1
Mas de 16 años sirviendo en el Área del Control, la Auditoría y la Seguridad de los sistemas de tecnología de la información.
2
S-Ox, Cobit, Coso, Iso 17799 ,ITL y otros varios acr贸nimos This product, software, service or consulting services is, "100% Sarbanes Oxley Compliant."
3
Todos los caminos deberĂan conducir a ROMA
ROMA
4 Coso
CobiT
ERM
Misi贸n Objetivos estrat茅gicos Gobierno Corporativo
Iso 17799
ITIL
5
Relaci贸n entre Coso y Cobit
6
Nuevos paradigmas
LOS CONCEPTOS DE RIESGO, CONTROL Y AUDITORÍA ESTÁN EVOLUCIONANDO MÁS ALLÁ DE LA BUSQUEDA DE CONTROL Y SEGURIDAD HACIA LA BUSQUEDA DE APOYAR EFECTIVAMENTE A GOBERNABILIDAD EMPRESARIAL Y LA GOBERNABILIDAD DE LA TI.
7
Gobernabilidad Empresarial • Conjunto de responsabilidades y prácticas del ejercicio de la Dirección y la Gerencia Ejecutiva con el propósito de brindar Dirección Estratégica, asegurar el logro de los objetivos de la empresa, asegurar la apropiada administración de los riesgos y verificar que los recursos de la empresa son usados de forma responsable. (ITGI)
8
La Gobernabilidad de la TI
• Parte integral de la Gobernabilidad Empresarial que debe asegurar que las estrategias y objetivos de la organización, se sustentan y extienden adecuadamente en el ámbito de la Tecnología de la Información.
9
¿Qué preguntas deben hacerse los directores?
1. ¿Cómo se alinea la TI con la estrategia del negocio, y como se utiliza en todas las actividades de la empresa? 2. ¿Cómo aporta la inversión en TI a mejorar la calidad del servicio? 3. ¿Se usan adecuadamente los recursos de la TI? 4. ¿Cuáles son las políticas y los procedimientos para administrar el riesgo de la TI? 5. ¿Cómo aprender de exitos y de fracasos?
10
Implantaci贸n de gobierno de la TI en base al marco COBIT
11
Cobit • Es un estándar cada vez más aceptado al ser de acceso libre en muchos de sus componentes • Esta en evolución permanente • Es 100 % compatible con ISO 17799, COSO I y COSO II y otros estándares relacionados.
12
Los Objetivos de Control de Cobit. • Es un conjunto de mejores prácticas que debe y puede ser cumplido por cualquier organización. • Buscan contemplar el interes del negocio • Su no cumplimiento implica la exposición a amenazas. • Es lo suficientemente amplio para ser adaptable a cualquier tecnología Actores : • Puede ser usado por el Area tecnológica como una iniciativa propia con un enfoque de auto evaluación. Punto a resolver: ¿Cómo usarlos?
13
Proceso de Cobti DS 10
(Administración de Problemas e Incidentes) La organización NO cuenta con un sistema que registre, analice y resuelva en forma oportuna problemas que se aparten de la operativa normal. ¿Debe solucionarse? Sí ¿Es prioritario? Dependerá de la organización y de quién opine ¿Tiene efecto directo sobre los objetivos del negocio? Podría ser, no está definido. ¿Dónde está el como solucionarlo? En el sentido común, normas ISO, ITIL, etc. ¿Con qué profundidad/complejidad debe ser tratado? Dependerá de la organización
14
Modelo de maduracion para IT-G • Nivel 0 Se acepta el servicio que brinda TI. El mismo puede ser insatisfactorio pero no se discute la posibilidad de que sea mejorado • ... • Nivel 5 Las prácticas de gobernabilidad de TI se encuentran desarrolladas.Hay una adecuada trasparencia de las actividades de TI. Hay un comité que define y controla la estrategia de S.I. La TI toma en cuenta las reales prioridades de negocio para definir sus objetivos. •
Adaptado de Journal Isaca 2.2005
15
Mapa de ruta para implantar el Gobierno de la TI en su organización según el ITGI Revisión de Post Implantación • Medir resultados de los proyectos de mejora • Retroalimentar otros proyectos de mejora Generar Conciencia y tomar decisiones
Analizar valor y riesgo
Selección de procesos
Identificar necesidades Definir donde estamos
Definir donde queremos estar
Analizar brechas
Visualizar la solución Definir proyectos
Planificar Implementa ción de Mejoras
Planificar solución Solución Sustentable Establecer políticas, objetivos y metas. Implantar políticas, responsabilidades, procesos y procedimientos. Medir el desempeño respecto de políticas y mejores prácticas referenciales. Tomar medidas preventivas y correctivas y mejorar continuamente.
Integrar en las prácticas del día a día
Integrar medidas en Tablero de Mando
Implantar la solución
16
17
Suite Meycor COBIT
Usuario MG
Route Finder
Knowledge Provider
Risk Manager AG
Delphos
CSA
18
Inicio del proyecto
19
Proyecto de implementaci贸n
Se desagrega el proyecto en actividades. Para cada tarea se define el objetivo y los responsables.
20
Anรกlisis de Valor
21
Procesos del negocio
Se identifican los procesos del negocio de la organizaci贸n. Los procesos son realizados por unidades de la organizaci贸n.
22
Objetivos del negocio
Se identifican los objetivos de negocio de la organizaci贸n. Estos objetivos de negocio son soportados por la TI.
23
Objetivos de TI
La organizaci贸n requiere servicios de TI para cumplir con los objetivos del negocio. Los objetivos de TI cumplen con ciertos criterios de informaci贸n de COBIT.
24
Recursos de TI necesarios Los recursos de TI dan soporte a los objetivos del negocio a travĂŠs del apoyo a los objetivos de TI.
25
Anรกlisis de Riesgos
26
Valoraci贸n de los riesgos identificados Se realiza la evaluaci贸n de los riesgos seg煤n el impacto, probabilidad y la evaluaci贸n de los controles existentes.
27
Riesgos operativos en TI ¿Cuáles son los riesgos tecnológicos más críticos? ¿Puede convivir con ellos? ¿Cuánto cuesta atenderlos?
28
Diagn贸stico
29
An谩lisis de autoevaluaci贸n de Controles Se realiza el an谩lisis de los resultados obtenidos por la evaluaci贸n.
30
Niveles de maduración en la controlabilidad de TI ¿Cuál es la brecha existente en los controles entre la evaluación actual según Cobit y el nivel objetivo?
31
Planes de Acci贸n
32
Asignaci贸n de recursos y responsabilidades a los proyectos
33
Planes de acci贸n 驴Qu茅 acciones requieren la inmediata atenci贸n para que TI entregue valor y disminuya sus riesgos?
34
Mediciones del ĂŠxito
Medici贸n de objetivos e indicadores 驴C贸mo construir un Cuadro de Mando tecnol贸gico? 35
36
Revisi贸n de auditor铆a
37 es el grado de satisfacción de los ¿Cuál
“stakeholders” con el valor que brinda TI? • Meycor Cobit Suite ayuda efectivamente a que en un plazo razonable la satisfacción pase de la primera gráfica a la segunda…
38
Meycor COBIT Suite • Es una solución a la necesidad de alinear la tecnología con el negocio. • Acompaña el road map de implantación del gobierno de la TI con COBIT establecido por ISACA/ITGI. • Logra demostrar que la tecnología entrega un genuino valor al negocio. • Implanta conocimiento explícito en materia de mejores prácticas. • Genera las métricas necesarias para tomar decisiones de mejoramiento continuo.