Procesos Habilitadores - COBIT 5 by Milton Matamala

INFORMÁTICA Y TELECOMUNICACIONES

INFORME COBIT 5 Procesos habilitadores

Nombre: Carrera: Asignatura: Profesor: Sede: Fecha:

Milton Fabian Matamala Sanhueza. Ingeniería en Ciberseguridad. SINE01-127ICI. Héctor Gastón Muñoz Flores. Concepción - Talcahuano. 13.05.2018.

TABLA DE CONTENIDO 1. Resumen Ejecutivo ................................................................................................. 03 2. Introducciรณn ............................................................................................................ 08 3. Alcanze..................................................................................................................... 09 4. Metodologia ............................................................................................................. 12 5. Resultados del analisis........................................................................................... 14 5.1 Criterios de evaluaciรณn de procesos ................................................................... 14 5.2 Criterios de evaluaciรณn de recomendaciones ..................................................... 14 5.3 Detalle de resultados........................................................................................... 15 5.3.1 Evaluaciรณn Nivel 1 - Ejecutado .................................................................. 16 5.3.1.1 APO12 - Administrar los Riesgos ................................................... 17 5.3.1.2 APO13 - Administrar la Seguridad.................................................. 23 5.3.1.3 BAI10 - Administrar la Configuraciรณn .............................................. 31 5.3.1.4 DSS04 - Administrar la Continuidad ............................................... 33 5.3.1.5 DSS05 - Administrar los Servicios de Seguridad............................ 37 5.3.1.6 MEA02 - Monitorear, Evaluar y Valorar el Sistema de Control Interno ............................................................................. 43 5.3.2 Nivel 2 - Establecido a 5 - Optimizado ....................................................... 46 6. Conclusiones ........................................................................................................... 47

1. Resumen Ejecutivo Objetivo El siguiente informe tiene como finalidad presentar los resultados del servicio solicitado por el establecimiento educacional de la Universidad Tecnológica de Chile INACAP a los estudiantes de Ingeniería en Ciberseguridad, consistente en un GAP Analysis para los procesos del área de Informática bajo el marco de trabajo integral COBIT 5. El objetivo del servicio es dar a conocer los niveles de madurez actuales en lo que se encuentran los procesos de TI (Tecnologías de la Información) que fueron seleccionados para su evaluación y proponer una serie de acciones que permitan al establecimiento de educación superior alcanzar los niveles de madurez deseados. La evaluación fue desarrollada entre los meses de Marzo y Junio del 2018. Alcance A través del ciclo de mejora continuo, se logra medir el nivel de madurez de la gestión de los procesos de las tecnologías de la información de INACAP. Lo que incluye: 1. Definir el alcance del diagnóstico y nivel de madurez deseado (“To be”). 2. Medición del nivel de madurez actual (“As is”) y detección de brechas respecto a la madurez deseada. 3. Identificación de iniciativas de mejora para cubrir brechas. 4. Implementación de las mejoras. No se incluye dentro del alcance del presente proyecto la implementación de mejoras por parte del alumno. Para ello, se han analizado 06 procesos TI. En su selección se consideró el análisis general de: • • • •

Situación actual de las TI de INACAP. “Pain Points” o puntos de color. Plan estratégico corporativo. Plan estratégico TI.

Metodología Para el desarrollo de este informe, se obtuvo la información, principalmente, de dos medios: • • •

Entrevistas de levantamiento de información con personal clave del área TI. Petitorio y análisis de la documentación entregada (evidencias). Principalmente: políticas, procedimientos, planes y reportes de la gestión. Entrevistas detalladas y de resolución de dudas con trabajadores claves de las áreas de negocio del Establecimiento.

La evaluación ha sido realizada de acuerdo con las practicas base por proceso según la metodología COBIT en su versión 5, para luego identificar el nivel actual y así definir una serie de acciones que buscan lograr el nivel deseado.

Resultados del análisis Nivel de Madurez En base a las necesidades actuales de INACAP y experiencia del alumno, el nivel de madurez deseado fue definido acorde a lo siguiente: Metodología Para el desarrollo del informe se obtuvo la información a través de los siguientes medios: • • •

Entrevistas a personas claves del área TI para la recolección de información. Petitorio y análisis de la documentación facilitada (evidencias). Principalmente: políticas, procedimientos, planes y reportes de gestión. Entrevistas minuciosas y de resolución de dudas con personal clave de las áreas de negocio de la Compañía.

La evaluación se realizó de acuerdo con prácticas base por proceso según COBIT 5, para luego identificar el nivel actual y definir una serie de acciones que buscan lograr el nivel objetivo deseado.

Resultado del análisis Nivel de Madurez Deseado En base a las necesidades de INACAP y experiencia de los alumnos, el nivel de madurez deseado fue definido acorde a lo siguiente: Para los procesos de corte estratégico y táctico se recomendó un nivel 1 como deseado, puesto que ello implica que el proceso cumple su objetivo de forma consistente: Gestionar el Riesgo. Gestionar la Seguridad. Gestionar la Continuidad.

• • •

En los procesos de corte operacional/transaccional se recomendó un nivel 2 como deseado, siendo que por su naturaleza y riesgo inherente requieren de un mayor grado de madurez y control: Gestionar la Configuración. Gestionar los servicios de Seguridad.

• •

Nivel actual v/s Nivel deseado •

De los 6 procesos evaluados, solo 3 (Gestionar el Riesgo, Gestionar la Seguridad y Gestionar la Continuidad) lograron un porcentaje de cumplimiento sobre el 50% del nivel 1. De estos 3 procesos ninguno logro alcanzar el nivel 2.

•

En conformidad a los 3 procesos restantes, el porcentaje de cumplimiento del nivel 1 fue inferior al 50% quedando con un resultado de nivel de madurez (0) “Incompleto”, no cumpliendo totalmente con sus objetivos.

Cada atributo requiere del cumplimiento de unas determinadas prácticas. Cada practicas se califica utilizando una escala estándar definida en base a un nivel de cumplimiento evaluado por los alumnos a través de entrevistas y revisión de evidencias. Letra

Descripción

Detalle

% Cumplimiento

Completamente alcanzado

Hay evidencia de un enfoque completo y sistemático, y de la plena consecución del atributo definido en el proceso evaluado. No existen debilidades importantes

>85% hasta 100% de cumplimiento.

Ampliamente alcanzado

Parcialmente alcanzado

No alcanzado

relacionadas con este atributo en el proceso evaluado. Se logra de manera formal, pero hay observaciones. Hay evidencia de un enfoque sistemático y de un logro significativo del atributo definido en el proceso evaluado. Existen algunas debilidades relacionadas con el atributo del proceso evaluado. Existe alguna evidencia de un enfoque y de algún logro del atributo definido en el proceso evaluado. Algunos aspectos pueden ser impredecibles. Se logran prácticas, pero no formalmente. Ausencia o poca evidencia de la consecución del atributo definido en el proceso evaluado.

Nivel actual

PROCESOS APO12 Gestionar los Riesgos APO13 Gestionar la Seguridad BAI10 Gestionar la Configuración DSS04 Gestionar la Continuidad DSS05 Gestionar los Servicios de Seguridad MEA02 Monitorear, Evaluar y Valorar el Sistema de Control Interno

0.Incompleto

Nivel deseado

1. Ejecutado

25%

85%

25%

85% 43%

3.Establecido

>15% hasta 50% de cumplimiento.

0% hasta 15% de cumplimiento.

Rangos por cada nivel Descripción % Cumpl. Compl. Alcanzado 86% - 100% Ampl. Alcanzado 51% - 85% Parcial. Alcanzado 16% - 50% No alcanzado 0% - 15%

4.Predecible

5.Optimizado

85% 85%

22%

85%

40%

35%

2.Gestionado

Letra F L P N

>50% hasta 85% de cumplimiento.

85%

Un proceso es evaluado del nivel 0 al 5 hasta que deja de cumplir un nivel de madurez. Es decir, si un proceso cumple el nivel 1, pero no cumple el 2, no se evalúa el nivel 3.

Conclusiones En los análisis se puede concluir que el Establecimiento de Educación Superior INACAP cumple con múltiples practicas básicas de gestión TI. Sin embargo, desde el punto de vista de aplicación de las consideradas como best practices, existe un importante margen de mejora en aspectos de seguridad, con el cual se alcanzará completamente el nivel de madurez 1. Obtenido así una mayor orientación a procesos, definiendo procesos básicos al respecto, gestión de resultados y del desempeño, alcanzando el segundo nivel de madurez.

2. Introducción El presente informe recoge los resultados del servicio solicitado por el Establecimiento de Educación Superior INACAP a los alumnos de Ingeniería en Ciberseguridad, consistente en la elaboración de un GAP Analysis para los procesos de gestión de la Seguridad Informática. Producto que la mencionada área se encuentra desarrollando avances en las tecnologías y uno de los factores clave de éxito identificados en el plan, es la eficiencia operacional, declarando que “Informática debe operar en un estándar superior y siguiendo las mejores practicas de la Industria”. Por lo tanto, INACAP requiere dicho servicio, cuyo objetivo principal es evaluar la madurez de los procesos basados en COBIT 5, proponiendo una serie de acciones que permitan mantener o superar sus niveles actuales de madurez.

As is

(Medir madurez actual)

To be (Definir madurez deseada)

GAP y PA

(Plan de mejora)

Fases del servicio realizado

Para ello, se ha elaborado el presente informe con el siguiente contenido: • • • •

Alcance de la evaluación realizada. Desarrollo metodológico realizado. Resultados del análisis y sus acciones recomendadas. Conclusiones.

3. Alcance Para realizar esta evaluación se ha utilizado un estándar como referencia, dado que: • • •

Otorga mayor solidez al análisis. Establece un lenguaje común. Facilita el seguimiento y continuidad en futuro análisis.

Dado que INACAP desea obtener una visión global del nivel de madurez de sus TI en cuanto a la seguridad, se ha utilizado un marco de referencia en Gobierno y Gestión TI denominado COBIT en su versión 5, el cual es un eje integrador de los principales estándares, tomando de ellos sus mejores prácticas: ITIL, familia ISO27000, entre otros.

Relación entre COBIT 5 y los principales marcos de trabajo TI estándar

Para definir los dominios que son parte de este análisis, se tomo el modelo de referencia de procesos TI de COBIT 5. Dicho modelo define 37 procesos TI (5 de gobierno y 32 de gestión). Dado que la presente es la primera evaluación TI realizada por INACAP y en atención a la experiencia de los alumnos en este tipo de proyectos se estimo que evaluar la madurez de los 37 procesos COBIT es costos, complejo y los gaps resultantes serian inabarcables por parte de INACAP, además de la relación costo/beneficio no justifica esta estrategia. Por lo tanto, los alumnos recomendaron dividir la evaluación de los procesos en varios grupos de tal forma de iterar hasta que INACAP obtenga el nivel de madurez que requiere para su negocio. Para el análisis se escogió el enfoque de mejora continua, se seleccionaron los procesos COBIT 5. Por lo cual se combino los requerimientos de INACAP con la experiencia de los 9

alumnos en este tipo de proyectos, combinando procesos de corte estratégico, táctico y operacional.

Marco de 37 procesos definidos por COBIT 5.

Una vez seleccionados los 13 procesos de gestión TI de COBIT5, se identificó la situación actual de cada uno en base a la realidad de INACAP. A continuación, se identifican los 13 procesos de TI que forman parte de la evaluación y sus principales prácticas base analizadas. Dominios COBIT 5 Alinear, planificar y organizar

Proceso COBIT 5 APO12 – Gestionar el Riesgo.

APO13 – Gestionar la Seguridad.

• • • • • • •

Construir, adquirir e implementar

BAI10 – Gestionar la Configuración.

• •

Practicas base evaluadas Roles y responsabilidades. Metodología de gestión de riesgos. Analizar el riesgo. Portafolio de acciones. Políticas, normas y procedimientos de SI. Gestionar un plan de tratamiento de riesgo de SI. Monitoreo y mejora continua del SGSI. Establecer y mantener un modelo de la configuración. Mantener un repositorio de la configuración. 10

• Entregar, dar servicio y soporte

DSS04 – Gestionar la Continuidad.

• • •

Supervisar, evaluar y valorar

DSS05 – Gestionar los servicios de Seguridad.

•

MEA02 - Monitorear, Evaluar y Valorar el Sistema de Control Interno.

• •

•

Mantener y controlar los elementos de la configuración. Política de continuidad de negocio. Probar y actualizar el plan de continuidad. Cultura en continuidad y capacitación. Gestionar la seguridad de la red y de las conexiones. Gestionar la identidad del usuario y acceso lógico. Supervisar el control interno. Planificar iniciativas de aseguramiento. Ejecutar las iniciativas de aseguramiento.

4. Metodología Recursos Para el desarrollo del presente informe, se obtuvo la información, principalmente de dos medios: •

Entrevistas de levantamiento de información con referentes clave: •

Subgerencia de Informática - Jefe Depto. Gestión de Proyectos TI. - Jefe Depto. Gestión de Sistemas TI. - Jefe Depto. Infraestructura y Telecomunicaciones. - Oficial de Seguridad y Control de Calidad.

• • • • • •

Coordinador de Auditoría Interna. Subgerente de Gestión de Riesgos. Jefe Depto. Servicios, Licitación y Contratos. Jefe Depto. Activo Fijo. Consultor Gestión de Personas.

Análisis de evidencia solicitada a INACAP. Principalmente: políticas, normas, procedimientos, flujogramas, evidencia de muestras, entre otros.

Adicionalmente y con el fin de dar un enfoque más sólido al trabajo, se utilizaron como referencia las mejores prácticas de los estándares internacionales que, combinados con el entendimiento, aplicabilidad y conocimiento práctico de alumnos, refuerzan el enfoque objetivo de este diagnóstico. Desarrollo metodológico Para el desarrollo del presente informe, se ha aplicado una metodología dividida en las siguientes 5 etapas:

Planificación

Levantamiento

Análisis

Construcción

Cierre

La metodología aplicada puede resumirse en las siguientes actividades:

Planificar

Levantamiento

Análisis

Construcción

Cierre

•Adoptar plan de proyecto. •Desarrollar carta Gantt. •Coordinar reuniones de Kick Off. •Definir referentes de cada proceso. •Revisar petitorio y coordinar entrevistas.

•Realizar y enviar requerimiento de documentación. •Realizar entrevistas de nivel estrategico-tactico-operativo. •Revisión de documentación recibida.

•Determinar nivel 1 de madurez. •Determinar nivel 2 a 5 de madurez. •Acordar el nivel de madurez esperado.

•Proponer planes de acción para los niveles de madurez. •Elabora informes de resultados. •Elaborar presentación ejecutiva para comité TI y Subgerencia Informática.

•Presentar los resultados al Comité de TI. •Presentar los resultados a la Subgerencia Informática.

5. Resultados del análisis 5.1.

Criterios de evaluación de procesos

Para realizar la evaluación se utilizó el modelo basado en COBIT5 Process Assessment Model (PAM). Dicho modelo define una serie de niveles de madurez, siendo 0 y 5 el menor y mayor respectivamente. A continuación, los niveles con su descripción:

Nivel 0

Nivel 1

Nivel 2

Nivel 3

Nivel 4

Nivel 5

El proceso no se encuentra implementa do o falla en conseguir el objetivo del proceso.

Un proceso implementa do consigue el propósito del proceso.

El proceso ejecutado ahora es implementado de forma gestionada y los resultados son adecuadame nte establecidos, controlados y mantenidos.

El proceso gestionado ahora es implementa do utilizando un proceso definido que permite conseguir los resultados del proceso.

Un proceso establecid o, opera en los limites definidos , para conseguir los resultado s del proceso.

Un proceso predecible, es continuame nte mejorado para alcanzar los objetivos del negocio actuales u futuras.

Letra

Descripción

Detalle

% Cumplimiento

Completamente alcanzado

Hay evidencia de un enfoque completo y sistemático, y de la plena consecución del atributo definido en el proceso evaluado. No existen debilidades importantes relacionadas con este atributo en el proceso evaluado.

>85% hasta 100% de cumplimiento.

Ampliamente alcanzado

Parcialmente alcanzado

No alcanzado

Se logra de manera formal, pero hay observaciones. Hay evidencia de un enfoque sistemático y de un logro significativo del atributo definido en el proceso evaluado. Existen algunas debilidades relacionadas con el atributo del proceso evaluado. Existe alguna evidencia de un enfoque y de algún logro del atributo definido en el proceso evaluado. Algunos aspectos pueden ser impredecibles. Se logran prácticas, pero no formalmente. Ausencia o poca evidencia de la consecución del atributo definido en el proceso evaluado.

>50% hasta 85% de cumplimiento.

>15% hasta 50% de cumplimiento.

0% hasta 15% de cumplimiento.

5.2. Criterios de evaluación de recomendaciones Se presentan las consideraciones que fueron analizadas para priorizar las recomendaciones de cada proceso, basados en nivel de complejidad de la implementación, tiempo estimado de su realización y el esfuerzo que debería imponer el recurso humano que participará en el desarrollo de los planes. •

La persona asignada posee los conocimientos apropiados (ya sea personal interno y/o externo).

•

Se requiere de al menos una persona para participar del proyecto con una disponibilidad de al menos el 50% para su dedicación.

Nivel Alto Medio

Bajo No definido

Nivel de Complejidad de Implementación Descripción La recomendación es difícil de implementar y requiere de una consultoría externa para su desarrollo. La recomendación tiene un nivel de complejidad normal y requiere un trabajo en conjunto de la Subgerencia de INACAP. La recomendación es simple, se puede implementar fácilmente con los usuarios de la Subgerencia de Informática. No definido

Valor 2,5 1,5

0,5 0

5.3. Detalle de resultados En esta secciรณn se presenta, por cada proceso, el detalle de cada evaluaciรณn, su nivel actual y nivel deseado, el detalle de cada acciรณn recomendada para lograr el nivel objetivo. Propรณsito

Niveles

Valor actual Evaluaciรณn

Recomendaciones

5.3.1. Evaluaci처n Nivel 1 - Ejecutado

Dominio N째. Proceso COBIT5 Alinear, 1 Gestionar el Riesgo planificar y organizar 2 Gestionar la Seguridad (APO) Construir, adquirir e Administrar la 3 Configuraci처n implementar (BAI) Entregar, 4 Gestionar la Continuidad dar servicio y soporte Gestionar los Servicios 5 (DSS) de Seguridad Supervisar, Monitorear, Evaluar y evaluar y 6 Valorar el Sistema de valorar Control Interno (MEA)

Nivel de Porcentaje Nivel actual Clasificaci처n Parcialmente 0 25% alcanzado Incompleto No 0 25% alcanzado Incompleto Parcialmente alcanzado No alcanzado Parcialmente alcanzado Parcialmente alcanzado

43%

22% 40%

35%

0 Incompleto 0 Incompleto 0 Incompleto 0 Incompleto

5.3.1.1. APO12 – Gestionar el Riesgo

Propósito del proceso: Integrar la gestión de riesgos empresariales relacionados con TI con la gestión de riesgos empresarial general y reducir los riesgos de TI de forma continua, de acuerdo con los niveles de tolerancia establecidos por el Establecimiento. Nivel 1 Ejecutado: Parcialmente alcanzado (25%) Para obtener el nivel 1 Ejecutado, se debería alcanzar un grado de cumplimiento mayor al 50% por lo cual su nivel actual es: Incompleto (0)

Nivel actual: Incompleto (0) Nivel deseado: Ejecutado (1)

Nivel 2 a 5: No aplica.

General A través de la Subgerencia de Gestión de Riesgo que depende de la Gerencia de Administración y Finanzas se gestionan los riesgos de INACAP. Existe una política corporativa implantada cuya finalidad es fortalecer el cumplimiento de la Visión, Misión y Planificación Estratégica del Establecimiento. Se revisaron las practicas base que son necesarias para dar cumplimiento del propósito del proceso de las cuales, se identificó que no hubo cumplimiento en su totalidad y que los alumnos consideran a través de planes de acción efectuar mejoras para alcanzar el nivel de forma completa. Los que se detallan a continuación: 1. Práctica base: Roles y responsabilidades (Parcialmente alcanzado). Gestión de riesgo. o No se define el rol y responsabilidad para administrar el riesgo TI, incluyendo su identificación y evaluación. o No se definen los dueños o custodios de sistemas para asegurar que se evalúen los riesgos. Debido a que no existe una metodología implantada, no se define un responsable de velar por el cumplimiento de esta. Comité de Auditoria y Riesgos (A&R). •

Existe un Comité de Auditoria y Riesgos, responsable por velar que el Plan Anual de Auditoria contribuya a la gestión de riesgos y que la auditoria sea basada en riesgos. Tiene una periodicidad mensual.

•

Existe una declaración del reglamento de Gobierno Corporativo donde se indica que el Comité debe realizar: 18

El Comité es responsable de la actualización periódica de la Política de Gestión integral de Riesgos, como parte de una revisión continua o ante el desarrollo de nuevos negocios, proyectos, objetivos estratégicos, cambios estructurales o del entorno.

2. Práctica base: Metodología de gestión de riesgos (No alcanzado). Metodología de Gestión integral de Riesgos. o Actualmente la Subgerencia de Informática no cuenta con una metodología de análisis de riesgos de TI definida formalmente. o La Subgerencia de Gestión de Riesgos implemento un modelo de Gestión integral de Riesgos, donde se desarrolló una metodología la cual indica objetivos, alcance, rol y responsabilidades, siendo las etapas claves de la gestión de riesgo. Esta metodología tiene una vigencia desde el año 2013, encontrándose obsoleta. 3. Práctica base: Analizar el riesgo (No alcanzado). Análisis de riesgo. o Se ha evidenciado una matriz de riesgos TI, sin embargo, se debería efectuar una revisión y actualización dado que no está alineado con los riesgos del establecimiento, no incluyendo: • • •

Responsabilidades del riesgo. Clasificar amenazas y escenarios d riesgo. Evidencia de controles para mitigar el riesgo. 19

Propósito del proceso: Integrar la gestión de riesgos empresariales relacionados con TI con la gestión de Nivel actual: Incompleto (0) riesgos empresarial general y reducir los riesgos de TI de forma continua, de acuerdo con los niveles de Nivel deseado: Ejecutado (1) tolerancia establecidos por el Establecimiento. • Eficacia del control. • Formalización del control. • Periodicidad, naturaleza y oportunidad del control • Evaluación del diseño de control (Cuantitativa). • Clasificación del diseño de control (aceptable, regular, entre otros). • Riesgo residual. • Indicador clave de riesgo. • Gráfico comparativo con los riesgos inherentes y residuales. o Se inspecciono un inventario de riesgos del presente año, encontrando un reducido número de riesgos, específicamente 5 riesgos que corresponden a las Gerencias de Negocios, Servicios a Terceros y Auditoria. Cada uno contiene el área de impacto, objetivos estratégicos, evaluación inherente, análisis de controles y evaluación residual. Siendo que la matriz indica que la totalidad de los riesgos es de 65, divididos en estratégicos (35), operacionales (15), cumplimiento (10) y financieros (05). 4. Práctica base: Portafolio de acciones (No alcanzado). Plan de mejora o Hoy en día, la Subgerencia de la Informática no cuenta con un inventario de actividades de control para gestionar el riesgo y además que este alineado con el apetito y la tolerancia al riesgo. Cultura de riesgo. o No se tiene evidencia de un plan de mejora e la cultura de riesgo que incluya comunicaciones y capacitaciones a cada una de las áreas de la compañía sobre la metodología y su aplicación, así como sensibilizar sobre las amenazas y los riesgos que puedan afectar la operación. Recomendación para Nivel 1 – Ejecutado A continuación, se recomiendan planes de acción para desarrollar, con la finalidad de que el proceso pueda alcanzar de manera completa su propósito y el nivel deseado objetivo proporcionado por la Subgerencia de Informática. 20

• •

Definiciones, categorías de riesgo, roles y responsabilidades. Incorporar un esquema de gestión documental que permita llevar el control de la documentación, definiendo quien elabora, quien revisa y quien aprueba los documentos. A su vez, donde y como serán almacenados los documentos y su acceso. Definir para todos los riesgos un responsable. Llevar a cabo una clasificación de los riesgos en escenarios de amenaza. Ejemplo: • • • • •

Ausencia personal clave. Daño físico a las instalaciones. Perdida de servicios básicos. Alarma/desorden civil. Falla en servicios y/o productos de proveedores clave y en los sistemas informáticos.

Mejorar el análisis de riesgos TI. Resolver las observaciones indicadas anteriormente respecto a la matriz de riesgos TI y alinear con los riesgos del establecimiento, siendo: • • • •

Asignar responsables de los riesgos, clasificar amenazas y escenarios de riesgo. Identificar la evidencia de los controles para mitigar el riesgo. Determinar la eficacia y la formalización de los controles. Definir la periodicidad, naturaleza y oportunidad de los controles.

Propósito del proceso: Integrar la gestión de riesgos empresariales relacionados con TI con la gestión de Nivel actual: Incompleto (0) riesgos empresarial general y reducir los riesgos de TI de forma continua, de acuerdo con los niveles de Nivel deseado: Ejecutado (1) tolerancia establecidos por el Establecimiento. • Evaluar el diseño del control (Cuantitativa) y definir la clasificación del diseño del control (aceptable, regular, otros). • Identificar el riesgo residual. • Definir un indicador clave de riesgo. • Elaborar un gráfico comparativo con los riesgos inherentes y residuales. Actualizar el inventario de riesgos del Establecimiento. Revisar el inventario de riesgos de la Empresa e incorporar los 58 riesgos faltantes, así como también los riesgos de TI. Siendo necesario actualizar su clasificación (estratégicos, operacionales, cumplimiento y financieros) y proceder a evaluar cada uno. Mejorar el mecanismo de gestión de riesgos TI. Aumentar paulatinamente la periodicidad de la identificar y evaluación de riesgos TI (semestral-trimestral) y generar un mecanismo por el cual, el personal pueda identificar y reportar nuevos riesgos de las tecnologías de la información. Elaborar un plan de mejora. Desarrollar un plan de mejora que incluya una clasificación de las actividades de control para gestionar el riesgo, permitiendo un alineamiento entre el apetito y la tolerancia al riesgo. Determinar que en cada área se supervise el riesgo y se acepte la responsabilidad para operar dentro de los niveles de tolerancia definidos en la política de gestión de riesgos. Gestionar la cultura de riesgo. Para poder formar una cultura de gestión de riesgos en toda la compañía es necesario involucrar al personal, para ello se deben planificar capacitaciones y comunicaciones formales a todos los funcionarios respecto de la importancia de la gestión proactiva del riesgo, su metodología y aplicación, así como de los sensibilizar respecto de las amenazas y los riesgos que puedan afectar su operación.

Plan de recomendaciones N°

2 3

6 7

Plan de acción Definir roles y responsabilidades para gestionar el riesgo. Actualizar la metodología de gestión de riesgos. Mejorar el análisis de riesgos TI. Actualizar el inventario de riesgos del Establecimiento. Mejorar el mecanismo de gestión de riesgos TI. Elaborar un plan de mejora. Gestionar la cultura de riesgo.

Nivel de complejidad de implementación

Plazo de implementación

Esfuerzo basado en recurso humano

Factor total

Medio

Bajo

Alto

Medio

Bajo

Alto

Medio

Bajo

Medio

5.3.1.2. APO13 – Gestionar la Seguridad

Propósito del proceso: Definir, operar y supervisar un sistema para la gestión de la seguridad de la información. Mantener el impacto y ocurrencia de los incidentes de la seguridad de la información dentro de los niveles de apetito de riesgo del establecimiento. Nivel 1 Ejecutado: No alcanzado (25%) Para obtener el nivel 1 Ejecutado, se debería alcanzar un grado de cumplimiento mayor al 50% por lo cual su nivel actual es: Incompleto (0) General

Nivel actual: Incompleto (0) Nivel deseado: Ejecutado (1)

Nivel 2 a 5: No aplica.

Actualmente INACAP no mantiene establecido un Sistema de Gestión de Seguridad d la Información (SGSI) que entregue un enfoque estándar, formal y continuo a la gestión de la seguridad de la información. Se revisaron las practicas base que son necesarias para dar cumplimiento del propósito del proceso de las cuales, se identificó que no hubo cumplimiento en su totalidad y que los alumnos consideran a través de planes de acción efectuar mejoras para alcanzar el nivel de forma completa. Los que se detallan a continuación: 1. Práctica base: Políticas, Normas y Procedimientos de SI (Parcialmente alcanzado). Política de Seguridad de la Información. o INACAP no cuenta con una Política de Seguridad de la Información implantada, sin embargo, establece una estructura para gestionar la seguridad de la información de forma estratégica. Lo que dificulta asegurar un enfoque consistente que permita a INACAP conocer su exposición al riesgo de seguridad de la información y actuar en consecuencia. Debiendo contener: • • • • • •

Alcance y límites de la política. Objetos estratégicos. Fundamentos de la política. Los dominios que abordara la política, según las buenas prácticas de ISO. Marco normativo. Roles y responsabilidades de nivel estratégico, táctico y operativo (Comité de Seguridad, Oficial de Seguridad, Jefe Seguridad, Ingeniero de Seguridad, Administradores de Sistemas, Dueños de Activos de Información, Personal Técnico Operaciones, Auditoria Interna-Externa).

Propósito del proceso: Definir, operar y supervisar un sistema para la gestión de la seguridad de la información. Mantener el impacto y ocurrencia de los incidentes de la seguridad de la información dentro de los niveles de apetito de riesgo del establecimiento. • Gestión de riesgos. • Cumplimiento del marco normativo. • Periodos de revisión de la política. • Historial de modificaciones.

Nivel actual: Incompleto (0) Nivel deseado: Ejecutado (1)

Normas y procedimientos. o No se evidencia un cuerpo normativo de seguridad alineado con la estrategia del establecimiento y con el alcance del SGSI definido en la política de la información. Conteniendo por lo menos: • • • • • •

Norma de control de acceso. Norma de seguridad física y ambiental. Norma de seguridad en las operaciones. Norma de seguridad de las telecomunicaciones. Norma de adquisición, desarrollo y mantención de sistemas. Norma de gestión de incidentes de seguridad.

o Conforme a lo anterior, no se logra evidenciar todos los procedimientos e instructivos que apoyen las practicas de seguridad y que cubran los dominios que aborda la política de seguridad de la información. Existiendo solo procedimientos e instructivos oficializados, relacionado al acceso lógico, cambios de TI, gestión de la mesa de ayuda, gestión de respaldos, monitoreo de software y base de datos. Plan de gestión de SI. •

Se evidencia un plan anual elaborado por el Oficial de Seguridad de la Información, el cual incluye actividades relacionadas al seguimiento de acuerdos de las autoridades internas y externas, identificación de controles de seguridad, revisión de procedimientos, levantamiento de procesos, oficialización de documentos, levantamiento de matrices de riesgos, actividades de monitoreo y control, entre otros. En el plan se definen las horas estimadas por actividad, horas reales, porcentaje de avances, estado y niveles de prioridad.

•

Semanalmente el Oficial de Seguridad de la Información se reúne con el Subgerente de Informática, para efectuar seguimiento al plan anual establecido. 25

Metodología de evaluación de riesgo. Identificación de amenazas, vulnerabilidades e impactos de los activos de la información. Análisis y evaluación de riesgos de los activos de la información. Tratamiento de riesgos.

3. Práctica base: Monitoreo y mejora continua del SGSI (Parcialmente alcanzado). o No se realiza una supervisión y evaluación del desempeño que considere monitoreo, medición, análisis y evaluación del SGSI, debido a que no se encuentra implementado de manera formal. •

El área de auditoria interna efectúa revisiones enfocadas al control de acceso lógico en el ERP-SAP.

•

Se realiza una auditoria externa a los EE.FF. del establecimiento, incluyendo revisión de los sistemas que entregan el soporte a los procesos críticos del negocio (cambios TI y acceso lógico).

Nivel actual: Incompleto (0) Nivel deseado: Ejecutado (1)

Política de seguridad de la información. Normas, procedimientos y controles para el SGSI. Plan de gestión de SI. Inventario de activos de la información. Metodología de evaluación de riesgos. Plan de tratamiento de riesgos. Monitoreo y mejora continua.

Revisar y actualizar la política de seguridad de la información. El objetivo de esta política es servir como documento de referencia para entregar apoyo y orientación a la gestión de la seguridad de la información en el establecimiento. La mencionada política debe quedar establecida a nivel corporativo, no solo de TI y debería tomar en cuenta los dominios de seguridad del estándar ISO 27002. Incluyendo: • • • • • •

•

Alcance y límites de la política. Objetivos estratégicos. Fundamentos de la política. Los dominios que abordara la política, buenas prácticas ISO. Marco normativo. Roles y responsabilidades de nivel estratégico, táctico y operativo (Comité de Seguridad, Oficial de Seguridad, Jefe Seguridad, Ingeniero de Seguridad, Administradores de Sistemas, Dueños de Activos de Información, Personal Técnico Operaciones, Auditoria Interna-Externa). Gestión de riesgos. 27

Propósito del proceso: Definir, operar y supervisar un sistema para la gestión de la seguridad de la información. Mantener el impacto y ocurrencia de los incidentes de la seguridad de la información dentro de los niveles de apetito de riesgo del establecimiento. • Cumplimiento del marco normativo. • Periodos de revisión de la política • Historial de modificaciones.

Nivel actual: Incompleto (0) Nivel deseado: Ejecutado (1)

Desarrollar normas y procedimientos de SI. Definir e implementar normas de acuerdo con los dominios que pretenda abordar el SGSI y establecer los procedimientos y/ instructivos para cada uno. Siendo consideradas las siguientes normas: • • • • • •

Una norma, define las reglas que deben ser respetadas para el cumplimiento de las actividades a desarrollar. Es un documento de nivel táctico. Un procedimiento, define el flujo de trabajo para cada actividad considera dentro del proceso. Es un documento de nivel operativo. Elaborar un inventario de activos de información. Elaborar un inventario y clasificación de activos de información, realizando una valoración considerando su confidencialidad, integridad y disponibilidad, y asignar los responsables de cada uno para realizar su mantenimiento. Una vez identificados los activos de información críticos, puede procederse a hacer un análisis de riesgo asociado al inventario. Definir un plan de tratamiento de riesgos de SI. Definir un enfoque de evaluación de riesgos mediante una metodología para el SGSI e identificar las amenazas relevantes asociadas a los activos de la información identificados en conjunto con las vulnerabilidades que puedan ser aprovechadas por

Propósito del proceso: Definir, operar y supervisar un sistema para la gestión de la seguridad de la Nivel actual: Incompleto (0) información. Mantener el impacto y ocurrencia de los incidentes de la seguridad de la información dentro de Nivel deseado: Ejecutado (1) los niveles de apetito de riesgo del establecimiento. dichas amenazas y el impacto que podrían suponer una pérdida de confidencialidad, integridad y disponibilidad para cada activo. Seleccionar los controles de seguridad para realizar el tratamiento de riesgos, aceptando el riesgo siempre y cuando se siga cumpliendo con las políticas y criterios establecidos para la aceptación. Evitar el riesgo. Transferir el riesgo total o parcialmente a terceros. Seleccionar objetivos de control y controles para el tratamiento del riesgo que cumpla con los requisitos identificados en el proceso de evaluación de riesgos. Evaluar el desempeño del SGSI. Evaluar el desempeño y la efectividad del sistema, determinando qué se debe monitorear y medir, considerando los objetivos de control y controles implementados de los dominios que se encuentran en el alcance del SGSI. Asimismo, determinar quién realizará la actividad, cuándo se debe efectuar y quién analizará los resultados y el seguimiento a las acciones correctivas. Efectuar una auditoria interna. Realizar al menos una vez al año una auditoria de manera interna y/o externa para revisar que el SGSI cumple con los requisitos establecidos, está debidamente implementado y mantenido. Considerar cuáles serán los criterios y el alcance de la auditoría, seleccionar al equipo que realizará la actividad manteniendo la objetividad e independencia e informar a la alta dirección los resultados.

Plan de recomendaciones N°

6 7

Plan de acción Implantar un sistema de gestión de seguridad de la información. Revisar y actualizar la política de seguridad de la información. Desarrollar normas y procedimientos SI. Elaborar un inventario de activos de la información. Definir un plan de tratamiento de riesgos de SI. Evaluar el desempeño del SGSI. Efectuar una auditoria interna.

Nivel de complejidad de implementación

Plazo de implementación

Esfuerzo basado en recurso humano

Factor total

Alto

Bajo

Medio

Bajo

Alto

Medio

Alto

Medio

Alto

Medio

Alto

Medio

Alto

Medio

5.3.1.3. BAI10 – Gestionar la Configuración

Propósito del proceso: Proporcionar suficiente información sobre los activos del servicio para que el servicio pueda gestionarse con eficacia, evaluar el impacto de los cambios y hacer frente a los incidentes del servicio. Nivel 1 Ejecutado: Parcialmente alcanzado (43%) Para obtener el nivel 1 Ejecutado, se debería alcanzar un grado de cumplimiento mayor al 50% por lo cual su nivel actual es: Incompleto (0)

Nivel actual: Incompleto (0) Nivel deseado: Ejecutado (1)

Nivel 2 a 5: No aplica.

General Definir y mantener las definiciones, relaciones entre los principales recursos y capacidades necesarios para la prestación de los servicios proporcionados por TI, incluyendo la recopilación de información de configuración, el establecimiento de líneas de referencia, la verificación y auditoria de la información de configuración y la actualización del repositorio. Se revisaron las practicas base que son necesarias para dar cumplimiento del propósito del proceso de las cuales, se identificó que no hubo cumplimiento en su totalidad y que los alumnos consideran a través de planes de acción efectuar mejoras para alcanzar el nivel de forma completa. Los que se detallan a continuación: 1. Práctica base: Establecer (Parcialmente alcanzado).

mantener

modelo

configuración

Plan de lanzamiento. o No se establece un modelo lógico de la infraestructura y la forma de registrar los elementos de configuración y las relaciones entre ellos. o No se define el alcance y nivel de detalle para la gestión de la configuración. 2. Práctica base: Mantener un repositorio de configuración (No alcanzado). Registro de licencias de software. o El establecimiento de INACAP no mantiene un repositorio de gestión de las configuraciones en cuanto a los licenciamientos del software instalado en los dispositivos tecnológicos.

Propósito del proceso: Proporcionar suficiente información sobre los activos del servicio para que el Nivel actual: Incompleto (0) servicio pueda gestionarse con eficacia, evaluar el impacto de los cambios y hacer frente a los incidentes Nivel deseado: Ejecutado (1) del servicio. 3. Práctica base: Mantener y controlar los elementos de configuración (No alcanzado). Resultados de los controles físicos de inventario. o En el establecimiento y conforme a la evidencia levantada no se encontró documentación relevante que mantenga registro de los cambios aprobados por la Subgerencia de Informática. Registro de activos. o No se cuenta con un registro continuo sobre los activos que mantiene INACAP, encontrando en el levantamiento, registros no actualizados.

Recomendación para Nivel 1 – Ejecutado A continuación, se recomiendan planes de acción para desarrollar, con la finalidad de que el proceso pueda alcanzar de manera completa su propósito y el nivel deseado objetivo proporcionado por la Subgerencia de Informática. Aplicación del modelo de gestión de la configuración. Se debe establecer un modelo lógico de la infraestructura, activos, servicios y la forma de registro en la configuración (CISs) y las relaciones entre ellos. Incluyendo los CISs considerados necesarios para gestionar eficazmente los servicios y proporcionar una sola descripción fiable de los activos de los servicios. Se establece un modelo lógico para la gestión de la configuración, incluyendo información sobre los tipos de elementos de configuración, atributos de los elementos de la configuración, tipos de relaciones, atributos de relación y códigos de estado. Repositorio de configuración. Establecer y mantener un repositorio de la gestión de la configuración y crear unas bases de referencia de configuraciones controladas.

Nivel actual: Incompleto (0) Nivel deseado: Ejecutado (1)

Se debe mantener un repositorio actualizado de los elementos de configuración rellenado con los cambios. Creando a su vez una base de referencia para ello.

Plan de recomendaciones N°

1 2 3

Plan de acción Aplicación del modelo de gestión de la configuración. Repositorio de la configuración. Cambios aprobados a la base de referencia.

Nivel de complejidad de implementación

Plazo de implementación

Esfuerzo basado en recurso humano

Factor total

Medio

Bajo

Alto

Medio

Bajo

5.3.1.4. DSS04 – Gestionar la Continuidad

Propósito del proceso: Continuar las operaciones críticas del negocio y mantener la disponibilidad de la información a un nivel aceptable para el establecimiento. Nivel 1 Ejecutado: No alcanzado (22%) Para obtener el nivel 1 Ejecutado, se debería alcanzar un grado de cumplimiento mayor al 50% por lo cual su nivel actual es: Incompleto (0)

Nivel actual: Incompleto (0) Nivel deseado: Ejecutado (1)

Nivel 2 a 5: No aplica.

General El Establecimiento de Educación Superior INACAP no cuenta con un sistema de gestion para la Comunidad de Negocio (SGCN) formal, que incluya una estructura documental basado en: Política de Continuidad, Marco de Gobierno, Plan de Continuidad de Negocio, tampoco existe una cultura establecida y capacitaciones para instruir a toda la Organización en temas de continuidad. El no contar con un sistema de gestión, dificulta al Negocio y TI una respuesta oportuna ante incidentes e interrupciones de servicio para la operación continua de sus procesos, que no se apliquen las prácticas de forma homogénea y consistente, que el conocimiento resida en las personas generando dependencia. Se revisaron las practicas base que son necesarias para dar cumplimiento del propósito del proceso de las cuales, se identificó que no hubo cumplimiento en su totalidad y que los alumnos consideran a través de planes de acción efectuar mejoras para alcanzar el nivel de forma completa. Los que se detallan a continuación: 1. Práctica base: Política de continuidad de Negocio (No alcanzado). Política de continuidad. o No se tiene definida e implantada una política organizacional en continuidad de negocio que permita establecer los lineamientos generales para la gestión de la continuidad. Esta política es el punto de partida y permite definir el alcance del SGCN alineado con los objetivos de negocio, procesos, normas y procedimientos que son relevantes para asegurar la continuidad. Procesos de Negocio. o No se evidencian los procesos oficialmente documentados, no siendo posible sustentar la continuidad del negocio. 34

Propósito del proceso: Continuar las operaciones críticas del negocio y mantener la disponibilidad de la información a un nivel aceptable para el establecimiento.

Nivel actual: Incompleto (0) Nivel deseado: Ejecutado (1)

o No existen responsables o dueños de los procesos considerados como críticos para la organización y áreas de apoyo que realicen una función operativa en el establecimiento. 2. Práctica base: Probar y actualizar el plan de continuidad (No alcanzado). Ejercicios y/o pruebas. o No se realizan ejercicios y/o pruebas de los procedimientos de continuidad que permitan identificar que estos son consistentes con los objetivos definidos en la Política de Continuidad. o No existe formalmente un responsable de gestionar los planes de recuperación de desastres. Sin un responsable formal no se cuenta con recursos mínimos y liderazgo para gestionar la recuperación. 3. Práctica base: Cultura en continuidad y capacitación (No alcanzado). Cultura y capacitación. o No se comunica la importancia del SGCN, no existiendo una cultura en continuidad del negocio ya que no está formalmente implementado. o No se evidenciaron capacitaciones realizadas y previamente planificadas en relación con la gestión de continuidad de negocio, con la finalidad de comunicar sobre su uso, cumplimiento y mantenimiento de este.

Propósito del proceso: Continuar las operaciones críticas del negocio y mantener la disponibilidad de la información a un nivel aceptable para el establecimiento. • • •

• • •

Nivel actual: Incompleto (0) Nivel deseado: Ejecutado (1)

Acordar una definición y el ámbito de aplicación de Continuidad de Negocio para INACAP. Definir principios, guías y normas mínimas que son necesarias para gestionar la continuidad. Definir roles y responsabilidades, realizar un marco de trabajo operativo que permita gestionar la Continuidad de Negocio dentro del establecimiento. Definir controles preventivos, detectivos y correctivos. Establecer el presupuesto, auditoria y responsabilidades del gobierno. Identificar las normas relevantes, leyes y reglamentos que se deberían incluir en la política. Historial de versiones.

La política deberá estar documentada, disponible y comunicada para todo el establecimiento, estableciendo claramente lo que pretende lograr, incluyendo un compromiso para cumplir con todas las actividades cave de su gestión y mejora continua. Identificar los procesos críticos de negocio. Definir los procesos críticos desde el punto de vista de la continuidad. Considerando el costo-beneficio. Elaborar matrices donde se evalué el impacto financiero, seguridad de las personas, reputación, cumplimiento y financiero. Realizar capacitación y probar periódicamente el BCP (PCO y DRP). Realizar un plan de capacitación a los equipos que participarán en el plan de continuidad operacional y plan de recuperación de desastres. El objetivo es aprender a utilizar el BCP en caso de un incidente real o simulado. Un DRP que no se prueba, es un documento con nula utilidad dado que no se puede asegurar que funcionará en caso de un desastre. Por tanto, es imprescindible ejecutar pruebas donde se simulen escenarios de indisponibilidad para verificar que el plan funciona. Las pruebas deben realizarse anualmente.

Propósito del proceso: Continuar las operaciones críticas del negocio y mantener la disponibilidad de la información a un nivel aceptable para el establecimiento.

Nivel actual: Incompleto (0) Nivel deseado: Ejecutado (1)

Supervisar y analizar los resultados de las pruebas. Efectuar una supervisión de la ejecución de pruebas y una consolidación de la información recopilada durante el desarrollo de cada una. Asimismo, el resultado de las pruebas debe ser analizado y comunicado. A su vez, tras las pruebas debe actualizarse el DRP y sus procedimientos técnicos con el feedback obtenido.

Plan de recomendaciones N°

Plan de acción Implantar una política de continuidad. Identificar los procesos críticos de negocio. Realizar capacitación y probar periódicamente el BCP. Supervisar y analizar los resultados de las pruebas.

Nivel de complejidad de implementación

Plazo de implementación

Esfuerzo basado en recurso humano

Factor total

Alto

Medio

Alto

Medio

Alto

Medio

Alto

Medio

5.3.1.5. DSS05 – Gestionar los Servicios de Seguridad Propósito del proceso: Proteger la información de la compañía para mantener aceptable el nivel de riesgo de seguridad de la información de acuerdo con la política de seguridad. Establecer y mantener los roles de seguridad y privilegios de acceso de la información y realizar la supervisión de la seguridad. Minimizar el impacto en el negocio de las vulnerabilidades e incidentes operativos de seguridad en la información. Nivel 1 Ejecutado: No alcanzado (40%) Para obtener el nivel 1 Ejecutado, se debería alcanzar un grado de cumplimiento mayor al 50% por lo cual su nivel actual es: Incompleto (0)

Nivel actual: Incompleto (0)

Nivel deseado: Gestionado (2)

Nivel 2 a 5: No aplica.

General La información es el principal activo del establecimiento, por lo tanto, es importante mantener una gestión adecuada sobre los servicios de seguridad y así proteger contra la perdida de la confidencialidad, integridad y disponibilidad. Se revisaron las practicas base que son necesarias para dar cumplimiento del propósito del proceso de las cuales, se identificó que no hubo cumplimiento en su totalidad y que los alumnos consideran a través de planes de acción efectuar mejoras para alcanzar el nivel de forma completa. Los que se detallan a continuación: 1. Práctica base: Gestionar la seguridad de la red y de las conexiones (Parcialmente alcanzado). Seguridad de la red. o No se tiene evidencia de una política para gestionar la seguridad de las conexiones. o Existe un procedimiento que regula el acceso a la red corporativa mediante VPN, sin embargo, esta desactualizada. o Los Gerentes del establecimiento tienen derecho a utilizar un iPad proporcionado por la Subgerencia de Informática. Teniendo acceso a la red corporativa. No estando documentada. o No existe una practica para gestionar la creación de la cuenta a la red de invitados del Establecimiento para personas externas, no estando documentada.

Propósito del proceso: Proteger la información de la compañía para mantener aceptable el nivel de riesgo Nivel actual: Incompleto (0) de seguridad de la información de acuerdo con la política de seguridad. Establecer y mantener los roles de seguridad y privilegios de acceso de la información y realizar la supervisión de la seguridad. Minimizar el Nivel deseado: Gestionado impacto en el negocio de las vulnerabilidades e (2) incidentes operativos de seguridad en la información. • Todo personal externo que realice funciones de apoyo en el establecimiento dentro de las dependencias de INACAP, puede utilizar la conexión a internet a través del acceso a la red de invitados. Para ello, es necesario que los usuarios internos gestionen una solicitud de creación de cuenta mediante el sistema de gestión ITS de la Mesa de Ayuda, especificando la cantidad de horas/días que se utilizará. Una vez creada la cuenta el área de Soporte envía correo electrónico al usuario solicitante, indicando nombre de usuario y contraseña para su ingreso. La contraseña se modifica cada 30 días. 2. Práctica base: Gestionar la identidad del usuario y acceso lógico (Parcialmente alcanzado). Administración de cuentas. o Existen parámetros de seguridad establecidos para el cambio de contraseña de la cuenta inicial, bloqueos por intentos fallidos de conexión, bloqueos de cuentas por no cambio de contraseña, caracteres mínimos de la contraseña, historial de la contraseña, entre otros. Sin embargo, no se evidenció su respectiva documentación. o Existen procedimientos e instructivos desactualizados y que corresponden para gestionar lo siguiente: • • • • • • •

Ingreso de solicitudes de permiso y cuentas SAP. SAP acceso temporal crítico. Eliminación de accesos. Gestión de cuentas VPN. Autorrecuperación contraseña de red Administración de cuentas.

En relación con las eliminaciones de cuentas de usuarios, se gestionan a través de la Gerencia de Gestión de Personas producto de notificaciones de desvinculaciones. Las solicitudes son gestionadas a través del sistema ITS de la Mesa de Ayuda. 39

Propósito del proceso: Proteger la información de la compañía para mantener aceptable el nivel de riesgo de seguridad de la información de acuerdo con la política de seguridad. Establecer y mantener los roles de seguridad y privilegios de acceso de la información y realizar la supervisión de la seguridad. Minimizar el impacto en el negocio de las vulnerabilidades e incidentes operativos de seguridad en la información. Matriz de roles y perfiles SAP.

Nivel actual: Incompleto (0)

Nivel deseado: Gestionado (2)

o Existe una matriz de roles y perfiles SAP que sólo tiene una versión inicial. Sin embargo, es parte de la planificación a futuro realizar una revisión y actualización de la matriz. Se efectúan revisiones constantes producto de las reestructuraciones que suceden en el establecimiento.

El alcance y declaración de aplicabilidad de la política. Una estructura documental basado en política, normas y procedimientos y/o instructivos. Roles y responsabilidades de la Subgerencia de Informática. Mecanismos de comunicación y difusión. Definir un monitoreo y mejora continua para su cumplimiento.

Formalizar el proceso de gestión de acceso a la red de invitados. Formalizar a través de un procedimiento cómo se está realizando el proceso de gestión de acceso a la red de invitados. Para optimizar la eficiencia, se recomienda incluir en el procedimiento de control de acceso o administración de cuentas del establecimiento. Revisar y actualizar la documentación.

Propósito del proceso: Proteger la información de la compañía para mantener aceptable el nivel de riesgo Nivel actual: Incompleto (0) de seguridad de la información de acuerdo con la política de seguridad. Establecer y mantener los roles de seguridad y privilegios de acceso de la información y realizar la supervisión de la seguridad. Minimizar el Nivel deseado: Gestionado impacto en el negocio de las vulnerabilidades e (2) incidentes operativos de seguridad en la información. Efectuar una revisión y actualización de toda la documentación considerada para gestionar los servicios de seguridad de la compañía e identificar cuáles son los documentos que están obsoletos y los que faltan por elaborar y formalizar. Asimismo, considerar el área de Comunicaciones Internas para su difusión y comunicación en conjunto con el “Portal Corporativo” para almacenar y distribuir los documentos que son transversales para la organización y utilizar un SharePoint interno de la Subgerencia de Informática para el almacenamiento de la documentación que se utilizará de forma operativa. Implantar una política para la entrega de equipamiento. Implantar una política para gestionar la entrega de equipamiento a los colaboradores de la compañía y comunicar a toda la organización. Para ello se debería considerar al menos, lo siguiente: • • • • •

Definir el tipo de equipamiento que se entrega por cargo y considerar las excepciones. Medidas a considerar en caso de deterioro, extravío o robo del equipo. Roles y responsabilidades de la Subgerencia de Informática. Mecanismos de comunicación y difusión. Definir un monitoreo y mejora continua para su cumplimiento.

Actualizar la matriz de roles y perfiles de ERP-SAP. Efectuar una revisión de al menos una vez al año y mantener actualizada la matriz de roles y perfiles, considerando sus respectivos cargos de acuerdo con la estructura organizacional de la compañía.

Recomendación para Nivel 2 – Gestionado

Las recomendaciones para el nivel 2 son iguales para todos los procesos.

Plan de recomendaciones N°

Plan de acción Implantar una política para la seguridad de la red y de las conexiones. Formalizar el proceso de gestión de acceso a la red de invitados. Revisar y actualizar la documentación. Implantar una política para la entrega de equipamiento. Actualizar la matriz de roles y perfiles de ERP-SAP.

Nivel de complejidad de implementación

Plazo de implementación

Esfuerzo basado en recurso humano

Factor total

Bajo

Medio

Bajo

Medio

Bajo

5.3.1.6. MEA02 – Monitorear, Evaluar y Valorar el Sistema de Control Interno Propósito del proceso: Ofrecer transparencia a las partes interesadas claves respecto de la adecuación del sistema de control interno para generar confianza en las operaciones, en el logro de los objetivos de la compañía y un entendimiento adecuado del riesgo residual. Nivel 1 Ejecutado: No alcanzado (35%) Para obtener el nivel 1 Ejecutado, se debería alcanzar un grado de cumplimiento mayor al 50% por lo cual su nivel actual es: Incompleto (0)

Nivel actual: Incompleto (0)

Nivel deseado: Ejecutado (1)

Nivel 2 a 5: No aplica.

General Se debe supervisar y evaluar de forma continua el entorno de control, incluyendo tanto las autoevaluaciones como revisiones externas independientes. Facilitando a la Dirección la identificación de deficiencias e ineficiencias en el control y el inicio de acciones de mejora. Panificar, organizar y mantener normas para la evaluación del control interno y las actividades de aseguramiento. Se revisaron las practicas base que son necesarias para dar cumplimiento del propósito del proceso de las cuales, se identificó que no hubo cumplimiento en su totalidad y que los alumnos consideran a través de planes de acción efectuar mejoras para alcanzar el nivel de forma completa. Los que se detallan a continuación: 1. Práctica base: Supervisar el control interno (Parcialmente alcanzado). Evaluación de riesgos realizadas por terceros. o No hay una supervisión del control interno basada en estándares del gobierno organizativos, marcos y prácticas. o No hay un limite en los sistemas de control interno de TI. •

El establecimiento mantiene un sistema de control interno de TI, considerando los cambios en curso del negocio y el riesgo de TI, el entorno organizativo, los procesos del negocio y de TI relevantes y el riesgo de TI. Si hay lagunas se evalúan y recomiendan cambios.

Propósito del proceso: Ofrecer transparencia a las partes interesadas claves respecto de la adecuación Nivel actual: Incompleto (0) del sistema de control interno para generar confianza en las operaciones, en el logro de los objetivos de la compañía y un entendimiento adecuado del riesgo Nivel deseado: Ejecutado (1) residual. 2. Práctica base: Planificar iniciativos de aseguramiento (Parcialmente alcanzado). Planes de auditoria de programas. •

El establecimiento planifico las iniciativas de aseguramiento basándose en los objetivos empresariales y las prioridades estratégicas, riesgo inherente, restricciones de recursos y suficiente conocimiento de la compañía.

3. Práctica base: Ejecutar las iniciativas de aseguramiento (Parcialmente alcanzado). Análisis de riesgos e informes de perfil para los interesados. •

Se ejecuta una iniciativa de aseguramiento planificada. Informar de los hallazgos identificados. Proveer opiniones de aseguramiento positivo, cuando sea oportuno y recomendaciones de mejora relativa a los riesgos residuales identificados en el desempeño operacional, cumplimiento externo y el sistema de control interno.

Recomendación para Nivel 1 – Ejecutado

Revisiones y supervisión del control interno. Se deben realizar actividades de evaluación del control interno basadas en los estándares de gobierno organizativos y los marcos y practicas aceptadas en la industria. Incluyendo un seguimiento y evaluación de la eficiencia y efectividad de las revisiones de supervisión. Considerar las evaluaciones independientes del sistema de control interno. Identificar los limites del sistema de control interno de TI.

Propósito del proceso: Ofrecer transparencia a las partes interesadas claves respecto de la adecuación del sistema de control interno para generar confianza en las operaciones, en el logro de los objetivos de la compañía y un entendimiento adecuado del riesgo residual. Evaluaciones de alto nivel.

Nivel actual: Incompleto (0)

Nivel deseado: Ejecutado (1)

Determinar los destinatarios de las salidas de la iniciativa de aseguramiento y el objetivo de la revisión. Realizar una evaluación del riesgo a alto nivel y/o evaluar la capacidad del proceso para diagnosticar el riesgo e identificar los procesos críticos de TI. Seleccionar, adaptar y llegar a un acuerdo sobre los objetos de control para los procesos críticos que serán la base para la evaluación del control. Revisión de aseguramiento. Se debe ejecutar la iniciativa de aseguramiento planificada. Informando los hallazgos identificados. Proveer opiniones de aseguramiento positivo cuando sea oportuno y recomendaciones de mejora relativas a os riesgos residuales identificados.

Plan de recomendaciones N°

1 2 3

Plan de acción Revisiones y supervisiones del control interno Evaluaciones de alto nivel Revisión de aseguramiento

Nivel de complejidad de implementación

Plazo de implementación

Esfuerzo basado en recurso humano

Factor total

Medio

Bajo

Medio

Bajo

5.3.2. Nivel 2 – Establecido a 5 – Optimizado Dado que la madurez definida como deseada no ha sobrepasado el nivel 2, y que ningún proceso alcanzó el segundo nivel de madurez actual, no se evaluaron los niveles superiores. Esto acorde al Process Assessment Model de COBIT5.

5. Conclusiones Del trabajo realizado referente a “Servicios de GAP Analysis para procesos de informática bajo el marco de Cobit versión 5, para INACAP.”, se han obtenido una serie de conclusiones, organizadas según el estado de situación actual de las tecnologías de la información de la compañía y los próximos pasos recomendados por los alumnos del establecimiento. Estado de situación actual Hoy en día, las tecnologías de la información se han convertido en una pieza fundamental sobre la que sostener cualquier negocio, dejando fuera del mercado a aquellas compañías que no hagan uso intensivo de ellas y generando ventajas competitivas en las organizaciones que consiguen generar un valor diferencial mediante su aprovechamiento. Sin embargo, así como las tecnologías de la información pueden aportar grandes beneficios, también entrañan importantes complejidades y riesgos inherentes a su uso. Por ello, es recomendable conocer y mejorar el nivel de madurez de los procesos de gestión de TI.