BogotÆ, Colombia Julio 29 a Agosto 1 de 2009 GRC Symposium
Bogotá, Colombia
Julio 29 a Agosto 1 de 2009
GRC Symposium
id2911609 pdfMachine by Broadgun Software - a great PDF writer! - a great PDF creator! - http://www.pdfmachine.com http://www.broadgun.com
Fernando Ferrer Olivares, CISA, CISM, PMP, CCSA
COBIT Foundation Certificate, COBIT Trainer Accredited
Socio Fundador de FERROL International Group (IT Governance, Control, Security and Audit Services)
Universidad Católica de Colombia, Especialización Auditoría de Sistemas
[email protected] [email protected] [email protected] 314-2950236
Nombre de la Presentación
Agenda
ITGI e ISACA
IT Governance
IT Risk
IT Management
IT Compliance
Otros Productos
Preguntas
ITGI e ISACA
ISACA - Colombia
Sirviendo a los profesionales de Gobierno de TI colombianos y latinoamericanos
www.isaca-bogota.net
El IT GovernanceInstitute es una organización de investigación sin ánimo de lucro asociada con ISACA®
www.itgi.org
IT Governance Institute - ITGI
Suite de Productos del ITGI
Suite de Productos del ITGI
IT Governance IT Risk IT Compliance IT Management
IT Governance
El ITGI proporciona productos para las áreas de:
GOBIERNO DE TI
(Alineamiento, Valor Cumplimiento)
ADMINISTRACIÓN DE TI
(Efectividad y Eficiencia)
CONTROL DE TI
SEGURIDAD DE TI
RIESGOS DE TI
ASEGURAMIENTO DE TI
(AUDITORÍA)
Enterprise Governance of IT
Suite de Productos del ITGI
IT Governance
�IT governanceIT governance is the responsibility of the board of
directors and executive management. It is an integral part of
enterprise governance and consists of the leadership and
organisational structures and processes that ensure that the
organisation�s IT sustains and extends the organisation�s
strategies and objectives�
Board Briefing on IT Governance IT Governance Executive Summary Unlocking Value
Qué es Gobierno de TI?
Porqué es importante?
A quién le incumbe? Board of Directors & Executive Management Responsibility & Accountability
Qué cubre? Domains Focus Areas Outcomes
BSC
Business Case
Cómo lograrlo? Necesidad de un Plan de Acción Actividades principales y secuencia
Cómo compararse? Medición a través de Benchmarking - CMM
Material de referencia existente Treadway Commission, BIS and OECD Cadbury & Turnbull Report COBIT
Listas de Chequeo Permiten descubrir problemas en TI Mejores prácticas identificadas Proveen insumos para el plan de acción Para la Junta y la Alta Gerencia
Comités IT Strategic Committee, IT Steering Committee, Technology
Council, IT Architecture Review Board
IT Governance
IT Strategy Committee The CEO�s Guide to IT Value @ Risk
Establecimiento de Comités (Estatuto) Responsabilidades, Autoridad, Miembros, Reuniones Habilidades requeridas
IT Governance
IT Governance Global Status Report 2006 & 2008 An Executive View of IT Governance Top Business/Technology IIssues IT Governance Roundtables
Encuestas y Entrevistas
IT Governance
IT Governance
IT Alignment: Who is in charge? Understanding How Business Goals Drive IT Goals Identifying and Aligning Business Goals and IT Goals
Escenario Actual Importancia del Alineamiento Fomulación de Estrategias y la sociedad Negocio - TI
Roles Board, CEO, CIO Comités
IT Strategic, Steering and Investment Committees Casos de Estudio y Recomendaciones Proyecto Investigación Alineamiento
IT Governance
Optimising Value Creation from IT Investments
Importancia del Valor Portafolio, Programa y Proyectos de Inversión Categorías de Inversión Ciclo de Vida Total de las Inversiones
Definición & Realización de Beneficios Consideración del Riesgo
IT Governance
Enterprise Value Governance of IT Investments The VAL IT Framework
Principios, Dominios & Procesos Modelos de Madurez (Genéricos y x Atributos) x Dominio Prácticas Claves y Guías Gerenciales x Proceso RACIs x Cargo
IT Governance
Enterprise Value Governance of IT Investments The ING and the Policy Case Study The Business Case Getting Started with Value Mangement
Experiencias � Herramientas (Implementación � Autodiagnóstico) �Métodos
IT Governance
Information Risks: Whose Business Are They? The Risk IT Framework
Por qué es importante? Principales riesgos Framework para Risk
Management Roles & Responsabilidades Principios, Dominios, Procesos
& Actividades I/O, RACI, Objetivos &
Métricas, CMM
IT Governance & IT Risk
Governance of Outsourcing
Importancia del Outsourcing Governance Enfoques, Mejores prácticas y Tendencias Pasos genéricos
IT Governance
Measuring and Demostring the Value of IT
Cómo medir? Tipos de métricas El BSC Roles & responsabilidades
IT Governance
IT Governance Implementation Guide Using COBIT & VAL IT Building the Business Case for COBIT and VAL IT
Cómo implementar el Gobierno de TI? Roadmap - Herramientas
Autodiagnóstico
IT Governance
COBIT y su soporte a ISO 38500
ITGI Enables ISO/IEC 38500:2008 Adoption
Explicación de Principios y Tareas de la norma Relación de los documentos del IT Governance con la norma
NEW
IT Management
OBJETIVOS DEL NEGOCIO
OBJETIVOS DE GOBIERNO
Eficiencia
Aplicaciones
Información
Infraestructura
Personas
ENTREGAR
Y DAR
SOPORTE
MONITOREAR
Y
EVALUAR
ADQUIRIR
E
IMPLEMENTAR
INFORMACION
RECURSOS
DE
TI
MARCO DE TRABAJO
C O B I T
Efectividad
Confidencialidad
Integridad
DisponibilidadCumplimiento
PLANEAR
y
ORGANIZAR
Confiabilidad
DS1 Definir y administrar niveles de servicios
DS2 Administrar servicios de terceros
DS3 Administrar desempeño y capacidad
DS4 Garantizar la continuidad del servicio
DS5 Garantizar la seguridad de los sistemas
DS6 Identificar y asignar costosDS7 Educar y entrenar a los
usuariosDS8 Administrar la mesa de servicio
y los incidentesDS9 Administrar la configuraciónDS10 Administrar los problemasDS11 Administrar los datosDS12 Administrar el ambiente físicoDS13 Administrar las operaciones
ME1 Monitorear y evaluar el desempeño de TI
ME2 Monitorear y evaluar el control interno
ME3 Garantizar cumplimiento regulatorio
ME4 Proporcionar gobierno de TI
PO1 Definir el plan estratégico de TIPO2 Definir la arquitectura de la
informaciónPO3 Determinar la dirección tecnológicaPO4 Definir procesos, organización y
relaciones de TIPO5 Administrar la inversión en TIPO6 Comunicar la dirección y
melasaspiraciones y la dirección de la gerencia
PO7 Administrar recursos humanos de TI
PO8 Administrar calidadPO9 Evaluar y administrar riesgos de TIPO10 Administrar proyectos
AI1 Identificar soluciones automatizadas
AI2 Adquirir y mantener el software aplicativo
AI3 Adquirir y mantener la infraestructura tecnológica
AI4 Facilitar la operación y el usoAI5 Adquirir recursos de TIAI6 Administrar cambiosAI7 Instalar y acreditar soluciones y
cambios
IT Management
Marco de Trabajo de COBIT
Objetivos TI
Procesos TI
Objetivos
Control
Prácticas Control
Pruebas Diseño Controles
Actividades clave
Modelos de Madurez
Medidas de resultados
Indicadores de desempeño
Objetivos
Negocio
Requerimientos Información
Controlados por
Implementados
con
Audita
dos
por
Auditados por
Desglosados en
Med
idos
por
Para
dese
mpeño
Par
a re
sulta
dos
Para madurez
Diagramas RACI
Rea
lizad
os p
or
Pruebas Control Resultados
Derivadasde
Basados en
IT Management
Marco de Trabajo de COBIT
Objetivos de Control
Guías Gerenciales
Modelo de Madurez
Objetivos TI
Procesos TI
Objetivos
Control
Prácticas Control
Pruebas Diseño Controles
Actividades clave
Modelos de Madurez
Medidas de resultados
Indicadores de desempeño
Objetivos
Negocio
Requerimientos Información
Controlados por
Implementados
con
Audita
dos
por
Auditados por
Desglosados en
Med
idos
por
Para
dese
mpeño
Par
a re
sulta
dos
Para madurez
Diagramas RACI
Rea
lizad
os p
or
Pruebas Control Resultados
Derivadasde
Basados en
Marco de Trabajo de COBIT
COBIT para Prestación de Servicios
COBIT User Guide forService Managers
Prestación de Servicios Matrices RACI Soporte al Gobierno de TI y al Gobierno de Prestación de
Servicios Relación con ITIL Enfoque de Implementación � Plan de acción
NEW
COBIT para Pequeñas y Medianas Empresas
COBIT Quick Start
Objetivos de control mínimos para pequeñas y medianas empresas Herramientas de diagnóstico
COBIT para Seguridad
Information Security Governance Cobit Security Baseline An Introduction to the Business Model for Information Security Definying Information Security Mangement � Position
Requirements
44 pasos hacía la Seguridad Kits de Sobrevivencia Roles y Responsabilidades
IT Compliance
IT Control Objectives for Sarbanes-Oxley
Cómo satisfacer la Ley Sarbanes-Oxley Por dónde empezar?
IT Compliance
IT Compliance
NEW
IT Control Objectives for Sarbanes-Oxley
Cómo satisfacer la Ley Sarbanes-Oxley Por dónde empezar?
IT Compliance
Objetivos TI
Procesos TI
Objetivos
Control
Prácticas Control
Pruebas Diseño Controles
Actividades clave
Modelos de Madurez
Medidas de resultados
Indicadores de desempeño
Objetivos
Negocio
Requerimientos Información
Controlados por
Implementados
con
Audita
dos
por
Auditados por
Desglosados en
Med
idos
por
Para
dese
mpeño
Par
a re
sulta
dos
Para madurez
Diagramas RACI
Rea
lizad
os p
or
Pruebas Control Resultados
Derivadasde
Basados en
IT Compliance
Otros Productos
2003 - Integración de estándares
Consolidación
Armonización: integración mejorada con otras prácticas claves
Coexistencia
Creación de contenidos sin presiones comerciales
Mapeo de COBIT con otros Estándares
NEW
Mapeos en desarrollo TOGAF (Architecture)
GBPM
Mapeos en lista FFEIC (US banking)
NIAC (Insurance)
NIST SP800-53
FISMA
IAIS Framework (Solvency II)
HIPAA (Health Insurance)
GLBA (Privacy)
ISO19770-1 (SW Asset Mgmt)
ISO 27005 (Risk Mgmt)
Mapeo de COBIT con otros Estándares
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43Plan and Organize
Acqui reand
Ma intain
Deliver and Support
Mon
itor
and
Eva
luat
e
Procesos de COBIT 4.0 cubiertos porISO/IEC 17799:2005
Mapeo de COBIT con ISO 17799:2005
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acquir e
andIm
plement
Deliver and Support
Mon
itor
and
Ev a
lua t
eMapeo de COBIT con ITIL
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acquir e
andIm
plement
Deliver and Support
Mon
itor
and
Ev a
lua t
eMapeo de COBIT con ITIL
01. COBIT Foundation Course00. Concientización en TI
02. COBIT Advanced
02.01 COBIT - PO02.02 COBIT - AI
02.03 COBIT - DS02.04 COBIT - ME
03. COBIT Quick Start
04. COBIT for SOX
05. COBIT for Basilea II
06. COBIT Security Baseline
07. Control Objectives for Net Centric Technology
09. IT Governance
08. Implementing IT Governance using COBIT &
VAL IT
10. VAL IT
Preguntas ???
Fernando Ferrer Olivares, CISA, CISM, PMP, CCSA
COBIT Foundation Certificate, COBIT Trainer Accredited
Socio Fundador de FERROL International Group (IT Governance, Control, Security and Audit Services)
Universidad Católica de Colombia, Especialización Auditoría de Sistemas
[email protected] [email protected] [email protected] 314-2950236