SUITE COBIT 5

Beneficios

13 de Agosto de 2014
Alfonso Mateluna CISA-CISM-CRISC-CISSP
Past President de ISACA CHILE
 SUITE COBIT 5:
un largo y fructífero camino…
 ¿Qué es ISACA y cómo apoya a la Comunidad?
• Creada en 1967
• Inicialmente era una organización
gremial de auditores de sistemas
– Presente en más 80 países,
con 200+ capítulos.
– Cuenta con más de 115.000
miembros en el mundo
• Creadores de las Certificaciones
CISA, CISM, CRISC y CGEIT
• IT Governance Institute
• COBIT, RiskIT, Val IT, ITAF, etc.
• Hoy ISACA está orientada al El capítulo local tiene mas de
Gobierno Corporativo, la seguridad 20 años y cuenta con 209
y gestión de riesgos en miembros
Tecnologías de Información.
Qué es ISACA y cómo aporta hoy

• Documentos de Primer
Nivel
 No olvidar
Principios Básicos de Gestión

• No se puede gestionar lo que no se comunica

• No se puede comunicar lo que no se mide
• No se puede medir lo que no se define
• No se puede definir lo que no se entiende
 Casos de la vida real
¿Se ha encontrado usted con lo siguiente?

- Para hacer pruebas se clona una base de datos y se le entrega a los desarrolladores, que
generalmente son de una empresa externa
- La velocidad de entrega de soluciones móviles es mayor que la penetración de otras tecnologías
- Los proyectos de TI se justifican en lenguaje técnico, cuesta entender y justificar sus beneficios
- La alta gerencia recibe métricas de TI que no logra entender en términos de negocio
- TI se mira como “caja negra”, no se logra determinar el valor estratégico que entrega
- Se desarrollan / compran sistemas de información , que no entregan los beneficios esperados
- Los contratos con las software factories se encarecen, pero la disponibilidad es baja
- Los contratos de servicios TI son administrados por personas que no saben de administración
- TI se entera a última hora de que habrá una fusión / cambios estructurales, o que la adopción de
estándares, normas y otros le traerá serios cambios radicales
- Todo se consolida en Excel
- Cada nuevo marco que se quiere implementar tiene su propia terminología
- Los usuarios entienden que quien debe proteger la información es TI, no ellos. “Los riesgos sólo
vienen de los hackers”
- Etc.
Aquí falta Gobierno de TI
Aterrizando
 Aterrizando
¿Cómo se armonizan los marcos?
 Recordando..
El Gobierno Corporativo es un proceso efectuado por el consejo de
administración de una entidad, su dirección y restante personal, aplicable a
la definición de estrategias en toda la empresa y diseñado para identificar
eventos potenciales que puedan afectar a la organización, gestionar sus
riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable
sobre el logro de los objetivos. (COSO)

El gobierno de TI es un subconjunto
del gobierno corporativo.

El Gobierno de TI es responsabilidad de ejecutivos y Juntas Directivas y

consiste en liderazgo, estructuras organizacionales y procesos que
aseguren que TI sostiene y extiende las estrategias de la organización y
sus objetivos. (Instituto de Gobierno de TI, ISACA)
El Gobierno de TI busca:

• Asegurar la sobrevivencia de las instituciones

• Fomentar la transparencia y la rendición de
cuentas
• Promover el ambiente ético y la cultura de control
• Fomentar la administración de riesgos
• Incrementar la credibilidad de las instituciones
• Promover el mejoramiento sistemático del
desempeño institucional
Dominios del Gobierno de TI:

• Alineación estratégica
• Entrega de Valor
• Administración del riesgo
• Administración de recursos
• Medición del desempeño
 COBIT – el marco de ISACA

⁻ COBIT es el marco de gobierno y gestión de las tecnologías de

información. Proporciona una serie de herramientas para que la
gerencia pueda conectar los objetivos de negocios y los
requerimientos de control, con los aspectos técnicos y los riesgos

⁻ COBIT permite el desarrollo de las políticas y buenas prácticas para el

control de las tecnologías en toda la organización, enfatizando el
cumplimiento regulatorio, la seguridad y auditabilidad, ayuda a las
organizaciones a incrementar su valor a través de las tecnologías.

⁻ SOX y otras leyes se basan o apoyan en él.

⁻ Información disponible en: www.isaca.org/cobit

 EVOLUCIÓN DE COBIT
De ser una herramienta de auditoría a un marco de gobierno de las TI

Gobierno de la TI en la Empresa
Evolución del alcance

Gobierno de TI

Val IT
Gestión 2.0
(2008)

Control
Risk IT
(2009)
Auditoría

COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT 5

1996 1998 2000 2005/7 2012

Source: COBIT® 5, Introduction PPT, slide 22 . © 2012 ISACA® All rights
reserved.
 COBIT HOY
- Compendio de mejores prácticas aceptadas internacionalmente
- Orientado al gerenciamiento de las tecnologías
- Complementado con herramientas y capacitación
- Es certificable tanto por empresas como por personas
- Respaldado por una comunidad de expertos
- En evolución permanente, PAM basado en ISO/IEC 15504
- Mantenido por una organización sin fines de lucro, con
reconocimiento internacional, al ser base para leyes, como SOX
- Mapeado con otros estándares
- Orientado a Procesos, sobre la base de Dominios de
Responsabilidad
 COBIT 5:
bienvenido a la familia…
 COBIT 5 – La nueva versión
• COBIT 5 es producto de la mejora estratégica de
ISACA impulsando la próxima generación de guías
sobre el Gobierno y la Administración de la
información y los Activos Tecnológicos de las
Organizaciones

• Construido sobre más de 15 años de aplicación

práctica, ISACA desarrolló COBIT 5 para cubrir las
necesidades de los interesados, y alinearse a las
actuales tendencias sobre técnicas de gobierno y
administración relacionadas con la TI
 Integra los anteriores marcos referenciales de ISACA

• Val IT es un marco de referencia de gobierno que incluye

principios rectores generalmente aceptados y procesos
de soporte relativos a la evaluación y selección de
inversiones de negocios de TI
• Risk IT es un marco de referencia normativo basado en
un conjunto de principios rectores para una gestión
efectiva de riesgos de TI.
• BMIS (Business Model for Information Security) una
aproximación holística y orientada al negocio para la
administración de la seguridad informática
• ITAF (IT Assurance Framework) un marco para el diseño,
la ejecución y reporte de auditorias de TI y de tareas de
evaluación de cumplimiento.

© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other
publication or product.
 y esto se ha implementado?..

• Casos de éxito: http://www.isaca.org/Knowledge-

Center/cobit/cobit-focus/Pages/COBIT-Focus-Volumen-1-enero-de-2014.aspx

• DuPont: Modelo de mejora continua

• Hdfc Bank; gestión de la seguridad
• Santander
• COMBANC
• Etc..

© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other
publication or product.
COBIT 5 Familia de Productos

Source: COBIT® 5, figure 1. © 2012 ISACA® All rights

reserved.
Modelo de Implementación
 COBIT 5 – El marco
• La publicación inicial, define y describe los
componentes que forman el Marco COBIT

– Principios
– Arquitectura
– Habilitadores
– Guía de implementación
– Otras publicaciones futuras de interés
 COBIT 5 – Sus principios
Marco Integrador
Conductores de valor
para los Interesados
Enfoque al Negocio y su
Contexto para toda la
organización
Fundamentado en
facilitadores
Estructurado de manera
separada para el
Gobierno y la Gestión

Source: COBIT® 5, figure 2. © 2012 ISACA® All rights

reserved.
 Objetivo de Gobierno

© 2012 ISACA. All rights reserved.

 Fundamentación de
Habilitadores
Cultura, Ética y
Comportamiento
Estructura
Organizacional
Información
Principios Políticas
Habilidades y
Competencias
Capacidad de brindar
Servicios
Procesos

Source: COBIT® 5, figure 12. © 2012 ISACA® All rights

reserved.

© 2012 ISACA. All rights reserved.

Procesos de Gobierno y Gerenciamiento
Procesos de Gobierno
Permite que las múltiples
partes interesadas tengan
una lectura organizada del
análisis de opciones,
identificación del norte a
seguir y la supervisión del
cumplimiento y avance de
los planes establecidos
Procesos de Gestión
Utilización prudente de
medios (recursos, personas,
procesos, practicas) para
lograr un fin específico
COBIT 5 Procesos Habilitadores
Beneficios al utilizar COBIT 5
Incremento de la creación de valor a través un gobierno y
gestión efectiva de la información y de los activos
tecnológicos. La función de TI se vuelve mas enfocada al
negocio
Incremento de la satisfacción del usuario con el
compromiso de TI y sus servicios prestados – TI es visto
como facilitador clave.
Incremento del nivel de cumplimiento con las leyes
regulaciones y políticas relevantes
Las personas que participan son mas proactivas en la
creación de valor a partir de la gestión de TI, caso de éxito,
DuPont con modelos de mejora continua
Entender el negocio y su gestión… back to basis..

Un caso práctico
Alineamiento con BSC
Caso vida real: Reguladores
• Un gran apoyo de COBIT es para formular objetivos de control, establecer y modelar
procesos, definir controles y pruebas sustantivas ante SSAE 16, norma que reemplaza al
SAS 70. Principio: Aunque los controles críticos puedan ser ejecutados por un tercer, no
se puede delegar la responsabilidad de la gerencia en garantizar la efectividad del
ambiente de control interno.
De lo general a lo particular.. BYOD!
¿Cuáles son las potencialidades de una tablet o un smatphone?
Macrovisión
Macrovisión
Visión de Vulnerabilidades, Amenazas y Riesgos
Visión de Vulnerabilidades, Amenazas y Riesgos

¿Es esto todo el ámbito de riesgo ante BYOD?

No.. Los medios sociales en el teléfono / Ipad / tablet del usuario

también son un riesgo.. En donde las políticas de filtro de la empresa
no pueden operar…

¿Y si el usuario se pone a contar todo lo que hace?.

¿Y si chatea?… ¿si pasa información confidencial?..
Visión de Vulnerabilidades, Amenazas y Riesgos
Cuáles son los principales ámbitos de riesgo?.

- Físico: ejemplo, robo y la pesadilla de que todos

mis datos, hasta bancarios, van allí..pérdida de
identidad - firma digital..
- Organizacional: Los permisos que tengo en las
aplicaciones de la empresa los heredo en mi celular..
- Reputacional
- Técnicos: capa 8..
Visión de Vulnerabilidades, Amenazas y Riesgos
Visión de Vulnerabilidades, Amenazas y Riesgos
¿Cuáles son los ámbitos de riesgo ante conectividad
no autorizada?.
Visión de Vulnerabilidades, Amenazas y Riesgos
Visión de Vulnerabilidades, Amenazas y Riesgos
Paralelo entre ciclos de vida entre dispositivos
de la empresa y BYOD
Visión de Vulnerabilidades, Amenazas y Riesgos
Escenario ante BYOD
Modelo de gestión de BYOD por ISACA
Marco de gestión de casos de negocios propuesto (extracto)
Gracias

alfonso_mateluna@yahoo.com