Gobernabilidad de la TI para la Gestión de Riesgos Tecnológicos: Un Enfoque Aplicado
28
Pág 1 Marzo de 2009 Gobernabilidad de la TI para la Gestión de Riesgos Tecnológicos Un enfoque aplicado Egdares Futch H., CISSP
-
Upload
egdares-futch -
Category
Technology
-
view
11.621 -
download
1
description
Presentación para el Congreso Vanguardia Financiera 2009, San José, Costa Rica
Transcript of Gobernabilidad de la TI para la Gestión de Riesgos Tecnológicos: Un Enfoque Aplicado
Marzo de 2009
Gobernabilidad de la TI para la Gestión de Riesgos Tecnológicos
Un enfoque aplicado
Egdares Futch H., CISSP
Pág 2
¿Cuál es la percepción usual de un proyecto de gobernabilidad de las Tecnologías de Información?
• Retador
• Complicado
• Largo
• Alcanzable?
Pág 3
Enfoque de la presentación
Infraestructura
Personas
Aplicativos
Información
Pág 4
Principios del modelo CobIT de gobernabilidad de las TI
REQUERIMIENTOS
DE INFORMACIÓN
DEL NEGOCIO
RECURSOS
DE TI
PROCESOS
DE TI
Pág 5
¿Qué le da un modelo de gobernabilidad al Negocio?
Requerimientos de Calidad
Requerimientos Financieros (COSO)
Requerimientos de Seguridad
Efectividad y eficiencia operacional
Confiabilidad de los reportes financieros
Cumplimiento de leyes y regulaciones
Calidad
Costo
Oportunidad
Confidencialidad
Integridad
Disponibilidad
CobiT combina los principios contenidos por modelos existentes y conocidos, como COSO,
SAC y SAS
Pág 6
CobIT como modelo de gobernabilidad
Pág 7
Pro
ces
os
TI Dominios
Procesos
Actividades
Cubo de CobiT
Relación entre los
componentes
Da
tos
Ap
plic
aci
on
es
Tecn
olo
gía
Inst
ala
cio
ne
s
Re
cu
rso
Hu
ma
no
Recursos d
e TI
Calidad
Confiabilid
ad
Segurid
ad
Estructura del modelo CobIT
Pág 8
Cómo se integra con COSO ?
R
I
E
S
G
O
T
E
C
N
O
L
Ó
G
I
C
O
Pág 9
ISO
17799/27000
La Información es un activo, que al igual que otros activos
importantes de la organización, tiene un valor para la misma y como tal, necesita ser protegida
de forma adecuada
Otros modelos de gobernabilidad de TI
Pág 10
ITIL consiste de 3 áreas de gestión:
Entrega de servicios de TI
Soporte de servicios de TI
Administrar la infraestructura de TI
Estos modelos proveen guías sobre la administración del personal, procesos y servicios
de TI.Cada uno de estos modelos se centra en habilitar
tecnologías y las mejores prácticas para lograr sistemas con alta disponibilidad, confiabilidad,
mantenimiento y administración.
Otros modelos de gobernabilidad de TI
Nuestro proyecto de implementación de la gobernabilidad
Pág 12
Alcance del proyecto
• El Proyecto integra las Mejores Prácticas generalmente aceptadas en la industria para la gestión de las TI
• CobIT es la base del Proyecto y el que integra las otras Normativas o Estándares Internacionales
• ISO-17799 es el componente del proyecto especializado en el tópico de Seguridad de la Información
• Se reutiliza todo lo desarrollado hasta el momento con respecto a prácticas, procesos y procedimientos, basándose en ITIL
• Este proyecto apoya integralmente el proceso COSO institucional
Pág 13
Etapas del proyecto
Pág 14
Modelo de gestión del área de TI
PCPC
PC
PC
Mini
MFMini
Mini
PC
PC
PCPC
PC
PC
MF
LAN
LAN
LAN
Data Centre
Head OfficeSales Office
Modelo de Negocio
Arquitectura de Procesos
Arquitectura de Sistemas del
Negocio
Arquitectura
Aplicativa
Arquitectura Tecnológica
Organización de T.I.
Seguridad
Atención al usuario
Seguridad
Atención al usuario
Pág 15
Mapeo de la Estrategia Institucional en Iniciativas Estratégicas de TI
Implantar y mantener líneas de comunicación
eficientes, con alto nivel de disponibilidad, que
soporten la mejora continua de los procesos y la oportuna atención a los clientes del Banco.
Fortalecer y actualizar la seguridad de los
sistemas y bases de datos
Implantar y mantener una tecnología de punta,
cuidando de mantener una relación costo-beneficio positiva, salvaguardando la continuidad de los
negocios del Banco.
Implantar y mantener Sistemas de Información (SI) integrados, en línea
y un SI Gerencial dinámico y confiable
Crear la herramientas de sistemas de información
para diseñar y lanzar eficazmente nuevos
productos.
Misión
OBJETIVOS ESTRATÉGICOS A LARGO PLAZO
POBREZA INTEGRACIÓN GLOBALIZACIÓN
Visión
AREAS FUNCIONALES
Finanzas y Cartera
Recursos Humanos
Tecnología
Procesos y Estructura
PRIORIDADES
PRODUCTOS
INICIATIVAS ESTRATÉGICAS
INICIATIVAS
ESTRATÉGICAS
VENTAJAS COMPETITIVAS
Gestionar la gobernabilidad de las TICs por medio
de prácticas de clase mundial
Pág 16
Mapeo de las Iniciativas Estratégicas en un modelo de Gobernabilidad de TI
Implantar y mantener líneas de comunicación
eficientes, con alto nivel de disponibilidad, que
soporten la mejora continua de los procesos y la oportuna atención a los clientes del Banco.
Fortalecer y actualizar la seguridad de los
sistemas y bases de datos
Gestionar la gobernabilidad de las TICs por medio
de prácticas de clase mundial
Implantar y mantener Sistemas de Información (SI) integrados, en línea
y un SI Gerencial dinámico y confiable
Crear las herramientas de sistemas de
información para diseñar y lanzar eficazmente nuevos productos.
Implantar y mantener una tecnología de punta,
cuidando de mantener una relación costo beneficio positiva, salvaguardando la continuidad de los
negocios del Banco.
Planificación Estratégica y Organización de Tecnología
identificando formas en que la TI puede contribuir de la
mejor manera al logro de los objetivos institucionales
Adquisición e implementación de Tecnología dentro del
proceso del negocio, así como los cambios y el
mantenimiento realizados a sistemas existentes
Seguimiento y evaluación de proyectos de TI para verificar
su calidad y suficiencia en cuanto a los requerimientos
Prestación de Servicios y Soporte, que incluye desde
las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad
ITIL
/IS
O 1
77
99/S
OX
/GL
BA
Cob
ITIT
IL/I
SO
17
799
/OFA
Co
bIT
Pág 17
Modelo de procesos de la SGTI
Imp
resión
C
entralizad
a
Ejecu
ción
de
Pro
cesos
Mo
nito
res de
Eq
uip
os
Operación de la Mesa de Servicio
Dominios de operación
Estrategia, Planificación
, Alineamiento
y Control
Gestión del Desarrollo
Nuevas Aplicaciones
Gestión del Mantenimien
to Aplicaciones
Gestión de Datos
Gestión de la Infraestructu
ra
Gestión de Operaciones
Gestión
LAN
Gestión
WAN
Gestión
Mesa de Servicio
Gestión Seguridad
de la Información
Co
mp
utació
n
Distrib
uid
a
Man
tenim
iento
d
e Infraestu
ctura
LA
N
Desarro
llos
BC
IE
Desarro
llos
3ros
Man
tenim
iento
BC
IE
Man
tenim
iento
3ros
Ad
min
istración
Ló
gica
Ad
min
istración
Física
So
ftware d
e S
istema
Co
ntin
gen
cia
Hard
ware
Co
ntro
l de
Cam
bio
s
Mo
nito
reo
So
lució
n d
e P
rob
lemas
Defin
ición
Imp
lantació
n y
Op
eración
• El modelo de procesos de la SGTI está basado en el modelo CobIT, el cual está sancionado dentro de COSO y Basilea II como el framework apropiado para gestionar la gobernabilidad de las Tecnologías de Información.
Pág 18
Modelo de procesos alineado a la estructura
Subgerencia de Tecnología de Información (SGTI)
Gerente de Operaciones
Subgerente de Tecnología
Jefe de Aplicaciones
Coordinador de Análisis de Procesos
Coordinador de Tecnología
Vacante
Supervisor de Seguridad en Informática
Técnico de Soporte a Usuarios
(2)
Administrador de Base de Datos
Supervisor de Soporte Tecnológico
Supervisor de Seguridad y Calidad
de Aplicaciones
Técnicos de Informática
(3)
Técnico de Eventos y Hardware
(2)
Analista de Procesos
Analista de Aplicaciones
(3)
Administrador de Aplicaciones
(1)
Analista Programador
(1)
Estrategia, Planificación
, Alineamiento
y Control
Gestión del Desarrollo
Nuevas Aplicaciones
Gestión del Mantenimien
to Aplicaciones
Gestión de Datos
Estrategia, Planificación
, Alineamiento
y Control
Estrategia, Planificación
, Alineamiento
y Control
Gestión de la Infraestructu
ra
Gestión de Operaciones
Gestión
LAN
Gestión
WANGestión
Mesa de Servicio
Gestión Seguridad
de la Información
Gestión Seguridad
de la Información
Gestión
Mesa de Servicio
Gestión de eventos
institucionales
TEC APLI
SGTI
Productos obtenidos
Pág 20
Inventario de controles asociados a procesos
NOMBRE DEL CONTROL DESCRIPCION DEL CONTROL OBJETIVO DE CONTROL COBIT
DS12 Administración del Ambiente Físico
Construcción del centro de cómputo Las paredes del centro de cómputo son elevadas hasta el plenum y hechas de material retardante. DS12.1 Selección y diseño del centro de datos
Area de recibo de equipo separada. El área de recibo de equipo de cómputo se efectúa en el nivel 1 conjuntamente con SEG. DS12.2 Medidas de seguridad física
Autorización de préstamo de equipo.Todo préstamo de equipo se hace por medio de una boleta que es autorizada por el Coordinador de Tecnología.
DS12.2 Medidas de seguridad física
Autorización de salidad de equipoToda salidad de equipo para mantenimiento es autorizada por el Subgerente de Tecnología o por el Gerente de Operaciones.
DS12.2 Medidas de seguridad física
Pág 21
Análisis de Cargas de Trabajo y Segregación de Funciones
Tipo de Control
No Objetivos de Control Procedimiento (2007) Lin. Proc. SGTI CT Admon MSI Oficial MSI SSI SSCA DBA Analista APLI Tecnico Infor. Jefe APLI
DS9.1 Repositorio de Configuración y Línea de Base
Administración de la Configuración
X X X X
DS9.2 Identificación y Mantenimiento de Elementos de Configuración X X X X
DS9.3 Revisión de Integridad de la Configuración X X X X
DS13.1 Procedimientos e Instrucciones de Operación
Administracion de las Operaciones
X X X X
DS13.2 Programación de Tareas X X X X
DS13.3 Monitoreo de la Infraestructura de TI X X X
DS13.4 Documentos Sensitivos y Dispositivos de Salida X X X
DS13.5 Mantenimiento Preventivo del hardware X
PO2.3 Esquema de Clasificación de Datos X X X
PO2.4 Administración de la Integridad X X
DS11.1 Requerimientos del Negocio para Administración de Datos
Administración de los Datos
X
DS11.2 Acuerdos de Almacenamiento y Conservación X X
DS11.3 Sistema de Administración de Librerías de Medios X
DS11.4 Eliminación X X X X X
DS11.5 Respaldo y Restauración X X X X X X
DS11.6 Requerimientos de Seguridad para la Administración de Datos X X X X
AI6.1 Estándares y Procedimientos para Cambios
Administracion de los Cambios
X X
AI6.2 Evaluación de Impacto, Priorización y Autorización X X X X X X X
AI6.3 Cambios de Emergencia X X X X X X X
AI6.4 Seguimiento y Reporte del Estatus de Cambio X
AI6.5 Cierre y Documentación del Cambio X X X X X X
Pág 22
Indicadores de la Gestión de TI (BSC)
Actividad Indicadores Peso relativo
Asignación de
Recursos
Planificación Estratégica y Organización de Tecnología identificando formas en que la TI puede contribuir de la mejor manera al logro de los objetivos institucionales
§Revisión anual del Plan Estratégico de IT§Creación del Plan Operativo Anual y Presupuesto de Inversión en Tecnología§Cumplimiento del Plan de Capacitación de Tecnología
10% 10%
Adquisición e implementación de Tecnología dentro del proceso del negocio, así como los cambios y el mantenimiento realizados a sistemas existentes.
•% Ejecución presupuestaria•Actualización anual de Procesos de TI-Equipos instalados-Licencias de software de base instaladas
30% 40%
Prestación de Servicios y Soporte, que incluye desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad
•% Cumplimiento de estándares de servicio a usuarios•% Disponibilidad y desempeño de los sistemas centrales•% Disponibilidad y desempeño de la red LAN y WAN•Evaluaciones trimestrales de seguridad informática en la red (virus, errores, vulnerabilidades)
40% 40%
Seguimiento y evaluación de proyectos de TI para verificar su calidad y suficiencia en cuanto a los requerimientos
•Seguimiento y Ejecución del Plan Operativo Anual y Presupuesto de Inversión en Tecnología•Informes de instalación de proyectos
20% 10%
Pág 23
Indicadores de Gestión para la Evaluación del Desempeño
Técnicos
Help Desk
Supervisión y
Administración
Help Desk
Coordinador
Soporte
Tecnológico
Coordinador
Seguridad
Informática
Administrador
Base de Datos
Jefatura
IT
Estándares
De servicio
(SERVICEDESK)Estándares de
Disponibilidad
(NAGIOS)
Evaluaciones
De seguridad
(Retina,ERA)
Actualización
De procesos
De TI
Seguimiento y
ejecución
POA/PPTO
Pág 24
Gestión de riesgos asociados a la TI
Conclusiones y recomendaciones
Pág 26
Conclusiones
• La implantación de un modelo de gobernabilidad comienza con un diagnóstico (health check)
• Identificar brechas y debilidades
• Puede usarse ITIL para mejorar procesos (MOF?)
• Puede usarse ISO – 17799/ ISO 27000 para mejorar la seguridad
• Usamos CobIT para definir procesos y métricas
• Con estos modelos, construimos toda la infraestructura de Gobernabilidad de la TI
Pág 27
Algunas recomendaciones (¿temas que se podrían olvidar?)
• Establecer políticas de alto nivel para la gobernabilidad de la TI
• Establecer procesos formales de autocontrol / autodiagnóstico para el mantenimiento del sistema
• Establecer procesos de culturización hacia todo el personal
• Moverse hacia el aseguramiento de la Continuidad de los Negocios
Pág 28
¡MUCHAS GRACIAS POR SU ATENCIÓN!
