2013

CASO PRACTICO-TIBO

DESARROLLO DE CASO TIBO DOMINIO DE COBIT: PLANEACIN Y ORGANIZACIN OBJETIVO: PO1 Objetivos de Control:

a.-Tecnologa de Informacin como parte del Plan a largo y corto plazo b.- Cambios al Plan a largo plazo de Tecnologa de Informacin c.- Planeacin a corto plazo para la Funcin de Servicios de Informacin d.- Evaluacin de los sistemas existentes

Auditoria de los Objetivos de Control:

Obteniendo informacin de los siguientes trabajadores: Areas: CEO: John Mitchell Asistente del CEO: PymsForsythe Director IT: Steven de Haes SVP BP (V Presidente Senior de Banca Personal): Wim V. Grembergen COO (Chief Operating Officer): Erik Guldentops Colaborador de Soporte de Usuarios de IT: Joshua Dean

Superior de de Soporte de Usuarios de IT: Ed ODonnell Desarrollo: Catherine Administrador de Seguridad: Ida Doano Acerca de: -Polticas y procedimientos inherentes al proceso de planeacin. -Tareas y responsabilidades de planeacin de la Presidencia. -Antecedentes de problemas de seguridad. -Stakeholders -Plataformas TI de TIBO -Tecnologas de TIBO -Polticas de Seguridad -Estrategias de TI Evaluar los controles:

-Su ncleo de competencias comerciales incluye banca minorista cuentas de ahorros, cuentas corrientes, prstamos, tarjetas de crdito y banca personal as como la realizacin de servicios de canje y compensacin con otros bancos de la regin. Una de sus fortalezas ha sido la atencin personal a sus clientes por parte de los administradores de cuentas de banca personal. -Est reduciendo su red fsica de agencias, downsizing, al mismo tiempo que emprende agresivamente negocios de banca electrnica. -Est comenzando a adquirir servicios externos de TI (tercerizados o jointventures) -Ha pasado por varias fusiones y como resultado de ellas tiene un entorno complejo de servicios compartidos de TI difciles de integrar. -Est orientada a procesos con una cultura emergente de inclusin de stakeholders pero sin estrategia formal y con tendencia a cambiar de prioridades despus de largos debates entre stakeholdres.

-Compite en un mercado que ha sufrido muchos cambios, incluyendo la presencia de sociedades de construccin (ahorros y prstamos) y bancos internacionales. Nuevos productos de la competencia con tasas ms altas de inters atraen a los clientes. -Adicionalmente cada vez son ms ubicuos los servicios financieros electrnicos con acceso 24/7. -Posee clientela y ganancias estables y adquisiciones en crecimiento, hasta ahora; pero los efectos del aumento de la competencia se sienten de manera ms fuerte. Hay preocupacin sobre la prdida de cuota de mercado y mrgenes reducidos de ganancias. -Es consciente de que las entidades reguladoras estn preocupadas sobre sus riesgos sistmicos debido a que TIBO proporciona servicios de pago y canje a otras instituciones bancarias.

Evaluar la suficiencia:

-La autenticacin basada en token es apoyada por polticas de seguridad de cumplimiento obligatorio. -Poltica referente a las prioridades principales en su lista son la administracin de las relaciones con los clientes y el proyecto CRM. -El director de TI y su equipo de administracin apoya completamente a los controles estrictos de TI. -Profesionales altamente calificados con un fuerte enfoque en la calidad; han diseado y establecido estrictos controles de proyectos y medidas de desempeo. Sin embargo, las ltimas son demasiado detalladas y solo se usan en el nivel local. -Los firewalls son instaladas y administrados por el proveedor de IT_Net, como un servicio administrado. -TI ha reforzado servidores, firewalls, encriptacin estricta y un VPN. -Profesionales altamente calificados con un fuerte enfoque en la calidad; han diseado y establecido estrictos controles de proyectos y medidas de desempeo. Sin embargo, las ltimas son demasiado detalladas y solo se usan en el nivel local. -El equipo de TI estn preocupados por los cambios rpidos, especialmente por la tercerizacin de servicios y por los proyectos promovidos por el negocio que no siempre son exitosos comercialmente y quitan recursos para inversiones de TI necesarias, tal como una nueva red de TI para aumentar la conectividad y estandarizar soluciones.

-Los operadores de TIBO Estn convirtindose en conocedores de las TI y un poco celosos de que TI obtenga supresupuesto y ellos tengan que downsize y TI no.

Evaluar el riesgo de los objetivos de control no cumplidos:

Identificacin de los Riesgos El tiempo de respuesta es insatisfactorio Disponibilidad del sistema Transacciones no procesadas o procesadas de manera errnea. Identificacin de las amenazas Nmero creciente de consultas y quejas. Reporte de quejas mensualmente. Facturaciones adicionales por el incremento en la carga de trabajo del escritorio de ayuda. Relacin entre recursos/amenazas/riesgos A medida que fue aumentando la cantidad de usuarios la calidad del servicio se fue deteriorando. Con lo cual se encontr problemas en los accesos a las cuentas bancarias por los usuarios, las filtraciones de datos por la falta de seguridad en los servidores de la empresa por parte de agentes externos, la falta de implementacin de polticas de seguridad. Anlisis de cobertura de los controles requeridos Los controles sugeridos proveen una opcin de implementar un gerente de seguridad para que sea responsable de la asignacin y administracin de privilegios, adems de verificar el acceso de usuarios (clientes), de los funcionarios (quienes manejan los sistemas) y probablemente de agentes externos al proceso de la empresa (tales como hackers, crackers, ex-empleados)