S-OX, COBIT, COSO, ISO 17799 ,ITL Y OTROS VARIOS ACRÓNIMOS
-
Upload
diego-torres -
Category
Documents
-
view
225 -
download
1
description
Transcript of S-OX, COBIT, COSO, ISO 17799 ,ITL Y OTROS VARIOS ACRÓNIMOS
1
Mas de 16 años sirviendo en el Área del Control, la Auditoría y la Seguridad de los sistemas de tecnología de la información.
2
S-Ox, Cobit, Coso, Iso 17799 ,ITLy otros varios acrónimosy otros varios acrónimos
This product, software, service or consulting services is, "100% Sarbanes Oxley Compliant."
4
Coso
CobiT
MisiónObjetivos estratégicosGobierno Corporativo
ERM
Iso17799
ITIL
Gobierno Corporativo
6
Nuevos paradigmas
LOS CONCEPTOS DE RIESGO, CONTROL Y AUDITORÍAESTÁN EVOLUCIONANDO MÁS ALLÁ DE LA BUSQUEDADE CONTROL Y SEGURIDAD HACIA LA BUSQUEDA DEAPOYAR EFECTIVAMENTE A GOBERNABILIDADEMPRESARIAL Y LA GOBERNABILIDAD DE LA TI.EMPRESARIAL Y LA GOBERNABILIDAD DE LA TI.
7
Gobernabilidad Empresarial
• Conjunto de responsabilidades yprácticas del ejercicio de la Direccióny la Gerencia Ejecutiva con elpropósito de brindar Direcciónpropósito de brindar DirecciónEstratégica, asegurar el logro de losobjetivos de la empresa, asegurar laapropiada administración de losriesgos y verificar que los recursos dela empresa son usados de formaresponsable. (ITGI)
8
• Parte integral de la Gobernabilidad Empresarial que debe asegurar que las estrategias y objetivos de la organización, se sustentan y extienden adecuadamente en el ámbito de la Tecnología de la
La Gobernabilidad de la TI
en el ámbito de la Tecnología de la Información.
9 ¿Qué preguntas deben hacerse los directores?
1. ¿Cómo se alinea la TI con la estrategia del negocio, y como se utiliza en todas las actividades de la empresa?
2. ¿Cómo aporta la inversión en TI a mejorar la calidad del servicio?calidad del servicio?
3. ¿Se usan adecuadamente los recursos de la TI?
4. ¿Cuáles son las políticas y los procedimientos para administrar el riesgo de la TI?
5. ¿Cómo aprender de exitos y de fracasos?
11
Cobit• Es un estándar cada vez más aceptado al
ser de acceso libre en muchos de sus componentes
• Esta en evolución permanente• Esta en evolución permanente
• Es 100 % compatible con ISO 17799, COSO I y COSO II y otros estándares relacionados.
12
Los Objetivos de Control de Cobit.• Es un conjunto de mejores prácticas que debe y puede
ser cumplido por cualquier organización.• Buscan contemplar el interes del negocio• Su no cumplimiento implica la exposición a
amenazas.• Es lo suficientemente amplio para ser adaptable a • Es lo suficientemente amplio para ser adaptable a
cualquier tecnología
Actores :• Puede ser usado por el Area tecnológica como una
iniciativa propia con un enfoque de auto evaluación.Punto a resolver: ¿Cómo usarlos?
13Proceso de Cobti DS 10
(Administración de Problemas e Incidentes)
La organización NO cuenta con un sistema que registre, analice y resuelva en forma oportuna problemas que se aparten de la operativa normal.
¿Debe solucionarse? Sí¿Debe solucionarse? Sí¿Es prioritario? Dependerá de la organización y de quién opine¿Tiene efecto directo sobre los objetivos del negocio? Podría ser,
no está definido.¿Dónde está el como solucionarlo? En el sentido común, normas
ISO, ITIL, etc.¿Con qué profundidad/complejidad debe ser tratado? Dependerá
de la organización
14
Modelo de maduracion para IT-G• Nivel 0 Se acepta el servicio que brinda TI. El
mismo puede ser insatisfactorio pero no se discute la posibilidad de que sea mejorado
• . . .
• Nivel 5 Las prácticas de gobernabilidad de TI • Nivel 5 Las prácticas de gobernabilidad de TI se encuentran desarrolladas.Hay una adecuada trasparencia de las actividades de TI. Hay un comité que define y controla la estrategia de S.I. La TI toma en cuenta las reales prioridades de negocio para definir sus objetivos.
• Adaptado de Journal Isaca 2.2005
15
Revisión de Post Implantación• Medir resultados de los
proyectos de mejora• Retroalimentar otros proyectos
de mejoraGenerarConciencia
y tomar decisiones
Analizar valor y riesgo
Selecciónde
procesos
Identificar necesidadesIdentificar necesidadesDefinir Definir
Mapa de ruta para implantar el Gobierno de la TI en su organización según el ITGI
Definir proyectos
Planificar Implementa
ción de Mejoras
Planificar solución Planificar solución
Integrar en las
prácticas del día a día
Integrar medidas en Tablero de
Mando
Implantar la soluciónImplantar la solución
Definir donde
estamos
Definir donde
queremos estar
Analizar brechas
Visualizar la soluciónVisualizar la solución
Solución Sustentable Establecer políticas, objetivos y metas. Implantar políticas, responsabilidades, procesos y procedimientos. Medir el desempeño respecto de políticas y mejores prácticas
referenciales. Tomar medidas preventivas y correctivas y mejorar continuamente.
17
Suite Meycor COBIT
MGMG Risk Risk Route FinderRoute Finder
UsuarioUsuario
CSACSA
MGMG
AGAG
Risk Risk ManagerManager
Knowledge Knowledge ProviderProvider
Route FinderRoute Finder
DelphosDelphos
19Proyecto de implementación
Se desagrega el proyecto en actividades.
Para cada tarea se define el objetivo y los responsables.
21Procesos del negocio
Se identifican los procesos del negocio de la organización.
Los procesos son realizados por unidades de la organización.
22Objetivos del negocio
Se identifican los objetivos de negocio de la organización.
Estos objetivos de negocio son soportados por la TI.
23 Objetivos de TILa organización requiere servicios de TI para cumplir con los objetivos del negocio.
Los objetivos de TI cumplen con ciertos criterios de información de COBIT.
24
Recursos de TI necesariosLos recursos de TI dan soporte a los objetivos del negocio a través del apoyo a los objetivos de TI.
26Valoración de los riesgos identificados
Se realiza la evaluación de los riesgos según el impacto, probabilidad y la evaluación de los controles existentes.
27Riesgos operativos en TI
¿Cuáles son los riesgos tecnológicos más críticos? ¿Puede convivir con ellos? ¿Cuánto cuesta atenderlos?
29Análisis de autoevaluación de Controles
Se realiza el análisis de los resultados obtenidos por la evaluación.
30Niveles de maduración en la controlabilidad
de TI¿Cuál es la brecha existente en los controles entre la evaluación actual según Cobit y el nivel objetivo?
33
Planes de acción¿Qué acciones requieren la inmediata atención para que TI entregue valor y disminuya sus riesgos?
37¿Cuál es el grado de satisfacción de los“stakeholders” con el valor que brindaTI?• Meycor Cobit Suite ayuda efectivamente a que
en un plazo razonable la satisfacción pase de la primera gráfica a la segunda…
38
Meycor COBIT Suite
• Es una solución a la necesidad de alinear la tecnología con el negocio.
• Acompaña el road map de implantación del gobierno de la TI con COBIT establecido por ISACA/ITGI.
• Logra demostrar que la tecnología entrega un genuino • Logra demostrar que la tecnología entrega un genuino valor al negocio.
• Implanta conocimiento explícito en materia de mejores prácticas.
• Genera las métricas necesarias para tomar decisiones de mejoramiento continuo.