Gobernabilidad de la TI para la Gestión de Riesgos Tecnológicos: Un Enfoque Aplicado
1. Gobernabilidad de la TI para la
Gestión de Riesgos Tecnológicos
Un enfoque aplicado
Egdares Futch H., CISSP
Marzo de 2009
2. ¿Cuál es la percepción usual de un proyecto de
gobernabilidad de las Tecnologías de Información?
•Retador
•Complicado
•Largo
•Alcanzable?
Pág 2
3. Enfoque de la presentación
Infraestructura
CobIT ITIL
Gestión de los
Información Riesgos Personas
Tecnológicos
ISO 27000 PMBOK
Aplicativos
Pág 3
4. Principios del modelo CobIT de gobernabilidad de
las TI
REQUERIMIENTOS
DE INFORMACIÓN
DEL NEGOCIO
PROCESOS
DE TI
RECURSOS
DE TI
Pág 4
5. ¿Qué le da un modelo de
gobernabilidad al Negocio?
CobiT combina los principios contenidos por modelos
existentes y conocidos, como COSO, SAC y SAS
Calidad
Requerimientosde
Calidad Costo
Oportunidad
Efectividad y eficiencia operacional
Requerimientos
Financieros (COSO) Confiabilidad de los reportes financieros
Cumplimiento de leyes y regulaciones
Confidencialidad
Requerimientosde
Integridad
Seguridad
Disponibilidad
Pág 5
7. Estructura del modelo CobIT
Cubo de CobiT
Relación entre los
componentes
Dominios
Procesos TI
Procesos
Actividades
Pág 7
8. Cómo se integra con COSO ?
R
I
E
S
G
O
T
E
C
N
O
L
Ó
G
I
C
O
Pág 8
9. Otros modelos de gobernabilidad de TI
ISO
17799/27000
La Informaciónes un activo, que al
igualqueotrosactivosimportantes de la
organización, tiene un valorpara la
mismaycomotal,necesitaser
protegidade forma adecuada
Pág 9
10. Otros modelos de gobernabilidad de TI
ITIL consiste de 3áreas de gestión:
Entrega de servicios de TI
Soporte de servicios de TI
Administrar la infraestructura de TI
Estos modelos proveen guías sobre la administración del
personal, procesos y servicios de TI.
Cada uno de estos modelos se centra en habilitar
tecnologías y las mejores prácticas para lograr sistemas
con alta disponibilidad, confiabilidad, mantenimiento y
administración.
Pág 10
12. Alcance del proyecto
• El Proyecto integra las Mejores Prácticas generalmente aceptadas en
la industria para la gestión de las TI
• CobIT es la base del Proyecto y el que integra las otras Normativas o
Estándares Internacionales
• ISO-17799 es el componente del proyecto especializado en el tópico
de Seguridad de la Información
• Se reutiliza todo lo desarrollado hasta el momento con respecto a
prácticas, procesos y procedimientos, basándose en ITIL
• Este proyecto apoya integralmente el proceso COSO institucional
Pág 12
13. Etapas del proyecto
Seguimiento y
mejora
Plan de continua
implementación
Análisis de
brechas
Diagnóstico
Pág 13
14. Modelo de gestión del área deTI
Arquitectura ArquitecturaTecnológica
D a ta C e n tre
Arquitectura de L AN
MF
Sistemas del Aplicativa Min i MF
Negocio
H e a d O ffic e
S a le s O ffic e
Min i Mini PC
PC
LAN
PC
LAN
PC
PC PC
Seguridad
Atención al usuario
Modelo de Negocio
Organización de T.I.
Arquitectura de Procesos
Pág 14
15. Mapeo de la Estrategia Institucional en Iniciativas
Estratégicas de TI
Implantar y mantener líneas
de comunicación
eficientes, con alto nivel de
disponibilidad, que soporten
POBREZA INTEGRACIÓN GLOBALIZACIÓN
la mejora continua de los
Misión
Visión procesos y la oportuna
atención a los clientes del
OBJETIVOS ESTRATÉGICOS A LARGO PLAZO Banco.
Fortalecer y actualizar la
seguridad de los sistemas y
PRIORIDADES bases de datos
PRODUCTOS
Implantar y mantener una
INICIATIVAS tecnología de
ESTRATÉGICAS
punta, cuidando de mantener
una relación costo-beneficio
VENTAJAS positiva, salvaguardando la
COMPETITIVAS continuidad de los negocios
Finanzas y Cartera del Banco.
Recursos Humanos
AREAS
Crear la herramientas de
FUNCIONALES Tecnología Gestionar la
sistemas de información para
Procesos y Estructura gobernabilidad de las
diseñar y lanzar eficazmente
TICs por medio de
INICIATIVAS nuevos productos.
prácticas de clase
ESTRATÉGICAS
mundial
Implantar y mantener
Sistemas de Información (SI)
integrados, en línea y un SI
Gerencial dinámico y
confiable
Pág 15
16. Mapeo de las Iniciativas Estratégicas en un modelo
de Gobernabilidad de TI
Implantar y mantener líneas
Planificación Estratégica y de comunicación
Organización de Tecnología eficientes, con alto nivel de
identificando formas en que la TI disponibilidad, que soporten
puede contribuir de la mejor la mejora continua de los
CobIT
manera al logro de los objetivos procesos y la oportuna
institucionales atención a los clientes del
Banco.
Fortalecer y actualizar la
Adquisición e implementación de seguridad de los sistemas y
ITIL/ISO 17799/SOX/GLBA ITIL/ISO 17799/OFA
Tecnología dentro del proceso del bases de datos
negocio, así como los cambios y el
mantenimiento realizados a
Implantar y mantener una
Gestionar la sistemas existentes
tecnología de
gobernabilidad de las punta, cuidando de mantener
TICs por medio de una relación costo beneficio
positiva, salvaguardando la
prácticas de clase
Prestación de Servicios y continuidad de los negocios
mundial del Banco.
Soporte, que incluye desde las
operaciones tradicionales hasta el
entrenamiento, pasando por Crear las herramientas de
seguridad y aspectos de continuidad sistemas de información para
diseñar y lanzar eficazmente
nuevos productos.
Seguimiento y evaluación de Implantar y mantener
proyectos de TI para verificar su Sistemas de Información (SI)
calidad y suficiencia en cuanto a los integrados, en línea y un SI
CobIT
requerimientos Gerencial dinámico y
confiable
Pág 16
17. Modelo de procesos de la SGTI
Dominios de operación
Estrategia, Pl Gestión del Gestión del Gestión Gestión
Gestión de la Gestión Gestión
anificación, Desarrollo Mantenimien Gestión de Gestión de Seguridad
Infraestructu Mesa de
Alineamiento Nuevas to Datos Operaciones LAN WAN de la
ra Servicio
y Control Aplicaciones Aplicaciones Información
Mantenimiento de
Administración
Administración
Mantenimiento
Mantenimiento
Implantación y
Infraestuctura
Monitores de
Ejecución de
Computación
Contingencia
Centralizada
Software de
Solución de
Desarrollos
Desarrollos
Distribuida
Impresión
Problemas
Control de
Operación
Monitoreo
Definición
Procesos
Hardware
Equipos
Cambios
Sistema
Operación
Lógica
Física
BCIE
BCIE
3ros
3ros
LAN
de la Mesa
de Servicio
• El modelo de procesos de la SGTI está basado en el modelo
CobIT, el cual está sancionado dentro de COSO y Basilea II
como el framework apropiado para gestionar la gobernabilidad
de las Tecnologías de Información.
Pág 17
18. Modelo de procesos alineado a la
Gestión
Mesa de
estructura
Servicio
Subgerencia de Tecnología de Información (SGTI)
Gerente de
Gestión Estrategia, Pl
Gestión Operaciones
WAN anificación,
Mesa de Alineamiento
Servicio y Control
Subgerente de
Tecnología
Supervisor de Supervisor de
Gestión Seguridad en Seguridad y Calidad
Gestión Informática de Aplicaciones Gestión
LAN Seguridad Seguridad
de la de la
Técnico de Soporte a
Información Usuarios Información
(2)
SGTI
Estrategia, Pl
Gestión de Estrategia, Pl Gestión del
anificación,
Operaciones Alineamiento anificación, Desarrollo
Alineamiento Nuevas
y Control Coordinador de Coordinador de
Jefe de Aplicaciones
Tecnología
Vacante
Análisis de Procesos y Control Aplicaciones
Gestión de la Supervisor de Administrador de
Analista de Gestión del
Soporte Tecnológico Base de Datos
Analista de Procesos
Infraestructu Aplicaciones
(3) Mantenimien
ra to
Técnicos de
Aplicaciones
Técnico de Eventos Administrador de
y Hardware Informática Aplicaciones
(2) (3) (1)
Gestión de
eventos Analista
Programador
Gestión de
institucional (1)
Datos
es
TEC APLI Pág 18
20. Inventario de controles asociados a procesos
NOMBRE DEL CONTROL DESCRIPCION DEL CONTROL OBJETIVO DE CONTROL COBIT
DS12 Administración del Ambiente Físico
Las paredes del centro de cómputo son elevadas
Construcción del centro de cómputo DS12.1 Selección y diseño del centro de datos
hasta el plenum y hechas de material retardante.
El área de recibo de equipo de cómputo se efectúa
Area de recibo de equipo separada. DS12.2 Medidas de seguridad física
en el nivel 1 conjuntamente con SEG.
Todo préstamo de equipo se hace por medio de
Autorización de préstamo de equipo. una boleta que es autorizada por el Coordinador de DS12.2 Medidas de seguridad física
Tecnología.
Toda salidad de equipo para mantenimiento es
Autorización de salidad de equipo autorizada por el Subgerente de Tecnología o por el DS12.2 Medidas de seguridadfísica
Gerente de Operaciones.
Pág 20
21. Análisis de Cargas de Trabajo y Segregación de
Funciones
Tipo de Control
No Objetivos de Control Procedimiento (2007) Lin. Proc. SGTI CT Admon MSI Oficial MSI SSI SSCA DBA Analista APLI Tecnico Infor. Jefe APLI
DS9.1 Repositorio de Configuración y Línea de Base
X X X X
Administración de la
DS9.2 Identificación y Mantenimiento de Elementos de Configuración
Configuración
X X X X
DS9.3 Revisión de Integridad de la Configuración X X X
X
DS13.1 Procedimientos e Instrucciones de Operación X X X
X
DS13.2 Programación de Tareas X X X
X
DS13.3 Monitoreo de la Infraestructura de TI X X
X
DS13.4 Documentos Sensitivos y Dispositivos de Salida Administracion de las X X
X
Operaciones
DS13.5 Mantenimiento Preventivo del hardware
X
PO2.3 Esquema de Clasificación de Datos X X
X
PO2.4 Administración de la Integridad
X X
DS11.1 Requerimientos del Negocio para Administración de Datos
X
DS11.2 Acuerdos de Almacenamiento y Conservación X
X
DS11.3 Sistema de Administración de Librerías de Medios
X
DS11.4 Eliminación Administración de los Datos
X X X X X
DS11.5 Respaldo y Restauración X X X X X
X
DS11.6 Requerimientos de Seguridad para la Administración de Datos
X X X X
AI6.1 Estándares y Procedimientos para Cambios X
X
AI6.2 Evaluación de Impacto, Priorización y Autorización X X X X X X
X
Administracion de los
AI6.3 Cambios de Emergencia X X X X X X
Cambios X
AI6.4 Seguimiento y Reporte del Estatus de Cambio
X
AI6.5 Cierre y Documentación del Cambio X X X X X
X
Pág 21
22. Indicadores de la Gestión de TI (BSC)
Actividad Indicadores Peso relativo Asignación
de Recursos
Planificación Estratégica y Organización §Revisiónanual del Plan Estratégico de IT 10% 10%
de Tecnología identificando formas en §Creación del Plan Operativo Anual y Presupuesto de Inversión en
que la TI puede contribuir de la mejor Tecnología
manera al logro de los objetivos §Cumplimiento del Plan de Capacitación de Tecnología
institucionales
Adquisición e implementación de •% Ejecución presupuestaria 30% 40%
Tecnología dentro del proceso del •Actualización anual de Procesos de TI
negocio, así como los cambios y el -Equipos instalados
mantenimiento realizados a sistemas
-Licencias de software de base instaladas
existentes.
Prestación de Servicios y Soporte, que •% Cumplimiento de estándares de servicio a usuarios 40% 40%
incluye desde las operaciones •% Disponibilidad y desempeño de los sistemas centrales
tradicionales hasta el entrenamiento, •% Disponibilidad y desempeño de la red LAN y WAN
pasando por seguridad y aspectos de
•Evaluaciones trimestrales de seguridad informática en la red (virus,
continuidad
errores, vulnerabilidades)
Seguimiento y evaluación de proyectos de •Seguimiento y Ejecución del Plan Operativo Anual y Presupuesto de 20% 10%
TI para verificar su calidad y suficiencia Inversión en Tecnología
en cuanto a los requerimientos •Informes de instalación de proyectos
Pág 22
23. Indicadores de Gestión para la Evaluación del
Desempeño
Estándares
Técnicos
De servicio Estándares de Evaluaciones
Help Desk
(SERVICEDESK) Disponibilidad De seguridad
(NAGIOS) (Retina,ERA)
Supervisión y
Administración Coordinador
Help Desk Seguridad
Informática
Seguimiento y
Actualización
ejecución
Coordinador De procesos
POA/PPTO Administrador
Soporte De TI
Base de Datos
Tecnológico
Jefatura
IT
Pág 23
26. Conclusiones
• La implantación de un modelo de gobernabilidad comienza con un
diagnóstico (health check)
• Identificar brechas y debilidades
• Puede usarse ITIL para mejorar procesos (MOF?)
• Puede usarse ISO – 17799/ ISO 27000 para mejorar la seguridad
• Usamos CobIT para definir procesos y métricas
• Con estos modelos, construimos toda la infraestructura de
Gobernabilidad de la TI
Pág 26
27. Algunas recomendaciones (¿temas que se podrían
olvidar?)
• Establecer políticas de alto nivel para la gobernabilidad de la
TI
• Establecer procesos formales de autocontrol / autodiagnóstico
para el mantenimiento del sistema
• Establecer procesos de culturización hacia todo el personal
• Moverse hacia el aseguramiento de la Continuidad de los
Negocios
Pág 27