SlideShare uma empresa Scribd logo

Latin CACS 2009 Carlos Chalico

Carlos Chalico
Carlos Chalico

Presentación utilizada en Latin CACS 2009 de ISACA en San José de Costa Rica.

Tecnologia
1 de 25
Baixar para ler offline
www.isaca.org Pag.1 Sesión # 311 Midiendo la Madurez del Control Interno de TI en las Organizaciones Carlos Chalico, LI, CISA, CISM, CGEIT, CISSP Socio de Ernst & Young en la práctica de Asesoría para México y Centroamérica 2009 Costa Rica
www.isaca.org Pag.2 Agenda • Objetivo • Disección rápida de COBIT • ¿Cómo medir la efectividad del control interno en TI? • ¿Cómo saber dónde está su organización? • ¿Cómo saber a dónde necesita llevarla? • El modelo de madurez de COBIT • Midiendo la madurez de su organización con COBIT • Estableciendo los pasos para llevar a su organización a donde lo requiere • Caso práctico • Conclusiones
www.isaca.org Pag.3 Objetivo • Comprender los marcos referenciales de control interno en TI. • Conocer técnicas y recomendaciones para medir la efectividad del control interno en su organización. • Conocer técnicas y recomendaciones para estimar el nivel de madurez del control interno de TI basado en COBIT.
www.isaca.org Pag.4 Disección Rápida de COBIT • ¿Qué es control interno? • ¿Cómo beneficia a las áreas de TI? • ¿Qué es el Gobierno de TI? • ¿Qué relación tiene con los modelos de Gobierno Corporativo? • ¿Genera valor? • ¿Cómo se mide?
www.isaca.org Pag.5 Disección Rápida de COBIT Fuente: COBIT 4.1
www.isaca.org Pag.6 Disección Rápida de COBIT Fuente: COBIT 4.1
www.isaca.org Pag.7 ¿Cómo medir la efectividad del control interno de TI?
www.isaca.org Pag.8 ¿Cómo medir la efectividad del control interno de TI? 1 Entender la estrategia de la organización Identificar los procesos críticos que las soportan Identificar riesgos, amenazas y vulnerabilidades en los componentes de TI Evaluar y categorizar los riesgos de TI Evaluar la efectividad de los controles para administrar los riesgos de TI Establecer planes de acción y monitorear 2 3 4 7 6 5 Identificar los componentes de TI que sustentan la operación de los procesos críticos Fuente: Ernst & Young
www.isaca.org Pag.9 ¿Cómo medir la efectividad del control interno de TI? 1 Entender la Estrategia de la Organización Cobertura de Riesgos y Seguridad VigilanciaEnfoque ENFOQUE COORDINADO PARA RIESGOS CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD Estrategias del Negocio Gobierno, Políticas y Estándares Programa de Cumplimiento de Seguridad, Monitoreo y Reporteo Arquitectura Técnica de Seguridad Procesos y Prácticas de la Operación Especificaciones Técnicas Perfil de Activos Gente y Administración Organizacional COBIT ITIL ISO 17799 Marcos de Referencia Alta Dirección Consejo Comité de Auditoría Comité de Riesgos SOX Regulaciones Locales Regulaciones Lograr los Objetivos del Negocio Evaluar Monitorear Mejorar Fuente: Ernst & Young
www.isaca.org Pag.10 ¿Cómo medir la efectividad del control interno de TI? 2 Identificar los Procesos Críticos Objetivo 1 Objetivo 2 Objetivo 3 Proceso 1 ✓ ✓ ✓ Proceso 2 ✓ ✓ Proceso 3 ✓ Proceso 4 ✓ Proceso 5 Cuentas Significativas ? ¿Que puede fallar? ControlesProceso Crítico 2005 Estados Financieros Estados Financieros Evaluación/Monitoreo Fuente: Ernst & Young
www.isaca.org Pag.11 ¿Cómo medir la efectividad del control interno de TI? 3 Identificar los Componentes de TI que Sustentan la Operación de los Procesos Críticos Proceso Crítico Fuente: Ernst & Young • Alineación • ComplejidadenprocesosTI • MadurezenAmbienteTI • NivelesdeServicioTI • CostoenServiciosTI • Priorizar • Tiempo • Recursos • Funcionalidad Gobierno de TIGobierno de TI ProyectosProyectos • SistemasOperativos,BasesdeDatos • Infraestructura / Seguridad • ControlesGeneralesdeTI/OperacionesTI • AdministracióndeProveedoresdeServicio • Administración de Licencias / Software • Cumplimientosregulatorios • Disponibilidad / Accesibilidad • Confidencialidad • Integridad /Confiabilidad • Efectividad / Funcionalidad / Viabilidad • Eficiencia / Complejidad APLICACIONESAPLICACIONESAPLICACIONES Ambiente de TIAmbiente de TI
www.isaca.org Pag.12 ¿Cómo medir la efectividad del control interno de TI? 4 Identificar Riesgos, Amenazas y Vulnerabilidades en los Componentes de TI ErroresOperativosodeProcesamiento Vulnerabilidades Amenazas Riesgos Fuente: COBIT 4.1
www.isaca.org Pag.13 ¿Cómo medir la efectividad del control interno de TI? 5 Evaluar y Categorizar los Riesgos de TI Estimar la probabilidad de ocurrencia e impacto de los riesgos identificados para efectos de priorizarlos e identificar las posibles acciones de mitigación y control
www.isaca.org Pag.14 ¿Cómo medir la efectividad del control interno de TI? 6 Evaluar la Efectividad de los Controles para Administrar los Riesgos de TI Consideraciones: • Tipo • Forma • Frecuencia • Alcance • Operación • Segregación de funciones • Competencias y experiencia técnica del personal • Relaciones con terceros
www.isaca.org Pag.15 ¿Cómo medir la efectividad del control interno de TI? 7 Establecer Planes de Acción y Monitorear • La comparación del estado actual de la efectividad del control interno de TI con marcos referenciales de reconocimiento mundial revelarán las brechas que requieren cerrarse. • El conjunto de brechas identificadas requiere traducirse en un Plan de Acción con tareas específicas que permitirán mitigar los riesgos observados. • Habiendo llevado a cabo la implantación de los controles y acciones de mitigación y con base en el propio análisis de riesgos, se hace posible establecer monitoreos periódicos y regulares a través del tiempo, para verificar la calidad y suficiencia de todos los procesos de TI, en cuanto a sus requerimientos de control, integridad y efectividad.
www.isaca.org Pag.16 ¿Cómo saber dónde está su organización? • ¿Qué resultados debiera generar un análisis de riesgos? – La identificación de los riesgos. – La identificación de los controles. – La estimación de la efectividad de los controles. – El entendimiento de la brecha. • Un ejercicio de Benchmark puede resultar de utilidad (COBIT on Line, Encuesta Global de Seguridad de la Información de Ernst & Young).
www.isaca.org Pag.17 ¿Cómo saber a dónde necesita llevarla? Fuente: COBIT 4.1 • Usando el modelo de Madurez propuesto por COBIT una organización podría: • Comprender su “hoy”. • Ubicar a su industria. • Ubicar su “estado ideal”. • Estimar el nivel de esfuerzo requerido para llegar.
www.isaca.org Pag.18 El modelo de madurez de COBIT Fuente: COBIT On Line
www.isaca.org Pag.19 El modelo de madurez de COBIT Fuente: COBIT On Line
www.isaca.org Pag.20 Midiendo la madurez de su organización con COBIT ¡Establece un PROPÓSITO!
www.isaca.org Pag.21 Estableciendo los pasos para llevar a su organización a donde lo requiere • Alineación • ComplejidadenprocesosTI • MadurezenAmbienteTI • NivelesdeServicioTI • CostoenServiciosTI • Priorizar • Tiempo • Recursos • Funcionalidad Gobierno de TIGobierno de TI ProyectosProyectos • SistemasOperativos,BasesdeDatos • Infraestructura / Seguridad • ControlesGeneralesdeTI/OperacionesTI • AdministracióndeProveedoresdeServicio • Administración de Licencias / Software • Cumplimientosregulatorios • Disponibilidad / Accesibilidad • Confidencialidad • Integridad /Confiabilidad • Efectividad / Funcionalidad / Viabilidad • Eficiencia / Complejidad APLICACIONESAPLICACIONESAPLICACIONES Ambiente de TIAmbiente de TI
www.isaca.org Pag.22 Caso Práctico
www.isaca.org Pag.23 Conclusiones
www.isaca.org Pag.24 2008 Santiago Chile Preguntas Midiendo la Madurez del Control Interno de TI en las Organizaciones Carlos Chalico, LI, CISA, CISM, CGEIT, CISSP Socio Asesoría México y Centroamérica Tel: +52-55-11016414 Tel (2): +52-55-52831326 carlos.chalico@mx.ey.com http://www.linkedin.com/in/carloschalico Sesión # 311
www.isaca.org Pag.25 Gracias, lo esperamos en… Cancun, México Julio de 2010 Bogotá, Colombia Marzo de 2010

Recomendados

Mariel 28 de marzo 1980
Mariel 28 de marzo 1980Mariel 28 de marzo 1980
Mariel 28 de marzo 1980
Juan de los Palotes
 
Coins de paradis
Coins de paradisCoins de paradis
Coins de paradis
Renée Gasser
 
Supervision en tiempos de crisis
Supervision en tiempos de crisisSupervision en tiempos de crisis
Supervision en tiempos de crisis
Ricardo J. Sanchez Cano
 
La mesure du temps
La mesure du tempsLa mesure du temps
La mesure du temps
Instituto Los Manantiales
 
Concours photo
Concours photoConcours photo
Concours photo
Renée Gasser
 
Web 2 EducacióN
Web 2 EducacióNWeb 2 EducacióN
Web 2 EducacióN
sanmml
 
Trabajo De Economia Milcen
Trabajo De Economia MilcenTrabajo De Economia Milcen
Trabajo De Economia Milcen
Milena
 
Plan de trabajo y criterios de evaluación 2013 1 sc
Plan de trabajo y criterios de evaluación 2013 1 scPlan de trabajo y criterios de evaluación 2013 1 sc
Plan de trabajo y criterios de evaluación 2013 1 sc
practicasmicrobiologia
 

Recomendados

Mariel 28 de marzo 1980
Mariel 28 de marzo 1980Mariel 28 de marzo 1980
Mariel 28 de marzo 1980
Juan de los Palotes
 
Coins de paradis
Coins de paradisCoins de paradis
Coins de paradis
Renée Gasser
 
Supervision en tiempos de crisis
Supervision en tiempos de crisisSupervision en tiempos de crisis
Supervision en tiempos de crisis
Ricardo J. Sanchez Cano
 
La mesure du temps
La mesure du tempsLa mesure du temps
La mesure du temps
Instituto Los Manantiales
 
Concours photo
Concours photoConcours photo
Concours photo
Renée Gasser
 
Web 2 EducacióN
Web 2 EducacióNWeb 2 EducacióN
Web 2 EducacióN
sanmml
 
Trabajo De Economia Milcen
Trabajo De Economia MilcenTrabajo De Economia Milcen
Trabajo De Economia Milcen
Milena
 
Plan de trabajo y criterios de evaluación 2013 1 sc
Plan de trabajo y criterios de evaluación 2013 1 scPlan de trabajo y criterios de evaluación 2013 1 sc
Plan de trabajo y criterios de evaluación 2013 1 sc
practicasmicrobiologia
 
Presentation 2.5
Presentation 2.5Presentation 2.5
Presentation 2.5
Jean-arthur Micoulaud-franchi
 
Tierra
TierraTierra
Tierra
Yudith Hernandez
 
Catalogue marketing
Catalogue marketingCatalogue marketing
Catalogue marketing
edgartussy
 
Prog lineal 25-ejerlibro
Prog lineal 25-ejerlibroProg lineal 25-ejerlibro
Prog lineal 25-ejerlibro
Juan Fernando López
 
BioquíMica
BioquíMicaBioquíMica
BioquíMica
diegotrap
 
La Web 2.0 Taller Verano 2009
La Web 2.0 Taller Verano 2009La Web 2.0 Taller Verano 2009
La Web 2.0 Taller Verano 2009
ruxvargas
 
Les élèves de 2nde eso présentent des villes
Les élèves de 2nde eso présentent des villesLes élèves de 2nde eso présentent des villes
Les élèves de 2nde eso présentent des villes
belisabar
 
Diapositivas Cetares
Diapositivas CetaresDiapositivas Cetares
Diapositivas Cetares
A4g
 
Power p
Power pPower p
Power p
imsonashty
 
La Computadora
La ComputadoraLa Computadora
La Computadora
Urkiel
 
Coca cola
Coca colaCoca cola
Coca cola
Andres Garza
 
Cantare
CantareCantare
Cantare
Luciano Alencar
 
slideshare
slideshare slideshare
slideshare
wafabouricha
 
Centro de Tecnología Educativa de Tacuarembó. Actividad Implode
Centro de Tecnología Educativa de Tacuarembó. Actividad ImplodeCentro de Tecnología Educativa de Tacuarembó. Actividad Implode
Centro de Tecnología Educativa de Tacuarembó. Actividad Implode
guestbdd7fa35
 
Ma passion les caricatures emanuela atanasiu
Ma passion les caricatures emanuela atanasiuMa passion les caricatures emanuela atanasiu
Ma passion les caricatures emanuela atanasiu
Elenusz
 
web 2.0
web 2.0web 2.0
web 2.0
olga rojas
 
Noticias Mayo 2
Noticias Mayo 2Noticias Mayo 2
Noticias Mayo 2
granitosdepaz
 
Eufemia Sanoja De Duarte
Eufemia Sanoja De DuarteEufemia Sanoja De Duarte
Eufemia Sanoja De Duarte
guestbb55012
 
Primeros auxilios betty
Primeros auxilios bettyPrimeros auxilios betty
Primeros auxilios betty
Duberlis Del Valle Gonzalez
 
El hombre viejo y sabio
El hombre viejo y sabioEl hombre viejo y sabio
El hombre viejo y sabio
Andres Garza
 
T espe-049636-d
T espe-049636-dT espe-049636-d
T espe-049636-d
Lusdielka Hernandez
 
COBIT
COBITCOBIT
COBIT
lorena espano
 

Mais conteúdo relacionado

Destaque

Catalogue marketing
Catalogue marketingCatalogue marketing
Catalogue marketing
edgartussy
 
Les élèves de 2nde eso présentent des villes
Les élèves de 2nde eso présentent des villesLes élèves de 2nde eso présentent des villes
Les élèves de 2nde eso présentent des villes
belisabar
 
Diapositivas Cetares
Diapositivas CetaresDiapositivas Cetares
Diapositivas Cetares
A4g
 
Centro de Tecnología Educativa de Tacuarembó. Actividad Implode
Centro de Tecnología Educativa de Tacuarembó. Actividad ImplodeCentro de Tecnología Educativa de Tacuarembó. Actividad Implode
Centro de Tecnología Educativa de Tacuarembó. Actividad Implode
guestbdd7fa35
 
Ma passion les caricatures emanuela atanasiu
Ma passion les caricatures emanuela atanasiuMa passion les caricatures emanuela atanasiu
Ma passion les caricatures emanuela atanasiu
Elenusz
 
El hombre viejo y sabio
El hombre viejo y sabioEl hombre viejo y sabio
El hombre viejo y sabio
Andres Garza
 

Destaque (20)

Presentation 2.5
Presentation 2.5Presentation 2.5
Presentation 2.5
 
Tierra
TierraTierra
Tierra
 
Catalogue marketing
Catalogue marketingCatalogue marketing
Catalogue marketing
 
Prog lineal 25-ejerlibro
Prog lineal 25-ejerlibroProg lineal 25-ejerlibro
Prog lineal 25-ejerlibro
 
BioquíMica
BioquíMicaBioquíMica
BioquíMica
 
La Web 2.0 Taller Verano 2009
La Web 2.0 Taller Verano 2009La Web 2.0 Taller Verano 2009
La Web 2.0 Taller Verano 2009
 
Les élèves de 2nde eso présentent des villes
Les élèves de 2nde eso présentent des villesLes élèves de 2nde eso présentent des villes
Les élèves de 2nde eso présentent des villes
 
Diapositivas Cetares
Diapositivas CetaresDiapositivas Cetares
Diapositivas Cetares
 
Power p
Power pPower p
Power p
 
La Computadora
La ComputadoraLa Computadora
La Computadora
 
Coca cola
Coca colaCoca cola
Coca cola
 
Cantare
CantareCantare
Cantare
 
slideshare
slideshare slideshare
slideshare
 
Centro de Tecnología Educativa de Tacuarembó. Actividad Implode
Centro de Tecnología Educativa de Tacuarembó. Actividad ImplodeCentro de Tecnología Educativa de Tacuarembó. Actividad Implode
Centro de Tecnología Educativa de Tacuarembó. Actividad Implode
 
Ma passion les caricatures emanuela atanasiu
Ma passion les caricatures emanuela atanasiuMa passion les caricatures emanuela atanasiu
Ma passion les caricatures emanuela atanasiu
 
web 2.0
web 2.0web 2.0
web 2.0
 
Noticias Mayo 2
Noticias Mayo 2Noticias Mayo 2
Noticias Mayo 2
 
Eufemia Sanoja De Duarte
Eufemia Sanoja De DuarteEufemia Sanoja De Duarte
Eufemia Sanoja De Duarte
 
Primeros auxilios betty
Primeros auxilios bettyPrimeros auxilios betty
Primeros auxilios betty
 
El hombre viejo y sabio
El hombre viejo y sabioEl hombre viejo y sabio
El hombre viejo y sabio
 

Semelhante a Latin CACS 2009 Carlos Chalico

COBIT JASIK
COBIT JASIKCOBIT JASIK
COBIT JASIK
Ingrid11
 
Cobit 4.1
Cobit 4.1Cobit 4.1
Cobit 4.1
RMVTITO
 
COBIT 4.1
COBIT 4.1COBIT 4.1
COBIT 4.1
RMVTITO
 

Semelhante a Latin CACS 2009 Carlos Chalico (20)

T espe-049636-d
T espe-049636-dT espe-049636-d
T espe-049636-d
 
COBIT
COBITCOBIT
COBIT
 
Cobit
CobitCobit
Cobit
 
Cobit
CobitCobit
Cobit
 
Cobit
CobitCobit
Cobit
 
Taller principios de cobit
Taller principios de cobitTaller principios de cobit
Taller principios de cobit
 
AudInf-COBIT.ppt
AudInf-COBIT.pptAudInf-COBIT.ppt
AudInf-COBIT.ppt
 
Principios de COBIT.pdf
Principios de COBIT.pdfPrincipios de COBIT.pdf
Principios de COBIT.pdf
 
Exposición grupal
Exposición grupalExposición grupal
Exposición grupal
 
Capítulo 6 cobit
Capítulo 6 cobit Capítulo 6 cobit
Capítulo 6 cobit
 
Normas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaNormas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informática
 
Cobit 4, trabajo final
Cobit 4, trabajo finalCobit 4, trabajo final
Cobit 4, trabajo final
 
C O B I T - Sistema de Investigación
C O B I T - Sistema de InvestigaciónC O B I T - Sistema de Investigación
C O B I T - Sistema de Investigación
 
COBIT JASIK
COBIT JASIKCOBIT JASIK
COBIT JASIK
 
Metodología COBIT
Metodología COBITMetodología COBIT
Metodología COBIT
 
Cobit 4.1
Cobit 4.1Cobit 4.1
Cobit 4.1
 
COBIT 4.1
COBIT 4.1COBIT 4.1
COBIT 4.1
 
Cobit asignacion especial
Cobit asignacion especialCobit asignacion especial
Cobit asignacion especial
 
Isc2 security congress latam 2015 presentation v5p
Isc2 security congress latam 2015 presentation v5pIsc2 security congress latam 2015 presentation v5p
Isc2 security congress latam 2015 presentation v5p
 
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TITaller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
 

Mais de Carlos Chalico

133 Chalico Privacidad
133 Chalico Privacidad133 Chalico Privacidad
133 Chalico Privacidad
Carlos Chalico
 
121 Chalico Internet de las Cosas
121 Chalico Internet de las Cosas121 Chalico Internet de las Cosas
121 Chalico Internet de las Cosas
Carlos Chalico
 

Mais de Carlos Chalico (19)

Isaca monterrey dic 2019
Isaca monterrey dic 2019Isaca monterrey dic 2019
Isaca monterrey dic 2019
 
ISACA Monterrey - Confianza Digital Diciembre 2018
ISACA Monterrey - Confianza Digital Diciembre 2018ISACA Monterrey - Confianza Digital Diciembre 2018
ISACA Monterrey - Confianza Digital Diciembre 2018
 
ISACA Privacidad LATAM
ISACA Privacidad LATAMISACA Privacidad LATAM
ISACA Privacidad LATAM
 
ISACA DevOps LATAM
ISACA DevOps LATAMISACA DevOps LATAM
ISACA DevOps LATAM
 
Kijiji 160616
Kijiji 160616Kijiji 160616
Kijiji 160616
 
EuroCACS 2016 There are giants in the sky
EuroCACS 2016 There are giants in the skyEuroCACS 2016 There are giants in the sky
EuroCACS 2016 There are giants in the sky
 
133 Chalico Privacidad
133 Chalico Privacidad133 Chalico Privacidad
133 Chalico Privacidad
 
121 Chalico Internet de las Cosas
121 Chalico Internet de las Cosas121 Chalico Internet de las Cosas
121 Chalico Internet de las Cosas
 
Asobancaria definiendo la estrategia de privacidad
Asobancaria definiendo la estrategia de privacidadAsobancaria definiendo la estrategia de privacidad
Asobancaria definiendo la estrategia de privacidad
 
Día Internacional de Protección de Datos Personales IFAI 2015
Día Internacional de Protección de Datos Personales IFAI 2015Día Internacional de Protección de Datos Personales IFAI 2015
Día Internacional de Protección de Datos Personales IFAI 2015
 
Latin CACS 2009 224
Latin CACS 2009 224Latin CACS 2009 224
Latin CACS 2009 224
 
Latin CACS 2007 CC CZ
Latin CACS 2007 CC CZLatin CACS 2007 CC CZ
Latin CACS 2007 CC CZ
 
Latin cacs 2004 CC CZ
Latin cacs 2004 CC CZLatin cacs 2004 CC CZ
Latin cacs 2004 CC CZ
 
Día Internacional de la Protección de Datos Personales 2015
Día Internacional de la Protección de Datos Personales 2015Día Internacional de la Protección de Datos Personales 2015
Día Internacional de la Protección de Datos Personales 2015
 
IT Governance
IT GovernanceIT Governance
IT Governance
 
InfoDF Auditoría de Sistemas
InfoDF Auditoría de SistemasInfoDF Auditoría de Sistemas
InfoDF Auditoría de Sistemas
 
Data Lifecycle Risks Considerations and Controls
Data Lifecycle Risks Considerations and ControlsData Lifecycle Risks Considerations and Controls
Data Lifecycle Risks Considerations and Controls
 
InfoDF Protección de Datos Personales en Redes Sociales
InfoDF Protección de Datos Personales en Redes SocialesInfoDF Protección de Datos Personales en Redes Sociales
InfoDF Protección de Datos Personales en Redes Sociales
 
Giss 2009 Final
Giss 2009 FinalGiss 2009 Final
Giss 2009 Final
 

Último

Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
AnnimoUno1
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 

Último (11)

EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 

Latin CACS 2009 Carlos Chalico

  • 1. www.isaca.org Pag.1 Sesión # 311 Midiendo la Madurez del Control Interno de TI en las Organizaciones Carlos Chalico, LI, CISA, CISM, CGEIT, CISSP Socio de Ernst & Young en la práctica de Asesoría para México y Centroamérica 2009 Costa Rica
  • 2. www.isaca.org Pag.2 Agenda • Objetivo • Disección rápida de COBIT • ¿Cómo medir la efectividad del control interno en TI? • ¿Cómo saber dónde está su organización? • ¿Cómo saber a dónde necesita llevarla? • El modelo de madurez de COBIT • Midiendo la madurez de su organización con COBIT • Estableciendo los pasos para llevar a su organización a donde lo requiere • Caso práctico • Conclusiones
  • 3. www.isaca.org Pag.3 Objetivo • Comprender los marcos referenciales de control interno en TI. • Conocer técnicas y recomendaciones para medir la efectividad del control interno en su organización. • Conocer técnicas y recomendaciones para estimar el nivel de madurez del control interno de TI basado en COBIT.
  • 4. www.isaca.org Pag.4 Disección Rápida de COBIT • ¿Qué es control interno? • ¿Cómo beneficia a las áreas de TI? • ¿Qué es el Gobierno de TI? • ¿Qué relación tiene con los modelos de Gobierno Corporativo? • ¿Genera valor? • ¿Cómo se mide?
  • 7. www.isaca.org Pag.7 ¿Cómo medir la efectividad del control interno de TI?
  • 8. www.isaca.org Pag.8 ¿Cómo medir la efectividad del control interno de TI? 1 Entender la estrategia de la organización Identificar los procesos críticos que las soportan Identificar riesgos, amenazas y vulnerabilidades en los componentes de TI Evaluar y categorizar los riesgos de TI Evaluar la efectividad de los controles para administrar los riesgos de TI Establecer planes de acción y monitorear 2 3 4 7 6 5 Identificar los componentes de TI que sustentan la operación de los procesos críticos Fuente: Ernst & Young
  • 9. www.isaca.org Pag.9 ¿Cómo medir la efectividad del control interno de TI? 1 Entender la Estrategia de la Organización Cobertura de Riesgos y Seguridad VigilanciaEnfoque ENFOQUE COORDINADO PARA RIESGOS CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD Estrategias del Negocio Gobierno, Políticas y Estándares Programa de Cumplimiento de Seguridad, Monitoreo y Reporteo Arquitectura Técnica de Seguridad Procesos y Prácticas de la Operación Especificaciones Técnicas Perfil de Activos Gente y Administración Organizacional COBIT ITIL ISO 17799 Marcos de Referencia Alta Dirección Consejo Comité de Auditoría Comité de Riesgos SOX Regulaciones Locales Regulaciones Lograr los Objetivos del Negocio Evaluar Monitorear Mejorar Fuente: Ernst & Young
  • 10. www.isaca.org Pag.10 ¿Cómo medir la efectividad del control interno de TI? 2 Identificar los Procesos Críticos Objetivo 1 Objetivo 2 Objetivo 3 Proceso 1 ✓ ✓ ✓ Proceso 2 ✓ ✓ Proceso 3 ✓ Proceso 4 ✓ Proceso 5 Cuentas Significativas ? ¿Que puede fallar? ControlesProceso Crítico 2005 Estados Financieros Estados Financieros Evaluación/Monitoreo Fuente: Ernst & Young
  • 11. www.isaca.org Pag.11 ¿Cómo medir la efectividad del control interno de TI? 3 Identificar los Componentes de TI que Sustentan la Operación de los Procesos Críticos Proceso Crítico Fuente: Ernst & Young • Alineación • ComplejidadenprocesosTI • MadurezenAmbienteTI • NivelesdeServicioTI • CostoenServiciosTI • Priorizar • Tiempo • Recursos • Funcionalidad Gobierno de TIGobierno de TI ProyectosProyectos • SistemasOperativos,BasesdeDatos • Infraestructura / Seguridad • ControlesGeneralesdeTI/OperacionesTI • AdministracióndeProveedoresdeServicio • Administración de Licencias / Software • Cumplimientosregulatorios • Disponibilidad / Accesibilidad • Confidencialidad • Integridad /Confiabilidad • Efectividad / Funcionalidad / Viabilidad • Eficiencia / Complejidad APLICACIONESAPLICACIONESAPLICACIONES Ambiente de TIAmbiente de TI
  • 12. www.isaca.org Pag.12 ¿Cómo medir la efectividad del control interno de TI? 4 Identificar Riesgos, Amenazas y Vulnerabilidades en los Componentes de TI ErroresOperativosodeProcesamiento Vulnerabilidades Amenazas Riesgos Fuente: COBIT 4.1
  • 13. www.isaca.org Pag.13 ¿Cómo medir la efectividad del control interno de TI? 5 Evaluar y Categorizar los Riesgos de TI Estimar la probabilidad de ocurrencia e impacto de los riesgos identificados para efectos de priorizarlos e identificar las posibles acciones de mitigación y control
  • 14. www.isaca.org Pag.14 ¿Cómo medir la efectividad del control interno de TI? 6 Evaluar la Efectividad de los Controles para Administrar los Riesgos de TI Consideraciones: • Tipo • Forma • Frecuencia • Alcance • Operación • Segregación de funciones • Competencias y experiencia técnica del personal • Relaciones con terceros
  • 15. www.isaca.org Pag.15 ¿Cómo medir la efectividad del control interno de TI? 7 Establecer Planes de Acción y Monitorear • La comparación del estado actual de la efectividad del control interno de TI con marcos referenciales de reconocimiento mundial revelarán las brechas que requieren cerrarse. • El conjunto de brechas identificadas requiere traducirse en un Plan de Acción con tareas específicas que permitirán mitigar los riesgos observados. • Habiendo llevado a cabo la implantación de los controles y acciones de mitigación y con base en el propio análisis de riesgos, se hace posible establecer monitoreos periódicos y regulares a través del tiempo, para verificar la calidad y suficiencia de todos los procesos de TI, en cuanto a sus requerimientos de control, integridad y efectividad.
  • 16. www.isaca.org Pag.16 ¿Cómo saber dónde está su organización? • ¿Qué resultados debiera generar un análisis de riesgos? – La identificación de los riesgos. – La identificación de los controles. – La estimación de la efectividad de los controles. – El entendimiento de la brecha. • Un ejercicio de Benchmark puede resultar de utilidad (COBIT on Line, Encuesta Global de Seguridad de la Información de Ernst & Young).
  • 17. www.isaca.org Pag.17 ¿Cómo saber a dónde necesita llevarla? Fuente: COBIT 4.1 • Usando el modelo de Madurez propuesto por COBIT una organización podría: • Comprender su “hoy”. • Ubicar a su industria. • Ubicar su “estado ideal”. • Estimar el nivel de esfuerzo requerido para llegar.
  • 18. www.isaca.org Pag.18 El modelo de madurez de COBIT Fuente: COBIT On Line
  • 19. www.isaca.org Pag.19 El modelo de madurez de COBIT Fuente: COBIT On Line
  • 20. www.isaca.org Pag.20 Midiendo la madurez de su organización con COBIT ¡Establece un PROPÓSITO!
  • 21. www.isaca.org Pag.21 Estableciendo los pasos para llevar a su organización a donde lo requiere • Alineación • ComplejidadenprocesosTI • MadurezenAmbienteTI • NivelesdeServicioTI • CostoenServiciosTI • Priorizar • Tiempo • Recursos • Funcionalidad Gobierno de TIGobierno de TI ProyectosProyectos • SistemasOperativos,BasesdeDatos • Infraestructura / Seguridad • ControlesGeneralesdeTI/OperacionesTI • AdministracióndeProveedoresdeServicio • Administración de Licencias / Software • Cumplimientosregulatorios • Disponibilidad / Accesibilidad • Confidencialidad • Integridad /Confiabilidad • Efectividad / Funcionalidad / Viabilidad • Eficiencia / Complejidad APLICACIONESAPLICACIONESAPLICACIONES Ambiente de TIAmbiente de TI
  • 24. www.isaca.org Pag.24 2008 Santiago Chile Preguntas Midiendo la Madurez del Control Interno de TI en las Organizaciones Carlos Chalico, LI, CISA, CISM, CGEIT, CISSP Socio Asesoría México y Centroamérica Tel: +52-55-11016414 Tel (2): +52-55-52831326 carlos.chalico@mx.ey.com http://www.linkedin.com/in/carloschalico Sesión # 311
  • 25. www.isaca.org Pag.25 Gracias, lo esperamos en… Cancun, México Julio de 2010 Bogotá, Colombia Marzo de 2010