El modelo COBIT es una herramienta de gobierno de tecnologías de Información (TI) que permite evaluar la calidad de la estructura de tecnología de información actual de una organización, a través de un diagnóstico que permite definir metas desde el punto de vista de seguridad y control para cada proceso de la organización. Material de Apoyo Cuso Virtual 1 MODELO COBIT ISACA La Information Systems Audit and Control Association, Asociación de Auditoria y Control de Sistemas de información, fue fundada en 1969 en Estados Unidos por un grupo de personas, quienes trabajaban en actividades afines relacionadas con auditoría y control en los sistemas computarizados que estaban cobrando una gran importancia para las operaciones de sus organizaciones; estas personas compartían la idea de crear unas pautas, metodologías y una misma fuente de información que apoyara y guiara su área o campo de acción. Por tal motivo se sentaron a discutir sobre la necesidad de esta fuente centralizada de información con el fin de trabajar en estándares internacionales de auditoría y control de sistemas de información, que garantizaran la confianza y el valor de los sistemas. En un principio, el grupo se formalizó bajo el nombre de EDP Auditors Association, y luego se formó la fundación de educación para llevar a cabo proyectos de investigación de gran escala y expandir los conocimientos y trabajo de campo en tecnología de información. Para ese entonces la organización funcionaba en la ciudad de los Ángeles respondiendo a los intereses de quienes tenían la necesidad de tener una fuente centralizada de información y guía profesional. En 1971 se realiza la primera conferencia (CACS) Computer Audit, Control and Security, dos años más tarde se realiza la primera conferencia internacional en México, estableciendo el primer capítulo formado por fuera de los Estados Unidos. En 1981 es la realización del primer examen para la certificación (CISA) Certified Information Systems Auditor, la creación de este examen de certificación buscaba desarrollar y mantener una herramienta que pudiera ser utilizada en la evaluación de las competencias de los individuos en la realización de auditorías de sistemas, de la misma manera que proveer una herramienta que ayudara a los auditores de sistemas de información a mantener sus habilidades, la vigilancia de la efectividad de los programas de mantenimiento y proveer de criterios adecuados en la gestión de selección de personal y desarrolladores. En el año de 1994 con la celebración de los 25 años de actividad de la organización se procede al cambio de nombre de (EDP) Auditor Association a (ISACA) Information Systems Audit and Association. La primera conferencia latinoamericana (CACS) se realiza en el año de 1996, seguido a esto en 1998 se establece el instituto de gobierno de tecnología de información (ITGI) que es una parte integral del gobierno corporativo y reside en el liderazgo, estructuras organizacionales y los procesos que aseguran que las tecnologías de información sostengan y extiendan los objetivos y las estrategias de la entidad. En 2003 se realiza el primer examen para la certificación (CISM) Certified Information Security Management, enfocada a la gerencia que define los principales estándares de competencias y desarrollo de profesionales que un jefe de seguridad de información debe tener, competencias necesarias para la dirección, diseño, revisión y acompañamiento de un programa de seguridad de información. La organización ISACA refleja a través de los años su crecimiento en la cantidad de asociados, de 50.000 en el año 2005 a más de 75.000 en el año 2007 y cerca de 86.000 en la actualidad, los miembros de ISACA están presentes en más de 160 países alrededor del mundo, convirtiéndose así, en una organización global que establece las pautas para los profesionales de gobernación, control, seguridad y auditoria de información. La actividad de los socios de ISACA organizados en 175 capítulos ubicados en 70 países, se desenvuelve en una variada gama de actividades e industrias como; bancaria y financiera, contable, sector público, producción y distribución de energía, telecomunicaciones, manufactura y otros. www.auditool.org 2 ISACA también es muestra a nivel global de la creación del capítulo Argentino que inició sus actividades a principios del año 1991, y continua ofreciendo a sus integrantes capacitación profesional para el progreso y la eficacia del conocimiento y destrezas relacionadas con la auditoria y la seguridad. De igual manera, publica la revista ISACA Journal, enfocada en aspectos técnicos de control de la información, y complementa con la organización de conferencias internacionales y seminarios locales especificando en tópicos técnicos y gerenciales adecuados a las profesiones de seguridad, control y gobierno de las tecnologías de información y sistemas de información. Entre otros aspectos importantes que lidera la organización ISACA están la conferencia latinoamericana de auditoria, control y seguridad (CACS) que se viene realizando cada año desde 1996. La asociación otorga certificaciones a los profesionales, garantizando los conocimientos necesarios en las áreas definidas, estas son: CISA (Certified Information Systems Auditor, Auditor certificado de Sistemas de información): Esta certificación se otorga a quienes dan cuenta del conocimiento teórico y práctico necesarios para desempeñarse como Auditor de sistemas, siguiendo los estándares y lineamientos pertinentes. CISM (Certified Information Security Manager, Gerente Certificado de Seguridad de Información): Esta certificación garantiza administradores de seguridad de tecnología de información con los conocimientos necesarios para reducir el riesgo y proteger a la organización. CGEIT (Certificado en Gobierno de TI de la Empresa, Certified in the Governance of Enterprise IT) promueve el avance de profesionales que desean ser reconocidos por su experiencia y conocimiento relacionados con el Gobierno de las TI y ha sido obtenida por más de 4 mil profesionales. CRISC (Certificado en Riesgos y Controles de los Sistemas de Información, Certified in Risk and Information Systems Control) es para profesionales de TI que identifican y gestionan los riesgos mediante el desarrollo, implementación y mantenimiento de controles de SI. MODELO COBIT La Organización ISACA a través de su Fundación, publica en Diciembre de 1995 el modelo COBIT Control Objectives for Information and Related Technology, Objetivos de Control para la información y Tecnología relacionada, como respuesta a la tendencia de todas las organizaciones de manejar sus sistemas de información respondiendo a los requerimientos de calidad, seguridad, control e información; y producto de años de investigación por parte de un equipo de expertos internacionales. El modelo COBIT es una herramienta de gobierno de tecnologías de Información (TI) que permite evaluar la calidad de la estructura de tecnología de información actual de una organización, a través de un diagnóstico que permite definir metas desde el punto de vista de seguridad y control para cada proceso de la organización. A partir de este diagnóstico, se elabora un plan de acción para lograr las mejoras necesarias, y posteriormente identificar los lineamientos y así sustentar un proceso de monitoreo y mejora continua sobre las soluciones implementadas. El modelo COBIT es un marco integral de principios, practicas, herramientas analíticas y modelos, globalmente aceptados, que puede ayudar a las empresas a dirigir efectivamente problemas de negocios relacionados al gobierno y dirección de información y tecnología; de la misma manera define estándares y una conducta profesional para la gestión y control de los sistemas de información con una orientación hacia el negocio, ayudando así a las organizaciones a crear un valor óptimo a partir de las tecnologías de información, a través de la optimización del riesgo y los recursos informáticos. www.auditool.org 3 El modelo COBIT 5, representa una gran variedad de beneficios para las empresas, teniendo en cuenta que un gobierno de TI efectivo, ayuda a garantizar que la TI soporte las metas del negocio, optimice la inversión, y administre de forma adecuada los riesgos y oportunidades asociadas a la TI; algunos son: Información de alta calidad para apoyar las decisiones de los negocios. Uso efectivo e innovador de las tecnologías de información, para alcanzar los objetivos estratégicos y obtener los beneficios del negocio. Aplicación fiable y eficiente de la tecnología para lograr una excelencia operativa. Mantener los riesgos relacionados a TI a un nivel bajo y aceptable. Optimización de servicios, costo y tecnología. Apoyar el cumplimiento de las leyes, políticas, normas y regulaciones pertinentes. VALOR ALINEACIÓN ESTRATÉGICA ADMINSTRACIÓN DE RECURSOS GOBIERNO TI MEDICIÓN DEL DESEMPEÑO ADMINISTRACIÓN DEL RIESGO El gobierno de TI integra las buenas prácticas para garantizar que la TI sustenta los objetivos de la empresa, permitiendo que se aproveche al máximo la información, para maximizar los beneficios y oportunidades, y así ganar ventajas competitivas. Las empresas y organizaciones deben asegurar la calidad y seguridad de su información, por lo tanto los directivos deben optimizar el uso de los recursos de TI y entender su arquitectura empresarial, para definir el tipo de gobierno a desarrollar y controles a aplicar, para alcanzar todos los objetivos del negocio. El modelo COBIT presenta un marco de trabajo que se desarrolla con base en buenas prácticas, y se describe a partir de los siguientes elementos: Estructura de cubo: Representa la capacidad del modelo para trabajar desde tres puntos de vista: procesos, recursos de TI, características de la información de acuerdo a las necesidades de la organización. Esta estructura brinda un enfoque global que apoya la planificación estratégica, y permite vincular las expectativas de la dirección con las de la gerencia de TI. La relación expresa que, los recursos de TI son manejados por los procesos de TI, los cuales responden a los requerimientos del negocio. www.auditool.org 4 RECURSOS TI 4 Dominios 37 Procesos INFORMACIÓN Dominios: Agrupa los objetivos de control del Modelo COBIT en las distintas áreas de actividad de la organización. Estos son: Alinear, planear y organizar: Envuelve las técnicas y tácticas, para identificar la manera en que la TI puede contribuir al logro de los objetivos de la organización. Implementación de una estructura organizacional y una estructura tecnológica apropiada. Construir, adquirir e implementar: Identificación, desarrollo, adquisición e implementación de soluciones de TI para los procesos del negocio. Incluye el cambio y mantenimiento de los sistemas existes, cuando sea necesario, para garantizar que las soluciones cumplan con los objetivos del negocio. Entregar, servir y dar soporte: Entrega de los servicios requeridos, incluyendo la prestación del servicio, administración de la seguridad y de la continuidad, soporte de servicio a los usuarios, administración de los datos y de las instalaciones operativas. Monitorear, evaluar y valorar: Evaluación regular en cuanto a calidad y cumplimiento de los requerimientos de control. Incluye administración del desempeño, monitoreo del control interno, cumplimiento regulatorio, y aplicación del gobierno. Objetivos de control: Políticas, procedimientos, prácticas y estructuras organizacionales, diseñadas para brindar una seguridad razonable de que los objetivos del negocio de alcanzarán, y los eventos y situaciones de riesgo, serán prevenidas, o detectadas y corregidas a tiempo. MODELO COBIT (Parte II) En la primera y segunda edición del modelo COBIT, se establecieron objetivos de control a partir de la recolección y análisis de diversas fuentes internacionales, tales como estándares técnicos, códigos de conducta, estándares de calidad, estándares profesionales en la revisión, y prácticas y requisitos de la industria. Para la tercera edición se desarrollaron pautas de gerencia, y se actualizo el modelo de acuerdo a las referencias internacionales. La cuarta edición ayudó a llevar las directrices de gobierno TI a más ejecutivos de negocio. Y la más reciente edición, COBIT 5 ayuda a las organizaciones a crear un valor óptimo a partir de la TI, debido a que mantiene un equilibrio entre la realización de beneficios y la optimización de los niveles de riesgo y utilización de los recursos. www.auditool.org 5 COBIT 1 – 1996 - AUDITORIA COBIT 2 – 1998 - CONTROL COBIT 3 – 2000 - ADMINISTRACIÓN COBIT 4 – 2005 – GOBIERNO DE TI COBIT 5 – 2012 – GOBIERNO CORPORATIVO DE TI Los principios y habilitadores del modelo COBIT 5 son genéricos y útiles para las organizaciones de cualquier tamaño, bien sean comerciales, sin fines de lucro o en el sector público. Además, COBIT 5 integra los anteriores marcos de referencia desarrollados por ISACA: Val IT, Risk IT, BMIS, ITAF, haciendo más fácil para los usuarios el entendimiento y uso de este material. 2 COBIT 1 4.1 Val IT COBIT 2.0 5 Risk IT COBIT 5 RISK IT VAL IT El marco de trabajo de COBIT 5 se basa en cinco principios claves que permiten que la empresa construya un gobierno y administración efectivos, enfocados hacia los 7 habilitadores, que optimizan la inversión en TI y generan beneficios para las partes interesadas. www.auditool.org 6 PRINCIPIOS DESCRIPCIÓN Negociar y decidir entre los diversos intereses de las diferentes partes interesadas, incluyéndolas para la toma de decisiones, con el fin de crear valor, representado en beneficios a través de la optimización de recursos y riesgos. Las necesidades de las partes interesadas deben originar la estrategia para la organización. Necesidades Estrategia de la organización Así mismo las necesidades permiten establecer metas específicas, prácticas y personalizadas dentro del contexto de la empresa, establecidas a través del mecanismo de metas en cascada*. Satisfacer las necesidades de las partes interesadas. Controladores de las partes interesadas: Medio ambiente, nuevas tecnología, cambios, etc. Necesidades Metas de la organización Metas de TI Habilitadores de las metas Estrategia Metas del negocio Metas de TI Arquitectura empresarial Cubrir la organización de forma integral. Aplicar un solo marco integrado. Gobierno y administración de la tecnología de la información, desde una perspectiva integral a nivel de toda la organización, abarcando todas las funciones y procesos. Uso del modelo COBIT 5 como integrador macro en el marco de gobierno y administración, alineado con los marcos y normas de alto nivel relevantes usadas por la organización: COSO, ISO/IEC 9000, ISO/IEC 31000, entre otros. De esta manera proporciona una referencia integral, base de buenas prácticas. Habilitar un enfoque holístico. Un gobierno y administración de TI efectiva y eficiente requiere un enfoque holístico que incluya varios componentes, para lo cual se definen 7 categorías de habilitadores que soportan la implementación de un sistema de gobierno y administración de TI completo. Los habilitadores* ayudan a alcanzar los objetivos de la empresa y están guidados por las metas en cascada, estos son: Principios, políticas, y marcos; procesos, estructuras organizacionales; cultura, ética y comportamiento; información; servicios, infraestructura y aplicaciones; personas, habilidades y competencias. Separar el gobierno de la administración. Distinguir entre el gobierno y la administración, debido a que envuelven diferentes actividades, requieren diferentes estructuras organizacionales y definen diferentes propósitos. El gobierno es responsabilidad de la junta directiva y evalúa las necesidades de las partes interesadas y las condiciones www.auditool.org 7 y opciones para determinar los objetivos corporativos; y la administración es responsabilidad de la gerencia, y es el área que debe planificar, construir, ejecutar y monitorear las actividades y procesos, de acuerdo a las directivas fijadas por el gobierno. Gobierno Evaluar Dirigir Monitorear Administración Planificar DIMENSION (BSC) Financiera Cliente Interna Aprendizaje y crecimiento DIMENSION (BSC) Financiera Cliente Construir Operar Monitorear *METAS EN CASCADA METAS DEL NEGOCIO 1. Valorización de las inversiones en el negocio de las partes interesadas. 2. Portafolio de productos y servicios competitivos. 3. Administración de riesgos de negocio (protección de los activos). 4. Cumplimiento de leyes y regulaciones externas. 5. Transparencia financiera. 6. Cultura del servicio orientada al cliente. 7. Continuidad y disponibilidad de los servicios del negocio. 8. Respuestas agiles frente a los cambios en el ambiente de negocios. 9. Información como base para la toma estratégica de decisiones. 10. Optimización de los costos de la prestación de servicios. 11. Optimización del funcionamiento de los procesos del negocio. 12. Optimización de los costos de los procesos del negocio. 13. Administración de los programas de cambio del negocio. 14. Productividad de las operaciones y del personal. 15. Cumplimiento de las políticas internas. 16. Personal capacitado y motivado. 17. Cultura de innovación del producto y negocio. METAS DEL NEGOCIO 1. Alineamiento de la TI con la estrategia del negocio. 2. Cumplimiento de TI y soporte para el cumplimiento del negocio con las leyes y regulaciones externas. 3. Cumplimiento de la alta dirección con la toma de decisiones de TI. 4. Administración de riesgos de TI del negocio. 5. Realización de beneficios desde la inversión en TI y portafolio de servicios. 6. Transparencia de costos, beneficios y riesgos de TI. 7. Prestación de servicios de TI en línea con los requerimientos del negocio. 8. Uso adecuado de aplicaciones, información y soluciones de tecnología. www.auditool.org 8 Interna Aprendizaje y crecimiento 9. Agilidad de TI. 10. Seguridad de la información, procesamiento de infraestructura y aplicaciones. 11. Optimización de activos, recursos y capacidad de TI. 12. Habilitación y soporte de procesos de negocio integrando aplicaciones y tecnología en los procesos de negocio. 13. Entrega de programas brindando beneficios en tiempo, presupuesto, y cumplimiento de requerimientos y estándares de calidad. 14. Disponibilidad de información útil y confiable para la toma de decisiones. 15. 16. Cumplimiento de TI con políticas internas. 17. Personal de TI competente u motivado. 18. Conocimiento, experiencia e iniciativa para la innovación en el negocio. *HABILITADORES 1. Principios, Políticas y Marcos 2. Procesos 3. Estructuras organizacionale s 4. Cultura, Ética y Comportamient o 5. Información 6. Servicios, Infraestructura y aplicaciones 7. Personas, habilidades y competencias DESCRIPCIÓN Medio por el cual se representa el comportamiento deseado en una guía práctica para la gestión del día a día en la empresa. Los principios expresan de forma clara los valores fundamentales de la empresa; las políticas proporcionan una directriz para llevar a la práctica los principios y su influencia en la toma de decisiones; y los marcos proporcionan a la dirección una estructura, directrices y herramientas que permitan una adecuada administración y gobierno. Describen un conjunto organizado de prácticas y actividades necesarias para alcanzar los objetivos y producir los resultados, dirigidos a la consecución de las metas generales relacionadas a TI. Envuelve: Actividades Entradas y salidas Nivel de capacidad del proceso Modelo de referencia de procesos Entidades encargadas de la toma de decisiones en la empresa. Matrices RACI Características del personal y de la empresa, subestimado como factor de éxito de las actividades de gobierno y administración. Comprende el conjunto de conductas individuales y colectivas dentro de la empresa. Es necesaria para el funcionamiento de la empresa y su buen gobierno y dirección; en el nivel operativo es el producto clave para la empresa. Infraestructura, tecnología y aplicaciones que proporcionan a la empresa información, procesos y servicios de tecnología. Aspectos necesarios para el cumplimiento exitoso de todas las actividades de la empresa, y para tomar las decisiones adecuadas y las acciones correctivas necesarias. www.auditool.org 9 DIMENSIONES Todos los habilitadores tienen 4 dimensiones que permiten una estructura común y simple para cada habilitador, una entidad que administre las interacciones, y facilite el éxito de los resultados; estas son: Stakeholders: Partes que tiene un rol activo o interés en el habilitador, cuyas necesidades o intereses son reflejados en las metas y objetivos de la empresa. Goals: Resultados esperados para cada habilitador, representando un valor al aplicar u operar el habilitador. Las metas pueden ser divididas en: Calidad intrínseca: Los habilitadores trabajen con exactitud y apropiadamente, y proporcionen resultados exactos, objetivos y calificados. Calidad contextual: Medida en que los habilitadores y sus resultados son aptos para los propósitos, de acuerdo al contexto en el que operan. Acceso y seguridad: Medida en que los habilitadores son accesibles y asegurados. Ciclo de vida: Cada habilitador tiene un ciclo de vida, desde su concepción a través de una operativa o útil vida, hasta su eliminación. Esto incluye la información, estructuras, procesos, políticas, entre otros. Las fases del ciclo de vida son: Planeación Diseño Construcción, adquisición, creación, implementación. Uso, operación Evaluación, monitoreo Actualización, eliminación Buenas prácticas: Las buenas prácticas soportan el logro de las metas de los habilitadores, proporcionan ejemplos o sugerencias de cómo es la mejor implementación de los habilitadores y que es requerido para esto. El modelo COBIT se enfoca a alinear las metas del negocio de la empresa con las metas de TI, brindando métricas y modelos de madurez para medir sus logros; una vez identificados los procesos y controles críticos de TI, el modelo de madurez permite identificar y demostrar a la dirección las debilidades en la capacidad, con el fin de crear un plan de acción, y llevar los procesos al nivel de capacidad deseado. COBIT 5, como lo mencionábamos anteriormente incorpora los marcos Val IT y Risk IT, y presenta y consolida un solo marco, e incluye un Modelo de Referencia de Procesos, el cual describe 37 procesos para evaluar los sistemas de información, los cuales representan los procesos normales que se llevan a cabo en una empresa, con relación a TI; e envuelven 271 objetivos de control, divididos, en primera medida en dos grandes dominios, Gobierno y Administración, donde el dominio de administración contiene 5 procesos de gobierno, y el dominio de administración se subdivide en cuatro dominios, Alinear, planear y organizar; construir, adquirir e implementar; entregar, servir y dar soporte; monitorear, evaluar y valorar. Este modelo de referencia es un modelo completo e integral, que le brinda las herramientas necesarias a cada empresa para definir su propio proceso teniendo en cuenta su contexto, cuando así lo desean. www.auditool.org 10 ESTRUCTURA MODELO COBIT 5 El siguiente diagrama representa el modelo COBIT que involucra los recursos de Tecnología de información, que se implementan a lo largo de los procesos del negocio y apoyo, que facilitan la definición de los criterios o indicadores de gestión de los procesos. PROCESOS DEL NEGOCIO: Requerimientos del negocio CRITERIOS: Eficiencia, efectividad, confidencialidad, integridad, disponibilidad, confiabilidad, cumplimiento Metas de TI y procesos de TI Recursos de Tecnologia de Infomacion: Datos, sistemas, Tecnologia, nstalaciones y personal Informacion Así mismo, la estructura esencial de COBIT es: PROCESOS Objetivos de control detallados Entradas y salidas, matriz RACI Metas y métricas Modelos de madurez www.auditool.org 11 Procesos 1. Asegurar que se fija el Marco de Gobierno y su mantenimient o. 2. Asegurar la entrega de valor. 3. Asegurar la optimización de los riesgos. 4. Asegurar la optimización de los recursos. ESTRUCTURA DEL MODELO COBIT GOBIERNO CORPORATIVO DE TI Evaluar, dirigir y monitorear Descripción Objetivos de Control Actividades Definir, establecer y alinear el marco de gobierno de TI, teniendo en cuenta el entorno de control y Gobierno corporativo. Este marco debe asegurar el cumplimiento de las leyes y regulaciones relacionadas. Definir un marco de gobierno de TI. Evaluar el uso actual y futuro de TI. Preparación de planes y políticas para garantizar que el uso de TI cumple con los objetivos del negocio. Monitorear la conformidad de las políticas y el desempeño de los planes. La administración de los programas de inversión en TI debe asegurar el mayor valor para apoyar la estrategia y los objetivos empresariales. Optimización del valor de las inversiones en TI, estableciendo un marco de buen gobierno, monitoreo y control, dirección estratégica para las inversiones, y definir las características de la cartera de inversiones. Administración del valor de TI. Riesgo corporativo y marco de referencia de control interno de TI. Desarrollar marco específico de gestión de riesgos de TI. Tolerancia de riesgo de TI. Alinear la política de riesgos de TI. Promover cultura del riesgo. Promover una comunicación efectiva de los riesgos de TI. Un trabajo en conjunto con el consejo directivo, debe permitir la definición del riesgo aceptable por la empresa, y garantizar que las prácticas de administración de riesgos de TI son apropiadas. Revisar inversión, uso y asignación de los activos de TI por medio de evaluaciones periódicas de las iniciativas y operaciones de TI para asegurar recursos y alineamiento apropiados con los objetivos estratégicos del negocio, actuales y futuros. Optimizar el entorno de TI, con una infraestructura fácil de usar y actualizar. Disminuir errores manuales. Responder a actualizaciones y cambios constantes. Inversión en TI, buscando una ventaja competitiva. www.auditool.org 12 5. Asegurar la transparencia a las partes interesadas. Procesos 6. Administrar el Marco de Administració n de TI. 7. Administrar la estrategia. Revelar de forma clara, precisa y completa y en un grado razonable y suficiente la información sobre políticas, decisiones y actividades de las que es responsable, incluyendo impactos y consecuencias. ADMINISTRACIÓN DE TI Alinear, planear y organizar Descripción Objetivos de Control En la empresa debe existir una organización Administración de apropiada de TI, la cual se integridad. establece teniendo en cuenta los requerimientos del personal, funciones, Estándares rendición de cuentas, tecnológicos. autoridad, roles, Ambientes de responsabilidades y políticas y de supervisión. El comité control. estratégico debe verificar y Administración de vigilar los procesos del políticas para TI. consejo directivo de TI, Implementación de determinando así las políticas de TI. prioridades de los recursos de TI. De la misma manera, se deben implementar procesos, políticas de administración Comunicación de y procedimientos para los objetivos y la todas las funciones de la dirección de TI. empresa, garantizando así el aseguramiento de la calidad, administración de riesgos y la seguridad de la información. La planeación estratégica gestiona y dirige todos los recursos de TI en línea con la estrategia y prioridades de la empresa; y permite que las partes interesadas comprendan las oportunidades y limitaciones de la TI, evalúa el desempeño actual, identifica la capacidad y requerimientos de los recursos humanos, y clarifica los objetivos, planes de acción y tareas. Alineación de TI con el negocio. Evaluación del desempeño y capacidad actual. Plan estratégico de TI Planes tácticos de TI Planeación de la dirección tecnológica. Planeación de la infraestructura tecnológica. Actividades Establecer estructura organizacional de TI, incluyendo comités y ligas a los interesados y proveedores. Diseñar marco de trabajo para el proceso de TI. Identificar dueños de sistemas. Identificar datos. dueños de Establecer e implementar roles y responsabilidades de TI, incluida la supervisión segregación de funciones. Relacionar las metas del negocio con las de TI. Identificar dependencias críticas y desempeño actual. Construir un plan estratégico para TI. Construir planes tácticos para TI. www.auditool.org 13 8. Administrar la arquitectura corporativa. 9. Administrar la innovación. 10. Administrar el portafolio. Creación y actualización continua de un modelo de información del negocio, y definición de los sistemas apropiados para optimizar el uso de la información. Este proceso mejora la calidad de la toma de decisiones, asegurando información confiable y segura, a través de la responsabilidad sobre la integridad y seguridad de los datos, efectividad y control de la información compartida por medio de las aplicaciones y entidades. Establecer un proceso para monitorear las tendencias ambientales del sector, tecnológicas, de infraestructura, legales y regulatorias; con el fin de analizar las consecuencias de estas tendencias en el desarrollo del plan de infraestructura tecnológica de TI. Administración activa del portafolio de programas de inversión de TI, de tal manera que se pueda garantizar la consecución de los objetivos de negocio estratégicos específicos. Este proceso incluye entender el alcance del esfuerzo requerido para lograr los resultados, definir rendición de cuentas, definir proyectos dentro del programa, asignar recursos y financiamiento y delegar autoridad. Modelo de arquitectura de información empresarial. Diccionario de datos corporativo y reglas de sintaxis para los datos. Esquema de clasificación de datos. Consejo de arquitectura de TI Crear y mantener modelo de información corporativo / empresarial. Crear y diccionario corporativo. de mantener datos Establecer y mantener esquema de clasificación de datos. Brindar a los dueños procedimientos y herramientas para clasificar los sistemas de información. Usar el modelo de información, el diccionario de datos y el esquema de clasificación para planear los sistemas optimizados de negocio. Monitorear la evolución tecnológica. Monitorear las tendencias y regulaciones del futuro. Administración del portafolio de TI. Definir el uso futuro estratégico de la nueva tecnología. Analizar portafolios de programas y portafolios de servicios y proyectos. www.auditool.org 14 11. Administrar el presupuest o y los costos. Determinar un marco de trabajo para administrar los programas de inversión en TI que incluya costos, beneficios, prioridades dentro del presupuesto, proceso presupuestal, y administración. Marco de trabajo para la administración financiera. Prioridades dentro del presupuesto de TI. Proceso presupuestal. Administración de costos de TI. Administración de beneficios. Definición de servicios. Contabilización de TI. Modelación de costos y cargos. Mantenimiento del modelo de costos. 12. Administrar el recurso humano. Adquirir, mantener y motivar un ambiente de trabajo para la creación y entrega de servicios de TI para el negocio, a través de buenas prácticas en la contratación, capacitación, evaluación del desempeño, promoción y terminación. Este proceso es vital, debido a que la competencia y motivación del personal influyen en el ambiente de gobierno y control interno en la empresa. Reclutamiento retención personal. y del Competencias del personal. Asignación de roles. Entrenamiento del personal de TI. Dependencia sobre los individuos. Procedimientos de investigación de personal. Evaluación del desempeño del personal. Cambios y terminación de trabajo. Identificación de necesidades de entrenamiento y educación. Impartición de entrenamiento y educación. Evaluación del entrenamiento Dar mantenimiento al portafolio de programas de inversión. Dar mantenimiento portafolio de proyectos. al Dar mantenimiento al portafolio de servicios. Establecer y mantener proceso presupuestal de TI. Identificar, comunicar y monitorear la inversión, costo y valor de TI para la empresa. Identificar las habilidades de TI, benchmarks sobre descripciones de puesto, rango de salarios y desempeño del personal. Ejecutar las políticas y procedimientos relevantes de Recursos Humanos para TI, contratar, investigar, compensar, entrenar, evaluar, promover y terminar. www.auditool.org 15 recibido. Marco de trabajo de procesos de TI Comité estratégico de TI 13. Administrar las relaciones. Organización de TI teniendo en cuenta los requerimientos de personal, funciones, rendición de cuentas, autoridades, roles y responsabilidades. Además, debe envolver la transparencia y control de los altos ejecutivos. Se debe establecer una estructura óptima de enlace, comunicación y coordinación entre la función de TI y otros interesados. 14. Administrar los contratos de servicios. Definición documentada y acuerdo de servicios de TI y niveles de servicio, para una comunicación efectiva entre la gerencia de TI y los clientes del negocio; garantizando la alineación entre los servicios de TI y los requerimientos del Comité directivo de TI Ubicación organizacional de la función de TI Estructura organizacional. Establecimiento de roles y responsabilidades. Responsabilidades de aseguramiento de calidad de TI, Quality Assurance. Responsabilidad sobre el riesgo, seguridad y el cumplimiento. Propiedad de datos y de sistemas. Supervisión Segregación de funciones Personal de tecnología de información. Personal clave de tecnología de información. Políticas y procedimientos para el personal contratado. Relaciones entre partes interesadas con la función de tecnología de información. Marco de trabajo de la administración de los niveles de servicio. Definición de servicios. Acuerdos de niveles de servicios. Definición de u marco de trabajo de procesos de TI. Establecimiento de un cuerpo y una estructura organizacional apropiada. Definición de roles y responsabilidades. Crear un marco de trabajo para los servicios de TI. Construir un catálogo de servicios de TI. Definir los convenios de niveles de servicio para los servicios críticos de TI. www.auditool.org 16 negocio. Acuerdos niveles operación. de de Monitoreo y reporte del cumplimiento de los niveles de servicio. Revisión de los acuerdos de niveles de servicio y de los contratos. Administración de contratos con proveedores. 15. Administrar los proveedore s. 16. Administrar la calidad. Administración efectiva de los servicios provistos por terceros, por medio de la definición de roles, responsabilidades y expectativas, en relación a los acuerdos con terceros. Además, es importante la revisión y monitoreo de la efectividad y cumplimiento de los acuerdos establecidos, minimizando así los riesgos relacionados. Se debe desarrollar un sistema de administración de calidad, que incluya procesos y estándares de desarrollo y adquisición; a través de requerimientos, procedimientos y políticas claras de calidad, manifestados con indicadores cuantificables y alcanzables. Además, es necesario un constante monitoreo, corrección de desviaciones, y comunicación oportuna de resultados; generando valor al negocio, mejora Selección proveedores. de Identificación de todas las relaciones con terceros. Gestión de relaciones con proveedores. Administración de riesgos del proveedor. Definir los convenios de niveles de operación para soportar los niveles de servicio. Monitorear y reportar el desempeño del servicio de punta a punta. Revisar los niveles de servicio y los contratos de apoyo. Revisar y actualizar el catálogo de servicios de Ti. Crear un plan de mejora de servicios. Identificar y categorizar las relaciones de los servicios de terceros. Definir y documentar los procesos de administración del proveedor. Establecer políticas y procedimientos de evaluación y suspensión de proveedores. Identificar, valorar y mitigar los riesgos del proveedor. Monitorear la prestación del servicio del proveedor. Evaluar las metas de largo plazo de la relación del servicio para todos los interesados. Monitoreo desempeño proveedor. del del Sistemas administración calidad. Estándares prácticas calidad. Estándares desarrollo y adquisición. Enfoque en cliente de TI. de de Definir un sistema de administración de calidad. y de Establecer y mantener un sistema de administración de calidad. Crear y comunicar estándares de calidad a toda la organización. Crear y administrar el plan de calidad para la mejora continua. Medir, monitorear y revisar el cumplimiento de las metas de calidad. de de el Mejora continua. Medición, monitoreo y revisión de la calidad. www.auditool.org 17 continua y transparencia. Marco de trabajo de administración de riesgos. Establecimiento del contexto del riesgo. 17. Administrar los riesgos. 18. Administrar la seguridad. Procesos Marco de trabajo de administración de riesgos, que determine un nivel común y acordado de riesgos de TI, estrategias de mitigación y riesgos residuales. El marco de trabajo, también debe permitir identificar, analizar y evaluar cualquier impacto potencial que se presente. Es importante establecer un proceso de administración de la seguridad, que garantice la integridad de la información y la protección de los activos de TI. Este proceso incluye establecimiento de roles y responsabilidades de seguridad, políticas, estándares y procedimientos de TI. De la misma manera, se deben realizar acciones monitoreo y pruebas de seguridad, acciones correctivas sobre las debilidades o incidentes detectados. Identificación de eventos. Evaluación de riesgos de TI. Respuesta a los riesgos. Mantenimiento y monitoreo de un plan de acción de riesgos. Administración de la seguridad de TI. Determinar la alineación de la administración de riesgos. Entender los objetivos de negocio estratégicos relevantes. Entender los objetivos de los procesos de negocio relevantes. Identificar los objetivos internos de TI y establecer el contexto del riesgo. Identificar eventos asociados con objetivos. Asesorar el riesgo con los eventos. Evaluar y seleccionar respuestas a riesgos. Priorizar y planear actividades de control. Aprobar y asegurar fondos para planes de acción de riesgos. Mantener y monitorear un plan de acción de riesgos. Definir y mantener un plan de seguridad de TI. Definir, establecer y operar un proceso de administración de identidad. Monitorear incidentes de seguridad. Plan de seguridad de TI. Construir, adquirir e implementar Descripción Objetivos de Control Determinar un marco de Marco de trabajo trabajo para la para la administración de administración de Realizar evaluaciones de vulnerabilidad periódicamente. Actividades Definir un marco de administración de programas, portafolio para www.auditool.org 18 19. Administrar programas y proyectos. programas y proyectos de TI, que permita garantizar la asignación correcta de prioridades y coordinación de proyectos, Este marco debe incluir un plan maestro, asignación de recursos, definición de entregables, aprobación de usuarios, entrega por fases, aseguramiento de la calidad, plan de pruebas, revisión de pruebas, postimplantación, que garantice la administración de los riesgos del proyecto y la entrega del valor para el negocio. programas. Marco de trabajo para la administración de proyectos. Enfoque administración proyectos. de de Compromiso de los interesados. Declaración alcance proyecto. del del Inicio de las fases del proyecto. Plan integrado del proyecto. Recursos del proyecto. Administración de riesgos del proyecto. Plan de aseguramiento de calidad (Q.A) del proyecto. Control de cambios del proyecto. Planeación del proyecto y métodos de aseguramiento. Medición del desempeño, reporte y monitoreo del proyecto. Cierre del proyecto. 20. Administrar la definición de requerimien tos. Los requisitos y necesidades de la empresa se deben satisfacer con un enfoque efectivo y eficiente. Para esto, es necesario identificar las necesidades, considerar fuentes alternativas, revisión de la factibilidad tecnológica y económica, análisis de riesgos y de costo-beneficios, para Definición y mantenimiento de los requerimientos técnicos y funcionales del negocio. Reporte de análisis de riesgos. Estudio factibilidad formulación de y de inversiones en TI. Establecer y mantener un marco de trabajo para la administración de proyectos de TI. Establecer y mantener un sistema de monitoreo, medición y administración de sistemas. Elaborar estatutos, calendarios, planes de calidad, presupuestos, planes de comunicación y de administración de riesgos. Asegurar la participación y compromiso de los interesados en el proyecto. Asegurar el control efectivo de los proyectos y de los cambios a proyectos. Definir e implementar métodos de aseguramiento y revisión de proyectos. Definir los requerimientos funcionales y técnicos del negocio. Establecer procesos para la integridad y validez de los requerimientos. Identificar, documentar y analizar el riesgo del proceso de negocio. www.auditool.org 19 tomar una decisión final, ya sea desarrollar o comprar. cursos de acción alternativos. Requerimientos, decisión de factibilidad y aprobación. Diseño nivel. de alto Diseño detallado. 21. Administrar la identificació ny construcció n de soluciones. Diseño de las aplicaciones, inclusión apropiada de controles aplicativos y requerimientos de seguridad, desarrollo y configuración, de acuerdo a los estándares. Esto proceso debe garantizar que las aplicaciones estén de acuerdo con los requerimientos del negocio. Control y posibilidad de auditar las aplicaciones. Seguridad y disponibilidad de las aplicaciones. Configuración e implantación de software aplicativo adquirido. Actualizaciones importantes en sistemas existentes. Desarrollo del software aplicativo. Aseguramiento de la calidad del software. Administración de los requerimientos Conducir un estudio de factibilidad, evaluación de impacto con respecto a la implantación de los requerimientos del negocio propuestos. Evaluar los beneficios operativos de TI para las soluciones propuestas. Evaluar los beneficios de negocio de las soluciones propuestas. Elaborar un proceso de aprobación de requerimientos. Aprobar y autorizar soluciones propuestas. Traducir los requerimientos del negocio en especificaciones de diseño de alto nivel. Preparar diseño detallado y los requerimientos técnicos del software aplicativo. Especificar los controles de aplicación dentro del diseño. Personalizar e implementar la funcionalidad automatizada adquirida. Desarrollar las metodologías y procesos formales para administrar el proceso de desarrollo de la aplicación. Crear un plan de aseguramiento de la calidad de software para el proyecto. Dar seguimiento y administrar los requerimientos de la aplicación. Desarrollar un plan para el mantenimiento de aplicaciones de software. www.auditool.org 20 de aplicaciones. Mantenimiento de software aplicativo. Plan de adquisición de infraestructura tecnológica. Protección y disponibilidad de recurso de infraestructura. Mantenimiento de la infraestructura. Ambiente de prueba de factibilidad. Control de adquisición. Adquisición de recursos de TI 22. Administrar la disponibilid ad y capacidad. 23. Administrar la habilitación del cambio. Revisión y verificación periódica del desempeño y la capacidad de los recursos de TI, para determinar las necesidades futuras, de acuerdo a aspectos como carga de trabajo, almacenamiento, y contingencias. Este proceso permite asegurar que los recursos de información están disponibles de manera continua, y optimiza el desempeño de la infraestructura, los recursos y las capacidades de TI, en respuesta a las necesidades del negocio. Definición y ejecución de procedimientos de adquisición, selección de proveedores, y ajuste de arreglos contractuales. Planeación del desempeño y la capacidad. Capacidad y desempeño actual. Capacidad y desempeño futuros. Disponibilidad recursos de TI de Monitoreo y reporte. Control adquisición. de Administración de contratos con proveedores. Establecer un proceso de planeación para la revisión del desempeño y la capacidad de los recursos de TI. Revisar el desempeño y la capacidad actual de los recursos de TI. Realizar pronósticos de desempeño y capacidad de los recursos de TI. Realizar análisis de brecha para identificar incompatibilidad de los recursos de TI. Realizar un plan de contingencia respecto a una falta potencial de disponibilidad de recursos de TI. Monitorear y reportar continuamente la disponibilidad, desempeño y capacidad de los recursos de TI. Desarrollar políticas y procedimientos de adquisición de TI de acuerdo con las políticas de adquisición a nivel corporativo. Establecer y mantener una lista de proveedores acreditados. www.auditool.org 21 24. Administrar cambios 25. Administrar la aceptación de cambios y transicione s. Administrar todos los cambios de una manera organizada, incluyendo los cambios de estándares y el mantenimiento de emergencia relacionados a los procesos del negocio, aplicaciones e infraestructura. Este proceso incluye cambiar estándares y procedimientos, evaluación de impacto, priorización y autorización, cambios de emergencia, seguimiento, reporte, cierre y documentación. Los cambios deben ser registrados, evaluados y autorizados, antes de su implantación, y revisados después de la misma. De esta manera, se garantiza la reducción de riesgos que puedan impactar negativamente la estabilidad o integridad del sistema de producción. Desarrollo de las pruebas adecuadas, definición de la transición e instrucciones de migración, planeación de liberación y transición al ambiente de producción, y revisión de postimplantación. Este proceso garantiza que los sistemas estén en línea de acuerdo a las características y resultados esperados. Selección proveedores. de Adquisición recursos de TI. de Estándares y procedimientos para cambios. Evaluación de impacto, priorización y autorización. Cambios de emergencia. Seguimiento y reporte del estatus del cambio. Desarrollar contratos que protejan los intereses de la organización. Realizar adquisiciones de conformidad con los procedimientos establecidos. Desarrollar e implementar un proceso para registrar, evaluar y dar prioridad en forma consistente a las soluciones de cambio. Evaluar impacto y dar prioridad en cambios en base a las necesidades del negocio. Garantizar que cualquier cambio crítico y de emergencia, sigue el proceso aprobado. Autorizar Cambios. Administrar y diseminar la información relevante referente a cambios. Cierre y documentación del cambio. Entrenamiento Plan de prueba. Plan de implantación. Ambiente de prueba. Conversión de sistemas y datos. Construir y revisar planes de investigación. Definir y revisar una estrategia de prueba y una metodología de plan de prueba operacional. Construir y mantener un repositorio de requerimientos de negocio y técnicos, y casos de prueba para sistemas acreditados. Ejecutar la conversión del sistema y las pruebas de integración en ambiente de prueba. Establecer ambientes de prueba y conducir pruebas de aceptación finales. www.auditool.org 22 26. Administrar el conocimient o. 27. Administrar los activos. 28. Administrar la configuraci ón. Generación y documentación de manuales para usuarios y para TI, capacitación y entrenamiento para garantizar el correcto uso y operación de las aplicaciones y la infraestructura. Administración adecuada de los activos en TI durante su ciclo de vida, eliminando así costos innecesarios. Recolección de información de la configuración inicial, establecimiento de normas, verificación y auditoria de la información de la configuración y actualización del repositorio de configuración, de acuerdo a las necesidades. Este proceso facilita una mayor disponibilidad, minimiza los problemas de producción y resuelve los problemas a tiempo. Así mismo, este proceso incluye la optimización de la infraestructura, recursos y capacidades de TI, y el Pruebas de cambios. Prueba de aceptación final. Promoción a producción. Revisión posterior a implantación. Recomendar la liberación a producción con base en los criterios de acreditación convenidos. Plan para soluciones de operación. Transferencia de conocimiento a la gerencia del negocio. Transferencia de conocimiento a usuarios finales. Desarrollar estrategia para que la solución sea operativa. Desarrollar metodología de transferencia de conocimiento. Transferencia de conocimiento al personal de operaciones y soporte. Desarrollar manuales de procedimiento del usuario final. Desarrollar documentación de soporte técnica para operaciones y personal de soporte. Desarrollar y dar entrenamiento. Evaluar los resultados del entrenamiento y ampliar la documentación, cuando sea necesario. Monitoreo y disposición de los activos de TI. Repositorio y línea base de configuración. Identificación y mantenimiento de elementos de configuración. Revisión de integridad de la configuración. Desarrollar procedimientos de planeación de administración de la configuración. Recopilar información sobre la configuración inicial y establecer líneas de base. Verificar y auditar la información de la configuración. Actualizar el repositorio de configuración. www.auditool.org 23 registro de los activos de TI. Procesos 29. Administrar las operaciones 30. Administrar las solicitudes de servicios Entregar, servir y dar soporte Descripción Objetivos de Control Procedimientos e instrucciones de operación. Requerimientos del negocio para administración de datos. Definición de los Programación de requerimientos físicos del tareas. centro de datos, selección Monitoreo de la de instalaciones infraestructura de apropiadas, y diseño de TI. procesos efectivos para monitorear factores ambientales y administrar Documentos el acceso. Este proceso sensitivos y puede reducir las dispositivos de interrupciones de las salida. operaciones, por daños a Mantenimiento los equipos y al personal. preventivo del Así mismo incluye la hardware. definición de políticas y procedimientos de Selección y diseño operación para una del centro de datos. administración efectiva del procesamiento programado, protección de datos, monitoreo de infraestructura y mantenimiento preventivo del hardware. Estas actividades ayudan a mantener la integridad de Administración de los datos, y reduce los instalaciones retrasos en el trabajo y los físicas. costos operativos en TI. Creación de una función de mesa de servicio con registro, escalamiento de incidentes, análisis de Mesa de servicios. Registro de Actividades Definir el nivel requerido de protección física. Seleccionar y comisionar el sitio. Implementar medidas de ambiente físico. Administrar el ambiente físico. Definir e implementar procesos para mantenimiento y autorización de acceso físico. Crear o modificar procedimientos de operación. Programación de cargas de trabajo y de programas en lote. Monitorear la infraestructura y procesar y resolver problemas. Administrar y asegurar la salida física de información. Aplicar cambios o arreglos al programa y a la infraestructura. Implementar y establecer un proceso para salvaguardar los dispositivos de autenticación contra interferencia, pérdida o robo. Programar y llevar a cabo mantenimiento preventivo. Crear procedimientos de clasificación y de escalamiento. Detectar y registrar www.auditool.org 24 y los incidentes. 31. Administrar problemas. 32. Administrar la continuidad . tendencia, análisis de causa-raíz y solución. Este proceso, permite responder de manera oportuna a las consultas y problemas de los usuarios de TI. Identificación y clasificación de problemas, análisis de causas desde la raíz, y resolución de problemas. Este proceso también incluye, la identificación de recomendaciones para la mejora, mantenimiento de registro de problemas, y revisión de las acciones correctivas. Además, este proceso garantiza la satisfacción de los usuarios finales. Garantizar la continuidad del servicio, a través del desarrollo, mantenimiento y prueba de planes de continuidad de TI, almacenar respaldos fuera de las instalaciones, y entrenar de forma periódica sobre los planes de continuidad. Este proceso minimiza la probabilidad y el impacto de interrupciones mayores en los servicios de TI, sobre las funciones y procesos importantes de la empresa. consultas clientes. Escalamiento incidentes. Cierre incidentes. Análisis tendencias. de Administración clasificación problemas. Rastreo resolución problemas. Cierre problemas. y de de de de y de de Integración de las administraciones de cambios, configuración y problemas. Marco de trabajo de continuidad de TI. Planes de continuidad de TI. Recursos de TI. críticos Mantenimiento del plan de continuidad de TI Pruebas del plan de continuidad de TI Entrenamiento del plan de continuidad de TI Distribución del plan de continuidad de TI Recuperación y reanudación de los incidentes, solicitudes de servicio y de información. Clasificar, investigar y diagnosticar consultas. Resolver, recuperar y cerrar incidentes. Informar a usuarios. Hacer reportes para la gerencia. Identificar problemas. y clasificar Realizar análisis de causa raíz. Resolver problemas. Revisar el estatus de problemas. Emitir recomendaciones para mejorar y crear una solicitud de cambio relacionada. Mantener registros de los problemas. Desarrollar un marco de trabajo de continuidad de TI. Realizar un análisis de impacto al negocio y valoración de riesgo. Desarrollar y mantener planes de continuidad de TI. Identificar y categorizar los recursos de TI con base en los objetivos de recuperación. Definir y ejecutar procedimientos de control de cambios para asegurar que el plan de continuidad sea vigente. Probar regularmente el plan de continuidad de TI. Desarrollar un plan de acción a seguir con base en los resultados de las pruebas. Planear y llevar a cabo capacitación sobre los www.auditool.org 25 servicios de TI. Almacenamiento de respaldos fuera de las instalaciones. Revisión postreanudación. Eliminación. Respaldo restauración. 33. Administrar los servicios de seguridad Proceso de administración de la seguridad, necesario para mantener la integridad de la información y proteger los activos de TI. Esto se realiza a través del establecimiento y mantenimiento de roles y responsabilidades de seguridad, políticas, estándares y procedimientos de TI, monitoreo de seguridad y pruebas periódicas, y acciones correctivas. Este proceso minimiza el impacto en la empresa causado por vulnerabilidades o incidentes de seguridad. y Administración identidad. de Administración cuentas usuario. de del Pruebas, vigilancia y monitoreo de la seguridad. Definición incidente seguridad. Protección tecnología seguridad. de de de Administración llaves criptográficas. la de de Prevención, detección y corrección de software malicioso. Seguridad de la red. Intercambio de datos sensitivos. Acuerdos de almacenamiento y conservación. Sistema de administración de librerías de medios. Medidas de seguridad física. Acceso físico. planes de continuidad de TI. Planear la recuperación y reanudación de los servicios de TI. Planear e implementar el almacenamiento y la protección de respaldos. Establecer los procedimientos para llevar a cabo revisiones postreanudación. Definir y mantener un plan de seguridad de TI. Definir, establecer y operar un proceso de administración de identidad. Monitorear incidentes de seguridad, reales y potenciales. Revisar y validar periódicamente los privilegios y derechos de acceso de los usuarios. Establecer y mantener procedimientos para mantener y salvaguardar las llaves criptográficas. Implementar y mantener controles técnicos y de procedimientos para proteger el flujo de información a través de la red. Realizar evaluaciones de vulnerabilidad de manera regular. www.auditool.org 26 Requerimientos de seguridad para la administración de datos. Protección contra factores ambientales. 34. Administrar los controles en los procesos de negocio. Procesos 35. 36. Monitorear, evaluar y valorar el desempeño y cumplimient o Monitorear, evaluar y valorar el sistema de control interno Definir un marco de trabajo para los procesos de TI, proporcionando integración entre los procesos, administración del portafolio de la empresa, procesos del negocio y procesos de cambio. Definición de procesos para satisfacer requerimientos del negocio de TI. Monitorear, evaluar y valorar Descripción Objetivos de Control Enfoque del monitoreo. y Definición de indicadores Definición de de desempeño relevantes, recolección del reportes sistemáticos y datos oportunos de desempeño, monitoreo. de y tomar medidas cuando Método existan desviaciones. Un monitoreo. monitoreo adecuado Evaluación del garantiza que los desempeño. procedimientos se hagan Reportes al consejo correctamente y de directivo y a acuerdo a las direcciones y ejecutivos. políticas de la empresa. Acciones correctivas. Monitoreo y reporte de las excepciones de control interno, resultados de las auto-evaluaciones y revisiones por parte de terceros. Este proceso permite proporcionar seguridad de las operaciones eficientes y efectivas, cumplimiento de las leyes y regulaciones pertinentes. Monitoreo del marco de trabajo de control interno. Revisiones de auditoria. Excepciones de control. Auto evaluación del control. Aseguramiento del control interno. Control interno para terceros. Diseñar marco de trabajo para el proceso de TI. Actividades Establecer el enfoque de monitoreo. Identificar y recolectar objetivos medibles que apoyan a los objetivos del negocio. Crear cuadro de mandos. Evaluar el desempeño. Reportar el desempeño. Identificar y monitorear las medidas de mejora del desempeño. Monitorear y controlar las actividades de control interno de TI. Monitorear el proceso de auto-evaluación. Crear cuadro de mandos. Monitorear el proceso para obtener aseguramiento sobre los controles operados por terceros. Monitorear el proceso para identificar y evaluar las excepciones de control. Monitorear el proceso para identificar y evaluar y www.auditool.org 27 Acciones correctivas Identificar los requerimientos de las leyes, regulaciones y cumplimientos contractuales. Optimizar la respuesta a requerimientos externos. Evaluación del cumplimiento con requerimientos externos. 37. Monitorear, evaluar y valorar el cumplimient o con requisitos externos. Identificación de requerimientos de cumplimiento, optimizando y evaluando la respuesta, asegurando que los requerimientos se han cumplido, e integrando los reportes de cumplimiento de TI, con el resto de la empresa. Aseguramiento positivo del cumplimiento. Reportes integrados. Revisión de requerimientos externos. Prácticas y procedimientos para cumplimiento de los requerimientos externos. Cumplimiento de estándares ergonómicos y de seguridad. Privacidad y flujo de datos. Comercio electrónico Cumplimiento contrato de seguros. remediar las excepciones de control. Reportar a los interesados clave. Definir y ejecutar un proceso para identificar los requerimientos legales, contractuales de políticas y regulatorios. Evaluar cumplimiento de actividades de TI con políticas, estándares y procedimientos de TI. Reportar aseguramiento positivo del cumplimiento de las actividades de TI con las políticas, planes y procedimientos de TI. Brindar retroalimentación para alinear las políticas, estándares y procedimientos de TI con los requerimientos de cumplimiento. Integrar los reportes de TI sobre requerimientos regulatorios con similares provenientes de otras funciones del negocio. www.auditool.org 28 Modelo de capacidad de procesos – ISO/IEC 15504 Las empresas deben estar evaluando constantemente su administración de TI, a través del desarrollo de un plan de negocio para mejorar y alcanzar el nivel apropiado de administración, y control sobre la infraestructura de información, y considerando el equilibrio del costo beneficio. El modelo COBIT 5, sugiere un modelo de capacidad de procesos para la administración y control de los procesos de TI, mediante un método de evaluación de la organización, que permita identificar los problemas o fallas, y fijar las mejoras. Además, este modelo permite que la empresa conozca su desempeño real, estatus actual de la industria, objetivo de mejora de la empresa, y crecimiento requerido. El modelo de capacidad de procesos en COBIT 5 es soportado por el Modelo de Procesos ISO/IEC 15504, y contiene los siguientes niveles de capacidad que un proceso puede alcanzar: 0 – Incompleto - Nivel 0 de Madurez (organización Inmadura): En este nivel de madurez es evidente que no se implementan de manera efectiva los procesos para el desarrollo de software, es decir que no se alcanzan los propósitos u objetivos de la organización, de la misma manera que no se identifican productos o salidas de proceso, por lo tanto se determina que no hay atributos a evaluar en dicho nivel. 1 – Alcanzado - Nivel 1 de Madurez (organización Básica): para este nivel de madurez se determina que la entidad u organización se remite de manera simple a la implementación y por tal motivo alcanza de forma básica los objetivos de dicho proceso, por lo tanto alcanzando los resultados propuestos supone que es posible la identificación propicia a las salidas o resultados del proceso evaluado. 2 – Gestionado - Nivel 2 de Madurez (organización Gestionada): Se realizan los mismos procesos del nivel anterior a diferencia que en este nivel, la entidad u organización evidencia una planificación, un seguimiento y control de los procesos como del trabajo relacionado 3 – Establecido - Nivel 3 de Madurez (organización Establecida): para llegar a este nivel de madurez es necesario implementar los procesos y requerimientos demandados en los niveles anteriores además de los procesos definidos basados en estándares para toda la organización los cuales son: . Análisis de requisitos del software Diseño de la arquitectura del software Diseño de la arquitectura del sistema Gestión de infraestructuras Gestión de recursos humanos Gestión de riesgos Gestión de la decisión Integración del software Integración del sistema Verificación del software Validación del software 4 – Predecible - Nivel 4 de Madurez (organización predecible): Para acceder a este nivel es necesario haber cumplido con los procesos de los niveles anteriores, ya que en este nivel la organización debe medir y analizar el tiempo de realización de los procesos, una gestión cuantitativa de los mismos, a diferencia de los niveles anteriores este nivel vela porque el proceso se lleve a término de forma consistente dentro de unos parámetros descritos. www.auditool.org 29 5 –Optimizado - Nivel 5 de madurez (organización Optimizada): Este último nivel responde básicamente al adecuado engranaje de los procesos abordados en los niveles anteriores, buscando de estos un mejoramiento continuo, logrando así un aporte al alcance de los objetivos de negocio de la entidad. Además de esto es preciso llevar a cabo una continua monitorización de los procesos y un respectivo análisis de los datos adquiridos, permitiendo que los procesos estandarizados definidos en la entidad cambien activamente adaptándose de manera eficiente a los objetivos actualmente desarrollados y a los proyectados a futuro por la entidad. Cada nivel es alcanzado una vez se cumpla con el anterior, estableciendo así una escala de mejoramiento continuo. Este estándar internacional en Tecnologías de Información – Evaluación de procesos (Software Process Improvement Capability Determination, Determinación de la Capacidad de Mejora del Proceso de Software), se publicó por primera vez en 1998; y se define como un marco para la evaluación, mejora de la capacidad y madurez de los procesos; y establece los requisitos mínimos de las distintas fases (desarrollo, mantenimiento y operación) que se presentan en el ciclo de vida de software. Su estructura se divide en siete momentos, y dos fases, la primer fase considerada como normativa, consiste en definir los requerimientos mínimos para la realización de mejoras de procesos de desarrollo y así mismo sirve para evaluar el nivel de madurez de la entidad con relación al desarrollo de software, una segunda parte denominada como no normativa la cual presentan las guías de interpretación de los requerimientos mínimos de la norma. Los siete momentos o partes de la norma ISO/IEC 15504 son: 1. 2. 3. 4. 5. 6. 7. Conceptos y vocabularios. (normativa) Realización de la evaluación. (normativa) Guía para la realización de la evaluación. (no normativa) Guía sobre el uso para la mejora y determinación de calidad del proceso. (no normativa) Un ejemplo de modelo de evaluación de proceso. (normativa) Conceptos y vocabulario. (normativa) Evaluación de la madurez de una entidad u organización. (no normativa) ISO/IEC 15504 permite realizar las evaluaciones usando niveles de madurez, definidos como conjuntos de procesos que ayudan a una organización a mejorar en el desarrollo de software, evolucionando por los niveles. Entonces, se definen los seis niveles de capacidad, mencionados anteriormente, a los cuales se puede demandar dependiendo la calidad y la utilización de los procesos de desarrollo, mantenimiento y operación de software dentro de organización. Cada proceso se describe de acuerdo a sus propósitos y resultados, incluyendo los pasos necesarios para alcanzar los propósitos y metas actuales del proceso. El modelo de capacidad de procesos basado en la norma ISO/IEC 15504 envuelve los siguientes objetivos: Habilitar el cuerpo de gobierno y administración para establecer un punto de referencia para la evaluación de la capacidad. Habilitar la revisión sobre el estado en que se encuentran y el estado objetivo de alto nivel de los procesos, para asistir al gobierno y a la administración de la empresa en cuanto a la toma de decisiones relacionadas con la mejora de los procesos. Realizar análisis de carencias y planificar las mejoras. Proporcionar a la empresa indicadores de evaluación para medir y monitorear la capacidad actual de los procesos. Matriz RACI Para cada proceso se establece una Matriz RACI, la cual presenta la asignación de responsabilidades y roles con respecto a las actividades que envuelven cada proceso. De esta manera según las siglas se establece: www.auditool.org 30 R A C I Responsible Accountable Consulted Informed Responsable Quien aprueba A quien se consulta A quien se informa En COBIT 5 los roles están clasificados de la siguiente manera: Actividades Junta directiva Director Ejecutivo (CEO) Director Financiero (CFO) Director operativo (COO) Ejecutivos del negocio Dueños del proceso del Negocio Comité Ejecutivo de la Estrategia Comité directivo Oficina Administrativa de proyectos Oficina Administrativa del Valor Director de Riesgos Director de Seguridad de la Información Director de arquitectura Comité de Riesgo Empresarial Jefe de Recursos humanos Cumplimiento Auditoria Director de Información Jefe Arquitecto Jefe de desarrollo Jefe de Operaciones de TI Jefe de Administración de TI Administrador del servicio Administrador de la Seguridad de la información Administrador de la continuidad del negocio Director de privacidad Matriz RACI Implementación Un valor óptimo puede ser alcanzado si se adapta efectivamente el modelo COBIT a la organización, teniendo en cuenta su ambiente. La Guía de implementación del Modelo COBIT se desarrolla en un mejoramiento continuo del ciclo de vida, teniendo en cuenta los siguientes aspectos: Contexto de la empresa: Cada empresa debe diseñar su propio plan de implementación de acuerdo a factores específicos internos y externos: Ética y cultura Leyes, regulaciones y políticas pertinentes Misión, visión y valores Políticas de gobierno y practicas Plan de negocios e intenciones estratégicas Modelo operativo y nivel de madurez Estilo de administración Apetito de Riesgo Capacidades y recursos disponibles Practicas industriales Creación de un ambiente apropiado: Soporte y dirección de la las partes interesadas es fundamental para un mejoramiento continuo, dirigiendo adecuadamente las necesidades y problemas reales del negocio. A través de diagnósticos y evaluaciones de COBIT, se puede lograr conciencia, consenso y compromiso de actuar y generar cambio. Este compromiso debe establecerse desde el principio, lo que permitirá determinar objetivos y beneficios claros, así como recursos, roles, responsabilidades, estructuras y procesos. www.auditool.org 31 Reconocimiento de puntos débiles y eventos desencadenantes: Una variedad de factores pueden indicar la necesidad de mejorar el gobierno y administración de TI en una empresa, algunos pueden ser: Frustración en el negocio con iniciativas fallidas, incremento de costos en TI, y percepción de un bajo valor del negocio. Incidentes significativos relacionados a los riesgos de TI. Fallas en el cumplimiento regulatorio o contractual. Recursos de TI insuficientes, personal desmotivado y sin las capacidades y experiencia necesaria. Modelos operativos de TI complejos. Permitir cambio: Implementación de los cambios apropiados y de la manera adecuada, teniendo en cuenta aspectos tan importantes como el compromiso de las partes interesadas y el personal. Enfoque del ciclo de vida: Este enfoque ayuda a las empresas a utilizar COBIT para manejar la complejidad y desafíos que se pueden presentar durante la implementación. Los componentes del ciclo de vida son: Continúo mejoramiento en el ciclo de vida. Habilitación del cambio, dirigido a aspectos culturales y de comportamiento. Administración del programa. Revisar efectividad Iniciación del programa Definir problemas y Beneficios oportunidades Ejucutar el plan Definir plan de acción Programa del plan Introducción, Caso de negocio: Necesidad de actuar para lograr el valor de negocio, teniendo en cuentas aspectos como: Beneficios Cambios necesarios Inversión necesaria Costos de TI Beneficios esperados Riesgo inherente Roles y responsabilidades Métricas de evaluación y monitoreo www.auditool.org 32 Risk IT Marco de trabajo basado en un conjunto de principios rectores, guías y procesos de negocio para la identificación, gobernabilidad y administración eficaz de riesgo de tecnología de información en una entidad. Risk IT establece buenas prácticas y posibilita una mirada integral para la detección de riesgos relacionados con el uso, propiedad, operación, participación, influencia y adopción de las tecnologías de información; facilita la integración de la administración del riesgo de TI con las actividades de gestión de riesgo de la entidad (ERM), permitiendo así que la entidad tome mejores decisiones con relación a aspectos sobre riesgo, evitando perdidas y obteniendo beneficios. El uso de TI puede generar importantes beneficios para una organización, pero a la vez implica un sin número de riesgos. De esta manera es importante que la toma de decisiones esté sustentada en los alcances del riesgo y manteniendo siempre la relación riesgo/beneficio, debido a que de esta manera se seguirán las medidas necesarias para responder a este, y se alcanzaran las metas del negocio. Una adecuada gestión de riesgos de TI, a los que puede estar expuesta cualquier organización, es esencial para una correcta administración y gobierno. Los riesgos de TI pueden clasificarse de la siguiente manera: CATEGORIA Beneficios / riesgos de TI Programa de TI y riesgo de ejecución de proyectos Operaciones de TI y el riesgo de la prestación de servicios DESCRIPCIÓN Riesgos asociados a la ausencia de oportunidades para utilizar la tecnología, con el fin de mejorar la eficiencia o efectividad de los procesos de negocio o como un facilitador para nuevas iniciativas organizacionales. Riesgos relacionados a la contribución de TI para soluciones de negocios nuevos o mejorados y gestión de las inversiones de cartera. Riesgos asociados a todos los aspectos del desempeño de TI y servicios del sistema, que pueden ocasionar la destrucción o la reducción de valor para la organización. RIESGOS Riesgos estratégicos Riesgos ambientales Riesgos de mercado Riesgos de crédito Riesgos operacionales Riesgos de cumplimiento El marco de trabajo Risk IT se desarrolla con base en los principios de gestión de riesgos organizacionales (ERM), COSO ERM, y demás normas y principios relacionados; por esta razón se fundamenta en los siguientes principios: Alineación con los objetivos organizacionales. Alinear la gestión de TI con el riesgo organizacional relacionado con el total de ERM. Balance de costos y beneficios de la gestión de riesgos de TI. Promover la comunicación abierta y equitativa de los riesgos de TI. Hacer cumplir la responsabilidad del personal con los niveles de tolerancia aceptables y bien definidos. Funcionar como parte de las actividades diarias. Alrededor de estos objetivos se genera un modelo de procesos, que incluye las actividades clave de cada proceso, responsabilidades, flujos de información y gestión del rendimiento. Risk IT está enfocado a 3 dominios, cada uno con tres procesos: Gobernabilidad del riesgo: Consiste en garantizar que las prácticas de administración de riesgo de tecnologías de información estén integradas a la entidad, es decir involucrar el riesgo en la toma de decisiones de negocio, posibilitando así un retorno o resultado eficiente de las actividades de gestión de riesgos, además de tener una visión común del mismo. Los procesos relacionados son: www.auditool.org 33 Establecer y mantener una vista de riesgo común. Integrar con ERM. Tomar decisiones conscientes de los riesgos del negocio. Existen algunos factores claves para la gobernabilidad del riesgo entre las que se encuentran: Desarrollar un marco de trabajo de administración de riesgos de TI específico a la entidad. Desarrollar métodos de administración de riesgos de tecnologías de información. Realizar una valoración de riesgos de tecnología de información a nivel empresarial. Proponer umbrales para la tolerancia al riesgo de tecnologías de información. Aprobar la tolerancia al riesgo de tecnología de información. Alinear las declaraciones de políticas y estándares con la tolerancia al riesgo de tecnologías de información. Promover una cultura a la concientización de riesgos de tecnologías de información. Promover una comunicación efectiva de riesgos de tecnologías de información. Establecer responsabilidad a nivel empresarial para la administración del riesgo de tecnologías de información. Suministrar adecuados recursos, personas, procesos, sistemas de información, presupuestos, expectativas de reguladores y auditores externos. Incluir los riesgos de tecnologías de información en la toma de decisiones estratégicas. Aceptar el riesgo de tecnologías de información. Priorizar las actividades de respuesta a los riesgos de tecnologías de información. Este dominio envuelve los siguientes componentes: Apetito del riesgo y tolerancia al riesgo: El apetito del riesgo es la cantidad de riesgo que una organización está dispuesta a aceptar en el cumplimiento de su misión. La tolerancia al riesgo es la variación aceptable en relación a la consecución de un objetivo. Responsabilidades y rendición de cuentas sobre la gestión de riesgos de TI: Determinación de las responsabilidades de las actividades en cada proceso. Sensibilización y comunicación: Concienciación de los riesgos, como parte integral de la organización. Cultura del riesgo: Asumir mayores riesgos en la búsqueda de la rentabilidad, lo cual ofrece un entorno que permite discutir los componentes del riesgo, entendiendo los niveles de riesgo aceptables. Evaluación del riesgo: Garantizar que los riesgos y oportunidades de tecnología de información sean identificadas, analizadas y presentadas en términos de negocio para mantener el perfil del riesgo. Los procesos relacionados son: Recoger datos. Analizar los riesgos. Mantener perfil de riesgo. Entre las actividades claves de la evaluación del riesgo están: Definir el alcance del análisis de riesgo de tecnologías de información. Estimar el riesgo de tecnologías de información, frecuencia y magnitud. Identificar opciones de respuesta al riesgo, aceptar, explotar, mitigar, transferir y evitar. Implementar una revisión grupal de los resultados de análisis de riesgos de tecnologías de información. Esquematizar los recursos de tecnologías de información hacia los procesos del negocio. Determinar críticamente en el negocio los recursos de tecnologías de información. www.auditool.org 34 Entender las capacidades de las tecnologías de información. Mantener el registro de riesgos de tecnologías de información y el mapa de riesgos de tecnologías de información. Diseñar y comunicar los indicadores de riesgo de tecnologías de información. Conectar los tipos de amenazas y las categorías de impacto para el negocio. Establecer y mantener un modelo para la obtención de datos internos y externos; factores de riesgo, eventos, problemas, amenazas, vulnerabilidades y pérdidas. Recolección de información en ambiente operativo. Recolección de información en eventos de riesgo. Identificación de factores de riesgo. Componentes: Descripción del impacto de la organización: Comprensión de los eventos adversos y como estos pueden afectar los objetivos del negocio. Escenarios de riesgos: Identificación de los riesgos importantes y relevantes dentro de los diferentes escenarios relacionados a las TI, y que pueden causar un impacto en el negocio. Respuesta al riesgo: Cerciorarse que los eventos, incidencias y oportunidades de riesgos de tecnologías de información sean atendidos de una manera eficaz, sin costos excesivos y de acuerdo a las necesidades y determinaciones del negocio. Es decir que se articule y administre el riesgo para reaccionar a eventos. Los procesos relacionados son: Riesgo articulado. Manejar riesgos. Reaccionar a acontecimientos. Las actividades claves de respuesta al riesgo son: Determinar controles. Implementar controles. Monitorear el alineamiento operacional con la tolerancia al riesgo. Reportar los resultados del análisis de riesgos de tecnologías de información, riesgos y oportunidades. Reportar el progreso del plan de acción del riesgo de tecnologías de información. Comunicar los resultados de análisis de riesgo de tecnologías de información. Reportar las actividades de administración de riesgos y el estado del cumplimiento de tecnologías de información. Mantener los planes de respuesta a incidentes. Conducir revisiones post-mortem de los incidentes relacionados con tecnologías de información. Componentes: Riesgo: Definición de principales indicadores de riesgo, teniendo en cuenta los diferentes factores relacionado a la organización así como sus características. Definición de respuesta de riesgo y priorización: Llevar el riesgo al nivel de apetito de riesgo definido para la empresa. www.auditool.org 35 o o o o Evitar riesgos Reducción de riesgos/mitigación Riesgo compartido/transferencia Aceptación del riesgo Risk IT complementa a COBIT, debido a que proporciona un marco general para el buen desempeño en los servicios de información de alta calidad en las distintas entidades u organizaciones, de manera que facilita obtener una visión exacta de los riesgos relacionados a tecnologías de información; ofrece guías sobre cómo administrar los riesgos de tecnologías de información desde el principio hasta el fin, se integra con las estructuras de riesgo y de cumplimiento dentro de la entidad, promueve la propiedad de los riesgos en la entidad u organización, facilita obtener el perfil de riesgo para entenderlo mejor, permite tomar decisiones bien informadas sobre la extensión, el apetito y la tolerancia al riesgo y permite entender cómo responder al riesgo. Además de esto, Risk IT provee de una gran variedad de beneficios a la entidad porque establece una organización más segura y consiente de sus riesgos, facilita la consecución de los objetivos, genera mayor estabilidad ante cambios del entorno, fortalece la cultura del autocontrol, aprovecha oportunidades del negocio, optimiza la asignación de recursos y promueve una mejora continua del sistema de control interno. Val IT Marco de gobierno que contiene un conjunto de principios rectores y una serie de procesos y prácticas de gestión claves para el apoyo a la gerencia ejecutiva y juntas a nivel empresarial. El marco Val IT proporciona a las organizaciones la estructura adecuada para medir, monitorear y optimizar la realización del valor del negocio desde la inversión en TI, con un costo adecuado y un aceptable nivel de riesgo. Además, Val IT es apoyado por publicaciones y herramientas operativas y proporciona orientación a: Definir la relación entre TI y el negocio y las funciones de la organización con responsabilidades de gobierno. Administrar la cartera de una organización de TI habilitados para las inversiones empresariales. Maximizar la calidad de los análisis de rentabilidad para las inversiones de negocios posibilitados con especial énfasis en la definición de los principales indicadores financieros, la cuantificación de los "blandos" beneficios y la valoración global del riesgo a la baja. Val IT aborda supuestos, costos, riesgos y resultados relacionados con una cartera equilibrada de inversiones empresariales en TI. También proporciona la capacidad de evaluación comparativa y permite a las empresas intercambiar experiencias sobre las mejores prácticas para la gestión del valor. La inversión en TI puede traer grandes beneficios, siempre y cuando las organizaciones la entiendan no como un fin, sino como un medio para lograr los resultados esperados del negocio, no solo es la implementación de las nuevas tecnologías, si no la obtención de valor a través del cambio en la organización con la TI. Es importante establecer un gobierno integral y con capacidad de TI, que pueda asegurar el valor a través de la inversión en TI. El valor del negocio es definido como los beneficios totales netos del ciclo de vida, costos relacionados, ajustado por los riesgos y por el valor del dinero en el tiempo, es decir el resultado final esperado de una inversión en TI, los cuales pueden ser financieros o no. Los principios es que se fundamenta VAL IT son: La inversión en TI será administrada como un portafolio de inversiones. La inversión en TI incluirá el alcance real de las actividades necesarias para alcanzar el valor del negocio. La inversión en TI será administrada a través de todo el ciclo de vida económico. Las prácticas de entrega de valor reconocerán que hay diferentes categorías de inversiones que serán evaluadas y administradas diferentemente. Las prácticas de entrega de valor definirán y monitorearan las métricas claves y responderán rápidamente a cualquier cambio o desviación. www.auditool.org 36 Las prácticas de entrega de valor comprometerán a todas las partes interesadas y asignaran la responsabilidad apropiada para la entrega de capacidades y la realización de los beneficios del negocio. Las prácticas de entrega de valor serán continuamente monitoreadas, evaluadas y mejoradas. Los principios son aplicados en cada uno de los procesos de VAL IT, los cuales están divididos en tres dominios: Valor del gobierno: Optimización del valor de las inversiones en TI. Para esto se debe establecer un marco de buen gobierno, monitoreo y control, dirección estratégica para las inversiones, y definir las características de la cartera de inversiones. Procesos: Administración del portafolio: Asegurar que la cartera global de inversiones en TI este alineada con los objetivos estratégicos de la organización y contribuyen al valor óptimo de los mismos. Este dominio incluye el establecimiento y gestión de perfiles de recursos, definición de umbrales para la inversión, evaluación, priorización y selección, aplazamiento o rechazo de nuevas inversiones, gestión de la cartera global, y monitoreo e informes sobre el rendimiento de la cartera. Procesos: Asegurar un liderazgo informado y de confianza. Procesos implementados y definidos. Roles y responsabilidades definidas. Asegurar una contabilidad apropiada y aceptada. Requisitos de información definidos. Requisitos de información establecidos. Estructuras organizacionales establecidas. Dirección estratégica establecida. Categorías de inversión establecidas. Determinar la cartera de inversión objetivo. Definir los criterios de evaluación por categoría. Mantener un inventario de recursos humanos. Identificar los requisitos de los recursos. Ejecutar un análisis de la desviación. Desarrollar un plan de recursos. Monitorear la utilización de recursos y su utilización. Definir el umbral de inversión. Evaluar el caso de negocio. Evaluar y asignar puntuación relativa al programa del caso del negocio. Crear una visión global de la cartera de inversión. Realizar y comunicar la decisión de la inversión. Lanzar y subdividir programas seleccionados. Ejecución organizada de la cartera de inversión. Priorizar la cartera de inversión. Monitorear e informar la ejecución de la cartera de inversión. Administración de la inversión: Asegura que los programas individuales de inversión en TI entregan un valor optimo a un costo económico y con un nivel conocido y aceptable de riesgo, a través de la identificación de las necesidades del negocio, adquisición de un claro entendimiento de los programas de inversión, análisis de las alternativas, definición del programa y la documentación del caso de negocio, asignación clara de responsabilidades y propiedad, gestión del programa durante su ciclo de vida económica, y monitoreo e informes sobre el rendimiento del programa. Procesos: www.auditool.org 37 Desarrollar una definición de alto nivel sobre la oportunidad de la inversión. Desarrollar un caso de negocio inicial. Desarrollar una clara comprensión de los programas candidatos. Ejecutar un análisis de alternativas. Desarrollar un plan de programa. Desarrollar un plan de realización de beneficios. Identificar el ciclo de vida de los costos y beneficios. Desarrollar un programa detallado del caso de negocio. Asignar contabilidad detallada y responsable. Iniciar, planificar y lanzar el programa. Gestionar el programa. Gestionar y seguir los beneficios. Modificar el caso de negocio. Monitorear e informar sobre la ejecución del programa. Retirar el programa. En el proceso de gestión de inversiones existen tres componentes importantes para la creación de valor de negocio, el caso de negocio, la administración del programa, y la realización de los beneficios. El caso de negocio se define básicamente por las expectativas de los hechos futuros, es decir son un conjunto de opiniones y suposiciones sobre cómo se puede crear valor, que se sustentan bajo indicadores cualitativos y cuantitativos que certifican el caso de negocio y así mismo crean ideas interesantes para inversiones futuras; además es esencial para la selección correcta de los programas y la administración de las inversiones, durante su ejecución. Val IT provee de guías y documentos que pueden mejorar la calidad de los casos de negocios, profundizan en la definición de indicadores claves tanto financieros como no financieros, de igual manera que en la evaluación y valoración general del riesgo de pérdidas. Esta herramienta operativa es importante que se actualice constantemente para que refleje la realidad actual de la entidad y de soporte al proceso de gestión de cartera. El caso de negocio consiste en los principales recursos de entrada y tres flujos de actividades que conducen a la entrega de capacidades técnicas, operativas y de negocio. Estos flujos de actividades deben ser documentados para soportar las decisiones de inversión y los procesos de administración del portafolio, y sustentan que primero que todo, los recursos son necesarios para desarrollar tecnología y servicio de TI, que da soporte a una capacidad operacional, que a su vez genera una capacidad de negocio, creando valor para todos los socios. El ciclo de vida de un sistema o proceso implica cuatro etapas durante las cuales se pueden detectar los flujos dinámicos, estas etapas se caracterizan básicamente por su elaboración, implementación, operación y retiro. También es importante que durante todo el ciclo de vida económico de una inversión se tenga bajo un riguroso monitoreo y control inmediato de la entrega de las capacidades necesarias y los resultados esperados, una vez aprobada la inversión. Los flujos de actividad se conforman por varios componentes que prestan ayudan necesaria para la evaluación del caso de negocio completo y a su vez están creando los fundamentos para construir un modelo analítico, que tiene como beneficios demostrar visiblemente la necesidad y valor de la infraestructura habilitadora. El desarrollo del caso de negocio se lleva a cabo en ocho pasos: Elaboración de una hoja de datos: Comprende todos los datos requeridos para realizar el análisis de la alineación estratégica, además de los beneficios financieros y no financieros, y los riesgos del programa. En la realización de la hoja de datos se vinculas tres momentos importantes, actividades de recogida, validación y entrada de datos. Durante este proceso cada hoja debe llevar las diferentes etapas en las cuales se registra la respectiva información, estas son la elaboración, implementación, operación y retiro, estas etapas a su vez se dividen en dos, caso mejor y caso peor que se registraran según corresponda de acuerdo al análisis. Análisis de alineación: Creación de un método para garantizar la utilización efectiva y eficiente de los recursos escasos. Para este contexto se habla de dos tipos de alineación importantes en las inversiones de negocio posibilitadas por tecnología de información. En el primer tipo de alineación se busca dar soporte a los objetivos de negocio estratégicos, asegurando la www.auditool.org 38 optimización de las inversiones relacionadas con la tecnología de información. El segundo ejemplo de alienación busca asegurar la alineación de las inversiones vinculadas con tecnología de información con la arquitectura de empresa deseada. Análisis de beneficios financieros: Consecución de proyectos que valen más para el promotor del negocio de lo que cuestan, de modo que la manera como un promotor de negocio debe evaluar una propuesta de inversión por tecnología de información se asemeja a una decisión inversora de carácter individual. Luego de que se establecen los gastos y beneficios financieros precisados en la hoja de datos del caso de negocio se comprenden en un estado de tesorería para deducir el valor financiero. Por otra parte los resultados finales en los estados financieros se comprenden en ratios para definir de la inversión su valor desde una mirada específicamente financiera. Análisis de beneficios no financieros: Las entidades u organizaciones deben tener conocimiento claro de la naturaleza de valor para la entidad y de la misma manera claridad en la forma en la que se crea valor, es decir evidenciar como estos beneficios aportan a la creación de valor. Si en dado caso no se registra ningún aporte claro a los resultados financieros, se puede fundamentar la toma de decisiones en el nivel de alineación estratégica y el grado de importancia a dicho criterio, por lo tanto cuando se elige un programa con beneficios no financieros, el modelo de análisis incluso facilita la identificación de indicadores que pueden estar sujetos a un seguimiento que permite mejorar el control con relación a la realización de beneficios. Análisis del riesgo: Proceso de análisis y evaluación de los riesgos determinados con relación a los procesos y objetivos del programa, es importante hacer un análisis cualitativo y luego un análisis cuantitativo, si es requerido; esto permite reconocer los niveles de riesgo aceptables para el programa, así como determinar el momento en que se sobrepasan los niveles de riesgo pactados. Es necesario nombrar a una persona con un alto grado de responsabilidad, autoridad y recursos para gestionar el riesgo, de la misma manera que se bebe documentar cualquier riesgo establecido con un impacto importante. Las maneras de cómo se deben resolver la eliminación, mitigación, traslado, compartir o el aceptar los riesgos, así como los planes de aprovechamiento de oportunidades, deben estar basados en tecnologías conocidas o datos que provienen de hechos pasados. Es necesario para el momento en que se propone solución para un riesgo identificado, comprobar que no existe ningún efecto indeseable, ni riesgo actual introducido desde su implementación. Evaluación y optimización del riesgo: El promotor del negocio a nivel del programa individual debe definir si el caso de negocio es bastante sólido para su valoración a nivel de cartera, para luego confrontar el valor relativo del programa con los programas activos y candidatos. Es importante llegar a un valor normalizado, o a un conjunto de puntuaciones normalizadas de alineación global, de beneficios financieros, no financieros y de riesgo para los casos de negocio individuales para la facilitar el proceso. Documentación del caso de negocio: Constitución de guías que evidencien la relevancia e importancia de los componentes del caso de negocio para los diferentes grados de inversión y para las diferentes etapas dentro del ciclo de vida económico. Dentro de este proceso de documentación se detalla una estructura general y los contenidos de un caso de negocio que parten de una portada la cual contiene el nombre del programa, promotor del negocio, director del programa, notas de revisión, firmas de validación y por último la firma de visto bueno. Luego se presenta el resumen ejecutivo el cual define el contexto del programa, sinopsis de la evaluación del caso de negocio y el resumen de valor comparativo. Revisión del caso de negocio durante la ejecución del programa: Revisión constante del caso de negocio, verificando la actualización continua durante todo el ciclo de vida económico de una inversión y utilizada para dar fundamento a la implementación y ejecución de un programa que además incluye la realización de beneficios. Para complementar este proceso de actualización es importante realizarlo cuando cambian los costos o beneficios proyectados del programa. Cuando cambian los riesgos, o como preparación para los revisiones de etapa. Por medio de un proceso www.auditool.org 39 reiterativo de identificación o reconocimiento, evaluación y manejo de riesgo deben ser monitoreados y controlados durante todo el ciclo de vida económico del programa específicamente en relación a los riesgos. Es necesario gestionar el programa, debido a que siempre hay riesgos, además de solicitar al personal que anticipe e identifique los riesgos para después comunicarlos a la organización del programa. También es importante que se gestione el programa de manera activa, como parte integral de la entidad, posibilitando así un mayor ritmo de cancelaciones. De esta manera se concluyen los ocho pasos para el desarrollo del caso de negocio. La administración del programa gobierna todos los procesos que soportan la ejecución de los programas. Todos los cambios y capacidades necesarias para habilitarlos, deben ser entendidos, definidos, monitoreados y administrados como un programa integral de cambios en el negocio, donde la tecnología es parte pero no la totalidad. Es importante mantener un enfoque en los resultados del negocio esperados, el alcance de las iniciativas necesarias para el logro de los resultados, la relación entre las iniciativas y como estas contribuyen a los resultados, y cualquier suposición planteada. La realización de los beneficios comprende todas las actividades necesarias para una administración activa de la realización de los beneficios del programa. Val IT distingue dos tipos de beneficios, beneficios del negocio que contribuyen directamente a la creación de valor; y los beneficios intermedios que benefician a las partes interesadas. BMIS, Business Model for Information Security COBIT 5 toma como base el modelo relacional que utiliza BMIS, Business Model for Information Security, Modelo de Negocios para la Seguridad de la Información, el cual comprende los aspectos importantes en relación a la Gestión de la seguridad de la información en una empresa. En los procesos, Administrar la Seguridad, administrar los servicios de seguridad, y los tres de la dimensión de Monitorear, evaluar y valorar; han sido incorporados varios de los componentes de BMIS, para respaldar la gestión en la empresa para alcanzar los objetivos del negocio y crear valor. El objetivo de BMIS es proveer de seguridad a los activos de información de la empresa para el logro de los objetivos del negocio a un nivel aceptable de riesgo. La seguridad es considerada un proceso de mejoramiento de calidad en una organización, con el objetivo de un mejoramiento continuo del trabajo de la organización; además se ha convertido en una parte esencial del negocio, incluso el éxito de la empresa está relacionado con su habilidad para administrar apropiadamente los riesgos. Este modelo se visualiza como una pirámide, manteniendo un balance entre sus 4 componentes, y establece seis interconexiones dinámicas. Los componentes son: Organización: Estructura de la empresa y como esta afecta al personal, procesos y tecnologías, dando lugar a riesgos adicionales, oportunidades y áreas de mejora. Organización formal Organización informal Organización Personas Tecnologia Procesos Personas: Recursos humanos de la organización. Tecnología: Aplicaciones técnicas del conocimiento utilizado en la organización. Procesos: Creados para que las organizaciones logren su estrategia en el BMIS. Contienen una serie de actividades estructuradas para lograr los resultados esperados, y son evaluado para determinar si están bien definidos, gestionados, medible y optimizado. www.auditool.org 40 Interconexiones: Gobierno Cultura Arquitectura Habilitación y soporte Factores humanos Emergentes GLOSARIO Apetito: Monto general de riesgo que una empresa u otra entidad está dispuesta a aceptar en la búsqueda de su misión o visión. Diccionarios de Datos: Es un conjunto de metadatos, es decir datos que describen información sobre otros datos, y contienen características lógicas y puntuales de los datos que se van a utilizar en el sistema que se programa. (Nombre, descripción, alias, contenido y organización) Herramientas CASE: Herramientas asistidas por computador. Son aplicaciones informáticas con fines de mejorar la productividad en el desarrollo de software, mejora en términos de tiempo y dinero. Estas herramientas ayudan en todo el ciclo de existencia del software en tareas como cálculos de costos, documentación o detención de errores, etc. Lenguajes de Cuarta Generación Independientes: Se definen como entornos de desarrollo de aplicaciones formados por herramientas como compiladores, editores, sistemas de acceso a bases de datos, etc. Los lenguajes de cuarta generación son entornos de desarrollo de aplicaciones constituidos por herramientas, tales como compiladores, editores, sistemas de acceso a bases de datos, etc. Por lo general, estas herramientas funcionan sobre sistemas gestores de bases de datos específicos, aunque cabe resaltar, que las capacidades otorgadas por las herramientas 4GL son mucho mejores que las facilidades que nos ofrecen los SGBD, con lo que podemos desarrollar potentes y eficientes entornos de desarrollo de aplicaciones. Monitor de Transacciones: Es un sistema encargado de recolectar, almacenar, modificar y recuperar toda la información generada por las transacciones originadas en una entidad. Es considerado un elemento de suma importancia en la confidencialidad y el rendimiento ya que la base de este programa se caracteriza por gestionar los datos de forma que estos deben ser siempre consistentes o coherentes con la información que se aborda. Paquetes de Seguridad: son software que se encargan de velar por la seguridad de la información de las bases de datos, el control de los accesos, la definición de privilegios, perfiles de usuarios, etc. es importante que estos paquetes de seguridad estén bien integrados con los SGBD para que los usuarios no puedan violar los controles a través del SGBD. Protocolos y Sistemas Distribuidos: El uso de sistemas distribuidos conllevan altos riegos para ser violados, debido a que a través de los sistemas de redes pueden acceder a l información de las bases de datos y romper con todos los dispositivos de seguridad y confidencialidad. Por tal motivo se presentan cinco objetivos de control para revisar la distribución de datos. Sistema de Gestión de Base de Datos (SGBD): Es una herramienta que agrupa una serie de programas que facilitan la definición, construcción y manipulación de una base de datos. El SGBD permite especificar los tipos de datos, estructuras, restricciones, actualizaciones y consulta de las distintas bases de datos, además de conocer los diferentes procesos para almacenar los datos sobre algún medio de almacenamiento. Los sistemas de Gestión de Base de Datos Permiten tener una abstracción de la información en distintos niveles, independencia, consistencia, seguridad y manejo de transacciones. Sistema de Monitorización y Ajuste (tuning): Es un sistema el cual complementa las funciones ofrecidas por el SGBD ya que ofrece mayor información y proporcionan la estructura óptima de la base de datos para ser analizada. Sistema Operativo (OS): Es el software básico de un computador que provee un interfaz entre el resto de programas del computador, los dispositivos hardware y el usuario, involucra procesos como control de memoria, gestión de áreas de almacenamiento intermedio, manejo de errores, control de confidencialidad, mecanismos de interbloqueo, etc. www.auditool.org 41 Software de auditoría: Son programas especializados en el procesamiento de datos en grandes cantidades generados por la contabilidad de una entidad, estos programas tienen como propósito identificar tendencias, anomalías, localización de errores, y posibles irregularidades en la comparación y análisis de los archivos bajo los criterios definidos por los usuarios. Tolerancia: Variación relativa al logro de un objetivo (normalmente es medida de mejor forma utilizando las mismas unidades que se utilizan para medir el objetivo relacionado) región intolerable – región tolerable o ALARP – región aceptable. VOCABULARIO CAATs Computer Assisted Audit Techniques COBIT Control Objectives for Information and Related Technology Committee of Sponsoring Organizations of the Treadway Commission COSO Técnicas de Auditoria Asistidas por computador Objetivos de Control para la información y Tecnología relacionada Comité de Organizaciones patrocinadoras de la Comisión Treadway ERM ISACA Enterprise Risk Management Information Systems Audit and Control Association Gestión del Riesgo Empresarial Asociación de Auditoria y Control de Sistemas de información ITGCs Information Technology General Controls Information Technology Governance Institute Controles Generales de Tecnología de información Instituto de Gobierno de Tecnología de Información Database Management System Information and communication technology Sistema de Gestión de Bases de Datos Tecnologías de la información y la comunicación ITGI DBMS/SGBD ICT/TICs www.auditool.org
