• Bookmark

¿Que tornillos apretar?

By Roberto Soriano, CISA, CRISC, CISM, ISO 27001 LA, PMP

COBIT Focus | 26 junio 2017 Inglés

Roberto Soriano Cuando la mayoría de las organizaciones se enfrentan a un importante proceso de mejora como cumplimiento, ciberseguridad o gobierno, típicamente se apoyan en diferentes estándares y preparan un proceso complejo para implementar la mejora.


Desde el punto de vista del autor, el principal problema con esta aproximación es tomar un único estándar y hacerlo como un proceso a cumplir desde la primera a la última página. Este tipo de proyectos suelen ser de larga duración, alto presupuesto, con gran número de expertos involucrados y posiblemente requieran comprar hardware y software. Todo esto no es económico.


Para facilitar la integración de este proyecto en la compañía, el responsable debería tener en cuenta aquellos procesos que aporten lo antes posible valor de forma importante a la compañía (logros rápidos). Así de esa forma, no es probable que ciertos grupos de personas involucradas dejen de apoyar el proyecto o lo cuestionen y además se obtenga rápidamente el apoyo de los patrocinadores del proyecto.


Uno de los métodos que más puede ayudar al responsable del proyecto es la relación de COBIT 5 entre objetivos de negocio y los objetivos de TI y a su vez los objetivos de TI con los procesos de TI, como se describe en COBIT 5. Partiendo de los objetivos de negocio para la organización (no más de 3), el líder del proyecto puede desarrollar varios objetivos de TI que pueden ser seleccionador por el CIO (figura 1).


Figura 1—Mapeo entre las Metas Corporativas de COBIT 5 y las Metas Relacionadas con las TI
Figura 1
View Large Graphic. Fuente: ISACA, COBIT 5, USA, 2012


En la figura 2 se puede comprobar que a partir del objetivo de negocio “Cumplimiento con las políticas internas” está relacionado con cuatro metas de TI. Una de ellas indicada como secundaria (S) y las otras como Primarias (P), que son:

  • (P) Cumplimiento y soporte de la TI al cumplimiento del negocio de las leyes y regulaciones externas
  • (S) Riesgos de negocio relacionados con las TI gestionados
  • (P) Seguridad de la información, infraestructuras de procesamiento y aplicaciones
  • (P) Cumplimiento de TI con las políticas internas

Figura 2—Metas TI relacionadas con las Meta Corporativa 15
Figura 2
Fuente: ISACA, COBIT 5, USA, 2012


Estas metas de TI deben ser priorizadas por el CIO, CISO o Gerente de TI. Una vez han realizado la elección, pueden obtener una lista de procesos. Suponiendo que eligen la 2ª, Cumplimiento y soporte de la TI al cumplimiento del negocio de las leyes y regulaciones externas y la 15ª Cumplimiento de TI con las políticas internas, entonces el responsable del proyecto podría obtener una lista de procesos relacionados.


La figura 3 muestra los procesos que son Primarios para las Metas de TI 2ª y 15ª.


Figura 3—Procesos relacionados con las Metas de TI seleccionadas donde al menos uno de ellos es Primario
Figura 3
Fuente: ISACA, COBIT 5, USA, 2012


El responsable del proyecto seleccionara los procesos más importantes, los procesos declarados como primarios para las metas de TI. En este caso, el responsable del proyecto utilizará 2 procesos (estos dos procesos son Primarios para las metas de TI seleccionadas):

  • APO01. Gestionar el Marco de Gestión de TI
  • MEA02. Supervisar, Evaluar y Valorar el Sistema de Control Interno

El responsable del proyecto observando estos dos procesos, puede obtener una lista de Métricas de Metas Corporativas, Métricas de TI, Métricas de Proceso y Actividades que le van a ayudar a obtener los objetivos de negocio indicados.


Como Metas de Métricas Corporativas tendría:

  • Número de incidentes relacionados con el incumplimiento de políticas
  • Porcentaje de interesados que entienden las políticas
  • Porcentaje de políticas apoyadas por estándares y prácticas de trabajo efectivos

Como Métricas de TI:

  • Coste de incumplimientos TI, incluyendo acuerdos y sanciones e impacto en pérdida de reputación
  • Número de incumplimientos TI reportados al Consejo de Administración o causantes de comentarios o vergüenza públicos
  • Número de incumplimientos relacionados con proveedores de servicios TI
  • Cobertura de evaluaciones de cumplimiento
  • Número de incidentes relacionados con el incumplimiento de políticas
  • Porcentaje de interesados que entienden las políticas
  • Porcentaje de políticas apoyadas por estándares y prácticas de trabajo efectivas
  • Frecuencia de revisión y actualización de políticas

Como métricas de proceso:

  • Porcentaje de políticas, estándares y otros elementos catalizadores activos documentados y actualizados
  • Fecha de las últimas actualizaciones del marco de trabajo y de los elementos catalizadores
  • Número de exposiciones a riesgos debidas a la inadecuación del diseño del entorno de control
  • Número de empleados que asistieron a sesiones de formación o de sensibilización
  • Porcentaje de proveedores indirectos con contratos en los que se definen requisitos de control
  • Porcentaje de procesos con la seguridad de que las salidas cumplen el objetivo dentro de los márgenes de tolerancia
  • Porcentaje de procesos con la seguridad de que son conformes con las metas de control interno
  • Porcentaje de iniciativas de aseguramiento que siguen a programas de aseguramiento aprobados y los estándares de planificación
  • Porcentaje de procesos bajo revisión independiente
  • Número de debilidades identificadas en los informes externos de certificación y cualificación
  • Número de brechas mayores en el control interno
  • Tiempo transcurrido entre la ocurrencia de la deficiencia del control interno y su comunicación

Y por último las actividades. En el caso de APO01 es una lista de 48 actividades dentro de las 8 prácticas de gestión y en el caso de MEA02 son 44 actividades en sus 8 prácticas de gestión. El responsable del proyecto puede implementar estas actividades como parte de un proceso utilizando COBIT y considerando partes de algún otro estándar como la ISO 27002, ITIL o PRINCE2. Estos estándares podrían estar más especializados en alguna parte del proyecto.


El responsable del proyecto no debe ignorar los demás procesos. Esos otros procesos también son importantes para el responsable del proyecto y seguramente, esos procesos le ayudarán a obtener información necesaria para el desarrollo de los procesos seleccionados. Los procesos seleccionados le van a ayudar a priorizar sus esfuerzos obteniendo resultados alineados con los objetivos principales del negocio. Con los resultados del ejemplo, el responsable de proyecto podría enfocarse en Cumplimiento y soporte de la TI al cumplimiento del negocio de las leyes y regulaciones externas y de Cumplimiento de TI con las políticas internas para obtener el Cumplimiento con las Políticas Internas. Todos ellos son claros indicadores para el objetivo perseguido.


Conclusión

Con este método, el líder del proyecto puede implementar procesos seleccionados de acuerdo a su importancia para los objetivos del negocio y las relaciones entre los procesos. Tanto la dirección como los participantes van viendo cómo se consigue acercar al objetivo marcado haciendo más fácil la colaboración de todas las partes y la financiación del proyecto. La compañía no piensa en implementar COBIT, en su lugar se preocupa de implementar un marco de ciberseguridad o de cumplimiento o cualquier otra necesidad y es el responsable del proyecto quien utiliza COBIT para realizar la implementación que la compañía necesita.


Roberto Soriano, CISA, CRISC, CISM, ISO 27001 LA, PMP

Es un consultor de seguridad senior de TI en SEIDOR, y tiene más de 15 años de experiencia en seguridad de los sistemas de la información. Actualmente está trabajando con diferentes clientes internacionales en el proceso de mejora de la seguridad de la información en base a los riesgos y vulnerabilidades existentes. Ha utilizado COBIT de forma habitual en más de 50 proyectos diferentes desde 2009.

THIS WEBSITE USES INFORMATION GATHERING TOOLS INCLUDING COOKIES, AND OTHER SIMILAR TECHNOLOGY.
BY USING THIS WEBSITE, YOU CONSENT TO USE OF THESE TOOLS. IF YOU DO NOT CONSENT, DO NOT USE THIS WEBSITE. USE OF THIS WEBSITE IS NOT REQUIRED BY ISACA. OUR PRIVACY POLICY IS LOCATED HERE.