundarias Aparece un nuevo Modelo de Madurez, basado en la norma ISO/IEC 15504 Software Engineering – Process Assessment Standard © 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.

La Seguridad de la Información en el marco de © 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product. 29

Integra el BMIS COBIT 5 toma como base el modelo relacional que utiliza BMIS (Business Model for Information Security), incorporando su visión integral y sus componentes a la nueva versión Source:  BMIS®, figure 2. © 2010 ISACA® All rights reserved. © 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product. 30

Mayor presencia en los procesos Evaluar, Dirigir y Monitorear Procesos para el Gobierno Corporativo de TI Procesos para la Administración de TI Corporativa Alinear, Planear y Organizar Construir, Adquirir e Implementar Entregar, Brindar Servicios y Dar Soporte Monitorear, Evaluar y Valorar EDM01 Asegurar que se fija el Marco de Gobierno y su Mantenimiento EDM02 Asegurar la Entrega de Valor EDM03 Asegurar la Optimización de los Riesgos EDM04 Asegurar la Optimización de los Recursos EDM05 Asegurar la Transparencia a las partes interesadas APO01 Administrar el Marco de la Administración de TI APO02 Administrar la Estrategia APO04 Administrar la Innovación APO03 Administrar la Arquitectura Corporativa APO05 Administrar el Portafolio APO06 Administrar el Presupuesto y los Costos APO07 Administrar el Recurso Humano APO08 Administrar las Relaciones APO09 Administrar los Contratos de Servicios APO11 Administrar la Calidad APO10 Administrar los Proveedores APO12 Administrar los Riesgos APO13 Administrar la Seguridad BAI01 Administrar Programas y Proyectos BAI02 Administrar la Definición de Requerimientos BAI04 Administrar la Disponibilidad y Capacidad BAI03 Administrar la Identificación y Construcción de Soluciones BAI05 Administrar la Habilitación del Cambio BAI06 Administrar Cambios BAI07 Administrar la Aceptación de Cambios y Transiciones BAI08 Administrar el Conocimiento BAI09 Administrar los Activos BAI10 Admnistrar la Configuración DSS01 Administrar las Operaciones DSS02 Administrar las Solicitudes de Servicios y los Incidentes DSS04 Administrar la Continuidad DSS03 Administrar Problemas DSS05 Administrar los Servicios de Seguridad DSS06 Administrar los Controles en los Procesos de Negocio MEA01 Monitorear, Evaluar y Valorar el Desempeño y Cumplimiento MEA02 Monitorear, Evaluar y Valorar el Sistema de Control Interno MEA03 Monitorear, Evaluar y Valorar el Cumplimiento con Requisitos Externos Para la traducción véase el doc de Word: Soporte de COBIT 5

Un integrante específico de la familia COBIT ® 5 Implementación Otras Guías Profesionales COBIT® 5 Ambiente Colaborativo en Línea Guías de los Habilitadoress de COBIT® 5 Procesos Habilitadores Habilitadoras COBIT ® 5 Información Habilitadora para la Seguridad de la Información para el Aseguramiento para Riesgos Guías para Profesionalesde COBIT® 5 © 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product. 32

COBIT 5 for Information Security Se proyecta como una guía específica para los profesionales de la Seguridad de la Información y otros interesados Se construye sobre el marco del COBIT 5, un enfoque robusto para el gobierno y la gestión de la seguridad de la información, sobre la base de los procesos de negocios de la organización Presentará una visión extendida del COBIT 5 , que explica cada uno de sus componentes desde la perspectiva de la seguridad Creará valor para todos los interesados a través de explicaciones, actividades, procesos y recomendaciones Propondrá una visión del gobierno y la gestión de la seguridad de la información mediante una guía detallada para establecerla, implementarla y mantenerla, como parte de las políticas, procesos y estructuras de la organización. © 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product. 33

COBIT 5 for Information Security Principales contenidos: Directrices sobre los principales drivers y beneficios de la seguridad de la información para la organización Aplicación de los principios de COBIT 5 por parte de los profesionales de la seguridad de la información Mecanismos e instrumentos para respaldar el gobierno y la gestión de la seguridad de la información en la organización Alineamiento con otros estándares de seguridad de la información © 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.

COBIT 5 for Information Security Estado actual del COBIT 5 for (Information) Security: Se distribuyó un borrador a un grupo de expertos en la materia (SME) en enero de 2012 Durante el mes de febrero, el equipo “COBIT Security Task Force” de ISACA revisará e incorporará el feedback en el texto Fecha esperada de publicación: junio de 2012 © 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.

¡GRACIAS POR ESCUCHARNOS! Patricia PRANDINI Rodolfo SZUSTER Corrientes 389 – EP – CABA www.adacsi.org.ar Tel: 5411 4317-2855 info@adacsi.org.ar