1Page 1

Diapositiva 1

Pontificia Universidad Catlica del PerFacultad de Ciencias e IngenieraSeccin Ingeniera Informtica

ADMINISTRACIN DE LA FUNCIN

INFORMTICA

Horario: 981Prof: Ing. Manuel Tupia A., COBIT 5.0 Trainer

2014-1

Captulo 5Riesgo y seguridad en la

implementacin de COBIT 5.0

Diapositiva 2

Contenido

Riesgo

Seguridad de informacin

Generalidades de la implementacin de COBIT 5.0

2Page 2

Diapositiva 3

Objetivos

Entender los conceptos relacionados a riesgos y seguridad como parte de la implementacin de COBIT 5.0

Identificar las fases generales de la implementacin del gobierno de TI usando COBIT 5.0

Diapositiva 4

RIESGOParte 1

3Page 3

Diapositiva 5

Introduccin

Cada actividad de negocio trae consigo tanto riesgos como oportunidades.

Se debe garantizar al interior de las empresas que tanto el riesgo financiero, riesgo operacional, riesgo legal o de cumplimiento y otros tipos de riesgos mas estn convenientemente identificados, monitoreados y tratados.

Diapositiva 6

Definiciones

Riesgo: Refleja la probabilidad de ocurrencia de un evento que puede

impactar sobre la empresa.

Potencialmente, este evento y sus consecuencias pueden ser:

Oportunidades de beneficio o mejora

Amenazas a la continuidad del negocio

4Page 4

Diapositiva 7

Gestin de riesgos

La correcta identificacin y evaluacin de los riesgos permite determinar los cursos de accin a seguir por la empresa, para hacer frente a las amenazas de su entorno.

La gestin de riesgos permite: Identificar el riesgo asociado a amenazas producidas por

personas, procesos, tecnologa, arquitecturas, aplicaciones, informacin, factores naturales y fsicos.

Determinar los niveles de riesgos e impacto asociados a cada amenaza.

Calcular los riesgos desde perspectivas cuantitativas y cualitativas.

Diapositiva 8

COBIT 5.0 for risk

COBIT 5 for Risk presenta dos perspectivas: Funcin de riesgos

Gestin de riesgos

5Page 5

Diapositiva 9

Perspectiva de la Funcin de Riesgos

Se enfoca en lo que es necesario construir o mantener dentro de la empresa con el objetivo de dar soporte a los riesgos: Polticas, procedimientos, metodologas.

Inventario y clasificacin de activos

Diapositiva 10

Perspectiva de la gestin de riesgos

Se enfoca en los procesos que permiten: Gobernar los riesgos

Identificar, analizar y responder a los riesgos.

Reportar impacto y medidas correctivas

6Page 6

Diapositiva 11

Drivers para riesgo

Los principales son: Stakeholders

Apetito de riesgos y tolerancia establecida dentro de la empresa

Metodologa elegida para la gestin de riesgos.

Escalas de manejo de impacto, expectativa de prdida

Diapositiva 12

Procesos de COBIT que dan soporte a los riesgos

7Page 7

Diapositiva 13

Procesos de COBIT que dan soporte a los riesgos

Diapositiva 14

Los habilitadores y el riesgo

La relacin entre habilitadores y riesgos puede verse: Existencia de procesos de gestin de riesgos.

Informacin para predecir escenarios de riesgos y calcular el impacto.

8Page 8

Diapositiva 15

Flujo de respuesta a los riesgos segn COBIT 5.0 for Risk

Diapositiva 16

Otros frameworks relacionados

ISO 31000:2009Risk management

ISO 27005:2011Information security risk management

COSO ERM

9Page 9

Diapositiva 17

SEGURIDADParte 2

Diapositiva 18

Introduccin

La informacin es el recurso ms importante en cualquier empresa, y en su ciclo de vida interviene profundamente las TICs.

La publicacin COBIT 5 for Information Security define cmo la seguridad de informacin puede ser aplicada en el mundo empresarial sobre la base de los principios y habilitadores planteados para el gobierno de TI.

10

Page 10

Diapositiva 19

COBIT 5.0 for Information Security

COBIT 5 for Information Security proporciona una serie de procedimientos para dotar de capacidades a la empresa, suficientes para: Reducir la complejidad e incrementar el costo beneficio

de las inversiones en seguridad.

Permite la integracin de estndares y buenas prcticas a nivel empresarial sobre seguridad.

Permite incrementar el nivel de satisfaccin de los usuarios con respecto al uso y calidad de la informacin usada para alcanzar sus objetivos

Mejora de los procesos de prevencin y recuperacin.

Permite reducir el impacto ante amenazas.

Diapositiva 20

Los habilitadores y la seguridad

COBIT 5 for Information Security establece lasrelaciones entre los habilitadores: Information security Policies, Principles and Frameworks

Processes, including information security-specific details and activities

Information security-specific Organisational Structures

In terms of Culture, Ethics and Behaviour, factors determining the success of information security governance and management

Information security-specific Information types

Service capabilities required to provide information security functions to an enterprise

People, Skills and Competencies specific to information security

11

Page 11

Diapositiva 21

Polticas de seguridad

Diapositiva 22

Otros frameworks relacionados

Business Model for Information Security (BMIS)ISACA

Standard of Good Practice for Information Security (ISF)

ISO/IEC 27000 Series

NIST SP 800-53a

Payment Card Industry (PCI)-Data Security Standard (DSS)

12

Page 12

Diapositiva 23

IMPLEMENTACIN DE COBIT 5.0

Parte 3

Diapositiva 24

Componentes del ciclo de vida

13

Page 13

Diapositiva 25

Componentes del ciclo de vida

Diapositiva 26

Factores externos e internos que influyen

tica y cultura

Legislacin y regulaciones

Misin, visin, valores y polticas

Planes y estrategias de negocios

Modelo operativo y estilos de gestin

Apetito de riesgo

Capacidades y recursos disponibles

14

Page 14

Diapositiva 27

Factores crticos de xito

Alta Gerencia provee direccin para cada una de las iniciativas.

Todos los interesados en los procesos de gobierno y gestin conocen y entienden los objetivos del negocio y de TI

Aseguramiento de un proceso de comunicacin eficiente y de aprobacin a los cambios que sean necesarios conducir.

Adaptar los marcos que se usen al contexto propio de la empresa.

Enfocarse en los objetivos y mejoras ms fciles de alcanzar e implementar.

Diapositiva 28

Fase 1 - Cules son los motivos?

Comienza con el reconocimiento y aceptacin de la necesidad de una iniciativa de implementacin o mejora. Iniciar el programa de implementacin

Establecer el deseo de cambio

Reconocer la necesidad de actuar

Identifica los puntos dbiles actuales (pain points) y los eventos que desencadenan (triggers) y crean el nimo de cambio a un nivel de direccin ejecutiva.

Objetivo: desarrollar el business case, identificando stakeholder, roles y responsabilidades.

15

Page 15

Diapositiva 29

Fase 1 - Cules son los motivos?

Puntos dbiles Triggers

Fallas en las iniciativas de TI por sus altos costos

Fusiones o adquisiciones de empresas

Percepcin de que las inversiones en TI aportan poco valor al negocio

Cambios en el mercado, la economa y la posicin y la operativa del negocio

Gran cantidad de incidentes de TI Nueva regulacin

Problemas para la entrega de servicios Cambios significativos en la tecnologa

Fallas en el cumplimiento de regulatorio o contractual por TI

Nuevos CIO, CFO, COO o CEO

Resultados negativos de auditoras de TI

Recursos insuficientes, sobrecargados, desmotivados, duplicados.

Alta Direccin es reacia a incluir a TI como elemento estratgico

Diapositiva 30

Fase 2- Dnde estamos ahora?

Definir problemas actuales que conducirn a crear / aprovechar las oportunidades que se presenten.

Motivar y asegurar el cambio estableciendo un equipo de trabajo de programa con poder de decisin Comit estratgico de TI

Auditar estado actual: Identificar las metas de TI actuales y verificar si estn

mapeadas a las metas del negocio (% de alineacin)

Identificar procesos de negocio core

Identificar riesgos

Entender el nivel de madurez de gobierno

16

Page 16

Diapositiva 31

Fase 3 - Dnde queremos estar?

Alta Direccin debe definir adonde se va a llegar. Definir el mapa de ruta para cubrir GAP

Comunicar visin deseada

Definir el estado ideal Definir los mecanismos para alcanzar dicho estado ideal,

en forma de programas de mejora continua

Diapositiva 32

Fase 4 - Qu se necesita hacer?

Desarrollar planes de programas Priorizar iniciativas

Desarrollar y justificar portafolios de proyectos

Dotar de poder de decisin a los roles claves

Disear y construir la mejora continua como concepto, ms que como planes aislados. Adoptar y adaptar mejores prcticas y que se materialicen en

polticas y procedimientos.

17

Page 17

Diapositiva 33

Fase 5 - Cmo conseguiremos llegar?

Ejecutar planes y programas Proveer reportes regulares a los stakeholders

Documentar y monitorear la contribucin de los proyectos a los objetivos de negocio.

Controlar los riegos

Medir lo que se est conduciendo

Implementar las mejoras

Diapositiva 34

Fase 6 - Hemos conseguido llegar?

Verificar los beneficios Monitorear performance total del programa versus lo

calculado en el business case.

Comparar inversin con beneficios obtenidos

Establecer y revisar las mtricas ms idneas para verificar convenientemente performance y cumplimiento de objetivos y responsabilidades.

Establecer mecanismos de ajuste y alineacin en caso se detecten mediciones Costo de la oportunidad

18

Page 18

Diapositiva 35

Fase 7 - Cmo mantener el impulso?

Tener una poltica clara para el establecimiento de mejoras Mantener el impulso es vital en el ciclo de vida

Revisar los beneficios alcanzados Verificar si son suficientes

Lecciones aprendidas.

Diapositiva 36

Referencias

COBIT 5 framework

COBIT 5 enabler guides