AUDITANDO EL GOBIERNO DE TI_ISACA_SANTIAGO 2014

Anuncio
AUDITORÍA AL GOBIERNO
DE TI USANDO COBIT 5
Visión General
23 de Septiembre de 2014
Alfonso Mateluna, past President Isaca Chile
CISA-CISM-CRISC-CISSP
¿Qué es ISACA y cómo apoya a la Comunidad?
•
•
•
•
•
•
Creada en 1967
Inicialmente era una organización
gremial de auditores de sistemas
– Presente en más 80 países,
con 200+ capítulos.
– Cuenta con más de 115.000
miembros en el mundo
Creadores de las Certificaciones
CISA, CISM, CRISC y CGEIT
IT Governance Institute
COBIT, RiskIT, Val IT, ITAF, etc.
Hoy ISACA está orientada al
Gobierno Corporativo, la seguridad
y gestión de riesgos en
Tecnologías de Información.
El capítulo local tiene mas de
20 años y cuenta con 210
miembros
Qué es ISACA y cómo aporta hoy
• Documentos de Primer
Nivel
• Charlas / talleres
periódicos
• Capacitación
No olvidar
Principios Básicos de Gestión
•
•
•
•
No se puede gestionar lo que no se comunica
No se puede comunicar lo que no se mide
No se puede medir lo que no se define
No se puede definir lo que no se entiende
Casos de la vida real
¿Se
-
-
ha encontrado usted con lo siguiente?
Para hacer pruebas se clona una base de datos y se le entrega a los
desarrolladores, que generalmente son de una empresa externa
Los proyectos de TI no se presentan como casos de negocio, cuesta entender y
justificar sus beneficios; una vez implementados los proyectos rara vez se revisa el
cumplimiento de metas.
La alta gerencia recibe métricas de TI que no logra entender en términos de negocio
TI se mira como “caja negra”, no se logra determinar el valor estratégico que entrega
Los contratos de servicios TI son administrados por personas que no saben de
administración
Todo se consolida en Excel
Cada nuevo marco que se quiere implementar tiene su propia terminología
Los usuarios entienden que quien debe proteger la información es TI, no ellos. “Los
riesgos sólo vienen de los hackers”
Etc.
Aquí falta Gobierno de TI
Recordando..
El Gobierno Corporativo es un proceso efectuado por el consejo de
administración de una entidad, su dirección y restante personal, aplicable a
la definición de estrategias en toda la empresa y diseñado para identificar
eventos potenciales que puedan afectar a la organización, gestionar sus
riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable
sobre el logro de los objetivos (COSO)
El gobierno de TI es un subconjunto
del gobierno corporativo.
El Gobierno de TI es responsabilidad de ejecutivos y Juntas Directivas y
consiste en liderazgo, estructuras organizacionales y procesos que
aseguren que TI sostiene y extiende las estrategias de la organización y
sus objetivos. (Instituto de Gobierno de TI, ISACA)
Aterrizando
EVOLUCIÓN DE COBIT
De ser una herramienta de auditoría a un marco de gobierno de las TI
Evolución del alcance
Gobierno de la TI en la Empresa
Gobierno de TI
Val IT
2.0
Gestión
(2008)
Control
Risk IT
(2009)
Auditoría
COBIT1
1996
COBIT2
1998
COBIT3 COBIT4.0/4.1 COBIT 5
2000
2005/7 2012
Source: COBIT® 5, Introduction PPT, slide 22 . © 2012 ISACA® All rights
reserved.
COBIT 5 Procesos Habilitadores
Procesos de Gobierno y Gerenciamiento
Procesos de Gobierno
Permite que las múltiples
partes interesadas tengan
una lectura organizada del
análisis de opciones,
identificación del norte a
seguir y la supervisión del
cumplimiento y avance de
los planes establecidos
Procesos de Gestión
Utilización prudente de
medios (recursos, personas,
procesos, practicas) para
lograr un fin específico
¿Cómo se armonizan los marcos?
El Gobierno de TI busca:
• Asegurar la sobrevivencia de las instituciones
• Fomentar la transparencia y la rendición de
cuentas
• Promover el ambiente ético y la cultura de control
• Fomentar la administración de riesgos
• Incrementar la credibilidad de las instituciones
• Promover el mejoramiento sistemático del
desempeño institucional
Dominios del Gobierno de TI vela por:
• Alineación estratégica
• Entrega de Valor
• Administración del riesgo
• Administración de recursos
• Medición del desempeño
Primero, hay que entender el negocio y su gestión
Un caso práctico
Alineamiento con BSC
COBIT HOY
-
Compendio de mejores prácticas aceptadas internacionalmente
Orientado al gerenciamiento de las tecnologías
Complementado con herramientas y capacitación
Es certificable tanto por empresas como por personas
Respaldado por una comunidad de expertos
En evolución permanente, PAM basado en ISO/IEC 15504
Mantenido por una organización sin fines de lucro, con
reconocimiento internacional, al ser base para leyes, como SOX
- Mapeado con otros estándares
- Orientado a Procesos, sobre la base de Dominios de
Responsabilidad
COBIT 5:
bienvenido a la familia…
COBIT 5 – La nueva versión
• COBIT 5 es producto de la mejora estratégica de
ISACA impulsando la próxima generación de guías
sobre el Gobierno y la Administración de la
información y los Activos Tecnológicos de las
Organizaciones
• Construido sobre más de 15 años de aplicación
práctica, ISACA desarrolló COBIT 5 para cubrir las
necesidades de los interesados, y alinearse a las
actuales tendencias sobre técnicas de gobierno y
administración relacionadas con la TI
Integra los anteriores marcos referenciales de ISACA
• Val IT es un marco de referencia de gobierno que incluye
principios rectores generalmente aceptados y procesos
de soporte relativos a la evaluación y selección de
inversiones de negocios de TI
• Risk IT es un marco de referencia normativo basado en
un conjunto de principios rectores para una gestión
efectiva de riesgos de TI.
• BMIS (Business Model for Information Security) una
aproximación holística y orientada al negocio para la
administración de la seguridad informática
• ITAF (IT Assurance Framework) un marco para el diseño,
la ejecución y reporte de auditorias de TI y de tareas de
evaluación de cumplimiento.
© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other
publication or product.
Y esto se ha implementado?..
• Casos de éxito http://www.isaca.org/KnowledgeCenter/cobit/cobit-focus/Pages/COBIT-Focus-Volumen-1-enero-de-2014.aspx
•
•
•
•
•
DuPont: Modelo de mejora continua
Hdfc Bank; gestión de la seguridad
Santander
COMBANC
Etc..
© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other
publication or product.
Modelo de Implementación
COBIT 5 – Sus principios
Marco Integrador
Conductores de valor
para los Interesados
Enfoque al Negocio y su
Contexto para toda la
organización
Fundamentado en
facilitadores
Estructurado de manera
separada para el
Gobierno y la Gestión
Source: COBIT® 5, figure 2. © 2012 ISACA® All rights
reserved.
Objetivo de Gobierno
© 2012 ISACA.
All rights reserved.
Fundamentos de Habilitadores
Cultura, Ética y
Comportamiento
Estructura
Organizacional
Información
Principios Políticas
Habilidades y
Competencias
Capacidad de brindar
Servicios
Procesos
Source: COBIT® 5, figure 12. © 2012 ISACA® All rights
reserved.
© 2012 ISACA.
All rights reserved.
Cada proceso se divide en:
o Descripción del proceso - Declaración de Propósito del Proceso
o Objetivos vinculados a las TI (de la cascada de Objetivos, ver ejemplo en el
apéndice)
o Cada objetivo vinculado a las TI se asocia con una serie de métricas
genéricas relacionadas
o Objetivos del proceso (también del mecanismo de cascada de Objetivos y se
conoce como Catalizador de Objetivos)
o Cada Objetivo del proceso está asociado o relacionado con un conjunto de
métricas genéricas.
o Cada Proceso contiene un conjunto de Prácticas de Gestión
o Éstos están asociados a una matriz genérica RACI (El Responsable, quien
Rinde Cuentas, el Consultado y el Informado)
o Cada práctica de gestión contiene un conjunto de entradas y salidas
(llamados productos de trabajo en el módulo PC)
o Cada Práctica de gestión está asociada a un conjunto de actividades
© 2012 ISACA. Todos los derechos reservados.
¿Cómo auditar el gobierno de TI?
¿Cómo auditar el gobierno de TI?
ISACA ha desarrollado guías de auditoría y aseguramiento para
los dominios EDM y APO, es material para sus asociados o
quienes pagan por él. Se compone de las siguientes secciones.
¿Cómo auditar el gobierno de TI?
Lo más indicado es comprender que el gobierno es ejercido por
el directorio, por lo que se aplica una guía para evaluar cómo el
directorio ejerce su función de gobierno.
Luego, lo que se debe hacer es analizar cómo la gerencia de TI
toma las definiciones del directorio en su gestión, para ello se
aplica la guía de APO01, Gestionar el marco de Gestión de TI.
¿Cómo auditar el gobierno de TI?
Si se analiza el COBIT 5 en sus procesos, aparecen diversas
métricas y actividades que son también útiles de considerar. Por
ejemplo, en EDM01.
¿Cómo auditar el gobierno de TI?
Metas y métricas.
¿Cómo auditar el gobierno de TI?
Metas y métricas.
¿Cómo auditar el gobierno de TI?
.
¿Cómo auditar el gobierno de TI?
Actividades asociadas.
¿Cómo auditar el gobierno de TI?
Programa de trabajo (muestra).
Gracias
alfonso_mateluna@yahoo.com
amateluna@asesorit.com
Descargar