1. Taller Principios de COBIT
Facilitadores:
Ing. David Ricardo Rodríguez Calderón, Lic. Gestión Recursos
Ing. Jorge E. López Martínez, MBA
Programa de capacitación continua en tecnologías de información
2. BIENVENIDO AL CURSO!
Por favor preséntese usted mismo y
describa su conocimiento actual de COBIT
y de Gobierno de TI
3. Objetivo General
Proporcionar al personal de la organización
una introducción a los conceptos de
gobierno de TI y los procesos COBIT y de
gestión de Tecnologías de Información.
4. Objetivos Específicos
Reflexionar sobre la importancia del Control de TI
Conocer los factores claves de la Gestión de TI
Conocer los aspectos básicos sobre Gobierno de TI
Conocer el marco de referencia COBIT
Fortalecer el trabajo en equipo
7. RAE Control.
(Del fr. contrôle).
• 1. m. Comprobación, inspección,
fiscalización, intervención.
8. Control.
(Def. Moderna)
“... la serie de acciones diseñadas por la
administración activa para proporcionar
una seguridad razonable en torno a la
consecución de los objetivos de la
organización...”
12. 41%
50%
9%
Incidentes de Seguridad Experimentados
Si
No
No tiene idea
Fuente: 2010 CSI (Computer Security Institute)
Entrevista sobre Crimen y Seguridad de TI
2010: 285 entidades entrevistadas
13. Perdidas por incidentes de seguridad
Tipo de ataque % Monto de la pérdida $
Fraude financiero 34,4% 21.124.750,00
Virus 13,7% 8.391.800,00
Sistema vulnerados 11,2% 6.875.000,00
Robo de información de clientes o empleados 9,3% 5.685.000,00
Robo de dispositivos móviles (PC) 6,3% 3.881.150,00
Abuso en el acceso de red interna 4,7% 2.889.700,00
Negación de servicio 4,7% 2.888.600,00
Ataque de Phising 4,5% 2.752.000,00
Robo de la propiedad intelectual - información 3,8% 2.345.000,00
Sabotaje 1,7% 1.056.000,00
Acceso no autorizado a la información 1,7% 1.042.700,00
Obtención de claves de acceso 1,7% 1.042.700,00
Desconfiguración del Web site 1,2% 725.300,00
Abuso de las redes inalámbricas 0,9% 542.850,00
Uso indebido de mensajería instantánea 0,3% 200.700,00
100% 61.443.250,00
17. Exposición al riesgo
Alto
Medio
Bajo
Riesgo Operativo
• “…posible perdida como
consecuencia de fallas en los
contratos y transacciones,
derivadas de actuaciones
malintencionadas, negligencia …”
Riesgo legal:
• “… posible pérdida en que incurre
por desprestigio, mala imagen,
publicidad negativa …”
Riesgo reputacional:
19. Pérdida o deterioro de activos y bienes
Pérdida de dinero
Pérdida de prestigio ante los usuarios
Cobro de multas ante instituciones por pagos a destiempo
de obligaciones permanentes
Adquisiciones al margen de la ley
Funcionarios que incumplen con sus obligaciones laborales
26. En muchas organizaciones TI NO es el “core” del negocio,
pero es vital para su funcionamiento
Sala de máquinas de un barco Función de TI en una organización
27. Gestión de Riesgo de TI
en Servicoop RL
Gestión de TI como:
Tecnología
Centro de Costo
Negocio
Justificación
29. Gestión de TI como negocio
Servicios de calidad
• Cumplen de forma consistente los parámetros acordados en términos de
funcionalidad, rapidez, disponibilidad y seguridad.
Procesos eficientes
• Utilizan la menor cantidad posible de recursos materiales, humanos y financieros
sin menoscabar su resultado.
Una actitud innovadora
• Permanente curiosidad por las novedades en las tecnologías o métodos de
gestión, que son sistemáticamente evaluadas para determinar su aplicabilidad
• Una actitud crítica respecto al "status quo" o el modo tradicional de hacer las
cosas.
• Tolerancia al fallo, es decir, admisión de la prueba de novedades que sale mal,
siempre que se haya aprendido algo útil de la experiencia.
31. RAE Gobierno.
1. m. Acción y efecto de gobernar o
gobernarse. (Guiar y dirigir, Regirse según una
norma, regla o idea.)
32. Acuerdo SUGEF 16-09 (Gobierno Corporativo)
Conjunto de políticas, normas y órganos internos
mediante los cuales se dirige y controla la gestión de
una entidad. Comprende las relaciones entre los
accionistas o asociados, la Junta Directiva u órgano
equivalente, ejecutivos, sus comités de apoyo, las
unidades de control, la gerencia y las auditorías interna
y externa.
34. IT Governance Institute (Gobierno de TI)
Un conjunto de responsabilidades
prácticas ejecutadas por la junta
directiva y la administración ejecutiva
con el fin de proveer dirección
estratégica, garantizando que los
objetivos sean Alcanzados,
estableciendo que los riesgos son
administrados apropiadamente y
verificando que los recursos de la
empresa son usados
responsablemente.
36. Pilares para un buen Gobierno
Estructura
ProcesosComunicación
37. RAE Gobernanza
1. f. …Arte o manera de gobernar que se
propone como objetivo el logro de un
desarrollo económico, social e institucional
duradero, promoviendo un sano equilibrio …
38. Niveles de Gobernanza
Gobernanza Corporativa (COSO)
La provisión de la
estructura que
permita determinar
los objetivos de la
Organización y
supervisar el
rendimiento, a fin de
asegurar que los
objetivos son
cumplidos. OCDE
(2004).
Gobernanza de TI
La especificación del
marco de derechos a
la toma de decisiones
y la alta
responsabilidad para
favorecer un
comportamiento
deseable en el uso de
las TIC. MIT/Sloan
School of
Management (2004)
Gobernanza de la Seguridad de la
Información y Tecnologías afines
El establecimiento y mantenimiento de un marco que provea garantía de que las
estrategias de seguridad de la información están alineadas con los objetivos del
negocio y son conformes a las leyes y regulaciones aplicables ISACA/CISM BoK
(2002)
39. ¿Cómo se lleva a cada la integración de
Gobierno de TI con Gobierno Corporativo?
45. Control de TI
COBIT
Control OBjectives por Information end
related Technology
Brindan buenas prácticas a través de un
marco de trabajo de dominios y procesos,
y presenta las actividades en una
estructura manejable y lógica.
47. Marco de Referencia
Éxito de TI
• Satisfacer los
requerimientos del negocio
• Marco de Referencia o
Marco de Control
Es responsabilidad de la
Dirección
Estableciendo un vínculo con los
requerimientos del negocio
Organizando las actividades de TI en un
modelo de procesos generalmente
aceptado
Identificando los principales recursos de TI
a ser utilizados
Definiendo los objetivos de control
gerenciales a ser considerados
48. ¿Cómo puede la empresa poner bajo control
la TI de tal manera que genere la información
que la empresa necesita?
49. ¿Cómo puede administrar los riesgos y
asegurar los recursos de TI de los cuales
depende tanto?
50. ¿Cómo puede la empresa asegurar que TI
logre sus objetivos y soporte los del negocio?
51. lo que no se puede medir no se puede controlar
52.
53. Benchmarking:
• De la capacidad de los procesos de TI, expresada como modelos de
madurez, derivados del Modelo de Madurez de la Capacidad del
Instituto de Ingeniería de Software
Metas y métricas de los procesos de TI
• Para definir y medir sus resultados y su desempeño, basados en los
principios de balanced business Scorecard de Robert Kaplan y David
Norton
Metas de actividades:
• Para controlar estos procesos, con base en los objetivos de control
detallados de COBIT
54. COBIT
Se enfoca en qué se
requiere para lograr
una administración
y un control
adecuado de TI, y se
posiciona en un
nivel alto.
Alineado y
armonizado con
otros estándares y
mejores prácticas
más detallados de
TI
Resume los
objetivos clave bajo
un mismo marco de
trabajo integral que
también se vincula
con los
requerimientos de
gobierno y de
negocios.
Actúa como un integrador de todos estos materiales guía
58. COBIT
• Brinda un modelo de procesos genéricos que
representa todos los procesos que normalmente
se encuentran en las funciones de TI
E1
E2
S3
S1 S2
P1
A1
A2
P2
A1
A2
P3
A1
A2
61. Criterios de Información de TI
• Relevante, pertinente, correcta, consistente,
utilizable y oportuna a los procesos del
negocio.
La efectividad
• optimizan los recursos (más productivo y
económico)La eficiencia
• Protección de información sensitiva contra
revelación no autorizada.Confidencialidad
• La precisión y completitud y su validez de
acuerdo a los valores y expectativas del
negocio
La integridad
• Disponible en cualquier momento y
protección de los recursos y las capacidades
necesarias asociadas.
La disponibilidad
• Acatar aquellas leyes, reglamentos y
acuerdos contractuales a los cuales está
sujeto así como políticas internas.
El cumplimiento
• Apropiada para que la gerencia administre la
entidad y ejercite sus responsabilidades
fiduciarias y de gobierno.
La confiabilidad
64. Componentes de COBIT
Negocio Procesos TI
Objetivos de
Control
Metas de
actividades
Directrices de
Auditoria
Practicas de
Control
Indicadores
Clave de
desempeño
Indicadores
Clave de
Metas
Modelos de
Madurez
66. Marco de Control Gobierno de TI
¿Por qué ?
• Para satisfacer los requerimientos del negocio
¿A quién ?
• Interesados internos y externos (Directivos, Gerencia Dueños
de Procesos, Auditores, Reguladores, Proveedores, entre otros)
¿Qué brinda?
• Un lenguaje común, con un juego de términos y definiciones
que sean comprensibles en lo general para todos los
Interesados.
75. Dominios COBIT
PO (10)
Planear y
Organizar
Este dominio cubre las
estrategias y las tácticas, y
tiene que ver con identificar
la manera en que TI pueda
contribuir de la mejor
manera al logro de los
objetivos del negocio.
Además, la realización de la
visión estratégica requiere
ser planeada, comunicada y
administrada desde
diferentes perspectivas
76. PO1 • Definir un plan estratégico de TI
PO2 • Definir la arquitectura de la información
PO3 • Determinar la dirección tecnológica
PO4 • Definir los procesos, organización y relaciones de TI
PO5 • Administrar la inversión en TI
PO6 • Comunicar las aspiraciones y la dirección de la gerencia
PO7 • Administrar recursos humanos de TI
PO8 • Administrar la calidad
PO9 • Evaluar y administrar los riesgos de TI
PO10 • Administrar proyectos
77. Dominios COBIT
AI (7)
Adquirir e
Implementar
Para llevar a cabo la estrategia
de TI, las soluciones de TI
necesitan ser identificadas,
desarrolladas o adquiridas así
como la implementación e
integración en los procesos del
negocio. Además, el cambio y el
mantenimiento de los sistemas
existentes está cubierto por
este dominio para garantizar
que las soluciones sigan
satisfaciendo los objetivos del
negocio.
78. AI1
• Identificar soluciones automatizadas
AI2
• Adquirir y mantener software aplicativo
AI3
• Adquirir y mantener infraestructura tecnológica
AI4
• Facilitar la operación y el uso
AI5
• Adquirir recursos de TI
AI6
• Administrar cambios
AI7
• Instalar y acreditar soluciones y cambios
79. Dominios COBIT
DS (13)
Entrega y Dar
Soporte
Este dominio cubre la entrega
en sí de los servicios
requeridos, lo que incluye la
prestación del servicio, la
administración de la seguridad
y de la continuidad, el soporte
del servicio a los usuarios, la
administración de los datos y
de las instalaciones
operacionales.
80. DS1 • Definir y administrar los niveles de servicio
DS2 • Administrar los servicios de terceros
DS3 • Administrar el desempeño y la capacidad
DS4 • Garantizar la continuidad del servicio
DS5 • Garantizar la seguridad de los sistemas
DS6 • Identificar y asignar costos
DS7 • Educar y entrenar a los usuarios
DS8 • Administrar la mesa de servicio y los incidentes
DS9 • Administrar la configuración
DS10 • Administrar los problemas
DS11 • Administrar los datos
DS12 • Administrar el ambiente físico
DS13 • Administrar las operaciones
81. Dominios COBIT
ME (4)
Monitorear y
Evaluar
Todos los procesos de TI deben
evaluarse de forma regular en el
tiempo en cuanto a su calidad y
cumplimiento de los
requerimientos de control. Este
dominio abarca la
administración del desempeño,
el monitoreo del control
interno, el cumplimiento
regulatorio y la aplicación del
gobierno.
82. ME1
• Monitorear y evaluar el desempeño de
TI
ME2
• Monitorear y evaluar el control interno
ME3
• Garantizar el cumplimiento regulatorio
ME4
• Proporcionar gobierno de TI