Post on 19-Aug-2020
transcript
2011-NovemberISACA Valencia - V Congress 1
Visión y aplicabilidad deCOBIT Framework
Ramsés GallegoCISM, CGEIT, CISSP, SCPM, CCSK, ITIL, COBIT, Six Sigma Black Belt
Security Strategist & Evangelistramses.gallego@quest.com
2011-NovemberISACA Valencia - V Congress
Manteniendo TI en funcionamiento
Seguridad
Valor/Coste
Gestionando lacomplejidad
‘Sincronizando’TI y el negocio
Conformidad legal
2011-NovemberISACA Valencia - V Congress 3
MEDICIÓ
N
RENDIMIENTO
GESTIÓNRECURSOS
GES
TIÓ
NRI
ESG
O
ENTREGAVALORALINEAMIENTO
ESTRATÉGICO
www.itgi.orgwww.itgi.org
2011-NovemberISACA Valencia - V Congress
Entrega de valor
Se centra en garantizar la unión de negocio y los planes de TI; de definir, mantener y validar la propuesta de valor de TIy de alinear las operaciones de TI con el día-a-día operativo
Trata de ejecutar la proposición de valor a través del ciclo de entrega, garantizando que TI aporta los beneficios prometidos en la estrategia, concentrándose en optimizar costes y mostrando en valor intrínseco de TI
Implica la inversión óptima en, y la correcta gestión de recursos críticos de TI: aplicaciones, información, infraestructura y personas. Aspectos claves en este apartado son la optimización y conocimiento de la infraestructura.
Requiere un conocimiento del riesgo por parte de los responsables ejecutivos, una comprensión de la voluntad de riesgo corportivo, entendimiento de los requisitos de cumplimiento legal, transparencia acerca de los riesgos a los que se enfrenta la organización y la inclusión de responsabilidades de gestión del riesgo en la dirección
Monitoriza la estrategia de implantación, el seguimiento de los proyectos, uso de los recursos, rendimiento de los procesos y la entrega de los servicios utilizando, por ejemplo, cuadros de mando que convierten la estrategia en acción para conseguir objetivos medibles y sobre los que se pueda actuar
Gestión delrendimiento
Gestión del riesgo
Gestión de recursos
Alineamientoestratégico
2011-NovemberISACA Valencia - V Congress
COBIT:¤ Empieza con los requisitos del negocio¤ Está orientado a procesos, organizando actividades de TI
en un modelo de procesos coherente y aceptado¤ Identifica los más importantes recursos TI a considerar¤ Define los objetivos de control más relevantes¤ Incorpora los principales estándares internacionales¤ Se ha convertido en el estándar de facto para el control
total de TI
COBIT acorta la distancia entre los riesgos del negocio, necesidades de control y cuestiones técnicas. Proporciona buenas prácticas a través de un framework de procesos y presenta actividades en una estructura gestionable y lógica
Los recusos TI necesitan ser gestionados por un conjunto de procesos agrupados naturalmente. COBIT proporciona el framework que garantiza ese objetivo
2011-NovemberISACA Valencia - V Congress
COBIT aporta las siguientes ventajas al esfuerzo de implementación del Gobierno TI:
¤Facilita el mapa de los objetivos de TI frente a los objetivos del negocio y viceversa¤Mejora el alineamiento basado en un foco en el negocio¤Aporta una visión de lo que hace TI entendible para la dirección¤Define responsabilidades y gestores de procesos¤Es generalmente aceptado por terceros y por entidades reguladoras¤Propone un entendimiento compartido entre todos los implicados, basado en un
lenguaje común¤Cumple los requerimientos de COSO para el entorno de control de TI
2011-NovemberISACA Valencia - V Congress
COBIT
ISO 9000
ISO 27000
ITIL
COSO
QUÉ CÓMO
COBERTURA
2011-NovemberISACA Valencia - V Congress
RENDIMIENTO: Objetivos de negocio
CONFORMIDAD LEGAL:LOPD, Basilea II, SOX,
etc.
Gobierno corporativo
Gobierno TI
ISO 9001:2000
ISO 27000
ISO 20000Estándares y Buenas Prácticas
Procedimientos de calidadProcesos y procedimientos
Lo que dirige el negocio
COBIT
COSO
Principios deseguridad
ITIL
Cuadro demando
2011-NovemberISACA Valencia - V Congress 9
El framework de COBIT
► El framework de COBIT fue creado con las siguientes características:
§ Focalizado en el negocio
§ Orientado a procesos
§ Basado en controles
§ Dirigido por medidas o rendimiento
► El acrónimo COBIT significa Control Objectives for Information and related Technology
2011-NovemberISACA Valencia - V Congress
Los últimos avances de COBIT se encuentran en www.isaca.org/cobit
Gobierno
COBIT 4
2005
COBIT 3
Gestión
2000
COBIT 2
Control
1998
COBIT 1
Auditoría
1996
Evo
luci
ón
2011-NovemberISACA Valencia - V Congress 11
COBIT:► tiene prácticas aceptadas internacionalmente ► está orientado a la gestión► está soportado por herramientas y procesos formativos► se puede descargar gratuitamente► permite que el conocimiento de voluntarios expertos se comparta y mejore► evoluciona constantemente► está mantenido por una organización sin ánimo de lucro► comprende COSO al 100%► considera los principales estándares con los que se relaciona► es una referencia y no una cura inmediata para cualquier problema organizativo
Las compañías deben analizar sus requerimientos de control y personalizar COBIT basándose en sus:
► directrices y necesidades de valor► su perfil de riesgo corporativo► su infraestructura TI, organización y portfolio de proyectos
2011-NovemberISACA Valencia - V Congress
Estrategia de negocio
Perfil de la
información
Recursos TI
Procesos TI
2011-NovemberISACA Valencia - V Congress 13
Algunas ventajas de adaptar COBIT son:► COBIT está alineado con otros estándares y buenas prácticas y puede ser utilizado
junto a éstas ► El framework de COBIT y las buenas prácticas asociadas proporcionan un entorno bien
gestionado y flexible para una organización► COBIT aporta un entorno de control que responde a las necesidades del negocio y
apoya la gestión y la función de auditoría en términos de control y responsabilidades► COBIT posee herramientas que ayudan a la gestión de las actividades de TI
2011-NovemberISACA Valencia - V Congress 14
Tiene una aceptación generalizada entre las organizaciones
Ayuda al cumplimiento normativo
Framework
de control
Define un lenguaje común
Proporciona una visión más enfocada del negocio
Asegura una orientación hacia el proceso
2011-NovemberISACA Valencia - V Congress 15
► El framework de COBIT está basado en la premisa que TI necesita entregar la información que una corporación requiere para conseguir sus objetivos
i
Recursos TI yprocesos
Información
Procesos deNegocio
Objetivos deNegocio
proporcionan
a
paraconseguir
► El framework de COBIT ayuda a alinear/sincronizar TI con el negocio focalizándose en los requerimientos de la información y organizando los recursos TI. COBIT aporta el framework y la guía para implementar un buen Gobierno TI.
2011-NovemberISACA Valencia - V Congress
2011-NovemberISACA Valencia - V Congress
2011-NovemberISACA Valencia - V Congress 18
Como un framework de gestión y control para TI, COBIT se centra en dos áreas clave:► Proporcionar la información requerida para apoyar los objetivos de negocio► Tratar la información como el resultado de la combinación de información, recursos y
procesos
ProcesosActividades
DominiosProcesos TI
EfectividadEficienciaConfidencialidadIntegridadDisponibilidadCumplimiento normativoConfiabilidad
Recursos TI
Aplicaciones
Información
Infraestructura
Personas
Proceso TI
Requerimiento de negocio
Control
Consideración• ……………………………• ……………………………• ……………………..……..
Perfil de la información
2011-NovemberISACA Valencia - V Congress 19
2011-NovemberISACA Valencia - V Congress 20
► COBIT describe el ciclo de vida de TI con la ayuda de 4 dominios:§ Plan and Organise (PO, Planificar y Organizar)§ Acquire and Implement (AI, Adquirir e Implementar)§ Deliver and Support (DS, Entregar y Soportar)§ Monitor and Evaluate (ME, Monitorizar y Evaluar)
► Los Procesos son series de actividades con controles naturales. Hay 34 procesos entre los 4 dominios. Estos procesos especifican qué debe hacer el negocio para conseguir sus objetivos. La entrega de la información se realiza a través de estos 34 procesos TI
► Las Actividades son acciones que son requeridas para conseguir resultados medibles. Estas actividades tienen un ciclo de vida propio y pueden incluir algunas tareas menores
2011-NovemberISACA Valencia - V Congress 21
2011-NovemberISACA Valencia - V Congress 22
Planificar y Organizar (PO)
► Objetivos:§ Formulación de la estrategia y la táctica§ Identificación de cómo TI puede contribuir mejor a los objetivos del negocio§ Planificación, comunicación y gestión de la visión estratégica§ Diseño de la infraestructura organizativa y tecnológica
► Alcance:§ ¿Están TI y el negocio estratégicamente alineados?§ ¿Está la organización consiguiendo el óptimo uso de sus recursos?§ ¿Conoce todo el mundo en la compañía los objetivos de TI?§ ¿Se conocen y se gestionan adecuadamente los riesgos TI?§ ¿Es la calidad de los sistemas la adecuada para las necesidades del negocio?
TI y Negocio
2011-NovemberISACA Valencia - V Congress 23
PO1 Definir un plan estratégico de TIPO2 Definir una arquitectura para la informaciónPO3 Determinar la dirección tecnológicaPO4 Definir los procesos TI, organización y relacionesPO5 Gestionar la inversión TIPO6 Comunicar los objetivos de gestión y direcciónPO7 Gestionar los recursos humanos de TIPO8 Gestionar la calidadPO9 Conocer y gestionar los riesgos TIPO10 Gestionar proyectos
Planificar y Organizar
Planificar yOrgnaizar
Entregar ySoportar
Adquirir e Implementar
Monitorizar yEvaluar
Procesos TI
2011-NovemberISACA Valencia - V Congress 24
Adquirir e Implementar (AI)
► Objetivos:§ Identificar, desarrollar o adquirir, implementar e integrar soluciones TI§ Cambios y mantenimientos de los sistemas actuales
► Alcance:§ ¿Los nuevos proyectos aportarán soluciones para las necesidades del negocio?§ ¿Los nuevos proyectos se entregarán acorde con el tiempo y dinero pactados?§ ¿Funcionarán los sistemas adecuadamente cuando se desplieguen?§ ¿Se realizarán los cambios sin impactar las operaciones del negocio?
Nuevos proyectos Organización
?
2011-NovemberISACA Valencia - V Congress 25
AI1 Identificar soluciones automatizadasAI2 Adquirir y mantener las aplicacionesAI3 Adquirir y mantener la tecnología e infraestructuraAI4 Facilitar la operación y el usoAI5 Conseguir recursos TIAI6 Gestionar el cambioAI7 Instalar y comunicar soluciones y cambios
Adquirir e Implementar
Planificar yOrgnaizar
Entregar ySoportar
Adquirir e Implementar
Monitorizar yEvaluar
Procesos TI
2011-NovemberISACA Valencia - V Congress 26
Entregar y Soportar (DS)
► Objetivos:§ La entrega de los actuales y futuros servicios con calidad§ La gestión de la seguridad, continuidad y entornos de producción§ Servicios de soporte para los usuarios
► Alcance:§ ¿Se entregan los servicios TI acorde con las prioridades del negocio?§ ¿Están optimizados los costes de TI?§ ¿Puede utilizar el personal los sistemas TI de manera productiva y segura?§ ¿Están consideradas adecuadamente la integridad, disponibilidad y confidencialidad?
Servicios TI Prioridades del negocio
2011-NovemberISACA Valencia - V Congress 27
DS1 Definir y gestionar los niveles de servicioDS2 Gestionar servicios de tercerosDS3 Gestionar el rendimiento y capacidadDS4 Garantizar el servicio continuoDS5 Garantizar la seguridad de los sistemasDS6 Identificar y asignar costesDS7 Educar y formar a los usuariosDS8 Gestionar incidentes en un Service DeskDS9 Gestionar la configuraciónDS10 Gestionar problemasDS11 Gestionar los datosDS12 Gestionar el entorno físicoDS13 Gestionar operaciones
Entregar y Soportar
Planificar yOrgnaizar
Entregar ySoportar
Adquirir e Implementar
Monitorizar yEvaluar
Procesos TI
2011-NovemberISACA Valencia - V Congress 28
Monitorizar y Evaluar (ME)► Objetivos:
§ Gestión del rendimiento§ Monitorización de controles internos§ Cumplimiento normativo§ Gobierno TI
► Alcance:§ ¿Es capaz la medición del rendimiento TI de detectar problemas antes de que sea
demasiado tarde?§ ¿Se asegura Dirección que los controles internos son efectivos y eficientes?§ ¿Puede el rendimiento de TI estar asociado a los objetivos de negocio?§ ¿Se informa acerca de los riesgos, controles rendimiento y conformidad legal
adecuadamente?
TI Rendimiento
Planificar yOrgnaizar
Entregar ySoportar
Adquirir e Implementar
Monitorizar yEvaluar
Procesos TI
2011-NovemberISACA Valencia - V Congress 29
ME1 Monitorizar y evaluar el rendimiento TIME2 Monitorizar y evaluar los controles internosME3 Garantizar el cumplimiento con los requerimientos externosME4 Proporcionar Gobernabilidad TI
Monitorizar y Evaluar
2011-NovemberISACA Valencia - V Congress
BUSINESS OBJECTIVES ANDGOVERNANCE OBJECTIVES
Efficiency
ApplicationsInformation
InfrastructurePeople
DELIVER AND
SUPPORT
MONITORAND
EVALUATE
ACQUIREAND
IMPLEMENT
INFORMATION
ITRESOURCES
C O B I TF R A M E W O R K
EffectivenessConfidentiality
Integrity
AvailabilityCompliance
DS1 Define and manage service levels.
DS2 Manage third-party services.DS3 Manage performance and
capacity.DS4 Ensure continuous service.DS5 Ensure systems security.DS6 Identify and allocate costs.DS7 Educate and train users.DS8 Manage service desk and
incidents.DS9 Manage the configuration.DS10 Manage problems.DS11 Manage data.DS12 Manage the physical
environment.DS13 Manage operations.
ME1 Monitor and evaluate IT performance.
ME2 Monitor and evaluate internal control.
ME3 Ensure compliance with external requirements.
ME4 Provide IT governance.
PO1 Define a strategic IT plan.PO2 Define the information
architecture.PO3 Determine technological
direction.PO4 Define the IT processes,
organisation and relationships.PO5 Manage the IT investment.PO6 Communicate management aims
and direction.PO7 Manage IT human resources.PO8 Manage quality.PO9 Assess and manage IT risks.PO10 Manage projects.
AI1 Identify automated solutions.AI2 Acquire and maintain application
software.AI3 Acquire and maintain technology
infrastructure.AI4 Enable operation and use.AI5 Procure IT resources.AI6 Manage changes.AI7 Install and accredit solutions and
changes.
PLANAND
ORGANISE
Reliability
2011-NovemberISACA Valencia - V Congress 31
2011-NovemberISACA Valencia - V Congress 32
2011-NovemberISACA Valencia - V Congress 33
2011-NovemberISACA Valencia - V Congress 34
2011-NovemberISACA Valencia - V Congress 35
2011-NovemberISACA Valencia - V Congress 36
2011-NovemberISACA Valencia - V Congress 37
2011-NovemberISACA Valencia - V Congress 38
2011-NovemberISACA Valencia - V Congress 39
2011-NovemberISACA Valencia - V Congress 40
2011-NovemberISACA Valencia - V Congress 41
2011-NovemberISACA Valencia - V Congress 42
Visión y aplicabilidad de COBIT Framework
Ramsés GallegoCISM, CGEIT, CISSP, SCPM, CCSK, ITIL, COBIT, Six Sigma Black Belt
Security Strategist & Evangelistramses.gallego@quest.com
GRACIAS