Post on 13-Feb-2015
Patricia Prandini, CISA, CRISC
Rodolfo Szuster, CISA, CIA , CBA
Breve reseña de COBIT
COBIT 5: un marco integral
Lo nuevo de COBIT 5
Introducción a “COBIT 5 for (Information) Security”
© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.
© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.
COBIT es un marco para el gobierno y la gestión de las tecnologías de información que permite a la gerencia conectar los requerimientos de control con los aspectos técnicos y los riesgos del negocio
COBIT permite el desarrollo de las políticas y prácticas requeridas y necesarias para el control de las tecnologías en toda la organización
COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a incrementar su valor a través de las tecnologías, y permite su alineamiento con los objetivos del negocio
© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.
Gobierno de TI
COBIT4.0/4.1
Administración
COBIT3
Control
COBIT2
Auditoría
COBIT1
2005/720001998
Evo
luci
ón d
el
Alc
an
ce
1996 2012
Val IT 2.0(2008)
Risk IT(2009)
© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.
De la auditoría a un marco de gobierno de TI
Marco para el gobierno y la gestión de las TI aceptado internacionalmente
Aplicable a todo tipo de organizaciones Complementado con herramientas y
capacitación Gratuito Respaldado por una comunidad de expertos En evolución permanente Avalado por una organización sin fines de lucro,
con reconocimiento internacional Mapeado con otros estándares
© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.
Denominación, Area y DominioDescripción y propósito
Objetivos de IT a los que da soporte y métricas relacionadas
Objetivos del proceso y métricas relacionadas
Niveles de responsabilidad de las partes interesadas
Prácticas , inputs, outputs y actividades
Estándares relacionados
© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.
La Información es un recurso clave para todas las Organizaciones, desde el momento en que es creada hasta el momento de su disposición.
Como resultado, hoy más que nunca se requiere:› Mantener información de alta calidad para sostener las
decisiones del negocio› La generación de valor desde las inversiones de TI› Lograr una excelencia operativa mediante la aplicación de la
tecnología› Mantener el riesgo relativo a la tecnología en valores
aceptables› Optimizar el costo de la tecnología y sus servicios› Dar cumplimiento a regulaciones cada vez más complejas
Val IT es un marco de referencia de gobierno que incluye principios rectores generalmente aceptados y procesos de soporte relativos a la evaluación y selección de inversiones de negocios de TI
Risk IT es un marco de referencia normativo basado en un conjunto de principios rectores para una gestión efectiva de riesgos de TI.
BMIS (Business Model for Information Security) una aproximación holística y orientada al negocio para la administración de la seguridad informática
ITAF (IT Assurance Framework) un marco para el diseño, la ejecución y reporte de auditorias de TI y de tareas de evaluación de cumplimiento.
© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.
La publicación, define y describe los componentes que forman el Marco COBIT
› Principios› Arquitectura› Facilitadores› Guía de implementación › Otras publicaciones futuras de interés
© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.
Enfocado a las necesidades de las partes interesadasCubriendo la Organización íntegramenteAplicando un único marco IntegradorPermitiendo un enfoque holísticoSeparando el Gobierno y la Gestión
Source: COBIT® 5, figure 2. © 2012 ISACA® All rights reserved.
COBIT 5 Family of ProductsCOBIT 5 Enterprise Enablers
Source: COBIT® 5, figure 11. © 2012 ISACA® All rights reserved.
© 2012 ISACA. All rights reserved.
Source: COBIT® 5, figure 12. © 2012 ISACA® All rights reserved.
COBIT®
5
Implementación
Otras GuíasProfesionales
COBIT® 5 Ambiente Colaborativo en Línea
Guías de los Habilitadoress de COBIT® 5
COBIT®
5
Procesos Habilitadores
Otras Guías
Habilitadoras
COBIT ® 5
Información Habilitadora
COBIT®
5
para la Seguridad de la Información
COBIT ® 5 para el
Aseguramiento
COBIT®
5
para Riesgos
COBIT®
5
Guías para Profesionalesde COBIT® 5
© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.
Una publicación independiente que desarrolla el modelo de facilitadores de los procesos
Source: COBIT® 5: Enabling Processes, figure 8. © 2012 ISACA® All rights reserved.
Procesos de GobiernoPermite que las múltiples partes interesadas tengan una lectura organizada del análisis de opciones, identificación del norte a seguir y la supervisión del cumplimiento y avance de los planes establecidos
Procesos de GestiónUtilización prudente de medios (recursos, personas, procesos, practicas) para lograr un fin específico© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.
Source: COBIT® 5, figure 16. © 2012 ISACA® All rights reserved.
COBIT®
5
Implementación
Otras GuíasProfesionales
COBIT® 5 Ambiente Colaborativo en Línea
Guías de los Habilitadoress de COBIT® 5
COBIT®
5
Procesos Habilitadores
Otras Guías
Habilitadoras
COBIT ® 5
Información Habilitadora
COBIT®
5
para la Seguridad de la Información
COBIT ® 5 para el
Aseguramiento
COBIT®
5
para Riesgos
COBIT®
5
Guías para Profesionalesde COBIT® 5
© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.
La Guía de Implementación COBIT 5 cubre los siguientes temas:
Posicionar al Gobierno de IT dentro de la organizaciónTomar los primeros pasos hacia un Gobierno de IT superadorDesafíos de implementación y factores de éxitosFacilitar la gestión del cambioImplementar la mejora continuaLa utilización del COBIT 5 y sus componentes
© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.
Reconociendo los puntos débilesFrustración del negocio por iniciativas fallidas, escalada de
costos y baja percepción de valorIncremento de incidentes de TIProblemas con servicios tercerizadosRegulaciones o requerimientos contractuales incumplidosLimitaciones a la innovación, poca agilidad del negocioObservaciones recurrentes de auditoríaBaja performance o calidadCostos ocultos o inflexiblesPerdida de recursos, duplicación de esfuerzosModelos complejos de operaciónFalta de sponsors o racios a participar de iniciativas de TI
© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.
Gestión del Programa(anillo exterior)
Habilitación del Cambio (anillo medio)
Ciclo de Vida de Mejora Continua
(anillo interior)
Incremento de la creación de valor a través un gobierno y gestión efectiva de la información y de los activos tecnológicos con sus riesgos administrados. La función de TI se vuelve mas enfocada al negocioIncremento de la satisfacción del usuario con el compromiso de TI y sus servicios prestados – TI es visto como facilitador clave.Incremento del nivel de cumplimiento con las leyes regulaciones y políticas relevantes Las personas que participan son mas proactivas en la creación de valor a partir de la gestión de TI.
© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.
© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.
4 dominios
© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.
5 dominiosEvaluar, Dirigir & Monitorear
34 procesos37 procesos
Nuevos procesos y nueva organización
Pentágono de COBIT Dominio Evaluar,Dirigir & Monitorear
Objetivos de control Actividades
© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.
Criterios de la Información
COBIT 4.1 COBIT 5Efectividad Utilidad
Eficiencia Usabilidad
Integridad Libre de Error
Confiabilidad Credibilidad
Disponibilidad Accesibilidad
Confidencialidad Seguridad
Cumplimiento Conformidad
Integra Val IT, Risk IT, BMIS e ITAF Se modifican las metas del negocio y de TI,
dándole una mayor precisión al nexo entre ellas y discriminándolas entre primarias y secundarias
Aparece un nuevo Modelo de Madurez, basado en la norma ISO/IEC 15504 Software Engineering – Process Assessment Standard
© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.
© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.
COBIT 5 toma como base el modelo relacional que utiliza BMIS (Business Model for Information Security), incorporando su visión integral y sus componentes a la nueva versión
Source: BMIS®, figure 2. © 2010 ISACA® All rights reserved.
© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.
Evaluar, Dirigir y Monitorear Procesos para el Gobierno Corporativo de TI
Procesos para la Administración de TI Corporativa
Alinear, Planear y Organizar
Construir, Adquirir e Implementar
Entregar, Brindar Servicios y Dar Soporte
Monitorear, Evaluar
y Valorar
EDM01 Asegurarque se fija el Marco de
Gobierno y su Mantenimiento
EDM02 Asegurarla Entrega de Valor
EDM03 Asegurarla Optimización de los
Riesgos
EDM04 Asegurarla Optimización de los
Recursos
EDM05 Asegurarla Transparencia a las
partes interesadas
APO01 Administrar el Marco de la
Administración de TI
APO02 Administrarla Estrategia
APO04 Administrar la Innovación
APO03 Administrarla Arquitectura
Corporativa
APO05 Administrar el Portafolio
APO06 Administrarel Presupuesto y los
Costos
APO07 Administrar el Recurso Humano
APO08 Administrar las Relaciones
APO09 Administrar los Contratos de Servicios
APO11 Administrarla Calidad
APO10 Administrarlos Proveedores
APO12 Administrar los Riesgos
APO13 Administrar la Seguridad
BAI01 AdministrarProgramas y Proyectos
BAI02 Administrarla Definición de Requerimientos
BAI04 Administrar la Disponibilidad y
Capacidad
BAI03 Administrarla Identificación y Construcción de
Soluciones
BAI05 Administrar la Habilitación del Cambio BAI06 Administrar
Cambios
BAI07 Administrar la Aceptación de Cambios
y Transiciones
BAI08 Administrar el Conocimiento
BAI09 Administrar los Activos
BAI10 Admnistrar la Configuración
DSS01 Administrar las Operaciones
DSS02 Administrar las Solicitudes de Servicios
y los Incidentes
DSS04 Administrar la Continuidad
DSS03 Administrar Problemas
DSS05 Administrar los Servicios de Seguridad
DSS06 Administrar los Controles en los
Procesos de Negocio
MEA01 Monitorear, Evaluar y Valorar el
Desempeño y Cumplimiento
MEA02 Monitorear, Evaluar y Valorar el Sistema de Control
Interno
MEA03 Monitorear, Evaluar y Valorar el Cumplimiento con
Requisitos Externos
COBIT®
5
Implementación
Otras GuíasProfesionales
COBIT® 5 Ambiente Colaborativo en Línea
Guías de los Habilitadoress de COBIT® 5
COBIT®
5
Procesos Habilitadores
Otras Guías
Habilitadoras
COBIT ® 5
Información Habilitadora
COBIT®
5
para la Seguridad de la Información
COBIT ® 5 para el
Aseguramiento
COBIT®
5
para Riesgos
COBIT®
5
Guías para Profesionalesde COBIT® 5
© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.
Se proyecta como una guía específica para los profesionales de la Seguridad de la Información y otros interesados
Se construye sobre el marco del COBIT 5, un enfoque robusto para el gobierno y la gestión de la seguridad de la información, sobre la base de los procesos de negocios de la organización
Presentará una visión extendida del COBIT 5 , que explica cada uno de sus componentes desde la perspectiva de la seguridad
Creará valor para todos los interesados a través de explicaciones, actividades, procesos y recomendaciones
Propondrá una visión del gobierno y la gestión de la seguridad de la información mediante una guía detallada para establecerla, implementarla y mantenerla, como parte de las políticas, procesos y estructuras de la organización.
© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.
Principales contenidos: Directrices sobre los principales drivers y
beneficios de la seguridad de la información para la organización
Aplicación de los principios de COBIT 5 por parte de los profesionales de la seguridad de la información
Mecanismos e instrumentos para respaldar el gobierno y la gestión de la seguridad de la información en la organización
Alineamiento con otros estándares de seguridad de la información
© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.
Estado actual del COBIT 5 for (Information) Security:
Se distribuyó un borrador a un grupo de expertos en la materia (SME) en enero de 2012
Durante el mes de febrero, el equipo “COBIT Security Task Force” de ISACA revisará e incorporará el feedback en el texto
Fecha esperada de publicación: junio de 2012
© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.
¡GRACIAS POR ESCUCHARNOS!
Patricia PRANDINI Rodolfo SZUSTER
Corrientes 389 – EP – CABAwww.adacsi.org.ar
Tel: 5411 4317-2855info@adacsi.org.ar