Cómo lograr Aseguramiento de TIUtilizando COBIT 5

A/S Gerardo Alcarraz, CISA, CRISC

Banco de la República Oriental del Uruguay

ARGENTINA 201415 - 16 de Mayo

• Evolución de COBIT y Aseguramiento

• Innovación

• El Proceso para adoptar COBIT

• COBIT 5 for Assurance

• Ejemplos

• Reflexiones Finales

Agenda

Gobierno de IT

COBIT4.0/4.1

Gestión

COBIT3

Control

COBIT2

An business framework from ISACA, at www.isaca.org/cobit

Auditoría

COBIT1

COBIT: Un

2005/720001998

Evo

luci

ón d

el

alc

anc

e

1996 2012

Val IT 2.0(2008)

Risk IT(2009)

Evolución de COBITY Aseguramiento

v

El Proceso para adoptar COBIT

Paso 1

Paso 2

Pasos 3 y 4

Paso 5

COBIT 5Conceptos Clave

Catalizadores

Modelo de Referencia de Procesos

Governance

TI

Estructura de Procesos

COBIT 5 for Assurance

Las Dos Perspectivas

La perspectiva de aseguramiento describe QUE es lo requerido para entregar aseguramiento a la empresa por medio del los catalizadores de COBIT 5

La perspectiva de la evaluación busca los procesos principales de la evaluación y describe COMO proveer aseguramiento sobre los punto de TI a evaluar representados por los catalizadores de COBIT 5

Alcance de COBIT 5 for Assurance

Perspectiva desde la función de Assurance

Catalizadores – Ejemplo 1

Repositorio de modelo de riesgosHerramientas CAATsBiblioteca de prácticas de AuditoríaSistema de Gestiócn DocumentalHerramientas de Planificación….….

Catalizadores – Ejemplo 2

Mapa de ProcesosEDM01 – Determinar el Marco de GobiernoEDM02 – Asegurar la Entrega de BeneficiosEDM03 – Asegurar la Optimización de los RiesgosEDM05 – Asegurar transparencia a los interesadosAPO02 – Gestionar la EstrategiaAPO06 – Gestionar el Presupuesto y los CostosAPO07 – Gestionar los Recursos HumanosAPO08 – Gestionar el RelacionamientoAPO11 – Gestionar la CalidadAPO12 – Gestionar RiesgosBAI08 – Gestionar el Conocimiento

Procesos Clave

Diseño del Proceso - Assurance

Prácticas y ActividadesEntradas y Salidas - Assurance

Diagrama RACI - Assurance

Perspectiva desde la Evaluación

Fases de la Evaluación

Plan de Aseguramiento

1 – Mapear los Objetivos Estratégicos de la Organización con los Objetivos Estratégicos Empresariales establecidos en COBIT 5

Plan de Aseguramiento

2 – Seleccionar los Objetivos Estratégicos Empresariales en COBIT 5

Lo que nos pasó o nos puede pasar…

22-2-2014

Impacto

• 465 millones de usuarios individuales

• 20.000 millones de msj. Enviados/Día

• 44.000 millones de msj. Recibidos/Día

• 19.000 millones de U$S – Venta Facebook

Fuente DealerWorld Abril 2014

Relación Empresa - TI

Objetivos de la Empresa

04 – Riesgo de Negocio relacionados con las TI gestionados07 – Seguridad de la Información, Infraestructura de procesamiento y aplicaciones14 – Disponibilidad de Información útil y relevante para la toma de decisiones

Relación Metas deTI - Procesos

Metas de TI

Procesos CandidatosProcesos de COBIT 5 4 10 14

EDM03 Asegurar la Optimización del Riesgo P P S

APO09 Gestionar los Acuerdos de Servicio S S P

APO10 Gestionar los Proveedores P S S

APO12 Gestionar los Riesgos P P S

APO13 Gestionar la Seguridad P P P

BAI01 Gestionar los Programas y Proyectos P

BAI04 Gestionar la Disponibilidad y Capacidad S P

BAI06 Gestionar los Cambios P P S

BAI10 Gestionar la Configuración S S P

DSS01 Gestionar las Operaciones P S S

DSS02 Gestionar los Incidentes P S S

DSS03 Gestionar los Problemas P P

DSS04 Gestionar la Continuidad P S P

DSS05 Gestionar los Servicios de Seguridad P P S

DSS06 Gestionar los Controles de los Procesos de Negocio

P S S

Ranking de Procesos CandidatosProcesos de COBIT 5 4 10 14

APO13 Gestionar la Seguridad P P P

EDM03 Asegurar la Optimización del Riesgo P P S

APO12 Gestionar los Riesgos P P S

BAI06 Gestionar los Cambios P P S

DSS05 Gestionar los Servicios de Seguridad P P S

DSS04 Gestionar la Continuidad P S P

DSS03 Gestionar los Problemas P P

APO10 Gestionar los Proveedores P S S

DSS01 Gestionar las Operaciones P S S

DSS02 Gestionar los Incidentes P S S

DSS06 Gestionar los Controles de los Procesos de Negocio

P S S

APO09 Gestionar los Acuerdos de Servicio S S P

BAI10 Gestionar la Configuración S S P

BAI04 Gestionar la Disponibilidad y Capacidad S P

BAI01 Gestionar los Programas y Proyectos P

Evaluación del Proceso - RACI

Estructura OrganizativaPersonas Involucradas

Habilidades y Competencias

Evaluación del Proceso – Entradas, Actividades, Salidas

EVIDENCIASinformación

EJECUCION DE ACTIVIDADES Principios, Políticas y Marcos

Servicios Infraestructura y AplicacionesCultura y ética

REFLEXIONES Finales

Reflexiones Finales…

• “No sean NABOS…”•  “Lo inevitable no se lloriquea. Lo

inevitable hay que enfrentarlo”.• ”Enfrentamos el sedentarismo con

caminadores, al insomnio con pastillas, a la soledad con electrónica”.

Preguntas y Respuestas

¡Muchas Gracias por su atención!

A/S Gerardo Alcarraz, CISA, CRISCCOBIT Foundation Certificate

ger@rdo@lc@rr@z@gmail.com