A/S Gerardo Alcarraz, CISA, CRISC Gerardo D. Alcarraz, CISA, CRISC es egresado de la Universidad ORT Facultad de Ingeniera con el ttulo de Analista de Sistemas. Cuenta con 15 aos de experiencia en tareas relacionadas con Auditoria de TI y Seguridad de la Informacin desempendose actualmente como Coordinador de Auditoria Informtica en el Banco de la Repblica Oriental del Uruguay. Posee la certificacion MCP Microsoft Certified Profesional.
Dentro de las actividades desarrolladas en el mbito de ISACA, ha integrado la Comisin Directiva del Captulo Montevideo y siendo actualmente Past-President del mismo. Adems, es escritor oficial de preguntas para el examen CISA, ha participado en la revisin de los Manuales de Revisin para dicha certificacin entre los aos 2002 y 2011. A nivel acadmico, ha sido expositor en las Conferencias Latinoamericanas de Auditoria, Seguridad y Control (Latin America Cacs) organizados por ISACA Internacional, entre 1999 y 2011 desarrollados en la ciudades de Montevideo, San Jos de Costa Rica, Acapulco, Panam, Bogot y Monterrey, San Juan de Puerto Rico y ha sido miembro del Comit de Programa de dicha Conferencia en el ao 2006. Asimismo, ha sido expositor en el Information Security Risk Management (2010) en Bogot y en varios eventos entre los que se destacan las Jornadas de Seguridad Informtica y en las Jornadas Rioplatenses de Auditora Interna desarrolladas en Montevideo.
Por otra parte, ha sido docente en la Universidad ORT Facultad de Ingeniera sobre la materia Auditoria y Seguridad en TI, y ha dictado cursos y talleres de preparacin de las certificaciones CIA y CISA a nivel local e internacional. Conferencista Biografa Comprender el nuevo programa de evaluacin de procesos COBIT. Analizar diferencias con el nivel de madurez CMMI. Comprender la relacin con la norma ISO/IEC 15504. Ejemplo prctico.
Objetivos Repaso Modelo de Madurez de COBIT 4.1 Establecimiento y Medicin de metas Los procesos administrativos no se aplican del todo. Los procesos son ad hoc y desorganizados. Los procesos siguen un patrn regular. Los procesos se documentan y comunican. Los procesos son monitoreados y medidos. Se aplican buenas prcticas y automatizacin. Atributos Nivel de Capacidad O No existente 1 Inicial 2 Repetible 3 Definido 4 Administrado 5 Optimizado Responsabilidad y rendicin de cuentas Habilidades y experiencia Herramientas y automatizacin Polticas, estndares, y procedimientos Conciencia y comunicacin
Modelo de madurez CMMI - Objetivos IT Process Capability Maturity Initial Repeatable Defined Managed Optimised Plan and Organise PO1 Def ine a strategic IT plan. PO2 Def ine the inf ormation architecture. PO3 Determine the technological direction. PO4 Def ine the IT process, organisation and relationships. PO5 Manage the IT investment. PO6 Communicate management aims and direction. PO7 Manage IT human resources. PO8 Manage quality. PO9 Assess and manage risks. PO10 Manage projects. Acquire and Implement AI1 Identif y automated solutions. AI2 Acquire and maintain application sof tware. AI3 Acquire and maintain technology inf rastructure. AI4 Enable operation and use. AI5 Procure IT resources. AI6 Manage changes. AI7 Install and accredit solutions and changes. Deliver and Support DS1 Def ine and manage service levels. DS2 Manage third-party services. DS3 Manage perf ormance and capacity. DS4 Ensure continuous service. DS5 Ensure systems security. DS6 Identif y and allocate costs. DS7 Educate and train users. DS8 Manage service desk and incidents. DS9 Manage the conf iguration. DS10 Manage problems. DS11 Manage data. DS12 Manage the physical environment. DS13 Manage operations. Monitor and Evaluate ME1 Monitor and evluate IT perf ormance. ME2 Monitor and evaluate internal control. ME3 Ensure compliance with external requirements. ME4 Provide IT governance. Modelo de madurez - Visin General IT Process/Matdurez Conciencia y Comunicacin Pol{iticas, e st{andares y Procedimientos
Herramienttas y Automatizacin
Habilidades y Experiencia Responsabilidad y Rendici{on de cuentas Establecimiento y Medicin de Metas
3 Definido
2 Repetible
1 Inicial
5 Optimizado 4 Administrado Modelo de Madurez Visin por Atributos Piloto en COBIT 4.1. COBIT 5?
Modelo de Evaluacin de Procesos (PAM) COBIT PAM adapta el contenido existente en COBIT 4.1 y adaptar el de COBIT 5 al modelo de evaluacin de procesos establecido en la ISO 15504. Modelo de Evaluacin de Procesos (PAM) La pregunta es ya no tenemos modelos de madurez para los procesos COBIT ? El nuevo programa de evaluacin de procesos de COBIT: Basado en la norma ISO 15504 Alinea la escala de los niveles de madurez de COBIT con el estndar internacional. Para lograrlo provee: Requerimientos especficos para los procesos COBIT Pautas para lograr la aplicacin de los atributos basados en la ISO 15504 Entregar evidencia objetiva de cada uno de los atributos Evaluacin independiente. Los resultados de la evaluacin generalmente podrn variar respecto a las existentes tomando como referencia los niveles de madurez.
PAMQu hay de nuevo? Overview de la Metodologa de Evaluacin Modelo de Evaluacin de Procesos Proceso de Evaluacin Modelo de Referencia Objetivos medibles de alto nivel que se lograrn a partir de una efectiva implementacin del proceso. Las actividades que, cuando son consistentemente ejecutadas contribuyen al logro del objetivo del proceso. Los artefactos asociados con la ejecucin de un proceso definido en trminos de entradas y salidas de un proceso. Los resultados esperables de un proceso un artefacto, con un cambio significante de estado que sirve para lograr el objetivo del proceso en COBIT 4.1 Process ID DS1 Process Name Define and Manage Service Levels Purpose Satisfy the business requirement of ensuring the alignment of key IT services with the business needs. Outcomes (Os) Number Description DS1-O1 A service management framework is in place to define the organisational structure for service level management, covering the base definitions of services, roles, tasks and responsibilities of internal and external service providers and customers. DS1-O2 Internal and external SLAs are formalised in line with customer requirements and delivery capabilities. DS1-O3 Operating level agreements (OLAs) are developed to specify the technical processes required to support SLAs. DS1-O4 Processes are in place to monitor (and periodically review) SLAs and achievements. Base Practices (BPs) Number Description Supports DS1-BP1 Create a framework for defining IT services. DS1-O1 DS1-BP2 Build an IT service catalogue. DS1-O1, O2 DS1-BP3 Define SLAs for critical IT services. DS1-O2 DS1-BP4 Define OLAs for meeting SLAs. DS1-O3 DS1-BP5 Monitor and report end-to-end service level performance. DS1-O4 DS1-BP6 Review SLAs and underpinning contracts. DS1-O4 DS1-BP7 Review and update the IT service catalogue. DS1-O1 DS1-BP8 Create a service improvement plan. DS1-O1 Work Products (WPs) Inputs Number Description Supports PO1-WP1 Strategic IT plan DS1-O1, O2, O3, O4 PO1-WP4 IT service portfolio DS1-O1, O2, O3, O4 PO2-WP5 Assigned data classifications DS1-O1 PO5-WP3 Updated IT service portfolio DS1-O4 AI2-WP4 Initial planned SLAs DS1-O3 AI3-WP7 Initial planned OLAs DS1-O3 DS4-WP5 Disaster service requirements, including roles and responsibilities DS1-O1 ME1-WP1 Performance input to IT planning DS1-O1, O2 Outputs Number Description Input To Supports DS1-WP1 Contract review report DS2 DS1-O1, O4 DS1-WP2 Process performance reports ME1 DS1-O4 DS1-WP3 New/updated service requirements PO1 DS1-O2, O3 DS1-WP4 SLAs AI1, DS2, DS3, DS4, DS6, DS8, DS13 DS1-O2 DS1-WP5 OLAs DS4 to DS8, DS11, DS13 DS1-O3 DS1-WP6 Updated IT service portfolio PO1 DS1-O1, O4 Mapeo Modelo de Referencia COBIT 4.1 en COBIT 4.1 Process ID DS1 Process Name Define and Manage Service Levels Purpose Satisfy the business requirement of ensuring the alignment of key IT services with the business needs. Outcomes (Os) Number Description DS1-O1 A service management framework is in place to define the organisational structure for service level management, covering the base definitions of services, roles, tasks and responsibilities of internal and external service providers and customers. DS1-O2 Internal and external SLAs are formalised in line with customer requirements and delivery capabilities. DS1-O3 Operating level agreements (OLAs) are developed to specify the technical processes required to support SLAs. DS1-O4 Processes are in place to monitor (and periodically review) SLAs and achievements. Base Practices (BPs) Number Description Supports DS1-BP1 Create a framework for defining IT services. DS1-O1 DS1-BP2 Build an IT service catalogue. DS1-O1, O2 DS1-BP3 Define SLAs for critical IT services. DS1-O2 DS1-BP4 Define OLAs for meeting SLAs. DS1-O3 DS1-BP5 Monitor and report end-to-end service level performance. DS1-O4 DS1-BP6 Review SLAs and underpinning contracts. DS1-O4 DS1-BP7 Review and update the IT service catalogue. DS1-O1 DS1-BP8 Create a service improvement plan. DS1-O1 Work Products (WPs) Inputs Number Description Supports PO1-WP1 Strategic IT plan DS1-O1, O2, O3, O4 PO1-WP4 IT service portfolio DS1-O1, O2, O3, O4 PO2-WP5 Assigned data classifications DS1-O1 PO5-WP3 Updated IT service portfolio DS1-O4 AI2-WP4 Initial planned SLAs DS1-O3 AI3-WP7 Initial planned OLAs DS1-O3 DS4-WP5 Disaster service requirements, including roles and responsibilities DS1-O1 ME1-WP1 Performance input to IT planning DS1-O1, O2 Outputs Number Description Input To Supports DS1-WP1 Contract review report DS2 DS1-O1, O4 DS1-WP2 Process performance reports ME1 DS1-O4 DS1-WP3 New/updated service requirements PO1 DS1-O2, O3 DS1-WP4 SLAs AI1, DS2, DS3, DS4, DS6, DS8, DS13 DS1-O2 DS1-WP5 OLAs DS4 to DS8, DS11, DS13 DS1-O3 DS1-WP6 Updated IT service portfolio PO1 DS1-O1, O4 Relacin de Componentes PAM Inventario de Productos de Trabajo (WP) Process ID DS1 Process Name Define and Manage Service Levels Purpose Satisfy the business requirement of ensuring the alignment of key IT services with the business needs. Outcomes (Os) Number Description DS1-O1 A service management framework is in place to define the organisational structure for service level management, covering the base definitions of services, roles, tasks and responsibilities of internal and external service providers and customers. DS1-O2 Internal and external SLAs are formalised in line with customer requirements and delivery capabilities. DS1-O3 Operating level agreements (OLAs) are developed to specify the technical processes required to support SLAs. DS1-O4 Processes are in place to monitor (and periodically review) SLAs and achievements. Base Practices (BPs) Number Description Supports DS1-BP1 Create a framework for defining IT services. DS1-O1 DS1-BP2 Build an IT service catalogue. DS1-O1, O2 DS1-BP3 Define SLAs for critical IT services. DS1-O2 DS1-BP4 Define OLAs for meeting SLAs. DS1-O3 DS1-BP5 Monitor and report end-to-end service level performance. DS1-O4 DS1-BP6 Review SLAs and underpinning contracts. DS1-O4 DS1-BP7 Review and update the IT service catalogue. DS1-O1 DS1-BP8 Create a service improvement plan. DS1-O1 Work Products (WPs) Inputs Number Description Supports PO1-WP1 Strategic IT plan DS1-O1, O2, O3, O4 PO1-WP4 IT service portfolio DS1-O1, O2, O3, O4 PO2-WP5 Assigned data classifications DS1-O1 PO5-WP3 Updated IT service portfolio DS1-O4 AI2-WP4 Initial planned SLAs DS1-O3 AI3-WP7 Initial planned OLAs DS1-O3 DS4-WP5 Disaster service requirements, including roles and responsibilities DS1-O1 ME1-WP1 Performance input to IT planning DS1-O1, O2 Outputs Number Description Input To Supports DS1-WP1 Contract review report DS2 DS1-O1, O4 DS1-WP2 Process performance reports ME1 DS1-O4 DS1-WP3 New/updated service requirements PO1 DS1-O2, O3 DS1-WP4 SLAs AI1, DS2, DS3, DS4, DS6, DS8, DS13 DS1-O2 DS1-WP5 OLAs DS4 to DS8, DS11, DS13 DS1-O3 DS1-WP6 Updated IT service portfolio PO1 DS1-O1, O4 Mapeo Modelo de Referencia COBIT 5 16 Overview de la Metodologa de Evaluacin Niveles de Capacidad Incompleto Ejecutado Gestionado Establecido Predecible Optimizado 17 9 Atributos Niveles de Capacidad de los Procesos - Definicin Diferencias entre los Modelos PAM establece mayores exigencias que los niveles de madurez de CMM. Niveles 1 y 2 en CMM equivalen a nivel 0 en PAM. El nivel 3 de CMM difiere en lo conceptual con el nivel 3 de PAM. Los niveles de capacidad por lo tanto no son 100 % compatibles. En PAM el nivel de capacidad est dado por el logro de cada uno de los atributos. Diferencias entre los Modelos
Relacin Niveles de Capacidad y Atributos Atributos y Niveles de Capacidad Nivel 0 Incompleto Incompleto El proceso no est implementado o tiene fallas para lograr el propsito del proceso. Nivel 1 Ejecutado PA 1.1 Process performance attribute
Ejecutado El proceso es implementado y logrado de acuerdo al propsito del proceso. Nivel 2 Gestionado PA 2.1 Performance management attribute PA 2.2 Work product management attribute Gestionado El proceso es gestionado y los productos de trabajo estn establecidos, controlados y mantenidos. Nivel 4 Predecible PA 4.1 Process measurement attribute PA 4.2 Process control attribute Predecible El proceso es promulgado consistentemente dentro de lmites definidos. Nivel 5 Optimizado PA 5.1 Process innovation attribute PA 5.2 Process optimization attribute Optimizado El proceso es continuamente mejorado para soportar las metas actuales y proyectadas del negocio. Nivel 3 Establecido PA 3.1 Process definition attribute PA 3.2 Process deployment attribute Establecido Un proceso definido es usado basado en un proceso estndar. 22 La metodologa de evaluacin de procesos COBIT evala el logro de los atributos del proceso Atributos del Proceso Escala de Evaluacin N No logrado 0 a 15% Existe muy poca o no existe evidencia del logro de/los atributos definidos en el proceso evaluado.
P Parcialmente logrado> 15% a 50% Existe poca evidencia de un enfoque, y algn logro de los atributos definidos en el proceso evaluado.. Algunos aspectos del logro del atributo pueden ser impredecibles.
L Largamente logrado> 50% a 85% Existe evidencia de un enfoque sistemtico y un significante logro de/los atributos definidos en el proceso evaluado.. Pueden existir algunas debilidades relativas a este atributo en el proceso evaluado.
F Completamente (Full) logrado > 85% a 100% Existe evidencia de un enfoque sistemtico y un logro completo de/los atributos definidos en el proceso evaluado. Pueden existir debilidades poco significativas relativas a este atributo en el proceso evaluado. PA 2.2 Producto de Trabajo PA 2.1 Gestin de la Performance Nivel 2 - Gestionado PA 1.1 Performance del Proceso Nivel 1 - Ejecutado Nivel 0 - Incompleto PA 3.2 Deployment PA 3.1 Definicin Nivel 3 - Establecido PA 4.2 Control PA 4.1 Medicin Nivel 4 - Predecible PA 5.1 Innovacin PA 5.2 Optimizacin Nivel 5 - Optimizado 1 L / F 2 L / F F F 3 L / F F 4 L / F F F F L / F 5 F F F F L/F = Largely or Fully F= Fully Escala de Atributos y Niveles de Capacidad
24 Indicadores de Capacidad del Proceso Nivel 0 Incompleto Nivel 1 Ejecutado PA 1.1 Process performance attribute
Nivel 2 Gestionado PA 2.1 Performance management attribute PA 2.2 Work product management attribute Nivel 4 Predecible PA 4.1 Process measurement attribute PA 4.2 Process control attribute Nivel 5 Optimizado PA 5.1 Process innovation attribute PA 5.2 Process optimization attribute Cada Atributo tiene asociado un conjunto de prcticos genricas (GP) y un conjunto de Productos de Trabajo genricos (GWP) que debe contener el proceso a los efectos de poder lograr COMPLETAMENTE los resultados Nivel 3 Establecido PA 3.1 Process definition attribute PA 3.2 Process deployment attribute 25 Indicadores de Capacidad Evaluacin de Atributos
Nivel 1 Evaluacin de Atributos Criterios asociados a la escala de evaluacin Evaluar el logro del nivel 1 implica una evaluacin ms detallada que para los restantes niveles. Cada proceso tiene definido especficamente los resultados a obtener y los productos de trabajo que sirven para evidencia. Nivel 1 Evaluacin de Atributos Ejemplo Evaluacin Nivel 1 3/3 100% - F 2/3 66% - L 1/3 33% - P 0/3 -- 0% - N Ejecucin de actividades (Base Practice) Apoyan la Ejecucin (WP) Obtencin de Resultados (WP) Ejemplo Evaluacin Nivel 1 Evaluar si los RESULTADOS del PROCESO han sido logrados 3/3 100% - F 2/3 66% - L 1/3 33% - P 0/3 -- 0% - N Trazabilidad de la Evidencia Evaluar el logro del nivel 2 al 5 implica una evaluacin de prcticas y productos de trabajo genricos que se relacionan con cada uno de los niveles. Por lo tanto, no existen especificaciones o evidencias para cada PROCESO como en el nivel 1. Nivel 2 al 5 Evaluacin de Atributos
Nivel 2 al 5 Evaluacin de Atributos Criterios asociados a la escala de evaluacin Ejemplo Evaluacin Nivel 2 Evaluar cuntos criterios han sido logrados para poder realizar la escala de evaluacin 4/4 100% - F 3/4 75% - L 2/4 50% - P 1/4 25% - P 0/4 -- 0% - N NOT PARTIALLY LARGELY FULLY PA 1.1 Performance del Proceso PA 2.1 Gestin de la Performance PA 2.2 Productos de Trabajo PA 3.1 Definicin PA 3.2 Deployment PA 4.1 Medicin PA 4.2 Control PA 5.1 Innovacin PA 5.2 Optimizacin Evaluacin del Logro de los Atributos Evaluacin Nivel 2 Para pasar al nivel 3 PA 2.1 y PA 2.2 tienen que estar Completos Overview de la Metodologa de Evaluacin 36 1 Iniciacin
2 Planificacin
3 Briefing
4 Recoleccin de datos
5 Validacin de datos
6 Escala de valoracin de atributos
7 Reporte de los resultados Actividades del Proceso de Evaluacin 37 Identificar el sponsor y definir el propsito de la evaluacin: Porque se lleva a cabo la evaluacin? Definir el alcance de la evaluacin: Qu procesos estn siendo evaluados? Que limitaciones se aplicaran a la evaluacin? Identificar cualquier informacin adicional que necesita ser obtenida. Seleccionar los participantes de la evaluacin, el equipo y definir los roles de cada integrante. Definir las entradas y salidas de la evaluacin. 1. Iniciacin 38 Elaborar un plan de evaluacin que describe todas las actividades ejecutadas en el mismo. Identificar el alcance del proyecto. Asegurar los recursos necesarios para ejecutar la evaluacin. Determinar el mtodo de coleccin, revisin, validacin y documentacin de la informacin requerida para la evaluacin. Coordinar las actividades de evaluacin con las Unidades Organizacionales que estn siendo evaluadas. 2. Planificacin 39 El lder de la evaluacin debe asegurarse que el equipo comprenda: Entradas Procesos Salidas Breve evaluacin de la unidad organizacional PAM, alcance de la evaluacin, cronograma, limitaciones, roles y responsabilidades, recursos, requerimientos, etc.
3. Briefing 40 El asesor obtiene y documenta la informacin del proceso, incluyendo el propsito y los productos de trabajo suficientes para facilitar y soportar la evaluacin. La estrategia y tcnicas para la seleccin, coleccin y anlisis de datos y justificacin de las escalas estn explcitamente identificadas y demostrables. Cada proceso identificado en el alcance de la evaluacin es evaluado sobre la base de evidencias objetivas.
4. Recoleccin de Datos 41 Las acciones que son tomadas para asegurar que los datos sean exactos y cubren el alcance de la evaluacin incluyendo: Buscar informacin de primera mano y de fuentes independientes. Utilizacin de resultados de evaluaciones pasadas. Realizar sesiones para validar la informacin obtenida.
5. Validacin de Datos 42 Para cada proceso evaluado, asignar una escala para cada atributo. La escala est basada sobre los datos validados en la actividad anterior. La trazabilidad debe ser mantenida entre la evidencia obtenida y la escala de atributos asignado. Para cada atributo evaluado se registra la relacin entre el indicador y la evidencia.
6. Escala de Valoracin de Atributos 43 Los resultados de la evaluacin son analizados y presentados en un reporte. El reporte tambin cubre cualquier aspecto clave obtenido durante la evaluacin tales como: - Fortalezas y debilidades observadas - Hallazgos y anlisis de riesgos - Recomendaciones para lograr el nivel esperado
7. Reporte de los Resultados 44 Impacto de los Gaps de Capacidad Nivel de Capacidad donde el Gap ocurre Naturaleza del Impacto Valoracin del Impacto 5 Proceso Optimizado Imposibilidad de lograr o evaluar mejoras en los procesos 4 Proceso Predecible Imposibilidad para cuantificar la performance o detectar problemas en forma rpida 3 Proceso Establecido Inconsistente ejecucin del proceso a travs de la organizacin 2 Proceso Gestionado Costo o tiempo excesivos, calidad del producto impredecible 1 Proceso Ejecutado Productos de trabajo no encontrados o resultados de procesos no logrados Niveles de Capacidad y Riesgos Conclusiones Estamos empezando 100 % alineacin A autoevaluar A certificar PREGUNTAS ???????? GRACIAS !!!!!! Gerardo Alcarraz, CISA, CRISC gerardoalcarraz@gmail.com Colaborar Contribuir Conectar El Knowledge Center es una coleccin de recursos y comunidades en lnea que conecta los miembros de ISACA globalmente, sobre industrias y por enfoque profesional todo en un solo lugar. Usted puede agregar o responder a una discusin, publicar un documento o link, conectar con otros miembros de ISACA, o crear un wiki por participando en una comunidad hoy! http://www.isaca.org/Knowledge-Center