Post on 03-Feb-2016
Cómo lograr Aseguramiento de TIUtilizando COBIT 5
A/S Gerardo Alcarraz, CISA, CRISC
Banco de la República Oriental del Uruguay
ARGENTINA 201415 - 16 de Mayo
• Evolución de COBIT y Aseguramiento
• Innovación
• El Proceso para adoptar COBIT
• COBIT 5 for Assurance
• Ejemplos
• Reflexiones Finales
Agenda
Gobierno de IT
COBIT4.0/4.1
Gestión
COBIT3
Control
COBIT2
An business framework from ISACA, at www.isaca.org/cobit
Auditoría
COBIT1
COBIT: Un
2005/720001998
Evo
luci
ón d
el
alc
anc
e
1996 2012
Val IT 2.0(2008)
Risk IT(2009)
Evolución de COBITY Aseguramiento
v
El Proceso para adoptar COBIT
Paso 1
Paso 2
Pasos 3 y 4
Paso 5
COBIT 5Conceptos Clave
Catalizadores
Modelo de Referencia de Procesos
Governance
TI
Estructura de Procesos
COBIT 5 for Assurance
Las Dos Perspectivas
La perspectiva de aseguramiento describe QUE es lo requerido para entregar aseguramiento a la empresa por medio del los catalizadores de COBIT 5
La perspectiva de la evaluación busca los procesos principales de la evaluación y describe COMO proveer aseguramiento sobre los punto de TI a evaluar representados por los catalizadores de COBIT 5
Alcance de COBIT 5 for Assurance
Perspectiva desde la función de Assurance
Catalizadores – Ejemplo 1
Repositorio de modelo de riesgosHerramientas CAATsBiblioteca de prácticas de AuditoríaSistema de Gestiócn DocumentalHerramientas de Planificación….….
Catalizadores – Ejemplo 2
Mapa de ProcesosEDM01 – Determinar el Marco de GobiernoEDM02 – Asegurar la Entrega de BeneficiosEDM03 – Asegurar la Optimización de los RiesgosEDM05 – Asegurar transparencia a los interesadosAPO02 – Gestionar la EstrategiaAPO06 – Gestionar el Presupuesto y los CostosAPO07 – Gestionar los Recursos HumanosAPO08 – Gestionar el RelacionamientoAPO11 – Gestionar la CalidadAPO12 – Gestionar RiesgosBAI08 – Gestionar el Conocimiento
Procesos Clave
Diseño del Proceso - Assurance
Prácticas y ActividadesEntradas y Salidas - Assurance
Diagrama RACI - Assurance
Perspectiva desde la Evaluación
Fases de la Evaluación
Plan de Aseguramiento
1 – Mapear los Objetivos Estratégicos de la Organización con los Objetivos Estratégicos Empresariales establecidos en COBIT 5
Plan de Aseguramiento
2 – Seleccionar los Objetivos Estratégicos Empresariales en COBIT 5
Lo que nos pasó o nos puede pasar…
22-2-2014
Impacto
• 465 millones de usuarios individuales
• 20.000 millones de msj. Enviados/Día
• 44.000 millones de msj. Recibidos/Día
• 19.000 millones de U$S – Venta Facebook
Fuente DealerWorld Abril 2014
Relación Empresa - TI
Objetivos de la Empresa
04 – Riesgo de Negocio relacionados con las TI gestionados07 – Seguridad de la Información, Infraestructura de procesamiento y aplicaciones14 – Disponibilidad de Información útil y relevante para la toma de decisiones
Relación Metas deTI - Procesos
Metas de TI
Procesos CandidatosProcesos de COBIT 5 4 10 14
EDM03 Asegurar la Optimización del Riesgo P P S
APO09 Gestionar los Acuerdos de Servicio S S P
APO10 Gestionar los Proveedores P S S
APO12 Gestionar los Riesgos P P S
APO13 Gestionar la Seguridad P P P
BAI01 Gestionar los Programas y Proyectos P
BAI04 Gestionar la Disponibilidad y Capacidad S P
BAI06 Gestionar los Cambios P P S
BAI10 Gestionar la Configuración S S P
DSS01 Gestionar las Operaciones P S S
DSS02 Gestionar los Incidentes P S S
DSS03 Gestionar los Problemas P P
DSS04 Gestionar la Continuidad P S P
DSS05 Gestionar los Servicios de Seguridad P P S
DSS06 Gestionar los Controles de los Procesos de Negocio
P S S
Ranking de Procesos CandidatosProcesos de COBIT 5 4 10 14
APO13 Gestionar la Seguridad P P P
EDM03 Asegurar la Optimización del Riesgo P P S
APO12 Gestionar los Riesgos P P S
BAI06 Gestionar los Cambios P P S
DSS05 Gestionar los Servicios de Seguridad P P S
DSS04 Gestionar la Continuidad P S P
DSS03 Gestionar los Problemas P P
APO10 Gestionar los Proveedores P S S
DSS01 Gestionar las Operaciones P S S
DSS02 Gestionar los Incidentes P S S
DSS06 Gestionar los Controles de los Procesos de Negocio
P S S
APO09 Gestionar los Acuerdos de Servicio S S P
BAI10 Gestionar la Configuración S S P
BAI04 Gestionar la Disponibilidad y Capacidad S P
BAI01 Gestionar los Programas y Proyectos P
Evaluación del Proceso - RACI
Estructura OrganizativaPersonas Involucradas
Habilidades y Competencias
Evaluación del Proceso – Entradas, Actividades, Salidas
EVIDENCIASinformación
EJECUCION DE ACTIVIDADES Principios, Políticas y Marcos
Servicios Infraestructura y AplicacionesCultura y ética
REFLEXIONES Finales
Reflexiones Finales…
• “No sean NABOS…”• “Lo inevitable no se lloriquea. Lo
inevitable hay que enfrentarlo”.• ”Enfrentamos el sedentarismo con
caminadores, al insomnio con pastillas, a la soledad con electrónica”.
Preguntas y Respuestas
¡Muchas Gracias por su atención!
A/S Gerardo Alcarraz, CISA, CRISCCOBIT Foundation Certificate
ger@rdo@lc@rr@z@gmail.com