COBIT5.pdf

UNIVERSIDAD NACIONAL DE CAJAMARCA ESCUELA ACADÉMICO PROFESIONAL DE ING. DE SISTEMAS [Fecha]     FACULTAD DE INGENI

Views 178 Downloads 5 File size 1MB

Report DMCA / Copyright

DOWNLOAD FILE

Citation preview

UNIVERSIDAD NACIONAL DE CAJAMARCA ESCUELA ACADÉMICO PROFESIONAL DE ING. DE SISTEMAS [Fecha]

   

FACULTAD DE INGENIERIA

CURSO DOCENTE CICLO INTEGRANTES  

: GERENCIA DE TI : ING. LIZZY FERNANDEZ VASQUEZ : X : CHILON ABANTO, VICKY GONZALES GUTIERRES, IVAN

Cajamarca 12de diciembre de 2014

Contenido COBIT5.............................................................................................................................................. 12 1.

DEFINICIÓN .......................................................................................................................... 12

2.

DIAGRAMAS QUE DESCRIBE COBIT 5: .................................................................................. 12

A.

Principios .............................................................................................................................. 13

B.

Habilitadores ........................................................................................................................ 15

3.

Guía para aplicar este Cobit5, .............................................................................................. 16

C.

SITUACION DE SU TECNOLOGIA DE INFORMACION ........................................................... 17

D.

IMPLANTACIÓN DE COBIT 5 EN HDFC BANK ...................................................................... 17

4.

Conclusiones. ....................................................................................................................... 21

5.

Bibliografía ........................................................................................................................... 22

Introducción La Información constituye un Recurso Clave para todas las organizaciones la Información se crea, usa, retiene, divulga y destruye. Para esto la Tecnología juega un Papel Clave en esas actividades.por consiguiente la Tecnología se está convirtiendo en parte integral de todos los aspectos de la vida personal y comercial. Los beneficios para las organizaciones, Las organizaciones y sus ejecutivos están haciendo esfuerzos para Mantener información de calidad para apoyar las decisiones del negocio, Generar un valor comercial de las inversiones habilitadas por la Tecnología de la Información (TI), o sea: lograr metas estratégicas y mejoras al negocio mediante el uso eficaz e innovador de la TI. Lograr una excelencia operativa mediante la aplicación eficiente y fiable de la tecnología, Mantener el riesgo relacionado con TI a niveles aceptables, Optimizar el costo de la tecnología y los servicios de TI. COBIT5 proporciona un marco integral que ayuda a las Organizaciones a lograr sus metas y entregar valor mediante un gobierno y una administración efectivos de la TI de la Organización.

COBIT5 1. DEFINICIÓN COBIT es un marco de gobierno de las tecnologías de información que proporciona una serie de herramientas para que la gerencia pueda conectar los requerimientos de control con los aspectos técnicos y los riesgos del negocio. COBIT permite el desarrollo de las políticas y buenas prácticas para el control de las tecnologías en toda la organización, enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a incrementar su valor a través de las tecnologías, y permite su alineamiento con los objetivos del negocio, Dicho en pocas palabras, COBIT 5 ayuda a las Organizaciones a crear un valor óptimo a partir de la TI, al mantener un equilibrio entre la realización de beneficios y la optimización de los niveles de riesgo y utilización de los recursos. COBIT 5 permite que las tecnologías de la información y relacionadas se gobiernen y administren de una manera holística a nivel de toda la Organización, incluyendo el alcance completo de todas las áreas de responsabilidad funcionales y de negocios, considerando los intereses relacionados con la TI de las partes interesadas internas y externas. Los principios y habilitadores de COBIT 5 son genéricos y útiles para las Organizaciones de cualquier tamaño, bien sean comerciales, sin fines de lucro o en el sector público.

2. DIAGRAMAS QUE DESCRIBE COBIT 5:





El producto principal COBIT 5, de amplia cobertura, contiene el resumen ejecutivo y la descripción completa de todos los componentes del marco de COBIT 5: 

Los 5 Principios de COBIT 5



Los 7 Habilitadores de COBIT 5, más:

La publicación inicial, define y describe los componentes que forman el Marco COBIT

A. Principios

B. Habilitadores

3. Guía para aplicar este Cobit5, DESCRIPCIÓN DE LA EMPRESA.- Tomando como ejemplo el banco HDFC BANK

http://www.hdfcbank.com/aboutus/default.htm?src=hp_top_nav

HDFC Bank.- Es una empresa de servicios bancarios y financieros de la India con sede en Mumbai, Maharashtra. HDFC Banco se constituyó en agosto de 1994 y actualmente cuenta con una red nacional de 3,600 Ramas y 11,515 En cajeros automáticos 2,272 Pueblos y ciudades de la India. El banco fue promovido por la Corporación Financiera de Desarrollo de Vivienda, una compañía de financiamiento de vivienda de primera (creado en 1977) de India. Según el Informe Marca Fideicomiso 2014, HDFC se clasificó 32º entre las marcas de mayor confianza de la India. HDFC tiene un enfoque de una sola mente en la calidad del producto y la excelencia en el servicio nos ha ayudado a Ganar la apreciación de las organizaciones nacionales e internacionales. PRODUCTOS HDFC Bank ofrece los siguientes productos básicos: Banca de Empresas Bajo Banca de Empresas, HDFC ofrece: Cuentas y Depósitos Financiación empresarial Banca Mayorista Inversiones y Seguros Informes de investigación Servicios de Pago Servicios comerciales Pagos y Colecciones Tarjetas

16

HDFC ofrece Banca Mayorista para sociedades e Instituciones Financieras y Fideicomisos. El Banco también ofrece servicios como la banca de inversión y otros servicios en el sector Gobierno. SERVICIOS Servicios de banca mayorista Servicios de banca minorista Tesorería Como consecuencia de una iniciativa por mejorar la seguridad de la información con la ayuda de COBIT, una entidad bancaria de Medio Oriente obtuvo varios beneficios, entre ellos: Mejorar la integración de la seguridad de la información dentro de la organización. Comunicar decisiones vinculadas al riesgo y crear conciencia sobre los riesgos. Mejorar la prevención, detección y recuperación. Reducir (el impacto de) los incidentes vinculados a la seguridad de la información. Aumentar el soporte relacionado con la innovación y la competitividad. Mejorar la gestión de costos relacionados con la función de seguridad de la información. Adquirir un entendimiento más profundo sobre la seguridad de la información.

C. SITUACION DE SU TECNOLOGIA DE INFORMACION En cuanto a TI, HDFC Bank tiene una red nacional de 3062 sucursales y 10 743 cajeros automáticos distribuidos en 1568 ciudades y poblaciones de India. HDFC Bank opera en un entorno altamente automatizado en términos de sistemas de TI y comunicación. Todas las sucursales de la entidad bancaria cuentan con conectividad en línea, que permite a sus clientes operar con transferencias de fondos sin demoras. También se proporciona acceso a múltiples sucursales a clientes minoristas a través de la red de sucursales y los ATM.

D. IMPLANTACIÓN DE COBIT 5 EN HDFC BANK HDFC Bank considera los 5 principios y 7 habilitadores para gestionar su TI. PRINCIPIO 1: Satisfacer las necesidades de las partes interesadas. El HDFC Bank establece los objetivos de la organización y los objetivos relacionados con TI. Principalmente se crea valor de las partes interesadas para la realización de beneficios, Optimización de riesgos y Optimización de recursos. PRINCIPIO 2: Cubrir la organización de forma integral. HDFC Bank decidió cambiar de visión, con el objetivo de considerar el área de TI como un activo y no un costo. Los directivos de la organización tomaron la responsabilidad de gobernar y gestionar los activos relacionados con TI dentro de sus propias funciones. Todo esto se realizó debido a que COBIT 5 se concentra en el gobierno y la administración de la tecnología de la información y relacionadas desde una perspectiva integral a nivel de toda la Organización. PRINCIPIO 3: Aplicar un solo marco integrado. HDFC Bank se acopló a este principio ya que este puede ayudar a las organizaciones a brindar valor óptimo de sus activos y recursos de TI, debido a que es aplicando de manera conjunta e integrada en toda la organización 17

PRINCIPIO 4: Habilitar un enfoque holístico. El gobierno de TI empresarial requiere de un enfoque holístico que tome en cuenta muchos componentes, también conocidos como habilitadores. Los habilitadores influyen en si algo va a funcionar o no, en este caso el HDFC Bank Limited debe tomar en cuenta estos siete habilitadores: HABILITADOR 1: Principios, Políticas y Marcos Define bien sus principios, políticas y procedimientos que son los principales factores que nos ayudarán a definir el comportamiento que nosotros deseemos de la organización y la administración de los procesos, en este caso principalmente basados en TI. HDFC Bank ha diseñado un documento de una política integral de unas 100 páginas. La versión actual es 3.0 y se encuentra en proceso de revisión hasta diseñar la versión 4.0. Este documento abarca los 11 dominios de seguridad de la información, según se especifica en la norma ISO 27001 de una manera agnóstica considerando plataforma y tecnología, y está modelada sobre la Norma de Buenas Prácticas del Foro de Seguridad de la Información.Debido a que el banco emplea entre 30 y 40 tecnologías diferentes, se crean políticas más detalladas para cada tecnología. Se trata de políticas minuciosas específicas de las tecnologías para que el equipo técnico responsable de implementarlas las tenga a modo de referencia. HDFC Bank cuenta con las certificaciones ISO 27001 y BS 25999, planea obtener el certificado ISO 22301 y ha alcanzado el 92 % de cumplimiento de las guías RBI. En la actualidad, el ISG se centra en la creación de un sistema sólido de gestión de incidentes, proveer una protección adecuada de los datos, garantizar la implementación apropiada del BYOD - "trae tu propio dispositivo" y detectar, contener y remover amenazas persistentes avanzadas oportunamente. HABILITADOR 2: Procesos En esta parte, describe una serie organizada de prácticas y actividades para lograr determinados objetivos y producir una serie de resultados como apoyo al logro de las metas globales relacionadas con la TI. Los procesos describen un conjunto organizado de prácticas y actividades para lograr ciertos objetivos y producir un conjunto de resultados respaldando el logro de las metas generales relacionadas con TI. El ISG sigue un modelo de proceso de seguridad de la información basado en 21 componentes: HABILITADOR 3: Estructuras Organizacionales Las estructuras organizacionales son las entidades clave de toma de decisiones en una empresa. La seguridad de la información en HDFC Bank está impulsada por su grupo de seguridad de la información. El grupo está liderado por el director general de seguridad de la información, que reporta al director ejecutivo del banco. El es principalmente responsable de identificar, evaluar y proponer la mitigación de cada riesgo relacionado con la seguridad de la información. Esta responsabilidad se lleva a cabo interactuando con diversos comités y partes interesadas y preparando planes, propuestas, políticas, procedimientos y guías. La implementación de estas directrices se asigna a los equipos de implementación de todo el banco. HABILITADOR 4: Cultura, Ética y Comportamiento Debe tomarse en cuenta tanto los individuos así como de la organización; se subestima frecuentemente como factor de éxito en las actividades de gobierno y administración. Varias iniciativas tomadas por HDFC Bank dieron lugar a la creación del tipo correcto de 18

comportamientos de seguridad. HDFC Bank ha utilizado muchos canales de comunicación, cumplimiento, políticas claras, reglas y normas. El comportamiento seguro también se fomenta a través del reconocimiento, por ejemplo, por medio de un certificado, y a través de mensajes contundentes a quienes no demuestren tal conducta. El comportamiento seguro está fuertemente influenciado por la concientización. Las ocho clases de comportamientos se indican a continuación a modo de referencia junto con las medidas específicas adoptadas por HDFC Bank para arraigar estas conductas a la práctica diaria de los empleados del banco:  La seguridad de la información se practica en las operaciones diarias  Las personas respetan la importancia de las políticas y los principios de seguridad de la información.  Las personas reciben guías suficientes y pormenorizadas de seguridad de la información y se les motiva a participar y retar la situación actual de la seguridad de la información.  Todos deben rendir cuentas sobre la protección de la información dentro de la empresa.  Las partes interesadas son conscientes de cómo identificar y responder a amenazas a la empresa.  La dirección respalda y anticipa proactivamente innovaciones en cuanto a seguridad de la información y comunica esto a la empresa. La empresa es receptiva para dar cuenta de los nuevos desafíos en materia de seguridad de la información y abordarlos.  La dirección del negocio se compromete en una colaboración multifuncional continua a fin de fomentar la puesta en marcha de programas de seguridad de la información eficiente y eficaz.  La dirección ejecutiva reconoce el valor de la seguridad de la información para el negocio. HABILITADOR 5: Información La información es generalizada en cualquier organización e incluye toda la información producida y utilizada por la empresa. Se requiere la información para mantener a la organización en funcionamiento y bien gobernada, pero a nivel operativo, la información es con frecuencia el producto clave de la misma empresa. Se encuentra presente en todo el ambiente de cualquier organización; o sea se trata de toda la información producida y usada por la Organización. La información es requerida para mantener la organización andando y bien gobernada, pero a nivel operativo, la información frecuentemente es el producto clave de la organización en sí. HABILITADOR 6: Servicios, Infraestructura y Aplicaciones Los servicios, la infraestructura y las aplicaciones incluyen la infraestructura, la tecnología y las aplicaciones que brindan a la empresa servicios y procesamientos de TI. HDFC Bank emplea casi 40 tecnologías diferentes. Alrededor de estas tecnologías se desarrollan distintos servicios, infraestructuras y aplicaciones. Como se describió en la sección sobre el facilitador y habilitador de procesos, cada uno de estos servicios está cruzado con el nivel de madurez de la seguridad de la información. Una actualización continua del nivel de madurez, que tenga en cuenta atributos tales como la automatización, la eficacia, la gestión de incidentes y la medición, garantiza un monitoreo muy pormenorizado de estos servicios. Todos los proyectos que pretenden mejorar los servicios se basan en el nivel de madurez pensado para cada servicio en particular. 19

HABILITADOR 7: Personas, Habilidades y Competencias Están vinculadas con las personas y son requeridas para completar exitosamente todas las actividades y para tomar las decisiones correctas, así como para llevar a cabo las acciones correctivas. Las personas, habilidades y competencias están vinculadas a las personas y son requeridas para la finalización exitosa de todas las actividades y para tomar decisiones correctas y aplicar medidas correctivas. HDFC Bank ha empleado una serie de técnicas para crear conciencia sobre la seguridad y desarrollar habilidades y competencias adecuadas. A continuación se incluye una lista de las iniciativas: o o o o o o o

Película sobre la seguridad de la información Tira cómica sobre seguridad de la información Red de seguridad Correo electrónico y campaña de imágenes Diez mandamientos de seguridad Curso La seguridad primero Taller de un día

20

4. Conclusiones. Cobit5 permite el Incremento de la creación de valor a través un gobierno y gestión efectiva de la información y de los activos tecnológicos. La función de TI se vuelve más enfocada al negocio Esto también da lugar al Incremento de la satisfacción del usuario con el compromiso de TI y sus servicios prestados – TI es visto como facilitador clave. Las personas que participan son más proactivas en la creación de valor a partir de la gestión de TI. Las compañías que almacenan, procesan o transmiten datos de titulares de tarjetas o datos de autenticación deben cumplir con los requerimientos de seguridad. Si estas compañías emplean COBIT 5, podrán abarcar los requerimientos de seguridad de PCI DSS 3.0 con los procesos facilitadores / habilitadores de COBIT 5. Desde otra óptica, pueden utilizar los requerimientos de seguridad de PCI DSS 3.0 para facilitar la implementación de COBIT 5 y alcanzar los objetivos de GEIT. De ambas maneras, estas sinergias permiten optimizar los niveles de riesgo y el uso de recursos.

21

5. Bibliografía http://www.hdfcbank.com/aboutus/default.htm?src=hp_top_nav http://www.isaca.org/Education/Conferences/Documents/LatinCACS/234.pdf

22