36
Patricia Prandini, CISA, CRISC Rodolfo Szuster, CISA, CIA , CBA

Patricia Prandini, CISA, CRISC Rodolfo Szuster, CISA, CIA, CBA

Embed Size (px)

Citation preview

Page 1: Patricia Prandini, CISA, CRISC Rodolfo Szuster, CISA, CIA, CBA

Patricia Prandini, CISA, CRISC

Rodolfo Szuster, CISA, CIA , CBA

Page 2: Patricia Prandini, CISA, CRISC Rodolfo Szuster, CISA, CIA, CBA

Breve reseña de COBIT

COBIT 5: un marco integral

Lo nuevo de COBIT 5

Introducción a “COBIT 5 for (Information) Security”

© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.

Page 3: Patricia Prandini, CISA, CRISC Rodolfo Szuster, CISA, CIA, CBA

© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.

Page 4: Patricia Prandini, CISA, CRISC Rodolfo Szuster, CISA, CIA, CBA

COBIT es un marco para el gobierno y la gestión de las tecnologías de información que permite a la gerencia conectar los requerimientos de control con los aspectos técnicos y los riesgos del negocio

COBIT permite el desarrollo de las políticas y prácticas requeridas y necesarias para el control de las tecnologías en toda la organización

COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a incrementar su valor a través de las tecnologías, y permite su alineamiento con los objetivos del negocio

© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.

Page 5: Patricia Prandini, CISA, CRISC Rodolfo Szuster, CISA, CIA, CBA

Gobierno de TI

COBIT4.0/4.1

Administración

COBIT3

Control

COBIT2

Auditoría

COBIT1

2005/720001998

Evo

luci

ón d

el

Alc

an

ce

1996 2012

Val IT 2.0(2008)

Risk IT(2009)

© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.

De la auditoría a un marco de gobierno de TI

Page 6: Patricia Prandini, CISA, CRISC Rodolfo Szuster, CISA, CIA, CBA

Marco para el gobierno y la gestión de las TI aceptado internacionalmente

Aplicable a todo tipo de organizaciones Complementado con herramientas y

capacitación Gratuito Respaldado por una comunidad de expertos En evolución permanente Avalado por una organización sin fines de lucro,

con reconocimiento internacional Mapeado con otros estándares

© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.

Page 7: Patricia Prandini, CISA, CRISC Rodolfo Szuster, CISA, CIA, CBA

Denominación, Area y DominioDescripción y propósito

Objetivos de IT a los que da soporte y métricas relacionadas

Objetivos del proceso y métricas relacionadas

Page 8: Patricia Prandini, CISA, CRISC Rodolfo Szuster, CISA, CIA, CBA

Niveles de responsabilidad de las partes interesadas

Prácticas , inputs, outputs y actividades

Estándares relacionados

Page 9: Patricia Prandini, CISA, CRISC Rodolfo Szuster, CISA, CIA, CBA

© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.

Page 10: Patricia Prandini, CISA, CRISC Rodolfo Szuster, CISA, CIA, CBA

La Información es un recurso clave para todas las Organizaciones, desde el momento en que es creada hasta el momento de su disposición.

Como resultado, hoy más que nunca se requiere:› Mantener información de alta calidad para sostener las

decisiones del negocio› La generación de valor desde las inversiones de TI› Lograr una excelencia operativa mediante la aplicación de la

tecnología› Mantener el riesgo relativo a la tecnología en valores

aceptables› Optimizar el costo de la tecnología y sus servicios› Dar cumplimiento a regulaciones cada vez más complejas

Page 11: Patricia Prandini, CISA, CRISC Rodolfo Szuster, CISA, CIA, CBA

Val IT es un marco de referencia de gobierno que incluye principios rectores generalmente aceptados y procesos de soporte relativos a la evaluación y selección de inversiones de negocios de TI

Risk IT es un marco de referencia normativo basado en un conjunto de principios rectores para una gestión efectiva de riesgos de TI.

BMIS (Business Model for Information Security) una aproximación holística y orientada al negocio para la administración de la seguridad informática

ITAF (IT Assurance Framework) un marco para el diseño, la ejecución y reporte de auditorias de TI y de tareas de evaluación de cumplimiento.

© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.

Page 12: Patricia Prandini, CISA, CRISC Rodolfo Szuster, CISA, CIA, CBA

La publicación, define y describe los componentes que forman el Marco COBIT

› Principios› Arquitectura› Facilitadores› Guía de implementación › Otras publicaciones futuras de interés

© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.

Page 13: Patricia Prandini, CISA, CRISC Rodolfo Szuster, CISA, CIA, CBA

Enfocado a las necesidades de las partes interesadasCubriendo la Organización íntegramenteAplicando un único marco IntegradorPermitiendo un enfoque holísticoSeparando el Gobierno y la Gestión

Source:  COBIT® 5, figure 2. © 2012 ISACA® All rights reserved.

Page 14: Patricia Prandini, CISA, CRISC Rodolfo Szuster, CISA, CIA, CBA

COBIT 5 Family of ProductsCOBIT 5 Enterprise Enablers

Source:  COBIT® 5, figure 11. © 2012 ISACA® All rights reserved.

Page 15: Patricia Prandini, CISA, CRISC Rodolfo Szuster, CISA, CIA, CBA

© 2012 ISACA. All rights reserved.

Source:  COBIT® 5, figure 12. © 2012 ISACA® All rights reserved.

Page 16: Patricia Prandini, CISA, CRISC Rodolfo Szuster, CISA, CIA, CBA

COBIT®

5

Implementación

Otras GuíasProfesionales

COBIT® 5 Ambiente Colaborativo en Línea

Guías de los Habilitadoress de COBIT® 5

COBIT®

5

Procesos Habilitadores

Otras Guías

Habilitadoras

COBIT ® 5

Información Habilitadora

COBIT®

5

para la Seguridad de la Información

COBIT ® 5 para el

Aseguramiento

COBIT®

5

para Riesgos

COBIT®

5

Guías para Profesionalesde COBIT® 5

© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.

Page 17: Patricia Prandini, CISA, CRISC Rodolfo Szuster, CISA, CIA, CBA

Una publicación independiente que desarrolla el modelo de facilitadores de los procesos

Source:  COBIT® 5: Enabling Processes, figure 8. © 2012 ISACA® All rights reserved.

Page 18: Patricia Prandini, CISA, CRISC Rodolfo Szuster, CISA, CIA, CBA

Procesos de GobiernoPermite que las múltiples partes interesadas tengan una lectura organizada del análisis de opciones, identificación del norte a seguir y la supervisión del cumplimiento y avance de los planes establecidos

Procesos de GestiónUtilización prudente de medios (recursos, personas, procesos, practicas) para lograr un fin específico© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.

Page 19: Patricia Prandini, CISA, CRISC Rodolfo Szuster, CISA, CIA, CBA

Source:  COBIT® 5, figure 16. © 2012 ISACA® All rights reserved.

Page 20: Patricia Prandini, CISA, CRISC Rodolfo Szuster, CISA, CIA, CBA

COBIT®

5

Implementación

Otras GuíasProfesionales

COBIT® 5 Ambiente Colaborativo en Línea

Guías de los Habilitadoress de COBIT® 5

COBIT®

5

Procesos Habilitadores

Otras Guías

Habilitadoras

COBIT ® 5

Información Habilitadora

COBIT®

5

para la Seguridad de la Información

COBIT ® 5 para el

Aseguramiento

COBIT®

5

para Riesgos

COBIT®

5

Guías para Profesionalesde COBIT® 5

© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.

Page 21: Patricia Prandini, CISA, CRISC Rodolfo Szuster, CISA, CIA, CBA

La Guía de Implementación COBIT 5 cubre los siguientes temas:

Posicionar al Gobierno de IT dentro de la organizaciónTomar los primeros pasos hacia un Gobierno de IT superadorDesafíos de implementación y factores de éxitosFacilitar la gestión del cambioImplementar la mejora continuaLa utilización del COBIT 5 y sus componentes

© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.

Page 22: Patricia Prandini, CISA, CRISC Rodolfo Szuster, CISA, CIA, CBA

Reconociendo los puntos débilesFrustración del negocio por iniciativas fallidas, escalada de

costos y baja percepción de valorIncremento de incidentes de TIProblemas con servicios tercerizadosRegulaciones o requerimientos contractuales incumplidosLimitaciones a la innovación, poca agilidad del negocioObservaciones recurrentes de auditoríaBaja performance o calidadCostos ocultos o inflexiblesPerdida de recursos, duplicación de esfuerzosModelos complejos de operaciónFalta de sponsors o racios a participar de iniciativas de TI

© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.

Page 23: Patricia Prandini, CISA, CRISC Rodolfo Szuster, CISA, CIA, CBA

Gestión del Programa(anillo exterior)

Habilitación del Cambio (anillo medio)

Ciclo de Vida de Mejora Continua

(anillo interior)

Page 24: Patricia Prandini, CISA, CRISC Rodolfo Szuster, CISA, CIA, CBA

Incremento de la creación de valor a través un gobierno y gestión efectiva de la información y de los activos tecnológicos con sus riesgos administrados. La función de TI se vuelve mas enfocada al negocioIncremento de la satisfacción del usuario con el compromiso de TI y sus servicios prestados – TI es visto como facilitador clave.Incremento del nivel de cumplimiento con las leyes regulaciones y políticas relevantes Las personas que participan son mas proactivas en la creación de valor a partir de la gestión de TI.

© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.

Page 25: Patricia Prandini, CISA, CRISC Rodolfo Szuster, CISA, CIA, CBA

© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.

Page 26: Patricia Prandini, CISA, CRISC Rodolfo Szuster, CISA, CIA, CBA

4 dominios

© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.

5 dominiosEvaluar, Dirigir & Monitorear

34 procesos37 procesos

Nuevos procesos y nueva organización

Pentágono de COBIT Dominio Evaluar,Dirigir & Monitorear

Objetivos de control Actividades

Page 27: Patricia Prandini, CISA, CRISC Rodolfo Szuster, CISA, CIA, CBA

© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.

Criterios de la Información

COBIT 4.1 COBIT 5Efectividad Utilidad

Eficiencia Usabilidad

Integridad Libre de Error

Confiabilidad Credibilidad

Disponibilidad Accesibilidad

Confidencialidad Seguridad

Cumplimiento Conformidad

Page 28: Patricia Prandini, CISA, CRISC Rodolfo Szuster, CISA, CIA, CBA

Integra Val IT, Risk IT, BMIS e ITAF Se modifican las metas del negocio y de TI,

dándole una mayor precisión al nexo entre ellas y discriminándolas entre primarias y secundarias

Aparece un nuevo Modelo de Madurez, basado en la norma ISO/IEC 15504 Software Engineering – Process Assessment Standard

© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.

Page 29: Patricia Prandini, CISA, CRISC Rodolfo Szuster, CISA, CIA, CBA

© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.

Page 30: Patricia Prandini, CISA, CRISC Rodolfo Szuster, CISA, CIA, CBA

COBIT 5 toma como base el modelo relacional que utiliza BMIS (Business Model for Information Security), incorporando su visión integral y sus componentes a la nueva versión

Source:  BMIS®, figure 2. © 2010 ISACA® All rights reserved.

© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.

Page 31: Patricia Prandini, CISA, CRISC Rodolfo Szuster, CISA, CIA, CBA

Evaluar, Dirigir y Monitorear Procesos para el Gobierno Corporativo de TI

Procesos para la Administración de TI Corporativa

Alinear, Planear y Organizar

Construir, Adquirir e Implementar

Entregar, Brindar Servicios y Dar Soporte

Monitorear, Evaluar

y Valorar

EDM01 Asegurarque se fija el Marco de

Gobierno y su Mantenimiento

EDM02 Asegurarla Entrega de Valor

EDM03 Asegurarla Optimización de los

Riesgos

EDM04 Asegurarla Optimización de los

Recursos

EDM05 Asegurarla Transparencia a las

partes interesadas

APO01 Administrar el Marco de la

Administración de TI

APO02 Administrarla Estrategia

APO04 Administrar la Innovación

APO03 Administrarla Arquitectura

Corporativa

APO05 Administrar el Portafolio

APO06 Administrarel Presupuesto y los

Costos

APO07 Administrar el Recurso Humano

APO08 Administrar las Relaciones

APO09 Administrar los Contratos de Servicios

APO11 Administrarla Calidad

APO10 Administrarlos Proveedores

APO12 Administrar los Riesgos

APO13 Administrar la Seguridad

BAI01 AdministrarProgramas y Proyectos

BAI02 Administrarla Definición de Requerimientos

BAI04 Administrar la Disponibilidad y

Capacidad

BAI03 Administrarla Identificación y Construcción de

Soluciones

BAI05 Administrar la Habilitación del Cambio BAI06 Administrar

Cambios

BAI07 Administrar la Aceptación de Cambios

y Transiciones

BAI08 Administrar el Conocimiento

BAI09 Administrar los Activos

BAI10 Admnistrar la Configuración

DSS01 Administrar las Operaciones

DSS02 Administrar las Solicitudes de Servicios

y los Incidentes

DSS04 Administrar la Continuidad

DSS03 Administrar Problemas

DSS05 Administrar los Servicios de Seguridad

DSS06 Administrar los Controles en los

Procesos de Negocio

MEA01 Monitorear, Evaluar y Valorar el

Desempeño y Cumplimiento

MEA02 Monitorear, Evaluar y Valorar el Sistema de Control

Interno

MEA03 Monitorear, Evaluar y Valorar el Cumplimiento con

Requisitos Externos

Page 32: Patricia Prandini, CISA, CRISC Rodolfo Szuster, CISA, CIA, CBA

COBIT®

5

Implementación

Otras GuíasProfesionales

COBIT® 5 Ambiente Colaborativo en Línea

Guías de los Habilitadoress de COBIT® 5

COBIT®

5

Procesos Habilitadores

Otras Guías

Habilitadoras

COBIT ® 5

Información Habilitadora

COBIT®

5

para la Seguridad de la Información

COBIT ® 5 para el

Aseguramiento

COBIT®

5

para Riesgos

COBIT®

5

Guías para Profesionalesde COBIT® 5

© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.

Page 33: Patricia Prandini, CISA, CRISC Rodolfo Szuster, CISA, CIA, CBA

Se proyecta como una guía específica para los profesionales de la Seguridad de la Información y otros interesados

Se construye sobre el marco del COBIT 5, un enfoque robusto para el gobierno y la gestión de la seguridad de la información, sobre la base de los procesos de negocios de la organización

Presentará una visión extendida del COBIT 5 , que explica cada uno de sus componentes desde la perspectiva de la seguridad

Creará valor para todos los interesados a través de explicaciones, actividades, procesos y recomendaciones

Propondrá una visión del gobierno y la gestión de la seguridad de la información mediante una guía detallada para establecerla, implementarla y mantenerla, como parte de las políticas, procesos y estructuras de la organización.

© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.

Page 34: Patricia Prandini, CISA, CRISC Rodolfo Szuster, CISA, CIA, CBA

Principales contenidos: Directrices sobre los principales drivers y

beneficios de la seguridad de la información para la organización

Aplicación de los principios de COBIT 5 por parte de los profesionales de la seguridad de la información

Mecanismos e instrumentos para respaldar el gobierno y la gestión de la seguridad de la información en la organización

Alineamiento con otros estándares de seguridad de la información

© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.

Page 35: Patricia Prandini, CISA, CRISC Rodolfo Szuster, CISA, CIA, CBA

Estado actual del COBIT 5 for (Information) Security:

Se distribuyó un borrador a un grupo de expertos en la materia (SME) en enero de 2012

Durante el mes de febrero, el equipo “COBIT Security Task Force” de ISACA revisará e incorporará el feedback en el texto

Fecha esperada de publicación: junio de 2012

© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.

Page 36: Patricia Prandini, CISA, CRISC Rodolfo Szuster, CISA, CIA, CBA

¡GRACIAS POR ESCUCHARNOS!

Patricia PRANDINI Rodolfo SZUSTER

Corrientes 389 – EP – CABAwww.adacsi.org.ar

Tel: 5411 [email protected]