Visión y aplicabilidad de COBIT Framework€¦ · !Cumple los requerimientos de COSO para el...

2011-NovemberISACA Valencia - V Congress 1

Visión y aplicabilidad deCOBIT Framework

Ramsés GallegoCISM, CGEIT, CISSP, SCPM, CCSK, ITIL, COBIT, Six Sigma Black Belt

Security Strategist & [email protected]

2011-NovemberISACA Valencia - V Congress

Manteniendo TI en funcionamiento

Seguridad

Valor/Coste

Gestionando lacomplejidad

‘Sincronizando’TI y el negocio

Conformidad legal


MEDICIÓ

N

RENDIMIENTO

GESTIÓNRECURSOS

GES

TIÓ

NRI

ESG

O

ENTREGAVALORALINEAMIENTO

ESTRATÉGICO

www.itgi.orgwww.itgi.org


Entrega de valor

Se centra en garantizar la unión de negocio y los planes de TI; de definir, mantener y validar la propuesta de valor de TIy de alinear las operaciones de TI con el día-a-día operativo

Trata de ejecutar la proposición de valor a través del ciclo de entrega, garantizando que TI aporta los beneficios prometidos en la estrategia, concentrándose en optimizar costes y mostrando en valor intrínseco de TI

Implica la inversión óptima en, y la correcta gestión de recursos críticos de TI: aplicaciones, información, infraestructura y personas. Aspectos claves en este apartado son la optimización y conocimiento de la infraestructura.

Requiere un conocimiento del riesgo por parte de los responsables ejecutivos, una comprensión de la voluntad de riesgo corportivo, entendimiento de los requisitos de cumplimiento legal, transparencia acerca de los riesgos a los que se enfrenta la organización y la inclusión de responsabilidades de gestión del riesgo en la dirección

Monitoriza la estrategia de implantación, el seguimiento de los proyectos, uso de los recursos, rendimiento de los procesos y la entrega de los servicios utilizando, por ejemplo, cuadros de mando que convierten la estrategia en acción para conseguir objetivos medibles y sobre los que se pueda actuar

Gestión delrendimiento

Gestión del riesgo

Gestión de recursos

Alineamientoestratégico


COBIT:¤ Empieza con los requisitos del negocio¤ Está orientado a procesos, organizando actividades de TI

en un modelo de procesos coherente y aceptado¤ Identifica los más importantes recursos TI a considerar¤ Define los objetivos de control más relevantes¤ Incorpora los principales estándares internacionales¤ Se ha convertido en el estándar de facto para el control

total de TI

COBIT acorta la distancia entre los riesgos del negocio, necesidades de control y cuestiones técnicas. Proporciona buenas prácticas a través de un framework de procesos y presenta actividades en una estructura gestionable y lógica

Los recusos TI necesitan ser gestionados por un conjunto de procesos agrupados naturalmente. COBIT proporciona el framework que garantiza ese objetivo


COBIT aporta las siguientes ventajas al esfuerzo de implementación del Gobierno TI:

¤Facilita el mapa de los objetivos de TI frente a los objetivos del negocio y viceversa¤Mejora el alineamiento basado en un foco en el negocio¤Aporta una visión de lo que hace TI entendible para la dirección¤Define responsabilidades y gestores de procesos¤Es generalmente aceptado por terceros y por entidades reguladoras¤Propone un entendimiento compartido entre todos los implicados, basado en un

lenguaje común¤Cumple los requerimientos de COSO para el entorno de control de TI


COBIT

ISO 9000

ISO 27000

ITIL

COSO

QUÉ CÓMO

COBERTURA


RENDIMIENTO: Objetivos de negocio

CONFORMIDAD LEGAL:LOPD, Basilea II, SOX,

etc.

Gobierno corporativo

Gobierno TI

ISO 9001:2000

ISO 27000

ISO 20000Estándares y Buenas Prácticas

Procedimientos de calidadProcesos y procedimientos

Lo que dirige el negocio

COBIT

COSO

Principios deseguridad

ITIL

Cuadro demando


El framework de COBIT

► El framework de COBIT fue creado con las siguientes características:

§ Focalizado en el negocio

§ Orientado a procesos

§ Basado en controles

§ Dirigido por medidas o rendimiento

► El acrónimo COBIT significa Control Objectives for Information and related Technology


Los últimos avances de COBIT se encuentran en www.isaca.org/cobit

Gobierno

COBIT 4

2005

COBIT 3

Gestión

2000

COBIT 2

Control

1998

COBIT 1

Auditoría

1996

Evo

luci

ón

http://www.isaca.org/cobit

http://www.isaca.org/cobit


COBIT:► tiene prácticas aceptadas internacionalmente ► está orientado a la gestión► está soportado por herramientas y procesos formativos► se puede descargar gratuitamente► permite que el conocimiento de voluntarios expertos se comparta y mejore► evoluciona constantemente► está mantenido por una organización sin ánimo de lucro► comprende COSO al 100%► considera los principales estándares con los que se relaciona► es una referencia y no una cura inmediata para cualquier problema organizativo

Las compañías deben analizar sus requerimientos de control y personalizar COBIT basándose en sus:

► directrices y necesidades de valor► su perfil de riesgo corporativo► su infraestructura TI, organización y portfolio de proyectos


Estrategia de negocio

Perfil de la

información

Recursos TI

Procesos TI


Algunas ventajas de adaptar COBIT son:► COBIT está alineado con otros estándares y buenas prácticas y puede ser utilizado

junto a éstas ► El framework de COBIT y las buenas prácticas asociadas proporcionan un entorno bien

gestionado y flexible para una organización► COBIT aporta un entorno de control que responde a las necesidades del negocio y

apoya la gestión y la función de auditoría en términos de control y responsabilidades► COBIT posee herramientas que ayudan a la gestión de las actividades de TI


Tiene una aceptación generalizada entre las organizaciones

Ayuda al cumplimiento normativo

Framework

de control

Define un lenguaje común

Proporciona una visión más enfocada del negocio

Asegura una orientación hacia el proceso


► El framework de COBIT está basado en la premisa que TI necesita entregar la información que una corporación requiere para conseguir sus objetivos

i

Recursos TI yprocesos

Información

Procesos deNegocio

Objetivos deNegocio

proporcionan

a

paraconseguir

► El framework de COBIT ayuda a alinear/sincronizar TI con el negocio focalizándose en los requerimientos de la información y organizando los recursos TI. COBIT aporta el framework y la guía para implementar un buen Gobierno TI.


Como un framework de gestión y control para TI, COBIT se centra en dos áreas clave:► Proporcionar la información requerida para apoyar los objetivos de negocio► Tratar la información como el resultado de la combinación de información, recursos y

procesos

ProcesosActividades

DominiosProcesos TI

EfectividadEficienciaConfidencialidadIntegridadDisponibilidadCumplimiento normativoConfiabilidad

Recursos TI

Aplicaciones

Información

Infraestructura

Personas

Proceso TI

Requerimiento de negocio

Control

Consideración• ……………………………• ……………………………• ……………………..……..

Perfil de la información


► COBIT describe el ciclo de vida de TI con la ayuda de 4 dominios:§ Plan and Organise (PO, Planificar y Organizar)§ Acquire and Implement (AI, Adquirir e Implementar)§ Deliver and Support (DS, Entregar y Soportar)§ Monitor and Evaluate (ME, Monitorizar y Evaluar)

► Los Procesos son series de actividades con controles naturales. Hay 34 procesos entre los 4 dominios. Estos procesos especifican qué debe hacer el negocio para conseguir sus objetivos. La entrega de la información se realiza a través de estos 34 procesos TI

► Las Actividades son acciones que son requeridas para conseguir resultados medibles. Estas actividades tienen un ciclo de vida propio y pueden incluir algunas tareas menores


Planificar y Organizar (PO)

► Objetivos:§ Formulación de la estrategia y la táctica§ Identificación de cómo TI puede contribuir mejor a los objetivos del negocio§ Planificación, comunicación y gestión de la visión estratégica§ Diseño de la infraestructura organizativa y tecnológica

► Alcance:§ ¿Están TI y el negocio estratégicamente alineados?§ ¿Está la organización consiguiendo el óptimo uso de sus recursos?§ ¿Conoce todo el mundo en la compañía los objetivos de TI?§ ¿Se conocen y se gestionan adecuadamente los riesgos TI?§ ¿Es la calidad de los sistemas la adecuada para las necesidades del negocio?

TI y Negocio


PO1 Definir un plan estratégico de TIPO2 Definir una arquitectura para la informaciónPO3 Determinar la dirección tecnológicaPO4 Definir los procesos TI, organización y relacionesPO5 Gestionar la inversión TIPO6 Comunicar los objetivos de gestión y direcciónPO7 Gestionar los recursos humanos de TIPO8 Gestionar la calidadPO9 Conocer y gestionar los riesgos TIPO10 Gestionar proyectos

Planificar y Organizar

Planificar yOrgnaizar

Entregar ySoportar

Adquirir e Implementar

Monitorizar yEvaluar

Procesos TI


Adquirir e Implementar (AI)

► Objetivos:§ Identificar, desarrollar o adquirir, implementar e integrar soluciones TI§ Cambios y mantenimientos de los sistemas actuales

► Alcance:§ ¿Los nuevos proyectos aportarán soluciones para las necesidades del negocio?§ ¿Los nuevos proyectos se entregarán acorde con el tiempo y dinero pactados?§ ¿Funcionarán los sistemas adecuadamente cuando se desplieguen?§ ¿Se realizarán los cambios sin impactar las operaciones del negocio?

Nuevos proyectos Organización

?


AI1 Identificar soluciones automatizadasAI2 Adquirir y mantener las aplicacionesAI3 Adquirir y mantener la tecnología e infraestructuraAI4 Facilitar la operación y el usoAI5 Conseguir recursos TIAI6 Gestionar el cambioAI7 Instalar y comunicar soluciones y cambios



Entregar ySoportar



Procesos TI


Entregar y Soportar (DS)

► Objetivos:§ La entrega de los actuales y futuros servicios con calidad§ La gestión de la seguridad, continuidad y entornos de producción§ Servicios de soporte para los usuarios

► Alcance:§ ¿Se entregan los servicios TI acorde con las prioridades del negocio?§ ¿Están optimizados los costes de TI?§ ¿Puede utilizar el personal los sistemas TI de manera productiva y segura?§ ¿Están consideradas adecuadamente la integridad, disponibilidad y confidencialidad?

Servicios TI Prioridades del negocio


DS1 Definir y gestionar los niveles de servicioDS2 Gestionar servicios de tercerosDS3 Gestionar el rendimiento y capacidadDS4 Garantizar el servicio continuoDS5 Garantizar la seguridad de los sistemasDS6 Identificar y asignar costesDS7 Educar y formar a los usuariosDS8 Gestionar incidentes en un Service DeskDS9 Gestionar la configuraciónDS10 Gestionar problemasDS11 Gestionar los datosDS12 Gestionar el entorno físicoDS13 Gestionar operaciones

Entregar y Soportar


Entregar ySoportar



Procesos TI


Monitorizar y Evaluar (ME)► Objetivos:

§ Gestión del rendimiento§ Monitorización de controles internos§ Cumplimiento normativo§ Gobierno TI

► Alcance:§ ¿Es capaz la medición del rendimiento TI de detectar problemas antes de que sea

demasiado tarde?§ ¿Se asegura Dirección que los controles internos son efectivos y eficientes?§ ¿Puede el rendimiento de TI estar asociado a los objetivos de negocio?§ ¿Se informa acerca de los riesgos, controles rendimiento y conformidad legal

adecuadamente?

TI Rendimiento


Entregar ySoportar



Procesos TI


ME1 Monitorizar y evaluar el rendimiento TIME2 Monitorizar y evaluar los controles internosME3 Garantizar el cumplimiento con los requerimientos externosME4 Proporcionar Gobernabilidad TI

Monitorizar y Evaluar


BUSINESS OBJECTIVES ANDGOVERNANCE OBJECTIVES

Efficiency

ApplicationsInformation

InfrastructurePeople

DELIVER AND

SUPPORT

MONITORAND

EVALUATE

ACQUIREAND

IMPLEMENT

INFORMATION

ITRESOURCES

C O B I TF R A M E W O R K

EffectivenessConfidentiality

Integrity

AvailabilityCompliance

DS1 Define and manage service levels.

DS2 Manage third-party services.DS3 Manage performance and

capacity.DS4 Ensure continuous service.DS5 Ensure systems security.DS6 Identify and allocate costs.DS7 Educate and train users.DS8 Manage service desk and

incidents.DS9 Manage the configuration.DS10 Manage problems.DS11 Manage data.DS12 Manage the physical

environment.DS13 Manage operations.

ME1 Monitor and evaluate IT performance.

ME2 Monitor and evaluate internal control.

ME3 Ensure compliance with external requirements.

ME4 Provide IT governance.

PO1 Define a strategic IT plan.PO2 Define the information

architecture.PO3 Determine technological

direction.PO4 Define the IT processes,

organisation and relationships.PO5 Manage the IT investment.PO6 Communicate management aims

and direction.PO7 Manage IT human resources.PO8 Manage quality.PO9 Assess and manage IT risks.PO10 Manage projects.

AI1 Identify automated solutions.AI2 Acquire and maintain application

software.AI3 Acquire and maintain technology

infrastructure.AI4 Enable operation and use.AI5 Procure IT resources.AI6 Manage changes.AI7 Install and accredit solutions and

changes.

PLANAND

ORGANISE

Reliability


Visión y aplicabilidad de COBIT Framework

Ramsés GallegoCISM, CGEIT, CISSP, SCPM, CCSK, ITIL, COBIT, Six Sigma Black Belt

Security Strategist & [email protected]

GRACIAS

Visión y aplicabilidad de COBIT Framework€¦ · !Cumple los requerimientos de COSO para el...

Documents

Transcript of Visión y aplicabilidad de COBIT Framework€¦ · !Cumple los requerimientos de COSO para el...