AUDITORÍA AL GOBIERNO DE TI USANDO COBIT 5 Visión General 23 de Septiembre de 2014 Alfonso Mateluna, past President Isaca Chile CISA-CISM-CRISC-CISSP ¿Qué es ISACA y cómo apoya a la Comunidad? • • • • • • Creada en 1967 Inicialmente era una organización gremial de auditores de sistemas – Presente en más 80 países, con 200+ capítulos. – Cuenta con más de 115.000 miembros en el mundo Creadores de las Certificaciones CISA, CISM, CRISC y CGEIT IT Governance Institute COBIT, RiskIT, Val IT, ITAF, etc. Hoy ISACA está orientada al Gobierno Corporativo, la seguridad y gestión de riesgos en Tecnologías de Información. El capítulo local tiene mas de 20 años y cuenta con 210 miembros Qué es ISACA y cómo aporta hoy • Documentos de Primer Nivel • Charlas / talleres periódicos • Capacitación No olvidar Principios Básicos de Gestión • • • • No se puede gestionar lo que no se comunica No se puede comunicar lo que no se mide No se puede medir lo que no se define No se puede definir lo que no se entiende Casos de la vida real ¿Se - - ha encontrado usted con lo siguiente? Para hacer pruebas se clona una base de datos y se le entrega a los desarrolladores, que generalmente son de una empresa externa Los proyectos de TI no se presentan como casos de negocio, cuesta entender y justificar sus beneficios; una vez implementados los proyectos rara vez se revisa el cumplimiento de metas. La alta gerencia recibe métricas de TI que no logra entender en términos de negocio TI se mira como “caja negra”, no se logra determinar el valor estratégico que entrega Los contratos de servicios TI son administrados por personas que no saben de administración Todo se consolida en Excel Cada nuevo marco que se quiere implementar tiene su propia terminología Los usuarios entienden que quien debe proteger la información es TI, no ellos. “Los riesgos sólo vienen de los hackers” Etc. Aquí falta Gobierno de TI Recordando.. El Gobierno Corporativo es un proceso efectuado por el consejo de administración de una entidad, su dirección y restante personal, aplicable a la definición de estrategias en toda la empresa y diseñado para identificar eventos potenciales que puedan afectar a la organización, gestionar sus riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre el logro de los objetivos (COSO) El gobierno de TI es un subconjunto del gobierno corporativo. El Gobierno de TI es responsabilidad de ejecutivos y Juntas Directivas y consiste en liderazgo, estructuras organizacionales y procesos que aseguren que TI sostiene y extiende las estrategias de la organización y sus objetivos. (Instituto de Gobierno de TI, ISACA) Aterrizando EVOLUCIÓN DE COBIT De ser una herramienta de auditoría a un marco de gobierno de las TI Evolución del alcance Gobierno de la TI en la Empresa Gobierno de TI Val IT 2.0 Gestión (2008) Control Risk IT (2009) Auditoría COBIT1 1996 COBIT2 1998 COBIT3 COBIT4.0/4.1 COBIT 5 2000 2005/7 2012 Source: COBIT® 5, Introduction PPT, slide 22 . © 2012 ISACA® All rights reserved. COBIT 5 Procesos Habilitadores Procesos de Gobierno y Gerenciamiento Procesos de Gobierno Permite que las múltiples partes interesadas tengan una lectura organizada del análisis de opciones, identificación del norte a seguir y la supervisión del cumplimiento y avance de los planes establecidos Procesos de Gestión Utilización prudente de medios (recursos, personas, procesos, practicas) para lograr un fin específico ¿Cómo se armonizan los marcos? El Gobierno de TI busca: • Asegurar la sobrevivencia de las instituciones • Fomentar la transparencia y la rendición de cuentas • Promover el ambiente ético y la cultura de control • Fomentar la administración de riesgos • Incrementar la credibilidad de las instituciones • Promover el mejoramiento sistemático del desempeño institucional Dominios del Gobierno de TI vela por: • Alineación estratégica • Entrega de Valor • Administración del riesgo • Administración de recursos • Medición del desempeño Primero, hay que entender el negocio y su gestión Un caso práctico Alineamiento con BSC COBIT HOY - Compendio de mejores prácticas aceptadas internacionalmente Orientado al gerenciamiento de las tecnologías Complementado con herramientas y capacitación Es certificable tanto por empresas como por personas Respaldado por una comunidad de expertos En evolución permanente, PAM basado en ISO/IEC 15504 Mantenido por una organización sin fines de lucro, con reconocimiento internacional, al ser base para leyes, como SOX - Mapeado con otros estándares - Orientado a Procesos, sobre la base de Dominios de Responsabilidad COBIT 5: bienvenido a la familia… COBIT 5 – La nueva versión • COBIT 5 es producto de la mejora estratégica de ISACA impulsando la próxima generación de guías sobre el Gobierno y la Administración de la información y los Activos Tecnológicos de las Organizaciones • Construido sobre más de 15 años de aplicación práctica, ISACA desarrolló COBIT 5 para cubrir las necesidades de los interesados, y alinearse a las actuales tendencias sobre técnicas de gobierno y administración relacionadas con la TI Integra los anteriores marcos referenciales de ISACA • Val IT es un marco de referencia de gobierno que incluye principios rectores generalmente aceptados y procesos de soporte relativos a la evaluación y selección de inversiones de negocios de TI • Risk IT es un marco de referencia normativo basado en un conjunto de principios rectores para una gestión efectiva de riesgos de TI. • BMIS (Business Model for Information Security) una aproximación holística y orientada al negocio para la administración de la seguridad informática • ITAF (IT Assurance Framework) un marco para el diseño, la ejecución y reporte de auditorias de TI y de tareas de evaluación de cumplimiento. © 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product. Y esto se ha implementado?.. • Casos de éxito http://www.isaca.org/KnowledgeCenter/cobit/cobit-focus/Pages/COBIT-Focus-Volumen-1-enero-de-2014.aspx • • • • • DuPont: Modelo de mejora continua Hdfc Bank; gestión de la seguridad Santander COMBANC Etc.. © 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product. Modelo de Implementación COBIT 5 – Sus principios Marco Integrador Conductores de valor para los Interesados Enfoque al Negocio y su Contexto para toda la organización Fundamentado en facilitadores Estructurado de manera separada para el Gobierno y la Gestión Source: COBIT® 5, figure 2. © 2012 ISACA® All rights reserved. Objetivo de Gobierno © 2012 ISACA. All rights reserved. Fundamentos de Habilitadores Cultura, Ética y Comportamiento Estructura Organizacional Información Principios Políticas Habilidades y Competencias Capacidad de brindar Servicios Procesos Source: COBIT® 5, figure 12. © 2012 ISACA® All rights reserved. © 2012 ISACA. All rights reserved. Cada proceso se divide en: o Descripción del proceso - Declaración de Propósito del Proceso o Objetivos vinculados a las TI (de la cascada de Objetivos, ver ejemplo en el apéndice) o Cada objetivo vinculado a las TI se asocia con una serie de métricas genéricas relacionadas o Objetivos del proceso (también del mecanismo de cascada de Objetivos y se conoce como Catalizador de Objetivos) o Cada Objetivo del proceso está asociado o relacionado con un conjunto de métricas genéricas. o Cada Proceso contiene un conjunto de Prácticas de Gestión o Éstos están asociados a una matriz genérica RACI (El Responsable, quien Rinde Cuentas, el Consultado y el Informado) o Cada práctica de gestión contiene un conjunto de entradas y salidas (llamados productos de trabajo en el módulo PC) o Cada Práctica de gestión está asociada a un conjunto de actividades © 2012 ISACA. Todos los derechos reservados. ¿Cómo auditar el gobierno de TI? ¿Cómo auditar el gobierno de TI? ISACA ha desarrollado guías de auditoría y aseguramiento para los dominios EDM y APO, es material para sus asociados o quienes pagan por él. Se compone de las siguientes secciones. ¿Cómo auditar el gobierno de TI? Lo más indicado es comprender que el gobierno es ejercido por el directorio, por lo que se aplica una guía para evaluar cómo el directorio ejerce su función de gobierno. Luego, lo que se debe hacer es analizar cómo la gerencia de TI toma las definiciones del directorio en su gestión, para ello se aplica la guía de APO01, Gestionar el marco de Gestión de TI. ¿Cómo auditar el gobierno de TI? Si se analiza el COBIT 5 en sus procesos, aparecen diversas métricas y actividades que son también útiles de considerar. Por ejemplo, en EDM01. ¿Cómo auditar el gobierno de TI? Metas y métricas. ¿Cómo auditar el gobierno de TI? Metas y métricas. ¿Cómo auditar el gobierno de TI? . ¿Cómo auditar el gobierno de TI? Actividades asociadas. ¿Cómo auditar el gobierno de TI? Programa de trabajo (muestra). Gracias alfonso_mateluna@yahoo.com amateluna@asesorit.com