1

Mas de 16 años sirviendo en el Área del Control, la Auditoría y la Seguridad de los sistemas de tecnología de la información.

2

S-Ox, Cobit, Coso, Iso 17799 ,ITLy otros varios acrónimosy otros varios acrónimos

This product, software, service or consulting services is, "100% Sarbanes Oxley Compliant."

3Todos los caminos deberían conducir a ROMA

ROMAROMA

4

Coso

CobiT

MisiónObjetivos estratégicosGobierno Corporativo

ERM

Iso17799

ITIL

Gobierno Corporativo

5

Relación entre Coso y Cobit

6

Nuevos paradigmas

LOS CONCEPTOS DE RIESGO, CONTROL Y AUDITORÍAESTÁN EVOLUCIONANDO MÁS ALLÁ DE LA BUSQUEDADE CONTROL Y SEGURIDAD HACIA LA BUSQUEDA DEAPOYAR EFECTIVAMENTE A GOBERNABILIDADEMPRESARIAL Y LA GOBERNABILIDAD DE LA TI.EMPRESARIAL Y LA GOBERNABILIDAD DE LA TI.

7

Gobernabilidad Empresarial

• Conjunto de responsabilidades yprácticas del ejercicio de la Direccióny la Gerencia Ejecutiva con elpropósito de brindar Direcciónpropósito de brindar DirecciónEstratégica, asegurar el logro de losobjetivos de la empresa, asegurar laapropiada administración de losriesgos y verificar que los recursos dela empresa son usados de formaresponsable. (ITGI)

8

• Parte integral de la Gobernabilidad Empresarial que debe asegurar que las estrategias y objetivos de la organización, se sustentan y extienden adecuadamente en el ámbito de la Tecnología de la

La Gobernabilidad de la TI

en el ámbito de la Tecnología de la Información.

9 ¿Qué preguntas deben hacerse los directores?

1. ¿Cómo se alinea la TI con la estrategia del negocio, y como se utiliza en todas las actividades de la empresa?

2. ¿Cómo aporta la inversión en TI a mejorar la calidad del servicio?calidad del servicio?

3. ¿Se usan adecuadamente los recursos de la TI?

4. ¿Cuáles son las políticas y los procedimientos para administrar el riesgo de la TI?

5. ¿Cómo aprender de exitos y de fracasos?

10

Implantación de gobiernode la TI en base al marco

COBIT

11

Cobit• Es un estándar cada vez más aceptado al

ser de acceso libre en muchos de sus componentes

• Esta en evolución permanente• Esta en evolución permanente

• Es 100 % compatible con ISO 17799, COSO I y COSO II y otros estándares relacionados.

12

Los Objetivos de Control de Cobit.• Es un conjunto de mejores prácticas que debe y puede

ser cumplido por cualquier organización.• Buscan contemplar el interes del negocio• Su no cumplimiento implica la exposición a

amenazas.• Es lo suficientemente amplio para ser adaptable a • Es lo suficientemente amplio para ser adaptable a

cualquier tecnología

Actores :• Puede ser usado por el Area tecnológica como una

iniciativa propia con un enfoque de auto evaluación.Punto a resolver: ¿Cómo usarlos?

13Proceso de Cobti DS 10

(Administración de Problemas e Incidentes)

La organización NO cuenta con un sistema que registre, analice y resuelva en forma oportuna problemas que se aparten de la operativa normal.

¿Debe solucionarse? Sí¿Debe solucionarse? Sí¿Es prioritario? Dependerá de la organización y de quién opine¿Tiene efecto directo sobre los objetivos del negocio? Podría ser,

no está definido.¿Dónde está el como solucionarlo? En el sentido común, normas

ISO, ITIL, etc.¿Con qué profundidad/complejidad debe ser tratado? Dependerá

de la organización

14

Modelo de maduracion para IT-G• Nivel 0 Se acepta el servicio que brinda TI. El

mismo puede ser insatisfactorio pero no se discute la posibilidad de que sea mejorado

• . . .

• Nivel 5 Las prácticas de gobernabilidad de TI • Nivel 5 Las prácticas de gobernabilidad de TI se encuentran desarrolladas.Hay una adecuada trasparencia de las actividades de TI. Hay un comité que define y controla la estrategia de S.I. La TI toma en cuenta las reales prioridades de negocio para definir sus objetivos.

• Adaptado de Journal Isaca 2.2005

15

Revisión de Post Implantación• Medir resultados de los

proyectos de mejora• Retroalimentar otros proyectos

de mejoraGenerarConciencia

y tomar decisiones

Analizar valor y riesgo

Selecciónde

procesos

Identificar necesidadesIdentificar necesidadesDefinir Definir

Mapa de ruta para implantar el Gobierno de la TI en su organización según el ITGI

Definir proyectos

Planificar Implementa

ción de Mejoras

Planificar solución Planificar solución

Integrar en las

prácticas del día a día

Integrar medidas en Tablero de

Mando

Implantar la soluciónImplantar la solución

Definir donde

estamos

Definir donde

queremos estar

Analizar brechas

Visualizar la soluciónVisualizar la solución

Solución Sustentable Establecer políticas, objetivos y metas. Implantar políticas, responsabilidades, procesos y procedimientos. Medir el desempeño respecto de políticas y mejores prácticas

referenciales. Tomar medidas preventivas y correctivas y mejorar continuamente.

16

17

Suite Meycor COBIT

MGMG Risk Risk Route FinderRoute Finder

UsuarioUsuario

CSACSA

MGMG

AGAG

Risk Risk ManagerManager

Knowledge Knowledge ProviderProvider

Route FinderRoute Finder

DelphosDelphos

18

Inicio del proyecto

19Proyecto de implementación

Se desagrega el proyecto en actividades.

Para cada tarea se define el objetivo y los responsables.

20

Análisis de Valor

21Procesos del negocio

Se identifican los procesos del negocio de la organización.

Los procesos son realizados por unidades de la organización.

22Objetivos del negocio

Se identifican los objetivos de negocio de la organización.

Estos objetivos de negocio son soportados por la TI.

23 Objetivos de TILa organización requiere servicios de TI para cumplir con los objetivos del negocio.

Los objetivos de TI cumplen con ciertos criterios de información de COBIT.

24

Recursos de TI necesariosLos recursos de TI dan soporte a los objetivos del negocio a través del apoyo a los objetivos de TI.

25

Análisis de Riesgos

26Valoración de los riesgos identificados

Se realiza la evaluación de los riesgos según el impacto, probabilidad y la evaluación de los controles existentes.

27Riesgos operativos en TI

¿Cuáles son los riesgos tecnológicos más críticos? ¿Puede convivir con ellos? ¿Cuánto cuesta atenderlos?

28

Diagnóstico

29Análisis de autoevaluación de Controles

Se realiza el análisis de los resultados obtenidos por la evaluación.

30Niveles de maduración en la controlabilidad

de TI¿Cuál es la brecha existente en los controles entre la evaluación actual según Cobit y el nivel objetivo?

31

Planes de Acción

32

Asignación de recursos y responsabilidades a los proyectos

33

Planes de acción¿Qué acciones requieren la inmediata atención para que TI entregue valor y disminuya sus riesgos?

34

Mediciones del éxito

35 Medición de objetivos eindicadores

¿Cómo construir un Cuadro de Mando tecnológico?

36Revisión de auditoría

37¿Cuál es el grado de satisfacción de los“stakeholders” con el valor que brindaTI?• Meycor Cobit Suite ayuda efectivamente a que

en un plazo razonable la satisfacción pase de la primera gráfica a la segunda…

38

Meycor COBIT Suite

• Es una solución a la necesidad de alinear la tecnología con el negocio.

• Acompaña el road map de implantación del gobierno de la TI con COBIT establecido por ISACA/ITGI.

• Logra demostrar que la tecnología entrega un genuino • Logra demostrar que la tecnología entrega un genuino valor al negocio.

• Implanta conocimiento explícito en materia de mejores prácticas.

• Genera las métricas necesarias para tomar decisiones de mejoramiento continuo.