• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Gobernabilidad de la TI para la Gestión de Riesgos Tecnológicos: Un Enfoque Aplicado
 

Gobernabilidad de la TI para la Gestión de Riesgos Tecnológicos: Un Enfoque Aplicado

on

  • 15,444 views

Presentación para el Congreso Vanguardia Financiera 2009, San José, Costa Rica

Presentación para el Congreso Vanguardia Financiera 2009, San José, Costa Rica

Statistics

Views

Total Views
15,444
Views on SlideShare
15,341
Embed Views
103

Actions

Likes
3
Downloads
640
Comments
4

2 Embeds 103

http://www.slideshare.net 98
http://www.linkedin.com 5

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel

14 of 4 previous next Post a comment

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
  • Very goor
    Are you sure you want to
    Your message goes here
    Processing…
  • excelentee
    Are you sure you want to
    Your message goes here
    Processing…
  • gustaría tener información más detallada de este proyecto porfavor
    Are you sure you want to
    Your message goes here
    Processing…
  • excelente, muy interesante trabajo, justo lo que necesitaba para enfocar mi TESIS
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Gobernabilidad de la TI para la Gestión de Riesgos Tecnológicos: Un Enfoque Aplicado Gobernabilidad de la TI para la Gestión de Riesgos Tecnológicos: Un Enfoque Aplicado Presentation Transcript

    • Gobernabilidad de la TI para la Gestión de Riesgos Tecnológicos Un enfoque aplicado Egdares Futch H., CISSP Marzo de 2009
    • ¿Cuál es la percepción usual de un proyecto de gobernabilidad de las Tecnologías de Información? •Retador •Complicado •Largo •Alcanzable? Pág 2
    • Enfoque de la presentación Infraestructura CobIT ITIL Gestión de los Información Riesgos Personas Tecnológicos ISO 27000 PMBOK Aplicativos Pág 3
    • Principios del modelo CobIT de gobernabilidad de las TI REQUERIMIENTOS DE INFORMACIÓN DEL NEGOCIO PROCESOS DE TI RECURSOS DE TI Pág 4
    • ¿Qué le da un modelo de gobernabilidad al Negocio? CobiT combina los principios contenidos por modelos existentes y conocidos, como COSO, SAC y SAS Calidad Requerimientosde Calidad Costo Oportunidad Efectividad y eficiencia operacional Requerimientos Financieros (COSO) Confiabilidad de los reportes financieros Cumplimiento de leyes y regulaciones Confidencialidad Requerimientosde Integridad Seguridad Disponibilidad Pág 5
    • CobIT comomodelo de gobernabilidad Pág 6
    • Estructura del modelo CobIT Cubo de CobiT Relación entre los componentes Dominios Procesos TI Procesos Actividades Pág 7
    • Cómo se integra con COSO ? R I E S G O T E C N O L Ó G I C O Pág 8
    • Otros modelos de gobernabilidad de TI ISO 17799/27000 La Informaciónes un activo, que al igualqueotrosactivosimportantes de la organización, tiene un valorpara la mismaycomotal,necesitaser protegidade forma adecuada Pág 9
    • Otros modelos de gobernabilidad de TI ITIL consiste de 3áreas de gestión: Entrega de servicios de TI Soporte de servicios de TI Administrar la infraestructura de TI Estos modelos proveen guías sobre la administración del personal, procesos y servicios de TI. Cada uno de estos modelos se centra en habilitar tecnologías y las mejores prácticas para lograr sistemas con alta disponibilidad, confiabilidad, mantenimiento y administración. Pág 10
    • Nuestro proyecto de implementación de la gobernabilidad
    • Alcance del proyecto • El Proyecto integra las Mejores Prácticas generalmente aceptadas en la industria para la gestión de las TI • CobIT es la base del Proyecto y el que integra las otras Normativas o Estándares Internacionales • ISO-17799 es el componente del proyecto especializado en el tópico de Seguridad de la Información • Se reutiliza todo lo desarrollado hasta el momento con respecto a prácticas, procesos y procedimientos, basándose en ITIL • Este proyecto apoya integralmente el proceso COSO institucional Pág 12
    • Etapas del proyecto Seguimiento y mejora Plan de continua implementación Análisis de brechas Diagnóstico Pág 13
    • Modelo de gestión del área deTI Arquitectura ArquitecturaTecnológica D a ta C e n tre Arquitectura de L AN MF Sistemas del Aplicativa Min i MF Negocio H e a d O ffic e S a le s O ffic e Min i Mini PC PC LAN PC LAN PC PC PC Seguridad Atención al usuario Modelo de Negocio Organización de T.I. Arquitectura de Procesos Pág 14
    • Mapeo de la Estrategia Institucional en Iniciativas Estratégicas de TI Implantar y mantener líneas de comunicación eficientes, con alto nivel de disponibilidad, que soporten POBREZA INTEGRACIÓN GLOBALIZACIÓN la mejora continua de los Misión Visión procesos y la oportuna atención a los clientes del OBJETIVOS ESTRATÉGICOS A LARGO PLAZO Banco. Fortalecer y actualizar la seguridad de los sistemas y PRIORIDADES bases de datos PRODUCTOS Implantar y mantener una INICIATIVAS tecnología de ESTRATÉGICAS punta, cuidando de mantener una relación costo-beneficio VENTAJAS positiva, salvaguardando la COMPETITIVAS continuidad de los negocios Finanzas y Cartera del Banco. Recursos Humanos AREAS Crear la herramientas de FUNCIONALES Tecnología Gestionar la sistemas de información para Procesos y Estructura gobernabilidad de las diseñar y lanzar eficazmente TICs por medio de INICIATIVAS nuevos productos. prácticas de clase ESTRATÉGICAS mundial Implantar y mantener Sistemas de Información (SI) integrados, en línea y un SI Gerencial dinámico y confiable Pág 15
    • Mapeo de las Iniciativas Estratégicas en un modelo de Gobernabilidad de TI Implantar y mantener líneas Planificación Estratégica y de comunicación Organización de Tecnología eficientes, con alto nivel de identificando formas en que la TI disponibilidad, que soporten puede contribuir de la mejor la mejora continua de los CobIT manera al logro de los objetivos procesos y la oportuna institucionales atención a los clientes del Banco. Fortalecer y actualizar la Adquisición e implementación de seguridad de los sistemas y ITIL/ISO 17799/SOX/GLBA ITIL/ISO 17799/OFA Tecnología dentro del proceso del bases de datos negocio, así como los cambios y el mantenimiento realizados a Implantar y mantener una Gestionar la sistemas existentes tecnología de gobernabilidad de las punta, cuidando de mantener TICs por medio de una relación costo beneficio positiva, salvaguardando la prácticas de clase Prestación de Servicios y continuidad de los negocios mundial del Banco. Soporte, que incluye desde las operaciones tradicionales hasta el entrenamiento, pasando por Crear las herramientas de seguridad y aspectos de continuidad sistemas de información para diseñar y lanzar eficazmente nuevos productos. Seguimiento y evaluación de Implantar y mantener proyectos de TI para verificar su Sistemas de Información (SI) calidad y suficiencia en cuanto a los integrados, en línea y un SI CobIT requerimientos Gerencial dinámico y confiable Pág 16
    • Modelo de procesos de la SGTI Dominios de operación Estrategia, Pl Gestión del Gestión del Gestión Gestión Gestión de la Gestión Gestión anificación, Desarrollo Mantenimien Gestión de Gestión de Seguridad Infraestructu Mesa de Alineamiento Nuevas to Datos Operaciones LAN WAN de la ra Servicio y Control Aplicaciones Aplicaciones Información Mantenimiento de Administración Administración Mantenimiento Mantenimiento Implantación y Infraestuctura Monitores de Ejecución de Computación Contingencia Centralizada Software de Solución de Desarrollos Desarrollos Distribuida Impresión Problemas Control de Operación Monitoreo Definición Procesos Hardware Equipos Cambios Sistema Operación Lógica Física BCIE BCIE 3ros 3ros LAN de la Mesa de Servicio • El modelo de procesos de la SGTI está basado en el modelo CobIT, el cual está sancionado dentro de COSO y Basilea II como el framework apropiado para gestionar la gobernabilidad de las Tecnologías de Información. Pág 17
    • Modelo de procesos alineado a la Gestión Mesa de estructura Servicio Subgerencia de Tecnología de Información (SGTI) Gerente de Gestión Estrategia, Pl Gestión Operaciones WAN anificación, Mesa de Alineamiento Servicio y Control Subgerente de Tecnología Supervisor de Supervisor de Gestión Seguridad en Seguridad y Calidad Gestión Informática de Aplicaciones Gestión LAN Seguridad Seguridad de la de la Técnico de Soporte a Información Usuarios Información (2) SGTI Estrategia, Pl Gestión de Estrategia, Pl Gestión del anificación, Operaciones Alineamiento anificación, Desarrollo Alineamiento Nuevas y Control Coordinador de Coordinador de Jefe de Aplicaciones Tecnología Vacante Análisis de Procesos y Control Aplicaciones Gestión de la Supervisor de Administrador de Analista de Gestión del Soporte Tecnológico Base de Datos Analista de Procesos Infraestructu Aplicaciones (3) Mantenimien ra to Técnicos de Aplicaciones Técnico de Eventos Administrador de y Hardware Informática Aplicaciones (2) (3) (1) Gestión de eventos Analista Programador Gestión de institucional (1) Datos es TEC APLI Pág 18
    • Productos obtenidos
    • Inventario de controles asociados a procesos NOMBRE DEL CONTROL DESCRIPCION DEL CONTROL OBJETIVO DE CONTROL COBIT DS12 Administración del Ambiente Físico Las paredes del centro de cómputo son elevadas Construcción del centro de cómputo DS12.1 Selección y diseño del centro de datos hasta el plenum y hechas de material retardante. El área de recibo de equipo de cómputo se efectúa Area de recibo de equipo separada. DS12.2 Medidas de seguridad física en el nivel 1 conjuntamente con SEG. Todo préstamo de equipo se hace por medio de Autorización de préstamo de equipo. una boleta que es autorizada por el Coordinador de DS12.2 Medidas de seguridad física Tecnología. Toda salidad de equipo para mantenimiento es Autorización de salidad de equipo autorizada por el Subgerente de Tecnología o por el DS12.2 Medidas de seguridadfísica Gerente de Operaciones. Pág 20
    • Análisis de Cargas de Trabajo y Segregación de Funciones Tipo de Control No Objetivos de Control Procedimiento (2007) Lin. Proc. SGTI CT Admon MSI Oficial MSI SSI SSCA DBA Analista APLI Tecnico Infor. Jefe APLI DS9.1 Repositorio de Configuración y Línea de Base X X X X Administración de la DS9.2 Identificación y Mantenimiento de Elementos de Configuración Configuración X X X X DS9.3 Revisión de Integridad de la Configuración X X X X DS13.1 Procedimientos e Instrucciones de Operación X X X X DS13.2 Programación de Tareas X X X X DS13.3 Monitoreo de la Infraestructura de TI X X X DS13.4 Documentos Sensitivos y Dispositivos de Salida Administracion de las X X X Operaciones DS13.5 Mantenimiento Preventivo del hardware X PO2.3 Esquema de Clasificación de Datos X X X PO2.4 Administración de la Integridad X X DS11.1 Requerimientos del Negocio para Administración de Datos X DS11.2 Acuerdos de Almacenamiento y Conservación X X DS11.3 Sistema de Administración de Librerías de Medios X DS11.4 Eliminación Administración de los Datos X X X X X DS11.5 Respaldo y Restauración X X X X X X DS11.6 Requerimientos de Seguridad para la Administración de Datos X X X X AI6.1 Estándares y Procedimientos para Cambios X X AI6.2 Evaluación de Impacto, Priorización y Autorización X X X X X X X Administracion de los AI6.3 Cambios de Emergencia X X X X X X Cambios X AI6.4 Seguimiento y Reporte del Estatus de Cambio X AI6.5 Cierre y Documentación del Cambio X X X X X X Pág 21
    • Indicadores de la Gestión de TI (BSC) Actividad Indicadores Peso relativo Asignación de Recursos Planificación Estratégica y Organización §Revisiónanual del Plan Estratégico de IT 10% 10% de Tecnología identificando formas en §Creación del Plan Operativo Anual y Presupuesto de Inversión en que la TI puede contribuir de la mejor Tecnología manera al logro de los objetivos §Cumplimiento del Plan de Capacitación de Tecnología institucionales Adquisición e implementación de •% Ejecución presupuestaria 30% 40% Tecnología dentro del proceso del •Actualización anual de Procesos de TI negocio, así como los cambios y el -Equipos instalados mantenimiento realizados a sistemas -Licencias de software de base instaladas existentes. Prestación de Servicios y Soporte, que •% Cumplimiento de estándares de servicio a usuarios 40% 40% incluye desde las operaciones •% Disponibilidad y desempeño de los sistemas centrales tradicionales hasta el entrenamiento, •% Disponibilidad y desempeño de la red LAN y WAN pasando por seguridad y aspectos de •Evaluaciones trimestrales de seguridad informática en la red (virus, continuidad errores, vulnerabilidades) Seguimiento y evaluación de proyectos de •Seguimiento y Ejecución del Plan Operativo Anual y Presupuesto de 20% 10% TI para verificar su calidad y suficiencia Inversión en Tecnología en cuanto a los requerimientos •Informes de instalación de proyectos Pág 22
    • Indicadores de Gestión para la Evaluación del Desempeño Estándares Técnicos De servicio Estándares de Evaluaciones Help Desk (SERVICEDESK) Disponibilidad De seguridad (NAGIOS) (Retina,ERA) Supervisión y Administración Coordinador Help Desk Seguridad Informática Seguimiento y Actualización ejecución Coordinador De procesos POA/PPTO Administrador Soporte De TI Base de Datos Tecnológico Jefatura IT Pág 23
    • Gestión de riesgos asociados a la TI Pág 24
    • Conclusiones y recomendaciones
    • Conclusiones • La implantación de un modelo de gobernabilidad comienza con un diagnóstico (health check) • Identificar brechas y debilidades • Puede usarse ITIL para mejorar procesos (MOF?) • Puede usarse ISO – 17799/ ISO 27000 para mejorar la seguridad • Usamos CobIT para definir procesos y métricas • Con estos modelos, construimos toda la infraestructura de Gobernabilidad de la TI Pág 26
    • Algunas recomendaciones (¿temas que se podrían olvidar?) • Establecer políticas de alto nivel para la gobernabilidad de la TI • Establecer procesos formales de autocontrol / autodiagnóstico para el mantenimiento del sistema • Establecer procesos de culturización hacia todo el personal • Moverse hacia el aseguramiento de la Continuidad de los Negocios Pág 27
    • ¡MUCHAS GRACIAS POR SU ATENCIÓN! Pág 28