How to use Redis with MuleSoft. A quick start presentation.
Latin CACS 2009 Carlos Chalico
1. www.isaca.org
Pag.1
Sesión # 311
Midiendo la Madurez del Control
Interno de TI en las Organizaciones
Carlos Chalico, LI, CISA, CISM, CGEIT, CISSP
Socio de Ernst & Young en la práctica de Asesoría para
México y Centroamérica
2009
Costa
Rica
2. www.isaca.org
Pag.2
Agenda
• Objetivo
• Disección rápida de COBIT
• ¿Cómo medir la efectividad del control interno en TI?
• ¿Cómo saber dónde está su organización?
• ¿Cómo saber a dónde necesita llevarla?
• El modelo de madurez de COBIT
• Midiendo la madurez de su organización con COBIT
• Estableciendo los pasos para llevar a su organización a donde lo
requiere
• Caso práctico
• Conclusiones
3. www.isaca.org
Pag.3
Objetivo
• Comprender los marcos referenciales de
control interno en TI.
• Conocer técnicas y recomendaciones para
medir la efectividad del control interno en
su organización.
• Conocer técnicas y recomendaciones para
estimar el nivel de madurez del control
interno de TI basado en COBIT.
4. www.isaca.org
Pag.4
Disección Rápida de COBIT
• ¿Qué es control interno?
• ¿Cómo beneficia a las áreas de TI?
• ¿Qué es el Gobierno de TI?
• ¿Qué relación tiene con los modelos de
Gobierno Corporativo?
• ¿Genera valor?
• ¿Cómo se mide?
8. www.isaca.org
Pag.8
¿Cómo medir la efectividad del control
interno de TI?
1
Entender la estrategia
de la organización
Identificar los procesos
críticos que las
soportan
Identificar riesgos,
amenazas y
vulnerabilidades en los
componentes de TI
Evaluar y categorizar los
riesgos de TI
Evaluar la efectividad de
los controles para
administrar los riesgos de
TI
Establecer planes de
acción y monitorear
2
3
4
7
6
5
Identificar los
componentes de TI que
sustentan la operación
de los procesos críticos
Fuente: Ernst & Young
9. www.isaca.org
Pag.9
¿Cómo medir la efectividad del control
interno de TI?
1 Entender la Estrategia de la Organización
Cobertura de Riesgos y Seguridad VigilanciaEnfoque
ENFOQUE COORDINADO PARA RIESGOS
CONFIDENCIALIDAD
INTEGRIDAD
DISPONIBILIDAD
Estrategias del
Negocio
Gobierno, Políticas y
Estándares
Programa de Cumplimiento de Seguridad, Monitoreo y
Reporteo
Arquitectura Técnica de Seguridad
Procesos y
Prácticas de la
Operación
Especificaciones
Técnicas
Perfil de Activos
Gente y
Administración
Organizacional
COBIT
ITIL
ISO
17799
Marcos de
Referencia
Alta
Dirección
Consejo
Comité de
Auditoría
Comité de
Riesgos
SOX
Regulaciones
Locales
Regulaciones
Lograr los
Objetivos del
Negocio
Evaluar
Monitorear
Mejorar
Fuente: Ernst & Young
10. www.isaca.org
Pag.10
¿Cómo medir la efectividad del control
interno de TI?
2 Identificar los Procesos Críticos
Objetivo 1 Objetivo 2 Objetivo 3
Proceso 1 ✓ ✓ ✓
Proceso 2 ✓ ✓
Proceso 3 ✓
Proceso 4 ✓
Proceso 5
Cuentas
Significativas
?
¿Que puede fallar? ControlesProceso
Crítico
2005
Estados
Financieros
Estados
Financieros
Evaluación/Monitoreo
Fuente: Ernst & Young
11. www.isaca.org
Pag.11
¿Cómo medir la efectividad del control
interno de TI?
3 Identificar los Componentes de TI que Sustentan la Operación de los Procesos Críticos
Proceso
Crítico
Fuente: Ernst & Young
• Alineación
• ComplejidadenprocesosTI
• MadurezenAmbienteTI
• NivelesdeServicioTI
• CostoenServiciosTI
• Priorizar
• Tiempo
• Recursos
• Funcionalidad
Gobierno de TIGobierno de TI
ProyectosProyectos
• SistemasOperativos,BasesdeDatos
• Infraestructura / Seguridad
• ControlesGeneralesdeTI/OperacionesTI
• AdministracióndeProveedoresdeServicio
• Administración de Licencias / Software
• Cumplimientosregulatorios
• Disponibilidad / Accesibilidad
• Confidencialidad
• Integridad /Confiabilidad
• Efectividad / Funcionalidad / Viabilidad
• Eficiencia / Complejidad
APLICACIONESAPLICACIONESAPLICACIONES
Ambiente de TIAmbiente de TI
12. www.isaca.org
Pag.12
¿Cómo medir la efectividad del control
interno de TI?
4 Identificar Riesgos, Amenazas y Vulnerabilidades en los Componentes de TI
ErroresOperativosodeProcesamiento Vulnerabilidades
Amenazas
Riesgos
Fuente: COBIT 4.1
13. www.isaca.org
Pag.13
¿Cómo medir la efectividad del control
interno de TI?
5 Evaluar y Categorizar los Riesgos de TI
Estimar la probabilidad de ocurrencia e impacto de los
riesgos identificados para efectos de priorizarlos e
identificar las posibles acciones de mitigación y control
14. www.isaca.org
Pag.14
¿Cómo medir la efectividad del control
interno de TI?
6 Evaluar la Efectividad de los Controles para Administrar los Riesgos de TI
Consideraciones:
• Tipo
• Forma
• Frecuencia
• Alcance
• Operación
• Segregación de
funciones
• Competencias y
experiencia técnica del
personal
• Relaciones con terceros
15. www.isaca.org
Pag.15
¿Cómo medir la efectividad del control
interno de TI?
7 Establecer Planes de Acción y Monitorear • La comparación del estado actual de
la efectividad del control interno de
TI con marcos referenciales de
reconocimiento mundial revelarán
las brechas que requieren cerrarse.
• El conjunto de brechas identificadas
requiere traducirse en un Plan de
Acción con tareas específicas que
permitirán mitigar los riesgos
observados.
• Habiendo llevado a cabo la
implantación de los controles y
acciones de mitigación y con base
en el propio análisis de riesgos, se
hace posible establecer monitoreos
periódicos y regulares a través del
tiempo, para verificar la calidad y
suficiencia de todos los procesos de
TI, en cuanto a sus requerimientos
de control, integridad y efectividad.
16. www.isaca.org
Pag.16
¿Cómo saber dónde está su
organización?
• ¿Qué resultados debiera generar un análisis de
riesgos?
– La identificación de los riesgos.
– La identificación de los controles.
– La estimación de la efectividad de los controles.
– El entendimiento de la brecha.
• Un ejercicio de Benchmark puede resultar de
utilidad (COBIT on Line, Encuesta Global de
Seguridad de la Información de Ernst & Young).
17. www.isaca.org
Pag.17
¿Cómo saber a dónde necesita
llevarla?
Fuente: COBIT 4.1
• Usando el modelo de Madurez propuesto por COBIT una
organización podría:
• Comprender su “hoy”.
• Ubicar a su industria.
• Ubicar su “estado ideal”.
• Estimar el nivel de esfuerzo
requerido para llegar.
21. www.isaca.org
Pag.21
Estableciendo los pasos para llevar a
su organización a donde lo requiere
• Alineación
• ComplejidadenprocesosTI
• MadurezenAmbienteTI
• NivelesdeServicioTI
• CostoenServiciosTI
• Priorizar
• Tiempo
• Recursos
• Funcionalidad
Gobierno de TIGobierno de TI
ProyectosProyectos
• SistemasOperativos,BasesdeDatos
• Infraestructura / Seguridad
• ControlesGeneralesdeTI/OperacionesTI
• AdministracióndeProveedoresdeServicio
• Administración de Licencias / Software
• Cumplimientosregulatorios
• Disponibilidad / Accesibilidad
• Confidencialidad
• Integridad /Confiabilidad
• Efectividad / Funcionalidad / Viabilidad
• Eficiencia / Complejidad
APLICACIONESAPLICACIONESAPLICACIONES
Ambiente de TIAmbiente de TI
24. www.isaca.org
Pag.24
2008 Santiago Chile
Preguntas
Midiendo la Madurez del
Control Interno de TI en las
Organizaciones
Carlos Chalico, LI, CISA, CISM, CGEIT, CISSP
Socio Asesoría México y Centroamérica
Tel: +52-55-11016414
Tel (2): +52-55-52831326
carlos.chalico@mx.ey.com
http://www.linkedin.com/in/carloschalico
Sesión # 311