An extended case study in which students can apply their COBIT knowledge to a real-life situation...
COBIT® CASE STUDY:TIBO
An extended case study in which students can apply their COBIT knowledge to a real-life situation
COBIT®inAcademiaTMITGovernanceInstitute1
1
COBIT IT Governance Institute® The IT Governance Institute (ITGI) (www.itgi.org) was established in 1998 to advance international thinking and standards in directing and controlling an enterprise’s information technology. Effective IT governance helps ensure that IT supports business goals, optimises business investment in IT, and appropriately manages IT-related risks and opportunities. The IT Governance Institute offers symposia, original research and case studies to assist enterprise leaders and boards of directors in their IT governance responsibilities. Information Systems Audit and Control Association® With more than 35,000 members in more than 100 countries, the Information Systems Audit and Control Association (ISACA®) (www.isaca.org) is a recognised worldwide leader in IT governance, control, security and assurance. Founded in 1969, ISACA sponsors international conferences, publishes the Information Systems Control Journal®, develops international information systems auditing and control standards, and administers the globally respected Certified Information Systems Auditor™ (CISA®) designation, earned by more than 35,000 professionals since inception, and the Certified Information Security Manager® (CISM®) designation, a groundbreaking credential earned by 5,000 professionals in its first two years. Disclaimer The IT Governance Institute, Information Systems Audit and Control Association [the “Owner(s)”] and the authors have designed and created COBIT in Academia and its related publications, titled COBIT® Case Study: TIBO, COBIT® Student Book, COBIT® Caselets and COBIT® Presentation Package, (the “Work”), primarily as an educational resource for educators. The Owners make no claim that use of any of the Work will assure a successful outcome. The Work should not be considered inclusive of any proper information, procedures and tests or exclusive of other information, procedures and tests that are reasonably directed to obtaining the same results. In determining the propriety of any specific information, procedure or test, the educator should apply his/her own professional judgement to the specific circumstances presented by the particular systems or information technology environment. Disclosure Copyright © 2004 IT Governance Institute. All rights reserved. This publication is intended solely for academic use and shall not be used in any other manner (including for any commercial purpose). Reproductions of selections of this publication are permitted solely for the use described above and must include the following copyright notice and acknowledgement: “Copyright © 2004 IT Governance Institute. All rights reserved. Reprinted by permission.” COBIT in Academia may not otherwise be used, copied, or reproduced, in any form by any means (electronic, mechanical, photocopying, recording or otherwise), without the prior written permission of the IT Governance Institute. Any modification, distribution, performance, display, transmission, or storage, in any form by any means (electronic, mechanical, photocopying, recording or otherwise) of COBIT in Academia is strictly prohibited. No other right or permission is granted with respect to this work. IT Governance Institute 3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 USA Phone: +1.847.590.7491 Fax: +1.847.253.1443 E-mail:
[email protected] Web sites: www.itgi.org and www.isaca.org ISBN 1-893209-96-2 COBIT in Academia Printed in the United States of America 2COBIT®inAcademiaTMITGovernanceInstitute
2
CASE STUDY:TIBO ACKNOWLEDGEMENTS IT GOVERNANCE INSTITUTE WISHES TO RECOGNISE: The Board of Trustees Marios Damianides, CISA, CISM, CA, CPA, Ernst & Young LLP, USA, International President Abdul Hamid Bin Abdullah, CISA, CPA, Auditor General’s Office, Singapore, Vice President William C. Boni, CISM, Motorola, USA, Vice President Ricardo Bria, CISA, SAFE Consulting Group, Spain, Vice President Everett C. Johnson, CPA, Deloitte & Touche LLP (retired), USA, Vice President Howard Nicholson, CISA, CRN Solutions, Australia, Vice President Bent Poulsen, CISA, CISM, VP Securities Services, Denmark, Vice President Frank Yam, CISA, CIA, CCP, CFE, Focus Strategic Group Inc., Hong Kong, Vice President Robert S. Roussey, CPA, University of Southern California, USA, Past International President Paul A. Williams, FCA, MBCS, Paul Williams Consulting, UK, Past International President Emil D’Angelo, CISA, CISM, Bank of Tokyo-Mitsubishi, USA, Trustee Ronald Saull, CSP, Great-West Life and IGM Financial, Canada, Trustee Erik Guldentops, CISA, CISM, Belgium, Advisor, IT Governance Institute The Development Team Erik Guldentops, CISA, CISM, University of Antwerp Management School, Belgium (Chair) Roger Debreceny, Ph.D., University of Hawaii, USA Steven De Haes, University of Antwerp Management School, Belgium (Project Manager) Roger Lux, Farmers Insurance Group, USA John Mitchell, CISA, CIA, CFE, LHS Business Control, UK Ed O’Donnell, Ph.D., Arizona State University, USA Scott Summers, Ph.D., Brigham Young University, USA Wim Van Grembergen, Ph.D., University of Antwerp Management School, Belgium The Review Team Peter Best, CA, FCPA, MACS, Q.U.T. Accountancy, Australia Richard B. Dull, Ph.D., CISA, CPA, Clemson University, USA Frederick Gallegos, CISA, CGFM, CDE, California State Polytechnic University at Pomona, USA COBIT®inAcademiaTMITGovernanceInstitute
3
COBIT CONTENIDO Propósito del Documento........................................................................................................................ ........5 Descripción del Caso de Estudio....................................................................................................................7 Un DIA en la vida de la historia del Outsourcing de TIBO©.....................................................................7 Perfil de The Trusted Imperial Banking Organisation.................................................................................9 El ambiente de la Compañía TI .......................................................................................................................9 Proyectos........................................................................................................................... ..................................9 Tecnologia.......................................................................................................................... ...............................10 Estándares y Procedimientos.................................................................................................................. .....10 Seguridad... ....................................................................................................................... ...............................11 Entidades de la Organizacion...................................................................................................................... ..11 Junta Directiva............................................................................................................................. ....................11 Comité Ejecutivo……...................................................................................................................... ................11 Grupo Estratégico de Negocios....................................................................................................................11 Comité de Coordinación TI. ……………………...........................................................................................12 Gerencia TI. …........................................................................................................................................ .........12 Equipos TI. ...................................................................................................................................... .................12 Operación de Negocios............................................................................................................................ ......12 Cartas de Organización...................................................................................................................... ...........13 Material Adicional…......................................................................................................................... ............14 Problemas de Seguridad…....................................................................................................................... ....14 Preguntas........................................................................................................................... ...............................14 Acuerdo de grado de disponibilidad del Contrato Outsourcing............................................................15
4
Problema de Outsourcing….................................................................................................................... ....16 Preguntas…........................................................................................................................ ............................16 Problemas de Estratégica de Alineación.....................................................................................................16 Informacion Extra Adicional.......................................................................................................................16 Preguntas........................................................................................................................... ...............................17 Notas de Estudio …….................................................................................................................................... .18 Material Adicional y Soporte de este Caso…............................................................................................18 En General.............................................................................................................................. ..........................18 Para los problemas de Outsourcing… …...................................................................................................18 Para los problemas Estratégicos de Alineación. ……................................................................................18 Soluciones sugeridas……..................................................................................................................... .........19 Respuestas Generales ………........................................................................................................................19 Respuestas Esperadas en Seguridad…........................................................................................................19 Respuestas Esperadas en Outsourcing…...................................................................................................20 Respuestas Esperadas en Estrategias de Alineación…..............................................................................21 Apéndice............................................................................................................................ ...............................22
4COBIT®inAcademiaTMITGovernanceIn
5
CASO DE ESTUDIO: TIBO PROPOSITO DE ESTE DOCUMENTO El Caso de COBIT: TIBO es un producto desarrollado por el Instituto de Gobierno de Tecnología de Información (IT) , en colaboración con un grupo de académicos y practicantes internacionales , como parte de COBIT en la Academia. El objetivo de este documento es de proporcionar un caso extenso (incluyendo la descripción del caso, las preguntas del estudiante y las notas de estudio) en el cuál estudiantes puede aplicar su conocimiento de COBIT a una situación de la vida real. Esto puede ser integrado en planes de estudio, para la administración de sistemas de información, la administración de la seguridad de información, auditar, sistemas de información que auditan y/o sistemas de información de contabilidad. Este caso ha sido diseñado para ser utilizado principalmente en clases de post -grado. El caso podría ser utilizado también dentro de las clases de los que aun no se han graduado, si los estudiantes fueron expuestos a conceptos del control interno en un ambiente intensivo de IT (tecnología de información), framework de control general y COBIT, en particular. El caso ha sido diseñado para trazar al Libro del Estudiante de COBIT, un libro que explica e ilustra todos los elementos de COBIT, que fue desarrollado también por el Instituto de Gobierno de Tecnología de Informacion como parte de COBIT en la Academia. Los materiales en este caso de estudio indican directamente el proceso de IT, cubierto en el capítulo 2 (DS2) del Libro de Estudiante de COBIT y de las distribuciones adicionales en otros procesos suministrados en el capítulo 3 (PO1, PO9, PO10, AI2, DS5, DS6, M1 y M2). Se sugiere que el caso sea manejado en 1 o posiblemente 2 sesiones de clase (vea la figura 1) después de que se haya presentado el COBIT (la sesión 0). Sugerimos que la primera parte del caso se lleve a cabo en una sesión de clase de aproximadamente 1.5 horas. Se les debe proporcionar a los estudiantes la lectura (la descripción del caso de estudio e informe de la Tabla del Gobierno de TI ,2nda Edicion), con las preguntas repartidas en la clase en uno o en más de los asuntos descritos: la seguridad, outsourcing, la alineación estratégica (proporcionado en la sección Material Adicional). Las preguntas pueden ser manejadas durante una segunda sesión en una manera interactiva o como asignaciones a pequeños grupos. Los materiales adicionales de la lectura y las soluciones sugeridas a cada parte del caso se proporcionan en las notas de la página 18.
6
COBIT El Instituto de Gobierno de Tecnología de Información ha desarrollado también otros 3 productos que pueden acompañar a este caso de estudio : El Libro del Estudiante COBIT (mencionado anteriormente ), el Paquete de Presentación de COBIT proporcionado una presentación de 80 diapositivas en Power Point sobre COBIT, y los COBIT CASELETS que incluyen mini casos para ejercicios mas pequeños en COBIT , para ser utilizados en los niveles del graduado y del estudiante
7
CASO DE ESTUDIO: TIBO DESCRIPCIÓN DEL CASO DE ESTUDIO UN DÍA EN LA VIDA DE LA HISTORIA DEL OUTSOURCING DE TIBO : Era claro que el ejecutivo oficial (el presidente) del Trusted Imperial Banking Organisation (TIBO), John Mitchell, no estaba de humor para la conversación formal . El director de TI , Steven De Haes, fue acomodado en la oficina de director general en el piso 30 de la central del banco en el distrito financiero de la ciudad de Londres por el asistente personal Pyms Forsythe. De Haes tuvo alguna sospecha del problema cuando Forsythe lo había llamado a la reunión hacia unos pocos minutos. Forsythe indicó, "Mitchell ha tenido al Defensor financiero Survey2 por teléfono y él ha estado hablando por teléfono con el vicepresidente senior (SVP) de ventas al menudeo desde entonces. El no es feliz, y tu extravagante proyecto de operaciones de negocio web (We-BOP) es tan bueno como la muerte. De todos modos, él quiere verte en seguida". De Haes supo que el SVP de la venta al menudeo, Wim Van Grembergen, no era amigo de TI. El grupo de TI habia estado trabajando en el proyecto de We-BOP durante el ultimo año para el grupo de la venta al menudeo, luchando por encontrar la competencia para el cliente de la venta al por menor en UK (Reino Unido ). Esta competencia vino no sólo de las ofertas de Internet de algunos bancos sino también de instituciones financieras de solo-Internet. De Haes deseaba que su jefe, el principal oficial de funcionamiento (COO), Erik Guldentops, estuviera con él, pero él andaba en un viaje de negocios en el extranjero (otra vez). Michael señalo: ”Qué es lo que ustedes par de boffins en TI están haciendo con el We-BOP? Estaba en el teléfono con el Ombudsman de la Banca y me dijo que esta escribiendo una queja formal sobre nuestro servicio de banca por internet. El ha tenido mas de 40 quejas en los últimos dos meses. He estado hablando con Wim Van Grembergen, y me dice que el no ha estado involucrado en el We-BOP en los últimos seis meses, desde que ustedes hicieron que lo asesoraran por fuera. Quiero que traigan el We-BOP a la compañía y quiero que lo hagan ahora” De Haes pudo tranquilizar al CEO y proporcionar mas información sobre la historia del proyecto. Esto reveló que hay mucha inconformidad con la TI relacionada a la calidad del trabajo de terceros, pero también entre los negocios y la TI por que la Ti hizo la decisión “outsourcing” por si sola. De Haes dijo que la Ti hizo esto de buena fe por que el negocio ha estado “livid” sobre su inhabilidad para competir en el mercado de banca por internet. La discusión también reveló que ha habido muchas señales de advertencia sobre la calidad del servicio. “Sabes Steven , eso es correcto. En una platica que tuve con Wim, aprendi que el reporte de la mesa de ayuda de proveedores fue de Joshua Dean , uno de tus chicos, el administrador del uso de soporte. Joshua asumió que la compañía outsourcing se había ocupado efectivamente de estas quejas. Ellos no fueron entrados al sistema de apoyo de usuario. Joshua había notificado a Ed O`Donnell que los informes eran mas largos cada mes . Ed no fue sorprendido de esto por que él había notado que la cuenta outsourced había estado aumentando sobre los últimos meses. Encima de él, Catherine en el desarrollo, había oído que el proveedor de internet de Singapur no podía resolver los problemas erróneos de la transacción” dijo Mitchell. Estaba claro al CEO TIBO que él iba a tener que llamar a todos los jugadores claves para llegar al fondo de este asunto.. El le pidió a Forsythe que hiciera una reunión para el día siguiente. ¿"Pyms, harias el favor de cambiar también esa seguridad que encuentra en el comité de auditoría de la junta directiva? Yo se que todos estamos conscientes de lo serio del “Fire-fighting” de seguridad después de lo ocurrido el 9/11 , y atacar los incidentes de virus, pero tenemos que resolver primero el problema WeBOP “
8
COBIT “Ah por cierto, Steven, antes de que te vayas. Tienes idea sobre a quien podríamos llamar para que sea nuestro guru en seguridad para la junta del comité de auditoría?” “Podrías acordarte, John, que si pusimos una requisición para una posición de CISO senior pero la conclusión del comité ejecutivo fue que podríamos hacerlo sin uno. Todavía estoy teniendo un debate con auditoria interna por que ellos están tratando de poner esa responsabilidad sobre mí, por que Erik y Roger no podrían acordar sobre quién debía ser. En realidad solo tenemos a Ida Doano, nuestro administrador de seguridad, y ella estaría realmente fuera de sí en una junta del consejo”. En su camino de regreso a su oficina, De Haes seguía pensando en como había comenzado todo. TI había planeado el proyecto We-BOP pero no tenía las capacidades o habilidades de desarrollo, dado eso la mayoría de la gente de TI están orientadas al “mainframe”. Durante un juego de golf, De Haes escuchó por su amigo en otra compañía financiera sobre una fabulosa compañía de desarrollo en Singapur que produce aplicaciones e las mejores, reutilizables y de banca por internet que pueden ser utilizadas para el “outsourcing”. Se hizo un contrato basado en los acuerdos estándar del vendedor, negociado por Da Haes y uldentops firmado (por el CEO de TIBO. El departamento legal del banco también reviso el contrato y se hicieron algunos cambios de sus aspectos legales. El acuerdo de nivel de servicio del contrato de outsourcing cubrió: • El alcance del trabajo
• Definiciones de línea de tiempo para desarrollo y “rollout” • Desempeño, rastreo y reportes • Papeles y responsabilidades • Pagos y funcionalidades La intención fue de que el tercero que proporcionaba el servicio proporcionara servicios de banca por internet –incluyendo funcionalidad de oficina principal, interfaces para la oficina de soporte y funciones de soporte al cliente- en dos etapas. En la primera etapa, los clientes tendrían acceso a sus cuentas de cheques y de ahorro. Las nuevas funciones que serían integradas a la aplicación web en el futuro serían préstamos y tarjetas de crédito. La infraestructura de la oficina de soporte habia sido desarrollada internamente y era operacional. Cuando la aplicación entro en operación, todo salió bien. Había u pequeño número de usuarios (5 por ciento de la base de clientes). Después de seis meses, cuando creció el número de usuarios, comenzaron los problemas con la calidad de la entrega del servicio, tales como: • El tiempo de respuesta fue insatisfactorio
•
Los clientes podían acceder al sistema solo durante ciertos tiempos en el dia (disponibilidad del sistema)
•
Ocasionalmente las transacciones no eran ni fueron procesadas erróneamente
Como resultado, la mesa de ayuda recibió un gran número de preguntas y quejas. El proveedor informó de estas quejas mensualmente y publicò facturas a causa de la carga de trabajo en la mesa de ayuda .Hasta ahora, estos problemas no habian sido extendidos más allá del nivel operacional donde fueron solucionados por la TI y por los empresarios en horas extras. Antes de llamar a Guldentops, el COO, en Manila para proporcionarle una actualización en el problema de We-BOP. De Haes también fue recordado por la pobre Doano en
9
administrador de seguridad, quien en realidad estaba abrumado con desarrollar procedimientos de seguridad, poniéndose al corriente con las herramientas de seguridad, administrar contraseñas para los CASO DE ESTUDIO: TIBO empleados de negocios que querían acceso a todo, y generando reportes que no proporcionaban la información necesaria y que eran leídos por pocos. Mientras el teléfono estaba sonando, De Haes, también empezó a modificar en su mente su agenda para el siguiente dia. El tenia que tener en realidad tenia que platicar con Dean y su gente sobre su falta de reacción a las alarmas de firewalls y también con O’Donnell, quien aparentemente sabia de la existencia de esa debilidad. Y, ahí estaba la temida junta sobre las prioridades del proyecto con Va Grembergen y Lux. El va a tener que encontrar la manera para sacarlos de sus expectativas no razonables. Finalmente, Guldentops contestó. “Hola, Erik, ya se que es casi medianoche en Manila pero tenemos un GRAN problema…” EL PERFIL DE LAS ORGANIZACIONES DE ACTIVIDADES BANCARIAS TRUSTED IMPERIAL (TIBO) TIBO es una institución financiera de mediano tamaño con las siguientes características: • Sus capacidades de negocio base son actividades bancarias al menudeo – cuentas de ahorro, préstamos, tarjetas de crédito y actividades bancarias personales- al igual que desempeñar servicios claros y establecidos para los otros bancos en la región. Una de sus fuerzas ha sido la atención personal proporcionada a los clientes por los administradores de contabilidad en el grupo de actividades bancarias personal. • Está minimizando su red de franquicias físicas mientras persiguen agresivamente el negocio bancario electrónico • Está comenzando a adquirir servicios de TI por fuera (outsource o de riesgo compartido) • Ha pasado por muchas fusiones locales y como resultado tiene un ambiente complejo con servicios de TI compartidos que son difíciles de integrar. • Es orientada a procesos con una cultura emergente de inclusión del accionista pero no con una estrategia formal y una tendencia a cambiar prioridades después de largos debates entre los accionistas • Está compitiendo en un mercado en el cual se han llevado a cabo muchos cambios, incluyendo una creciente presencia de sociedades (préstamos y ahorros) y bancos internacionales. Nuevos productos que están siendo introducidos por competidores –incluyendo tarifas de interés en ahorros más altas- son atractivos para los clientes. Además, los servicios electrónicos financieros con acceso todo el día todos los días se están volviendo más comunes. • Posee una base de clientes y réditos constantes, e incrementando adquisiciones en este punto, pero el efecto de una competencia que va creciendo se está sintiendo cada vez más fuerte. Existe una preocupación sobre la pérdida de mercado al igual que márgenes de ganancia comprimidos. • Está enterada de los indicadores sobre los que se están preocupando los reguladores sobre el riesgo sistemático, mientras que TIBO proporciona servicios de pago y establecimiento a otras instituciones bancarias. EL AMBIENTE DE TI DE LA EMPRESA PROYECTOS Los proyectos TIBO incluyen: • We-BOP (operaciones bancarias electrónicas) –Actualmente (parcialmente en vivo y por outsourcing), esto incluye el acceso de los clientes a aplicaciones de ahorro y de cheques; todavía falta por implementarse el
10
acceso a préstamos y tarjetas de crédito, todo con una sola interfaz de usuario. COBIT
•
• • • •
CRM (administración relacionada con el cliente) –Esto juntará toda la información del cliente para habilitar la venta de productos, para apoyar tanto a los administradores de cuenta como a otro personal de soporte al cliente. CoBAR (aplicaciones de reconstrucción de el centro de negocios) –Esto incluye principalmente aplicaciones de ahorro, cheques y préstamos. IT_NET- expansión de red IT y aplicaciones de plataformas estandarizadas ForPay- servicios de pago foráneos Work_it- aplicaciones de trabajo y conectividad remota para los administradores de la cuenta
TECNOLOGIA El ambiente de TI consiste en 3 plataformas distintas. La plataforma central de COBAR proporciona el negocio primario y las aplicaciones financieras; estos incluyen ahorros, cheques, préstamos confianza actividades bancarias personales, interfaz de tarjeta de crédito (en unión\alianza con una firma importante de la tarjeta de crédito). Todas estas aplicaciones actualizadas en tiempo real. Las claras aplicaciones y administraciones de la contabilidad de la organización – libro mayor , cuentas por pagar, activos fijos y conciliación bancaria – también se encuentran basadas en la central . La plataforma central actualmente utiliza “ForPAy” como un servicio hacia otros bancos. El nuevo ambiente de cliente-servidor consiste en 5 servidores de UNIX que formaran la base para la nueva aplicación CRM con sus etapas iniciales de desarrollo. La conectividad de los sistemas corporativos es proporcionada por IT_NET, el cual es una red privada virtual (VPN) proveniente de la organización proveedor de telco. Total, la infraestructura de la red se va haciendo más vieja y más filtrada. Solo los administradores senior tienen laptops. La plataforma de red de la PC implica los servidores de Windows utilizados para los servicios de archivo y de impresión , comunicación de servicios y servicios de entrada. Los sitios de trabajo de PC funcionan con Windows. Esa es la plataforma para la aplicación de Work_It. La conectividad remota debe estar basada en las características disponibles en IT_Net . El acceso de la central está dado por un sistema de administración de seguridad. La seguridad de UNIX es proporcionada por el sistema operativo; ninguna herramienta de seguridad. Los firewalls son instalados y administrados por un proveedor TI_Net , como un servicio manejado. La sede de la casa (cuartel Gral.) son de aproximadamente 600 empleados .En la nación, la corporación emplea a aproximadamente 9,000 genes, de los cuales 450 están en IT. Los servicios de IT son críticos por los 600 jefetauras de empleados ESTANDARES Y PROCESOS Los procesos de TI fueron desarrollados en casa, y varía en la calidad y conformidad del area al area dentro del grupo de TI. El desarrollo de la estrategia de TI es relativamente informal. Esto está basado en la discusión de la gerencia y se documentan mediante notas de la gerencia, mas bien se determina por un proceso preescrito u otro formato estándar. TI quisiera más dirección sobre el negocio y de la gerencia ejecutiva, pero se toman las decisiones estratégicas sobre una base de proyecto-por-proyecto. La organización de TI es bastante tradicional, con equipo de desarrollo de sistemas, equipo de operaciones y sistemas, y un equipo de tecnología. El
11
equipo de gerencia consiste en un encargado por cada uno de los 3 grupos, mas el líder del departamento. CASO DE ESTUDIO: TIBO Los progresos del sistema se ha tomado en la casa\central (matriz), basadas en el acceso, con un sistema metodológico del ciclo de desarrollo vital (SDLC) que fue adquirida hace algunos años y se ha ajustado al suit banco. Estos últimos años estos métodos han sido han sido anticuados y muy lentos de entender. Sin embargo han asegurado la documentación razonable de los sistemas. Hay muy poca experiencia para adquirir soluciones de paquete. Solamente algunos de los equipos internos no tienen experiencia con los sistemas de cliente-servidor, y ninguna ha tenido experiencia en desarrollo web. Las operaciones están bien organizadas con buena disciplina y procedimientos duros. Generalmente, todo el trabajo es tratado como alta prioridad. Hay turnos cubriendo operaciones 24 horas al día, con un pequeño grupo de noche que maneja la mayoría del procesamiento de la jornada. Los acuerdos del nivel de servicios interno (SLAs) son definidos en términos técnicos y son realmente declaraciones a nivel de servicio, por ejemplo, objetivos de disponibilidad y requerimientos de capacidad para la red. Hay una pequeña mesa de ayuda interna, que es más que nada utilizada para Usuarios ocasionales y resetear contraseñas. SEGURIDAD La seguridad está basada en un procedimiento de larga duración, que esta basado en un sistema de administración de seguridad de acceso central (mainframe) tradicional. Las estaciones de trabajo no tienen disco. El simple pero no actualizada política de seguridad declara las responsabilidades generales y la importancia de la seguridad y privacidad de los datos bancarios. La TI tiene servidores reforzados, firewalls, encriptación difícil y una VPN. La autenticación de usuario basada en token es soportada por políticas de seguridad reforzadas. Existe un pequeño grupo de administración de seguridad que apoya el mantenimiento de seguridad y maneja los joiners, leavers y cambios a los derechos de acceso. No existe un administrador de seguridad específico, a pesar de que un administrador de seguridad es responsable de ubicar y manejar los privilegios. Debido a las presiones de negocios y de tecnología, la gente tiende a descuidar las reglas de seguridad. La seguridad todavía esta direccionada en un modo reactivo y el banco ha ofrecido asistencia, consejos y proveedores que están fuera de la compañía que vaya de acuerdo a esto. Previo a este punto la opción general ha sido que ha habido pocos problemas de que preocuparse. LAS ENTIDADES ORGANIZACIONALES JUNTA DE DIRECTORES La junta de directores de TIBO tiene los siguientes atributos: • El presidente de la junta no está involucrado con la compañía todos los días. • Está compuesta por miembros internos y externos, con la mayoría de los miembros del comité de auditoria externos. • Los miembros son técnicamente estudiados, pero están conscientes del riesgo e interesados en lo que hacen los demás COMITÉ EJECUTIVO El séquito de TIBO tiene los siguientes atributos: • Tiene gran influencia sobre la junta, pero necesita la cooperación de directores de juntas de directores externas. • Está enfocado en alcanzar resultados monetarios, y es de alguna manera riesgoso. • Consiste en un CEO, director ejecutivo financiero (CFO), director operacional (COO) y un ejecutivo de negocios. EL COO ve la TI como parte de sus deberes. •
12
COBIT • •
El control no es una prioridad importante en la lista, pero escuchará a auditoria y presionará para implementación de recomendaciones Recientemente presionó para desarrollo del sistema electrónico del banco.
GRUPO DE ESTRATEGIAS DE NEGOCIOS El grupo de estrategia de TIBO tiene los siguientes atributos: • Reporta al ejecutivo de negocios y no tiene inclinación tecnológica • Sus prioridades mas importantes son la administración de la relación con el cliente y el proyecto CRM • Recientemente ha pasado por un ejercicio de reducción de tamaño, reduciendo las oficinas sucursales en un 50 por ciento. Ha referenciado el costo de TI en el sector empresarial de negocios y propuesto que la propia TI de TIBO sea mas cara que la competencia Las iniciativas estratégicas actuales son : • La baja ejecución del cierre de las sucursales • Crear un sistema web de actividades bancarias, para descargar la demanda de los servicios en las sucursales (We-BOP) (en progreso) • Desarrollar capacidades de CRM para crear oportunidades de vender servicios bancarios en “cross-sell” (proyecto iniciado) COMITÉ DE COORDINACION TI El Comité de Coordinación de IT implica una mezcla de IT y de encargados de usuario (ver la carta de organización). Se juntan muchos mensualmente y su principal preocupación es velar los desarrollos existentes y futuros. Reportan Trimestralmente al grupo de estrategias de negocio. Ha tenido poca implicación con el desarrollo We-BOP debido a la naturaleza del desarrollo y operación del outsourcing. GERENCIA TI El director y su equipo de gerencia TI es: • Altamente técnico y desea hacer una marca en negocios en línea, específicamente con las actividades bancarias web, operaciones de poyecto,las cuales son un gran soporte. • Se preocupa por la red, ya que puede estar funcionando fuera como resultado de actividades bancarias en línea. • Completo apoyo de los controles de TI • En acuerdo de que haya mayor cooperación con el grupo de estrategias de negocio, y dar prioridad al apoyo de soportes de TI del proyecto de la gerencia, pero no siempre conviene en que se debe de hacer primero. • La firma cree que los sistemas actuales de la base pueden dar soporte a los negocios por varios años y obtener que los sistemas de la base se reconstruyan. EQUIPOS TI Equipos de TI TIBO son : • Profesionales altamente calificados con un gran enfoque de calidad. Ellos han puesto un fuerte control y funcionamiento del proyecto en el lugar. Sin embargo, lo ultimo es muy detallado y solamente se usa en un nivel local. • Constantemente desviados por cambios en la administración como resultados de algunos cambios en las aplicaciones y la infraestructura. • Preocupados por un rápido cambio, especialmente el outsourcing y los proyectos de negocio-promovidos que comercialmente no siempre son aceptados y toman recursos a CASO DE ESTUDIO: TIBO
13
lejanas a la inversión de la infraestructura necesaria, como la red TI para aumentar la conectividad y para estandarizar soluciones. • Preocupados por el incremento de los problemas de mantenimiento y la disminución hábiles disponibles relacionadas con el sistema principal, y realmente ha incrementado la frustración. OPERACIONES DE NEGOCIO Los ejecutivos de TIBO estan : • convirtiéndose en IT estudiados y están un poco celosos de que la TI este obteniendo su presupuesto mientras ellos tienen que reducirse y la TI no. • Demandando que necesitan un incremento en la conectividad remota y automatizar soluciones de flujo de trabajo que sean mas efectivas en una red reducida. • Quejándose del rendimiento del proceso, y del soporte para los sistemas de la base y empujando la SLAS y la reconstrucción de los sistemas que se esta convirtiendo en obsoletos. • Que conecta cada vez a mas y mas clientes en línea aunque no traen un ingreso inmediata mientras la presión de los sistemas de operacionales y de soporte
14
COBIT MATERIAL ADICIONAL El PROBLEMA DE SEGURIDAD PREGUNTAS
1. En una llamada anónima al CFO, alguien demanda tener acceso a la información del cliente escapada de los sistemas de la empresa y verifican con un fax que contiene una cierta información (nombres, cuenta, encargados, ec..) a) Analizar los riesgos de seguridad b) Recomendar algunas practicas buenas para mitigar mejor los riesgos
2. Eres informado de la infracción que ocurrió con los proveedores y te dan un
a) b)
curso (corto e inadecuado) acuerdo inadecuado del porcentaje de disponibilidad (SLA). Los datos se escaparon por que los proveedores utilizaron un cliente real, datos vivos durante pruebas de aceptación de la segunda fase en una instalación insegura del web server. Definir lo que se debe de hacer la administración en la relación de seguridad de SLA Que piensas que realmente pasó, que permitió que los datos fueran de dominio publico?
15
CASO DE ESTUDIO: TIBO
16
COBIT EL PROBLEMA DE OUTSOURCING PREGUNTAS
1) Te estas enfrentando con un proceso de outsourcing detallado. Da una
2)
evaluación de ese proceso. Describe los problemas TIBO encontrados los riesgos que estos enfrentan, e identifica las mejores prácticas que, de ser implementadas, hubieran prevenido o aliviado los problemas o riesgos. Identifica los roles que auditoria, administración de TI y el CEO deberían de tener en el uso de outsourcing . Compara estas mejores practicas a los papeles que en realidad tuvieron en TIBO.
EL PROLEMA DE ALINEACION ESTRATEGICA INFORMACION EXTRA La estrategia de negocios es determinada por el grupo de estrategias de negocios, el cual esta comprometido por el CEO , vicepresidente de ventas al menudeo y operaciones de venta,y dos miembros de fuera. Uno de los miembros de fuera Charles Penrose, en actual CEO de Accubank fue introducido en el TIBO hace 18 meses. El otro miembro de fuera es Nigel Sorrell. El es también miembro de la junta de directores. El grupo de estrategias de negocios se junta el primer martes de cada mes para repasar el progreso en iniciativas estratégicas previas y discutir la dirección estratégica del banco. La información para los repasos de progreso se obtiene generalmente invitando al administrador de proyecto de la iniciativa en particular para dar una breve presentación. El grupo trata de estar al tanto que puedan interrumpir las practicas de la industria. E particular el grupo ha estado pensando sobre: • Estrategias de canal • Tendencias actuales • Relaciones y retención de clientes El grupo de estrategias de negocios tiene excelentes procesos de documentación, mantiene un documento de iniciativas estratégicas que detalla cada una de las iniciativas y tablas de progreso en cada uno.este documento es distribuido a la junta de directores y al comité ejecutivo. El comité de ejecutivo se junta el primer jueves de cada mes. Siempre se incluye una discusión sobre problema estratégicos en la agenda del comité ejecutivo. John Michel siempre se asegura de que se le de la adecuada atención a la dirección estratégica del banco. La junta de directores se junta cada trimestre. Las iniciativas estratégicas siempre se encuentran entre los muchos temas discutidos por la junta. En la organización se delegan muchas decisiones estratégicas para implementación por ejemplo, se delegó la iniciativa We-BOP al director de TI para implementación. El director de TI asigno un administrador de proyectos y luego comenzó a buscar luciones potenciales para esta iniciativa. Decidió que la manera mas segura para entrar a la actividad bancaria electrónica era manejar por fuera de la compañía su función habilidad.
17
CASO DE ESTUDIO: TIBO
PREGUNTAS 1. Analizar las implicaciones de gobernación sobre como TIBO manejó el outsourcing de niveles de junta de directores, ejecutivos y administración de TI. ¿Cuáles serían las mejores prácticas para gobernar contratos de outsourcing? 2. ¿Por qué el CEO no estaba al tanto de la quejas de los clientes antes del reporte del Ombudsman? ¿Cómo se puede evitar esto en el futuro? ¿Qué cambios de gobernación propone para resolver este problema? 3. Mientras la junta comienza la iniciativa CRM, ¿Cómo se puede alcanzar una mejor alineación entre la Ti y la estrategia de negocios que fue evidente en la iniciativa We-BOP?
18
COBIT NOTAS DE ESTUDIO MATERIAL ADICIONAL PARA POYAR ESTE CASO EN GENERAL • Capitulo 3 del Libro de Estudiante COBIT (proceso DS5 y PO9) • Organización internacional para la estandarización (ISO) 17799 • Material introductorio sobre ITIL (Biblioteca de infraestructura de TI, oficina de comercio de gobierno , UK) PARA EL PROBLEMA DE OUTSOURCING • Libro del Estudiante COBIT ( Proceso DS2) • Sitios web de outsourcing www.outsourcing.com Cutter Consortium’s Sourcing and Vendor Relationships E-mail Advisor-e-mails semanales visita cutter.com • Debajo de “Data, Analysis, and Advice,” click en “Sourcing and Vendor Relationships.” • Date de alta para una suscripcion de prueba para el servicio de email semanal. • También hay disponibles reportes gratis en el sitio web • Computerworld Outsourcing—weekly e-mails (gratis): • visita www.cwrld.com/nl/sub.asp. Selecciona “Outsourcing”, y regístrate • también, para su centro de conocimiento de outsourcing visita : www.computerworld.com/managementtopics/outsourcing. • Network World • visita www.nwfusion.com, escribe “outsourcing.” • Tech Republic • visita www.techrepublic.com, escribe outsourcing.” • – IDG—Contenido 8 revistas incluyendo InfoWorld, PC World, CIO Magazine, etc. • visita www.idg.net, escribe “outsourcing.” •
•
Publicaciones tipicas en outsourcing de TI proporcionadas por el maestro Opcionalmente proporcione al alumno artículos típicos sobre outsourcing y referencias COBIT • Considere como se esta manejando la administración del cambio (como se organizó, después del numero de cambios operacionales debido a las quejas y errores ) • Proporcione a los alumnos una breve descripción del SLA, como es utilizado originalmente por la empresa • Utilice el programa de auditoria de outsourcing proporcionado por el isaca para apuntar a los estudiantes en la dirección correcta, www.isaca.org PARA EL PROBLEMA DE ALINEACION ESTRATEGICA Se les ha proporcionado a los alumnos un acercamiento de la compañia a la estrategia proporcionado en la página 16. Los estudiantes tambien tienen el material PO1 del libro del estudiante COBIT y el Board Briefing on IT Governance, 2nd edition (www.itgi.org) como material de referencia.
19
CASO DE ESTUDIO: TIBO SOLUCIONES SUGERIDAS RESPUESTAS GENERALES Algunos temas generales que se necesitan enfatizar en las respuestas proporcionadas por los estudiantes: • La estrategia no está clara para todas las partes, y existe una diferencia de opinión sobre las prioridades. • Existen problemas mayores con la administración del cambio como resultado de mucho cambios • La empresa esta apenas en un nivel 2 de madurez por seguridad de información • No existe coordinación y hay falta de comunicación Esté consciente de que el nivel de madurez 2 está construido dentro del caso (refiérase al modelo de madures del proceso DS5). Sus características son: • Las responsabilidades y contabilidades para la seguridad de TI son asignadas a un administrador de seguridad de TI sin autoridad de administración, reportando al supervisor de base de datos. • La alerta de seguridad esta fragmentada y limitada • La información de seguridad de TI es generada, pero raramente analizada. • Las soluciones de seguridad tienen a responder reactivamente a los incidentes de seguridad de TI y adoptando las ofertas de proveedores, sin mencionar las necesidades especificas de la organización • Las políticas de seguridad están siendo desarrolladas, pero no se están utilizando las habilidades y herramientas adecuadas. • Los reportes de seguridad de TI son incompletos, mal dirigidos e impertinentes. RESPUESTAS ESPERADAS SOBRE SEGURIDAD 1.- En una llamada anónima al CFO, alguien dice tener acceso a información de clientes fugada de los sistemas de la empresa y la verifica con un fax que contiene información importante y confidencial (nombres, cuentas, administradores, etc.). a. Analiza los riesgos de seguridad. Éstos son: • Parece haber una falta de administración (junta, comité de auditoria) con respecto a seguridad. • La seguridad de bajos recursos • No hay un plan de seguridad de TI • Las políticas están basadas en la era de mainframes y deben ser reforzados para nuevas tecnologías como laptops y discos virtuales • Responsabilidades y contabilidades para la seguridad de TI son asignadas a un administrador de seguridad de TI sin autoridad de administración, reportándole al supervisor de bases de datos. b. Recomiende algunas buenas prácticas para mitigar mejor los riesgos. Algunas buenas prácticas para mitigar riesgos son: • Implementar el ISO 17799 • Usar el proceso DS5 de COBIT 2. Le informan que la infracción (brecha) ocurrida con el proveedor y se les da una copia del actual (corto e inadecuado) acuerdo de nivel de servicio (SLA). La información se fugó por que el proveedor utilizo datos reales y actuales del cliente durante las pruebas de aceptación de la segunda fase en una instalación insegura de servidor web. a. Defina que debió de haber puesto administración en el SLA en cuanto a seguridad. Administración debe requerir que el: COBIT • SLA estipule que la seguridad debe ser del nivel del ISO 17799 • Proveedor sea certificado y auditado de acuerdo a ese estándar. b. ¿Qué cree usted que realmente paso para permitir que estos datos fueran de dominio público? Lo siguiente podría permitir que los datos fueran de dominio público:
20
• •
• •
El personal de outsourcing pudo haber robado información Se puedo haber decomisado y vendido un servidor sin limpiar el disco Los datos pudieron haber sido buscados en “google” por alguien buscando el nombre de un vecino Las cuentas de ex empleados pudieron haber sidos desactivadas impropiamente
RESPUESTAS ESPERADAS SOBRE OUTSOURCING 1) Usted se enfrenta con un proceso de outsourcing detallado. Dé una evaluación de este proceso. Describe los problemas TIBO encontrados o los riesgos que estos enfrentan e idenifica las mejores prácticas que , de ser implementadas, hubieran prevenido los problemas o riesgos. Señale los riesgos del : • Gobierno inadecuado del proceso de selección • Falta de conocimiento o posicionamiento del CEO para tomar esa decisión tecnológica • Falta de prueba • Elementos no definidos o débilmente definidos, en el SLA • Falta de medidas de seguridad • Ausencia de orientación de negocios sobre otras medidas • Reporte inadecuado (cuales reportes, quien es el responsable ) • Artículos no cubiertos en el SLA del contrato de outsourcing. Idealmente estos deberían ser identificados por el alumno: - Métricas de desempeño - Tiempo de respuesta - Disponibilidad del sistema. Parece que los clientes pueden acceder al sistema durante ciertas horas en el día - Seguridad - Pruebas (debido a la falta de pruebas alunas cosas no son procesadas son procesadas incorrectamente) - Entrenamiento (el proveedor desarrollo un archivo de error para administrar errores pero el personal interno de Tino fue entrenando para manejar esto) - Cargos extras para la mesa de ayuda en caso de que la carga de trabajo incremente - Requerimientos no completamente pensados - Administración de cambios (¿cómo fue esto organizado después del número de cambios operacionales debido a los errores y quejas?) 2) Identificar los roles que auditoría, administración de TI y el CEO deben de tener en outsourcing. Compare estas practicas con los roles que en realidad se desempeñaron en TIBO. Las comparaciones son: • Auditoría debió de haber estado involucrada en el desarrollo. Hubo nueva tecnología, alto riesgo y nuevos procesos de outsourcing para los cuales no había ninguna experiencia. Había un componente que se relacionaba altamente con el cliente con una potencialmente grande exposición con el cliente. • La administración de negocios debió haber estado mas involucrada en determinar la solución. Dejaron la solución completamente a TI y por lo tanto no se dieron cuenta de los posibles riesgos de negocios relacionados con el outsourcing. • La administración de TI debió haber sido mas proactiva en administrar el contrato por fuera de la compañía y no debió haber dejado las cosas solo al proveedor. CASO DE ESTUDIO: TIBO RESPUESTAS ESPERADAS EN LA ALINEACIÓN ESTRATÉGIZA 1. Analice las implicaciones de gobernación sobre cómo TIBO manejó el outsourcing de niveles de junta de directores, ejecutivo y administración de TI.
21
¿Cuáles serían las mejores prácticas para gobernar los contratos de outsourcing? Los temas importantes que deben surgir en la discusión: • Comunicación (ej., reporte de mesa de ayuda: no se hizo nada debido a las incorrectas suposiciones sobre responsabilidades) • Comités de dirección de TI y estrategia de TI • Mas complicación de los negocios • Claridad sobre el valor (principalmente intangible) que va ser devuelto por la inversión en TI 2. ¿Por qué el CEO no estaba al tanto de las quejas de lo clientes antes del reporte del defensor? ¿Cómo se puede evitar esto en el futuro? ¿Qué cambios de gobernación propone para resolver este problema? Fue tratado con una solución operacional tecnológica en lugar de ser tratado con una base de riesgo de negocio. Así: • No se vio al outsourcing como una oportunidad estratégica por la administración ejecutiva o por la junta. • La TI lo vio como una solución táctica para sus propios problemas de recursos. • La falta de un comité estratégico de TI quiso decir que el outsourcing no fue considerado en un contexto de negocio estratégico y, como resultado, no se evaluaron los nuevos riesgos de negocio • La selección de un proveedor debe ser un proceso formal en el cual todas las partes apropiadas, tales como TI y consecución, deben ser involucrados • Alguien con responsabilidad necesita manejar el contrato por fuera en una base diaria. • Las quejas de los clientes fueron dirigidas a un nivel muy bajo (Joshua Dean) y él pensó que era solo un reporte de información. Su jefe pensó que todas las quejas habían sido ya resueltas por el proveedor debido a la gran cantidad de facturas que recibieron para soporte. El problema de transacción equivocado no fue identificado como importante para la mesa de ayuda de fuera de la compañía debido a la falta de entrenamiento. • El SLA debe tener una sección que trate con el problema de administración con un procedimiento de escalamiento para incidentes serios. Las quejas de los clientes deben ir con el administrador de contrato y no directamente al departamento de soporte al usuario de TI. 3. Mientras la junta comienza la iniciativa CRM, cómo se puede alcanzar una mejor alineación entre TI y la estrategia de negocio que la que fue evidente en la iniciativa We-BOP? Existe la necesidad de un comité de estrategia de TI o una crecida necesidad de membresía de TI del grupo de estrategia de negocio para proporcionar alineación de negocio/TI. • Se necesita un comité de dirección de TI en lugar de el comité de coordinación • Se deben seguir las guías del Board Briefing on IT Governance, 2nd Edition.
COBIT APENDICE
22
El servicio Ombudsman Financiero es un poderoso servicio regulatorio de UK. El servicio Ombudsman Financiero, localizado en el Reino Unido, podría ayudar con una queja financiera que usted no pueda resolver con un: • Banco • Sociedad Constructora • Consejero Financiero • Sociedad Amiga o Unión de Crédito • Compañía de Seguros • Firma de Inversión • Corredor de Bolsa • Compañía de Fondos de Ahorro El servicio Ombudsman Financiero fue propuesto por ley de que diera un servicio gratis e independiente a los clientes para resolver disputas con firmas financieras. Puede ayudar con la mayoría de las quejas financieras sobre: • Servicios bancarios • Tarjetas de Crédito • Políticas de Dotación • Consejo de inversión y financiero • Políticas de Seguro • Administración de Inversión y Fondo • Seguro de vida • Hipotecas • Planes personales de pensión • Planes de ahorro y cuentas • Casas de Bolsas • Bonos de ingreso Puede imponer multas, pero el impacto real de tales incidentes es la pena que resulta de los reportes cuando sea hacen públicos.
23