Nuevo Marco de Control de las TI Lucio

Nuevo Marco de Control de las TI Lucio Augusto Molina Focazzio Certified information Systems Auditor – CISA Certified Information Security Manager – CISM Certified in Risk and Control Systems - CRISC Cobi. T Trainer Certified ITIL ISACA / ITGI PAST PRESIDENT Punta Cana, República Dominicana, Agosto 5 de 2011 Propiedad Intelectual reservada para Lucio A, Molina Focazzio

Agenda Para qué los Controles Un nuevo marco de Control para las TI: Co. Bi. T TM Cobi. T un Marco de Gobierno de TI Conclusiones TM

Para qué los Controles Propiedad Intelectual reservada para Lucio A, Molina Focazzio

Cibercriminales Primera Generación Porqué lo hice? ? Para probar que podía Segunda Generación Show me de money FRAUDES FINANCIEROS

Cibercriminales Tercera Generación Cibercrime goes big time FRAUDES FINANCIEROS

Cibercriminales Cuarta Generación Do you want to buy an exploit kit? FRAUDES FINANCIEROS

Cibercriminales Generación actual How I can serve your malware today? FRAUDES FINANCIEROS

5 Principales Preocupaciones del Negocio que son impactadas por TI 1 Gobierno de TI y Gestión de TI basado en la Empresa 2 Cumplimiento Regulatorio 3 Gestión de la Seguridad de la Información 4 Recuperación de Desastres / Continuidad del Negocio 5 Mejoramiento continuo de procesos / Agilidad del Negocio Top Business / Technology Issues Survey Results, ISACA, 2008

1 2 3 4 5 6 7 7 Principales Preocupaciones del negocio Cumplimiento Regulatorio Gobierno de TI y Gestión de TI basado en la Empresa Gestión de la Seguridad de la Información Recuperación de Desastres / Continuidad del Negocio Retos de gestionar los riesgos de TI Gestión de Vulnerabilidades Mejoramiento continuo de procesos / Agilidad del Negocio Top Business / Technology Issues Survey Results, ISACA, 2008

QUÉ DEBE SER PROTEGIDO? n Sus Datos Confidencialidad – Quiénes deben conocer qué Integridad – Quiénes deben cambiar qué Disponibilidad - Habilidad para utilizar sus sistemas n Sus Recursos u Su organización y sus sistemas

QUÉ DEBE SER PROTEGIDO? n Su Reputación u u Revelación de información confidencial Realización de fraudes informáticos No poder superar un desastre Utilización de software ilegal

Desafíos n Garantizar n Supervivencia de la Organización Confianza de: n Ciudadanos n Entidades gubernamentales Clientes n Prevenir y detectar riesgos informáticos

Agenda Para qué los Controles Un nuevo marco de Control para las TI: Co. Bi. T TM Cobi. T un Marco de Gobierno de TI Conclusiones TM

Un nuevo marco de Control de las TI: COBIT Propiedad Intelectual reservada para Lucio A, Molina Focazzio TM

Cobi. T … TM su definición C Control OB Objectives I for Information T and Related Technology TM IT Governance Institute ISACA

TM Co. Bi. T y el cumplimiento de leyes y regulaciones Control Internal Control Interno COSO Cobi. T

TM Co. Bi. T y el cumplimiento de leyes y regulaciones Regulaciones Internal Control Financieras COSO Cobi. T TM

Co. Bi. T y el cumplimiento de leyes y regulaciones TM Ley Sarbanes Internal Oxley Control COSO Cobi. T

PROCESOS DE NEGOCIO OBJETIVOS DEL GOBIERNO INFORMACION Eficiencia Efectividad Confidencialidad Disponibilidad Integridad Cumplimiento Confiabilidad TM REQUERIMIENTOS DEL NEGOCIO Cobi. T RECURSOS DE TI Datos Sistemas de aplicación Infraestructura personas ME MONITOREAR Y EVALUAR PO DS AI ENTREGAR Y DAR SOPORTE ADQUIRIR E IMPLEMENTAR PLANEAR Y ORGANIZAR

Modelo del Marco de Trabajo de TM Co. Bi. T Objetivos Negocio Requerimientos Información Objetivos TI Procesos TI or sp ido M ed r po do s ño pe m se de di ta Au n co Para resultados os tad en Pa ra em pl Im ez ur ad Medidas de resultados m Realizados por or sp do Control ra Indicadores de desempeño Objetivos Derivadas de Pa Diagramas RACI Pruebas Resultado del Control ola r dos po Actividades clave ntr n Co Audita sados e Desglo Modelos de Madurez Pruebas Diseño Controles Basados en Prácticas Control

Características de un Framework de Control n Enfocado al Negocio n Orientado a Procesos n Globalmente Aceptado n Induce al uso de un Lenguaje Común n Promueve el cumplimiento de requerimientos Regulatorios 21

COBIT y las mejores Prácticas COSO COBIT RISK IT ISO 38500 VAL IT ISO 2700 X Qué ITIL Cobertura PMBOK I S O 9000 … Cómo

Agenda Para qué los Controles Un nuevo marco de Control para las TI: Co. Bi. T TM Cobi. T un Marco de Gobierno de TI Conclusiones TM

COBIT TM Un Marco de Gobierno de TI Propiedad Intelectual reservada para Lucio A, Molina Focazzio

Internal Gobierno Control Corporativo Gobierno COSO de TI Cobi. T

El Gobierno de TI se define como DE VAL LI UE VE RY E CE MAN NT M N T E FOR E F R PER SUREM PE S R MEA ME www. itgi. org RESOURCE MANAGEMENT MAN RISK AGE MEN T IC EG NT AT E TR GNM S I AL El Gobierno de TI es: • Responsabilidad del Board de Directores y de los directivos • Parte integral del Gobierno Corporativo, que consiste en el liderazgo, estructuras organizacionales y procesos que aseguran que el TI de la empresa soportará y complementará las estrategias y objetivos de la empresa

IC EG NT T E RA NM ST IG AL DE VAL LI UE VE RY CE C MAN N M N E FOR E ENT E F PER SUREM S MEA ME www. itgi. org MAN RISK AGE MEN T Alinearse con el negocio y proveer soluciones colaborativas La necesidad del Gobierno de TI Ejecutar la propuesta de valor a través del ciclo de entrega Proteger los activos, evaluar y gestionar riesgos y cumplir las leyes, regulaciones y contratos RESOURCE MANAGEMENT Monitorear los resultados para aplicar acciones correctivas Optimizar el desarrollo y uso de los recursos disponibles

Agenda Para qué los Controles Un nuevo marco de Control para las TI: Co. Bi. T TM Cobi. T un Marco de Gobierno de TI Conclusiones TM

Conclusiones n n n La información es uno de los principales activos de la Organización. Los riesgos informáticos crecen en la medida que aparecen nuevas tecnologías Es fundamental implementar adecuados controle en el ambiente de TI para gestionar riesgos. Co. Bi. T es un marco de control que ayuda a cumplir con regulaciones y normas Co. Bi. T es un marco de control para TI Co. Bi. T es la vía para la implementación del Gobierno de TI

PREGUNTAS?

Lucio Augusto Molina Focazzio, CISM, CRISC, CISA, ITIL Cobi. T Trainer lucio_molina@etb. net. co Bogotá, Colombia