itgi cobit itil

Bogotá, Colombia

Julio 29 a Agosto 1 de 2009

GRC Symposium

id2911609 pdfMachine by Broadgun Software - a great PDF writer! - a great PDF creator! - http://www.pdfmachine.com http://www.broadgun.com

Fernando Ferrer Olivares, CISA, CISM, PMP, CCSA

COBIT Foundation Certificate, COBIT Trainer Accredited

Socio Fundador de FERROL International Group (IT Governance, Control, Security and Audit Services)

Universidad Católica de Colombia, Especialización Auditoría de Sistemas

fferreol@banrep.gov.co fferreol@ferrolig.com fferrer@ucatolica.edu.co 314-2950236

Nombre de la Presentación

Agenda

ITGI e ISACA

IT Governance

IT Risk

IT Management

IT Compliance

Otros Productos

Preguntas

ITGI e ISACA

ISACA

Sirviendo a los profesionales de Gobierno de TI

www.isaca.org

ISACA - Colombia

Sirviendo a los profesionales de Gobierno de TI colombianos y latinoamericanos

www.isaca-bogota.net

El IT GovernanceInstitute es una organización de investigación sin ánimo de lucro asociada con ISACA®

www.itgi.org

IT Governance Institute - ITGI

Suite de Productos del ITGI

Suite de Productos del ITGI

IT Governance IT Risk IT Compliance IT Management

IT Governance

El ITGI proporciona productos para las áreas de:

GOBIERNO DE TI

(Alineamiento, Valor Cumplimiento)

ADMINISTRACIÓN DE TI

(Efectividad y Eficiencia)

CONTROL DE TI

SEGURIDAD DE TI

RIESGOS DE TI

ASEGURAMIENTO DE TI

(AUDITORÍA)

Enterprise Governance of IT

Suite de Productos del ITGI

IT Governance

�IT governanceIT governance is the responsibility of the board of

directors and executive management. It is an integral part of

enterprise governance and consists of the leadership and

organisational structures and processes that ensure that the

organisation�s IT sustains and extends the organisation�s

strategies and objectives�

Board Briefing on IT Governance IT Governance Executive Summary Unlocking Value

Qué es Gobierno de TI?

Porqué es importante?

A quién le incumbe? Board of Directors & Executive Management Responsibility & Accountability

Qué cubre? Domains Focus Areas Outcomes

BSC

Business Case

Cómo lograrlo? Necesidad de un Plan de Acción Actividades principales y secuencia

Cómo compararse? Medición a través de Benchmarking - CMM

Material de referencia existente Treadway Commission, BIS and OECD Cadbury & Turnbull Report COBIT

Listas de Chequeo Permiten descubrir problemas en TI Mejores prácticas identificadas Proveen insumos para el plan de acción Para la Junta y la Alta Gerencia

Comités IT Strategic Committee, IT Steering Committee, Technology

Council, IT Architecture Review Board

IT Governance

IT Strategy Committee The CEO�s Guide to IT Value @ Risk

Establecimiento de Comités (Estatuto) Responsabilidades, Autoridad, Miembros, Reuniones Habilidades requeridas

IT Governance

IT Governance Global Status Report 2006 & 2008 An Executive View of IT Governance Top Business/Technology IIssues IT Governance Roundtables

Encuestas y Entrevistas

IT Governance

IT Governance

IT Alignment: Who is in charge? Understanding How Business Goals Drive IT Goals Identifying and Aligning Business Goals and IT Goals

Escenario Actual Importancia del Alineamiento Fomulación de Estrategias y la sociedad Negocio - TI

Roles Board, CEO, CIO Comités

IT Strategic, Steering and Investment Committees Casos de Estudio y Recomendaciones Proyecto Investigación Alineamiento

IT Governance

Optimising Value Creation from IT Investments

Importancia del Valor Portafolio, Programa y Proyectos de Inversión Categorías de Inversión Ciclo de Vida Total de las Inversiones

Definición & Realización de Beneficios Consideración del Riesgo

IT Governance

Enterprise Value Governance of IT Investments The VAL IT Framework

Principios, Dominios & Procesos Modelos de Madurez (Genéricos y x Atributos) x Dominio Prácticas Claves y Guías Gerenciales x Proceso RACIs x Cargo

IT Governance

Enterprise Value Governance of IT Investments The ING and the Policy Case Study The Business Case Getting Started with Value Mangement

Experiencias � Herramientas (Implementación � Autodiagnóstico) �Métodos

IT Governance

Information Risks: Whose Business Are They? The Risk IT Framework

Por qué es importante? Principales riesgos Framework para Risk

Management Roles & Responsabilidades Principios, Dominios, Procesos

& Actividades I/O, RACI, Objetivos &

Métricas, CMM

IT Governance & IT Risk

Governance of Outsourcing

Importancia del Outsourcing Governance Enfoques, Mejores prácticas y Tendencias Pasos genéricos

IT Governance

Measuring and Demostring the Value of IT

Cómo medir? Tipos de métricas El BSC Roles & responsabilidades

IT Governance

IT Governance Implementation Guide Using COBIT & VAL IT Building the Business Case for COBIT and VAL IT

Cómo implementar el Gobierno de TI? Roadmap - Herramientas

Autodiagnóstico

IT Governance

COBIT y su soporte a ISO 38500

ITGI Enables ISO/IEC 38500:2008 Adoption

Explicación de Principios y Tareas de la norma Relación de los documentos del IT Governance con la norma

NEW

IT Management

OBJETIVOS DEL NEGOCIO

OBJETIVOS DE GOBIERNO

Eficiencia

Aplicaciones

Información

Infraestructura

Personas

ENTREGAR

Y DAR

SOPORTE

MONITOREAR

Y

EVALUAR

ADQUIRIR

E

IMPLEMENTAR

INFORMACION

RECURSOS

DE

TI

MARCO DE TRABAJO

C O B I T

Efectividad

Confidencialidad

Integridad

DisponibilidadCumplimiento

PLANEAR

y

ORGANIZAR

Confiabilidad

DS1 Definir y administrar niveles de servicios

DS2 Administrar servicios de terceros

DS3 Administrar desempeño y capacidad

DS4 Garantizar la continuidad del servicio

DS5 Garantizar la seguridad de los sistemas

DS6 Identificar y asignar costosDS7 Educar y entrenar a los

usuariosDS8 Administrar la mesa de servicio

y los incidentesDS9 Administrar la configuraciónDS10 Administrar los problemasDS11 Administrar los datosDS12 Administrar el ambiente físicoDS13 Administrar las operaciones

ME1 Monitorear y evaluar el desempeño de TI

ME2 Monitorear y evaluar el control interno

ME3 Garantizar cumplimiento regulatorio

ME4 Proporcionar gobierno de TI

PO1 Definir el plan estratégico de TIPO2 Definir la arquitectura de la

informaciónPO3 Determinar la dirección tecnológicaPO4 Definir procesos, organización y

relaciones de TIPO5 Administrar la inversión en TIPO6 Comunicar la dirección y

melasaspiraciones y la dirección de la gerencia

PO7 Administrar recursos humanos de TI

PO8 Administrar calidadPO9 Evaluar y administrar riesgos de TIPO10 Administrar proyectos

AI1 Identificar soluciones automatizadas

AI2 Adquirir y mantener el software aplicativo

AI3 Adquirir y mantener la infraestructura tecnológica

AI4 Facilitar la operación y el usoAI5 Adquirir recursos de TIAI6 Administrar cambiosAI7 Instalar y acreditar soluciones y

cambios

IT Management

Marco de Trabajo de COBIT

Objetivos TI

Procesos TI

Objetivos

Control

Prácticas Control

Pruebas Diseño Controles

Actividades clave

Modelos de Madurez

Medidas de resultados

Indicadores de desempeño

Objetivos

Negocio

Requerimientos Información

Controlados por

Implementados

con

Audita

dos

por

Auditados por

Desglosados en

Med

idos

por

Para

dese

mpeño

Par

a re

sulta

dos

Para madurez

Diagramas RACI

Rea

lizad

os p

or

Pruebas Control Resultados

Derivadasde

Basados en

IT Management

Marco de Trabajo de COBIT

Objetivos de Control

Guías Gerenciales

Modelo de Madurez

Objetivos TI

Procesos TI

Objetivos

Control

Prácticas Control

Pruebas Diseño Controles

Actividades clave

Modelos de Madurez

Medidas de resultados

Indicadores de desempeño

Objetivos

Negocio

Requerimientos Información

Controlados por

Implementados

con

Audita

dos

por

Auditados por

Desglosados en

Med

idos

por

Para

dese

mpeño

Par

a re

sulta

dos

Para madurez

Diagramas RACI

Rea

lizad

os p

or

Pruebas Control Resultados

Derivadasde

Basados en

Marco de Trabajo de COBIT

COBIT para Prestación de Servicios

COBIT User Guide forService Managers

Prestación de Servicios Matrices RACI Soporte al Gobierno de TI y al Gobierno de Prestación de

Servicios Relación con ITIL Enfoque de Implementación � Plan de acción

NEW

COBIT para Pequeñas y Medianas Empresas

COBIT Quick Start

Objetivos de control mínimos para pequeñas y medianas empresas Herramientas de diagnóstico

COBIT para Seguridad

Information Security Governance Cobit Security Baseline An Introduction to the Business Model for Information Security Definying Information Security Mangement � Position

Requirements

44 pasos hacía la Seguridad Kits de Sobrevivencia Roles y Responsabilidades

IT Compliance

IT Control Objectives for Sarbanes-Oxley

Cómo satisfacer la Ley Sarbanes-Oxley Por dónde empezar?

IT Compliance

IT Compliance

NEW

IT Control Objectives for Sarbanes-Oxley

Cómo satisfacer la Ley Sarbanes-Oxley Por dónde empezar?

IT Compliance

Objetivos TI

Procesos TI

Objetivos

Control

Prácticas Control

Pruebas Diseño Controles

Actividades clave

Modelos de Madurez

Medidas de resultados

Indicadores de desempeño

Objetivos

Negocio

Requerimientos Información

Controlados por

Implementados

con

Audita

dos

por

Auditados por

Desglosados en

Med

idos

por

Para

dese

mpeño

Par

a re

sulta

dos

Para madurez

Diagramas RACI

Rea

lizad

os p

or

Pruebas Control Resultados

Derivadasde

Basados en

IT Compliance

Otros Productos

2003 - Integración de estándares

Consolidación

Armonización: integración mejorada con otras prácticas claves

Coexistencia

Creación de contenidos sin presiones comerciales

Mapeo de COBIT con otros Estándares

NEW

Mapeos en desarrollo TOGAF (Architecture)

GBPM

Mapeos en lista FFEIC (US banking)

NIAC (Insurance)

NIST SP800-53

FISMA

IAIS Framework (Solvency II)

HIPAA (Health Insurance)

GLBA (Privacy)

ISO19770-1 (SW Asset Mgmt)

ISO 27005 (Risk Mgmt)

Mapeo de COBIT con otros Estándares

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43Plan and Organize

Acqui reand

Ma intain

Deliver and Support

Mon

itor

and

Eva

luat

e

Procesos de COBIT 4.0 cubiertos porISO/IEC 17799:2005

Mapeo de COBIT con ISO 17799:2005

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize

Acquir e

andIm

plement

Deliver and Support

Mon

itor

and

Ev a

lua t

eMapeo de COBIT con ITIL

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize

Acquir e

andIm

plement

Deliver and Support

Mon

itor

and

Ev a

lua t

eMapeo de COBIT con ITIL

01. COBIT Foundation Course00. Concientización en TI

02. COBIT Advanced

02.01 COBIT - PO02.02 COBIT - AI

02.03 COBIT - DS02.04 COBIT - ME

03. COBIT Quick Start

04. COBIT for SOX

05. COBIT for Basilea II

06. COBIT Security Baseline

07. Control Objectives for Net Centric Technology

09. IT Governance

08. Implementing IT Governance using COBIT &

VAL IT

10. VAL IT

Preguntas ???

Fernando Ferrer Olivares, CISA, CISM, PMP, CCSA

COBIT Foundation Certificate, COBIT Trainer Accredited

Socio Fundador de FERROL International Group (IT Governance, Control, Security and Audit Services)

Universidad Católica de Colombia, Especialización Auditoría de Sistemas

fferreol@banrep.gov.co fferreol@ferrolig.com fferrer@ucatolica.edu.co 314-2950236