Los avatares para el juego dramático en entornos virtuales
Grc model09 ok
1. CobiT ®, Val IT ® y Risk IT ®
en la implementación de un Modelo de
GRC
ISACA Capítulo Monterrey
Presentado por
Gustavo A. Solís, CISA, CISM, CGEIT
gsolis@cynthus.com.mx
1
2. Qué es GRC
Definido formalmente, GRC es un sistema de
personas, procesos y tecnología que permite que
una organización:
Comprenda y priorice expectativas de Stakeholders
Establezca objetivos congruentes con valores y riesgos
Logre objetivos al tiempo que optimiza el perfil de riesgos y
protege el valor del negocio.
Operar dentro de fronteras legales, contractuales, internas,
sociales y éticas
Proveer información relevante, confiable y oportuna a los
stakeholders apropiados y
Permitir la medición del desempeño y la eficacia del sistema
2
3. Desempeño con Principios
(Principled Performance)
Es el resultado de una clara
articulación entre los objetivos de una
organización y la aplicación de
métodos de GRC, mediante los cuales
se establecen fronteras, dentro de las
cuales permanece mientras avanza
hacia el logro de sus objetivos.
Va más allá del desempeño ético, del
desempeño económico o la
responsabilidad social corporativa.
Representa el logro de todos los
objetivos de una organización, al
tiempo que se emplea un enfoque
efectivo, eficiente y responsivo al
Gobierno, a la Administración de
Riesgos y a Conformidad, el cual
soporta dichos objetivos
3
4. Las Fronteras de la Conducta Corporativa
Fronteras Voluntarias Fronteras Obligatorias
“Mandatos Internos” “Mandatos Externos”
Definidas por fuerzas legales
y requerimientos regulatorios
Definidas por la
Gerencia
4
5. Resultados Universales
… de un sistema GRC de alto desempeño
Un sistema de GRC de alto desempeño debe generar los siguientes
resultados universales siendo eficaz, eficiente y responsivo.
Lograr Objetivos de Negocio
Optimizar la Cultura Organizacional
Incrementar la Confianza de los Stakeholders
Preparar y Proteger a la Organización
Prevenir, Detectar & Reducir la Adversidad
Motivar e Inspirar la Conducta Deseada
Mejorar la eficiencia y capacidad de Respuesta
Optimizar el Valor económico y Social
5
6. Modelo de Capacidades de GRC
Organizar y
Supervisar
Monitorear y Evaluar y
Medir Alinear
INFORMAR E
INTEGRAR
Responder y Prevenir y
Resolver Promover
Detectar y
Discernir
6
7. Modelo de Capacidades de GRC
Organizar y Supervisar
Organizar y supervisar el sistema de GRC para que esté
integrado con el modelo de operación de negocio actual y
pueda modificarlo cuando sea apropiado.
Asignar a la Gerencia responsabilidades específicas,
autoridad de toma de decisiones y compromiso de rendición
de cuentas para lograr las metas del Sistema
Resultados y Compromiso
Roles y Responsabilidades
Enfoque y Rendición de Cuentas
7
8. Contenido
Introducción a GRC
Qué es GRC
El concepto de “Desempeño con Principios” (Principled Performance)
Otros componentes críticos de GRC
Características del GRC
El modelo de Capacidades de GRC
Los Frameworks de ISACA como base de un modelo GRC
Productos CobiT para implementar un sistema de GRC de TI
Componentes de los Frameworks aplicados al GRC
CobiT
Val IT
Risk IT
Conclusiones
8
9. Modelo de Capacidades de GRC
Evaluar y Alinear
Evaluar riesgos y optimizar el perfil de riesgos organizacionales
con un portafolio de iniciativas, tácticas y actividades
Identificación de Riesgos
Análisis de Riesgos
Optimización de Riesgos
Prevenir y Promover
Promover y motivar la conducta deseable y prevenir eventos y
actividades no deseados utilizando una mezcla de controles e
iniciativas
Códigos de Conducta
Políticas
Controles Preventivos
Conciencia y Educación
Incentivos de Capital Humano
Relaciones y Requerimientos de Stakeholders
Financiamiento de Riesgos / Seguros
9
10. Modelo de Capacidades de GRC
Detectar y Discernir
Detectar conductas y eventos indeseables tanto potenciales
como actuales, así como debilidades del Sistema y
preocupaciones de Stakeholders utilizando una amplia red de
recopilación de información y técnicas de análisis
Mesa de Servicio (Hotline) y Notificación
Consulta y Encuesta (Survey)
Controles Detectivos
10
11. Modelo de Capacidades de GRC
Responder y Resolver
Responder a, y recuperarse de eventos de conducta ética no
deseada o de incumplimiento o de fallas del Sistema de GRC, para
que la organización resuelva cada aspecto inmediato y prevenga o
resuelva aspectos similares de formas más eficiente y eficaz en el
futuro.
Revisión Interna e Investigación
Consultas e Investigaciones de Terceros
Controles Correctivos
Respuesta a Crisis y Recuperación
Remediación y Disciplina
Monitorear y Medir
Monitorear, medir y modificar el sistema GRC de forma periódica y
consistente para asegurar que contribuye a los objetivos de
negocio, siendo eficiente, eficaz y responsivo a cambios en el
ambiente
Monitoreo de Contexto
Monitoreo de Desempeño y Evaluación
Mejora Sistemática
Aseguramiento
11
12. Modelo de Capacidades de GRC
Contexto y Cultura
Comprender la cultura actual y el contexto interno y externo
en el que opera la organización para que el sistema de GRC
pueda orientarse a realidades actuales (e identificar
oportunidades para afectar el contexto y ser más congruente
con los resultados organizacionales deseados).
Contexto Externo del Negocio
Contexto Interno del Negocio
Cultura
Valores y Objetivos
Informar Integrar
Capturar, documentar y administrar información de GRC para
que fluya de forma eficiente y precisa vertical y
horizontalmente a través de la empresa extendida y hacia los
Stakeholders externos
Administración de Información y Documentación
Comunicaciones Internas y Externas
Tecnología e Infraestructura
12
14. GRC es para toda la empresa
cio Plane
Servi ar
rí a Ve
re nt
so as
Te
Pr
Pr
ad
od
lid
duuc
Ca
cir
ir
tos
Comp
o pra
Proyec
Gobierno
ras
s
Seguri
Seguri
Admón. de
Admó Conformidad
R.H.
Riesgos
dad M
dad M
..
ab
ar
ar
nt
ke
ke
Co
tiin
tn
gg
TI al
Leg
Ecolo
gía Rel. Pub.
14
16. “CobiT Extendido”
Los tres Frameworks del ITGI
Administración
Administració Administración
Administració
de Riesgos del Valor
Risk IT Evaluar Riesgos Val IT
y
Dirige Oportunidades
Dirige
Eventos
relacionados
con TI
Actividades
de TI
CobiT
16
17. Elementos del ITGI relacionados con GRC
Governance
Gobierno de TI
Gobierno de seguridad de Información
CobiT(v4.1)
Framework de Control
Objetivos de Control (controles generales)
Prácticas de Control
Lineamientos Gerenciales
Guía de Aseguramiento
Cobit y Controles de Aplicación
Val IT (v2.0)
Risk IT (v1.0)
17
18. Productos CobiT para Apalancar un sistema de GRC de TI
Directo IT
Control Management Assurance Control
Governance Val IT
Indirecto Implement.. Objetives Guidelines Guide Practices
Risk IT
Contextual Guide
Organizar y
Supervisar
Evaluar y
Alinear
Prevenir y
Promover
Detectar y
Discernir
Responder y
Resolver
Monitorear y
Medir
Cultura y
Contexto
Informar e
Integrar
18
19. CobiT
IT Governance Implementation Guide
Ge
nto
ie o de erac
n
am ic Va ión
ne atég
li tr lor
A s
E
Dominios
de R tración
Med peño
de
Dese
s
iesgo
Gobierno
ición
inis
m
de TI
Adm
de
Administración
Qué contiene…. de Recursos
La Ruta hacia el Gobierno de TI Herramientas para autoevaluación, medición
Es una guía para implementar y diagnóstico:
Gobierno de TI utilizando los Dos diagnósticos de conciencia gerencial
frameworks de CobiT y de Val IT
Herramienta para medición de madurez
Áreas Focales de Gobierno de TI.
Formatos de evaluación de objetivos de
Ciclo de Vida del Gobierno de TI Control “MyCOBIT”.
El Ambiente del Gobierno de TI Temas para diagnóstico de factores riesgo
Los Stakeholders del Gobierno de TI Temas para diagnóstico de objetivos de
control
19
21. CobiT
Dominios, Recursos y Criterios
MARCO DE TRABAJO
C O B I T
OBJETIVOS DEL NEGOCIO
OBJETIVOS DE GOBIERNO
PO1 Definir el plan estratégico de TI.
PO2 Definir la arquitectura de la información.
PO3 Determinar la dirección tecnológica.
ME1 Monitorear y evaluar el desempeño PO4 Definir procesos, organización y
de TI. relaciones de TI.
ME2 Monitorear y evaluar el control PO5 Administrar la inversión en TI.
interno. PO6 Comunicar la dirección y de las
INFORMACION
ME3 Garantizar Cumplimiento aspiraciones y la dirección de la
regulatorio. gerencia.
Eficiencia Integridad PO7 Administrar recursos humanos de TI.
ME4 Proporcionar Gobierno de PO8 Administrar calidad.
TI. Efectividad Disponibilidad
PO9 Evaluar y administrar Riesgos
Cumplimiento Confidencialidad de TI.
Confiabilidad
PO10 Administrar proyectos.
MONITOREAR PLANEAR
Y y
EVALUAR ORGANIZAR
RECURSOS
DE
TI
DS1 Definir y administrar niveles de
servicios. AI1 Identificar soluciones automatizadas.
Aplicaciones
DS2 Administrar servicios de terceros. AI2 Adquirir y mantener el software
Información
DS3 Administrar desempeño y capacidad. aplicativo.
Infraestructura
DS4 Garantizar la continuidad del servicio. AI3 Adquirir y mantener la
Personas
DS5 Garantizar la seguridad de los infraestructura tecnológica.
sistemas. ENTREGAR ADQUIRIR AI4 Facilitar la operación y el uso.
DS6 Identificar y asignar costos. Y DAR E AI5 Adquirir recursos de TI.
DS7 Educar y entrenar a los usuarios. SOPORTE IMPLEMENTAR AI6 Administrar cambios.
DS8 Administrar la mesa de servicio y los AI7 Instalar y acreditar soluciones y
incidentes. cambios.
DS9 Administrar la configuración.
DS10 Administrar los problemas.
DS11 Administrar los datos.
DS12 Administrar el ambiente físico.
DS13 Administrar las operaciones.
21
22. CobiT
Matriz RACI: Asignación de responsabilidades por Rol / PO10
Asignació
Diagrama RACI para PO10
cio
Segu esgo,
es
s
gocio
acion
rrollo
Nego
ridad
ione
. TI
i
A ud i i miento, R
c. Ne
Oper
Jefe
Adm
Desa
Func
del
tivos
o Pro
itecto
ción
to ría ,
ción
ción
pl
Ejecu
Direc
PMO
Dueñ
Direc
CEO
Arqu
Direc
C um
CFO
Actividades
CIO
Definir un marco de trabajo de
C C A R C C
programas/portafolio para inversiones en TI.
Establecer y mantener un marco de trabajo para
I I I A/R I C C C C R C
la administración de proyectos de TI.
Establecer y mantener un sistema de monitoreo,
I I I R C C C C A/R C
medición y administración de sistemas.
Elaborar contratos de proyectos, cronogramas,
planes de calidad, presupuestos y planes de C C C C C C C A/R C
comunicación y administración de riesgos.
Asegurar la participación y el compromiso de los
I A R C C
stakeholders del proyecto.
Asegurar el control efectivos de proyectos y de
C C C C C A/R C
cambios a proyectos.
Definir e implementar métodos de revisión y
I C I A/R C
aseguramiento de proyectos.
Un diagrama RACI para cada proceso identifica quién es Responsable, Debe Rendir Cuentas, es Consultado, y/o es
Informado
22
23. CobiT
Management Guidelines: Indicadores
Define Metas
Meta de Actividad Meta de Proceso Meta de TI Meta de Negocio
Comprender Detectar y resolver Asegurar que los Mantener la
requerimientos, accesos no servicios de TI reputación y
autorizados a
vulnerabilidades y información, pueden resistir y liderazgo de la
amenazas de aplicaciones e recobrarse de empresa
Mejora y realinea
seguridad infraestructura ataques
Mide Logros
es medido mediante es medido mediante es medido mediante es medido mediante
Frecuencia de Número de Número de Número de
revisión del tipo de violaciones de incidentes de TI incidentes que
provocan
eventos de acceso que realmente
situaciones
seguridad a ser impactan el públicas
monitoreados negocio embarazosas
KPI Métrica de Negocio KGI
KPI Métrica de TI KGI
KPI Métrica de Proceso KGI
Dirige Desempeño
23
24. CobiT
Modelos de Madurez y Benchmarking
Los Modelos de Madurez proveen una escala para medir comparativamente las prácticas de
la compañía contra los estándares y directrices de la industria. Un modelo de madurez es
una medida que le permite a la organización calificar su madurez para un proceso específico
desde no existente (0) hasta optimizado (5).
No existente Inicial Repetible Definido Administrado Optimizado
0 1 2 3 4 5
Leyenda para los símbolos utilizados Descripción de niveles de madurez
Estatus actual de la empresa 0- Los procesos adminstrativos no se aplican del todo.
1- Los procesos son ad hoc y desorganizados.
2- Los procesos siguen un patrón regular.
Promedio de la industria
3- Los procesos se documentan y comunican.
4- Los procesos son monitoreados y medidos.
Meta de la empresa 5- Se aplican buenas prácticas y automatización.
24
25. CobiT
Assurance Guidelines / Ruta de Aseguramiento
aseguramiento de TI
• Establecer el Universo del Aseguramiento de TI
Planeación
• Seleccionar un marco de trabajo de control de TI
Planes de
• Desarrollar una planeación de aseguramiento basada en riesgo.
• Realizar una evaluación de alto nivel
• Dimensionar y definir los objetivos de alto nivel para la Iniciativa
Alcance detallado y
Dimensionamiento
• Dimensionar y planear iniciativas de aseguramiento
objetivos
• Seleccionar los objetivos de control para procesos críticos
• Personalizar objetivos de control
Refinar el Probar la
Probar los
Aseguramiento
Refinar el alcance de efectividad
Conclusión de
Documentar el Desarrollar y
productos de
Ejecución
entendi_ objetivos de de diseño impacto de las comunicar
miento del control clave del control los objetivos
debilidades de conclusiones
Objeto de para el de los de control
control. generales y
Aseguram. de objeto de objetivos de clave
sugerencias.
TI Aseguram. control
de TI clave.
25
26. CobiT
Assurance Guidelines / Ruta de Aseguramiento
Cada una de las 34 guías presenta esta estructura y se aplica de manera
específica a cada uno de los Procesos y Objetivos de control seleccionados
en el alcance de la Iniciativa de aseguramiento.
Objetivo de Control Declaración de Valor Declaración de Riesgo
(por objetivo de control) (por objetivo de control) (por objetivo de control)
Pasos de Aseguramiento para probar el Diseño del Control
(para cada objetivo de control)
Pasos de Aseguramiento para probar el Producto de los Objetivos de
Control (para cada Proceso)
Pasos de Aseguramiento para Documentar el impacto de las Debilidades
de Control (para cada Proceso)
26
27. CobiT
Assurance Guidelines / Controles Generales VS Controles de Aplicación
Las guías de aseguramiento diferencian entre
controles Generales y Controles de Aplicación
Controles Generales de TI
Planeación y Organización
Requerimientos
Funcionales Adquisición e Entrega y
Entrega y Servicios
Implementación Soporte
soporte Automatizados
Requerimientos
de control
Monitoreo y Evaluación
Controles de Aplicación
27
29. Risk IT
Los Principios de Risk IT
Gobierno Empresarial efectivo para Riesgos de TI:
Siempre se relaciona con objetivos de negocio
Alinea la administración de los riesgos relacionadios con TI con
la administración general de riesgos de la Empresa
Equilibra el costo y los beneficios de la administración de
Riesgos
Adminstración efectiva de Riesgos de TI:
Promueve una comunicación clara y abierta sobre riesgos de TI
Establece el tono adecuado desde la parte más alta de la
empresa al tiempo que define y refuerza la rendición de cuentas
personal sobre la operación dentro de niveles de tolerancia bien
definidos.
Es un proceso contínuo y es parte de las actividades diarias
29
30. IT Risk
Valor de Negocio
Falla en
Genera
Generar
Pierde Preserva
Valor de Negocio
30
31. IT Risk
Framework (Dominios y Procesos)
Gobierno de Riesgos Risk IT Framework
2 •Presenta una estructura similar al
Integrar Framework de CobiT
con ERM
•Incluye:
• Prácticas gerenciales
1 3
Establecer Tomar
• Lineamientos Gerenciales
una visión
visió decisiones • Entradas y salidas
común del
comú conscientes • Roles (con definición) y
Riesgo del Riesgo
Responsabilidades
• Metas y Métricas
• Modelos de Madurez de los
Procesos
2
Administrar Fundamento 2
Riesgos de Riesgos Analizar
Riesgos
en TI
3 3
1 1 Mantener
Reaccionar Recolectar
Articular ante el
Riesgos Comunicación Datos Portafolio
eventos
de Riesgos
Responder a Riesgos Evaluar Riesgos
31
32. IT Risk
Escenarios de Riesgo
Acción
Acció
• Divulgación
Divulgació
• Interrupción
Interrupció
• Modificación
Modificació
• Robo
• Destrucción
Destrucció
• Diseño Inefectivo
Diseñ Activo / Recurso
• Ejecución
Ejecució • Gente y Organización
Organizació
ineficiente • Procesos
Actor • Regulación
Regulació • Infraestructura
• Internos • Uso inapropiado • Componentes de la
• Externos Arquitectura de Negocio
+ +
Tipo de Amenaza Tiempo
• Maliciosa + +
• Accidental Escenario •
•
Duración
Duració
Tiempo de Ocurrencia
• Falla
• Natural de Riesgo • Tiempo de detección
detecció
32
34. Val IT
Los cuatro “Ases”
Val IT Framework
•Presenta una estructura con un
Estrategia Valor contenido similar al Framework de
CobiT
¿Hacemos ¿Obtenemos
las cosas
•Incluye para cada proceso:
los
correctas? beneficios? • Entradas y salidas
• Roles (con definiciones) y
responsabilidades
• Metas y Métricas
• Modelos de Madurez
¿Las ¿Logramos • Gobierno del Valor
hacemos en hacerlas • Administración del Portafolio
la forma “bien • Administración de las
adecuada? hechas”
hechas” Inversiones
Arquitectura Entrega
34
35. Val IT
Los Principios de Val IT
Las inversiones habilitadas por TI serán administradas como un
portafolio de inversiones.
Las inversiones habilitadas por TI incluirán el alcance completo de las
actividades que son requeridas para lograr el valor de negocio.
Las inversiones habilitadas por TI serán administradas a través de su
ciclo de vida económico completo.
Las prácticas de entrega de valor reconocerán que existen diferentes
categorías de inversiones que serán evaluadas y administrada de
manera diferente.
Las prácticas de entrega de valor definirán y vigilarán métricas clave y
responderán rápidamente a cualquier cambio o desviación.
Las prácticas de entrega de valor involucrarán a todos los
stakeholders y asignaran apropiadamente la rendición de cuentas
sobre la entrega de capacidades y la realización de beneficios de
negocio.
Las prácticas de entrega de valor serán vigiladas, evaluadas y
mejoradas continuamente.
35
36. Val IT
Principales Conceptos
Valor
El (los) resultado(s) final(es) de negocio esperado(s) de una inversión de negocio
habilitada por tecnología en donde tal(es) resultado(s) pueden ser financieros, no financieros
o una combinación de ambos.
Portafolio
Un agrupamiento de programas, proyectos, servicios o activos seleccionados, administrados y
vigilados para optimizar el retorno del negocio (notar que el foco inicial en Val IT esta
interesado de manera primaria en un portafolio de programas. COBIT esta interesado en
portafolios de proyectos, servicios o activos).
Programa
Un grupo estructurado de proyectos interdependientes que son tanto necesarios como
suficientes para lograr los resultados de negocio para generar valor. Estos proyectos podrían
incluir, pero no limitarse a cambios en la naturaleza del negocio, procesos de negocio, el
trabajo desempeñado por gente, así como las competencias requeridas para llevar al cabo el
trabajo, tecnología habilitadora y estructuras organizacionales. El programa de inversión es la
unidad primaria de inversión dentro de Val IT.
Proyecto
Un conjunto estructurado de actividades concernientes a la entrega de una capacidad definida
a la empresa (que es necesaria por NO suficiente para lograr los resultados requeridos
por el negocio) basadas en un calendario y presupuestos acordados.
Implementar
Incluye el ciclo de vida económico completo de un programa de inversión, hasta el retiro
de la misma. Ie. cuando el valor esperado completo de la inversión es realizado, se ha
obtenido tanto valor como se estima posible o cuando se determina que el valor esperado no
puede ser realizado y el programa es terminado.
36
37. Val IT
Sus procesos
Su objetivo es optimizar el valor de
las inversiones de negocio
habilitadas por tecnología de una
organización.
Gobierno
del Valor
(VG)
Administración
Administració Administración
Administració
de Inversiones del Portafolio
(IM) (PM)
Su objetivo es asegurar Su objetivo es asegurar que el
que los programas portafolio general de
individuales de inversión inversiones habilitadas por TI,
habilitada por TI, se encuentre alineado con los
generan un valor óptimo objetivos estratégicos de la
a un costo accesible con organización y contribuye con
un nivel de riesgo un valor óptimo al logro de los
conocido y aceptable mismos
37
40. CobiT ®, Val IT ® y Risk IT ®
en la implementación de un Modelo de
GRC
ISACA Capítulo Monterrey
¡Muchas Gracias!
Gustavo A. Solís, CISA, CISM, CGEIT
gsolis@cynthus.com.mx
40
