Gobernabilidad de la TI para la Gestin de Riesgos Tecnolgicos

Un enfoque aplicado
Johnny Justiniano PM

Cul es la percepcin usual de un proyecto de gobernabilidad de las Tecnologas de Informacin?

Retador
Complicado Largo

Alcanzable?

Enfoque de la presentacin
Infraestructura

CobIT

ITIL

Informacin

Gestin de los Riesgos Tecnolgicos

Personas

ISO 27000

PMBOK

Aplicativos

Principios del modelo CobIT de gobernabilidad de las TI

REQUERIMIENTOS DE INFORMACIN DEL NEGOCIO

PROCESOS DE TI

RECURSOS DE TI

Qu le da un modelo de gobernabilidad al Negocio?

CobiT combina los principios contenidos por modelos existentes y conocidos, como COSO, SAC y SAS
Calidad
Requerimientos de Calidad

Costo Oportunidad Efectividad y eficiencia operacional

Requerimientos Financieros (COSO)

Confiabilidad de los reportes financieros Cumplimiento de leyes y regulaciones

Confidencialidad

Requerimientos de Seguridad

Integridad Disponibilidad

CobIT como modelo de gobernabilidad

Estructura del modelo CobIT

Cubo de CobiT Relacin entre los componentes

Procesos TI

Dominios

Procesos Actividades

Cmo se integra con COSO ?

R I E S G O T E C N O L G I C

Otros modelos de gobernabilidad de TI

ISO
17799/27000
La Informacin es un activo, que al igual que otros activos importantes de la organizacin, tiene un valor para la misma y como tal, necesita ser protegida de forma adecuada

Otros modelos de gobernabilidad de TI

ITIL consiste de 3 reas de gestin:

Entrega de servicios de TI

Soporte de servicios de TI
Administrar la infraestructura de TI
Estos modelos proveen guas sobre la administracin del personal, procesos y servicios de TI. Cada uno de estos modelos se centra en habilitar tecnologas y las mejores prcticas para lograr sistemas con alta disponibilidad, confiabilidad, mantenimiento y administracin.

Nuestro proyecto de implementacin de la gobernabilidad

Alcance del proyecto

El Proyecto integra las Mejores Prcticas generalmente aceptadas en la industria para la gestin de las TI CobIT es la base del Proyecto y el que integra las otras Normativas o Estndares Internacionales

ISO-17799 es el componente del proyecto especializado en el tpico de Seguridad de la Informacin

Se reutiliza todo lo desarrollado hasta el momento con respecto a prcticas, procesos y procedimientos, basndose en ITIL Este proyecto apoya integralmente el proceso COSO institucional

Etapas del proyecto

Plan de implementacin Anlisis de brechas

Seguimiento y mejora continua

Diagnstico

Modelo de gestin del rea de TI

Arquitectura de Sistemas del Negocio Arquitectura Aplicativa
Head Office
Mini
PC PC

Arquitectura Tecnolgica
Data Centre
LAN
MF
Mini

MF

Mini

Sales Office

PC

LAN
PC

LAN
PC PC

Seguridad Atencin al usuario

Modelo de Negocio

Organizacin de T.I. Arquitectura de Procesos

Mapeo de la Estrategia Institucional en Iniciativas Estratgicas de TI

POBREZA INTEGRACIN GLOBALIZACIN

Misin OBJETIVOS ESTRATGICOS A LARGO PLAZO

Visin

Implantar y mantener lneas de comunicacin eficientes, con alto nivel de disponibilidad, que soporten la mejora continua de los procesos y la oportuna atencin a los clientes del Banco. Fortalecer y actualizar la seguridad de los sistemas y bases de datos Implantar y mantener una tecnologa de punta, cuidando de mantener una relacin costo-beneficio positiva, salvaguardando la continuidad de los negocios del Banco.

PRIORIDADES
PRODUCTOS INICIATIVAS ESTRATGICAS VENTAJAS COMPETITIVAS
Finanzas y Cartera Recursos Humanos Tecnologa Procesos y Estructura

AREAS FUNCIONALES

INICIATIVAS ESTRATGICAS

Gestionar la gobernabilidad de las TICs por medio de prcticas de clase mundial

Crear la herramientas de sistemas de informacin para disear y lanzar eficazmente nuevos productos. Implantar y mantener Sistemas de Informacin (SI) integrados, en lnea y un SI Gerencial dinmico y confiable

Mapeo de las Iniciativas Estratgicas en un modelo de Gobernabilidad de TI

Planificacin Estratgica y Organizacin de Tecnologa identificando formas en que la TI puede contribuir de la mejor manera al logro de los objetivos institucionales Implantar y mantener lneas de comunicacin eficientes, con alto nivel de disponibilidad, que soporten la mejora continua de los procesos y la oportuna atencin a los clientes del Banco. Fortalecer y actualizar la seguridad de los sistemas y bases de datos Implantar y mantener una tecnologa de punta, cuidando de mantener una relacin costo beneficio positiva, salvaguardando la continuidad de los negocios del Banco. Crear las herramientas de sistemas de informacin para disear y lanzar eficazmente nuevos productos. Implantar y mantener Sistemas de Informacin (SI) integrados, en lnea y un SI Gerencial dinmico y confiable

CobIT

Gestionar la gobernabilidad de las TICs por medio de prcticas de clase mundial

ITIL/ISO 17799/SOX/GLBA ITIL/ISO 17799/OFA

Adquisicin e implementacin de Tecnologa dentro del proceso del negocio, as como los cambios y el mantenimiento realizados a sistemas existentes

Prestacin de Servicios y Soporte, que incluye desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad

CobIT

Seguimiento y evaluacin de proyectos de TI para verificar su calidad y suficiencia en cuanto a los requerimientos

Modelo de procesos de la SGTI

Dominios de operacin
Estrategia, Gestin del Gestin del Planificacin Desarrollo Mantenimien , to Nuevas Alineamiento Aplicaciones Aplicaciones y Control Gestin de Datos Gestin de la Gestin de Infraestructu Operaciones ra Gestin LAN Gestin WAN Gestin Mesa de Servicio Gestin Seguridad de la Informacin

Mantenimiento de Infraestuctura LAN

Administracin

Hardware Software de Sistema Administracin

Mantenimiento

Mantenimiento

Implantacin y Operacin

Monitores de Equipos Ejecucin de Procesos Impresin Centralizada Control de Cambios Contingencia

Computacin Distribuida

Solucin de Problemas

Desarrollos

Desarrollos

Monitoreo

Definicin

Operacin de la Mesa de Servicio

Lgica

Fsica

BCIE

BCIE

3ros

3ros

El modelo de procesos de la SGTI est basado en el modelo CobIT, el cual est sancionado dentro de COSO y Basilea II como el framework apropiado para gestionar la gobernabilidad de las Tecnologas de Informacin.

Gestin Mesa de Servicio

Modelo de procesos alineado a la estructura

Subgerencia de Tecnologa de Informacin (SGTI)
Gestin Mesa de Servicio
Subgerente de Tecnologa Gerente de Operaciones

Gestin WAN

Estrategia, Planificacin , Alineamiento y Control

Supervisor de Seguridad y Calidad de Aplicaciones

Gestin LAN

Gestin Seguridad de la Informacin

Supervisor de Seguridad en Informtica

Tcnico de Soporte a Usuarios (2)

Estrategia, Gestin de Planificacin , Operaciones Alineamiento y Control Gestin de la Infraestructu ra

SGTI

Gestin Seguridad de la Informacin Estrategia, Gestin del Planificacin Desarrollo , Nuevas Alineamiento Aplicaciones y Control

Coordinador de Tecnologa Vacante

Coordinador de Anlisis de Procesos

Jefe de Aplicaciones

Supervisor de Soporte Tecnolgico

Administrador de Base de Datos

Analista de Procesos

Analista de Aplicaciones (3)

Tcnico de Eventos y Hardware (2)

Tcnicos de Informtica (3)

Administrador de Aplicaciones (1)

Gestin del Mantenimien to Aplicaciones

Gestin de eventos institucional es

Analista Programador (1)

Gestin de Datos

TEC

APLI

Productos obtenidos

Inventario de controles asociados a procesos

NOMBRE DEL CONTROL DESCRIPCION DEL CONTROL OBJETIVO DE CONTROL COBIT

DS12

Administracin del Ambiente Fsico

Construccin del centro de cmputo

Las paredes del centro de cmputo son elevadas DS12.1 Seleccin y diseo del centro de datos hasta el plenum y hechas de material retardante.

Area de recibo de equipo separada.

El rea de recibo de equipo de cmputo se efecta DS12.2 Medidas de seguridad fsica en el nivel 1 conjuntamente con SEG.

Todo prstamo de equipo se hace por medio de Autorizacin de prstamo de equipo. una boleta que es autorizada por el Coordinador de DS12.2 Medidas de seguridad fsica Tecnologa. Toda salidad de equipo para mantenimiento es autorizada por el Subgerente de Tecnologa o por el DS12.2 Medidas de seguridad fsica Gerente de Operaciones.

Autorizacin de salidad de equipo

Anlisis de Cargas de Trabajo y Segregacin de Funciones

Tipo de Control
No Objetivos de Control Procedimiento (2007) Lin. Proc. SGTI CT Admon MSI Oficial MSI SSI SSCA DBA Analista APLI Tecnico Infor. Jefe APLI

DS9.1 DS9.2 DS9.3

Repositorio de Configuracin y Lnea de Base Identificacin y Mantenimiento de Elementos de Configuracin Revisin de Integridad de la Configuracin Administracin de la Configuracin

X X

X X

X X

X X

DS13.1 DS13.2 DS13.3 DS13.4 DS13.5 PO2.3 PO2.4

Procedimientos e Instrucciones de Operacin Programacin de Tareas Monitoreo de la Infraestructura de TI Documentos Sensitivos y Dispositivos de Salida Mantenimiento Preventivo del hardware Esquema de Clasificacin de Datos Administracin de la Integridad Administracion de las Operaciones X

X X X

X X

X X X X

X X X X

X X X X X

DS11.1 DS11.2 DS11.3 DS11.4 DS11.5 DS11.6

Requerimientos del Negocio para Administracin de Datos Acuerdos de Almacenamiento y Conservacin Sistema de Administracin de Libreras de Medios Eliminacin Respaldo y Restauracin Requerimientos de Seguridad para la Administracin de Datos Administracin de los Datos

X X X X X X X X X X X X X X X

AI6.1 AI6.2 AI6.3 AI6.4 AI6.5

Estndares y Procedimientos para Cambios Evaluacin de Impacto, Priorizacin y Autorizacin Cambios de Emergencia Seguimiento y Reporte del Estatus de Cambio Cierre y Documentacin del Cambio Administracion de los Cambios X

X X X X X X X X X

X X X X X X X

Indicadores de la Gestin de TI (BSC)

Actividad Planificacin Estratgica y Organizacin de Tecnologa identificando formas en que la TI puede contribuir de la mejor manera al logro de los objetivos institucionales Adquisicin e implementacin de Tecnologa dentro del proceso del negocio, as como los cambios y el mantenimiento realizados a sistemas existentes. Prestacin de Servicios y Soporte, que incluye desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad Seguimiento y evaluacin de proyectos de TI para verificar su calidad y suficiencia en cuanto a los requerimientos
Revisin

Indicadores anual del Plan Estratgico de IT Creacin del Plan Operativo Anual y Presupuesto de Inversin en Tecnologa Cumplimiento del Plan de Capacitacin de Tecnologa
%

Peso relativo 10%

Asignacin de Recursos 10%

Ejecucin presupuestaria anual de Procesos de TI -Equipos instalados -Licencias de software de base instaladas
Actualizacin %

30%

40%

Cumplimiento de estndares de servicio a usuarios % Disponibilidad y desempeo de los sistemas centrales % Disponibilidad y desempeo de la red LAN y WAN Evaluaciones trimestrales de seguridad informtica en la red (virus, errores, vulnerabilidades)
Seguimiento

40%

40%

y Ejecucin del Plan Operativo Anual y Presupuesto de Inversin en Tecnologa Informes de instalacin de proyectos

20%

10%

Indicadores de Gestin para la Evaluacin del Desempeo

Estndares De servicio (SERVICEDESK) Tcnicos Help Desk Estndares de Disponibilidad Evaluaciones De seguridad

(NAGIOS)

(Retina,ERA)

Supervisin y Administracin Help Desk Coordinador Seguridad Informtica

Seguimiento y Coordinador Soporte Tecnolgico ejecucin POA/PPTO

Actualizacin De procesos De TI Administrador Base de Datos

Jefatura IT

Gestin de riesgos asociados a la TI

Conclusiones y recomendaciones

Conclusiones
La implantacin de un modelo de gobernabilidad comienza con un diagnstico (health check) Identificar brechas y debilidades Puede usarse ITIL para mejorar procesos (MOF?)

Puede usarse ISO 17799/ ISO 27000 para mejorar la seguridad

Usamos CobIT para definir procesos y mtricas Con estos modelos, construimos toda la infraestructura de Gobernabilidad de la TI

Algunas recomendaciones (temas que se podran olvidar?)

Establecer polticas de alto nivel para la gobernabilidad de la TI Establecer procesos formales de autocontrol / autodiagnstico para el mantenimiento del sistema

Establecer procesos de culturizacin hacia todo el personal

Moverse hacia el aseguramiento de la Continuidad de los Negocios

MUCHAS GRACIAS POR SU ATENCIN!