1 / 69

Soluciones SOA SarbOx Accelerator

Soluciones SOA SarbOx Accelerator. Agenda. Introducción Gestión de identidad Sarbanes-Oxley/Control interno Solución SarbOx Accelerator ¿ Por qué Sun Microsystems? Demo. Soluciones SOA Introducción. Antecedentes.

moesha
Download Presentation

Soluciones SOA SarbOx Accelerator

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Soluciones SOA SarbOx Accelerator

  2. Agenda • Introducción • Gestión de identidad • Sarbanes-Oxley/Control interno • Solución SarbOx Accelerator • ¿Por qué Sun Microsystems? • Demo

  3. Soluciones SOA Introducción

  4. Antecedentes Sun Microsystems de México y QoS Labs han trabajado conjuntamente en el desarrollo de soluciones de negocio, integrando sus productos y servicios de software, enmarcados bajo la referencia de una arquitectura orientada a servicio (SOA), considerando: • Suites de desarrollo acelerado basadas en SOA. • Ambientes de laboratorio y demostración. • Programas de entrenamiento y certificación. • Servicios profesionales primer y segundo nivel. • Consultoría primer y segundo nivel. • Service-Desk. ELCM SarbOx BI . . . SOA

  5. Objetivo Ofrecer a nuestros clientes soluciones a través de las cuales se facilite la automatización e incorporación de estrategias, políticas, procesos y mejores prácticas de negocio a su infraestructura de sistemas de TI (BSS), generando beneficios estratégicos como: • Incremento de la productividad y del ingreso. • Reducción de costos y optimización operativa. • Generación de negocio incremental. • Seguridad y minimización de riesgos. • Cumplimiento de regulaciones. • Adopción de mejores prácticas. • Mejora en la calidad del servicio. Cliente Consultor/Auditor ESTRATEGIA PROCESOS TECNOLOGIA

  6. Soluciones SOA Gestión de Identidad

  7. Introducción El proceso de Gestión del Ciclo de Vida de Empleados (ELCM, por sus siglas en inglés) representa una actividad crítica para las empresas contemporáneas que cuentan con un alto requerimiento de administración de cuentas de recursos corporativos debido a: • Gran cantidad de cuentas administradas paraacceso a aplicaciones, servicios e instalaciones. • Constante requerimiento administrativo en la asignación de roles, perfiles y/o privilegios de los empleados. • Alto uso de personal externo temporal. • Cumplimiento con regulaciones. • Alta tasa de rotación y/o temporalidad de los empleados que las requieren.

  8. Antecedentes • El concepto de Gestión del Ciclo de Vida de Empleados se basa en proveer, tanto al empleador como al empleado, la continua administración de servicios, desde el proceso inicial de contratación hasta el de salida, controlado extremo a extremo. • ELCM provee a las empresas una solución de negocios que resuelve el problema de “aprovisionar” y “desaprovisionar” empleados con acceso a servicios e instalaciones y mantener rastro de su actividad en los sistemas, así como de los documentos y de las actividades de procesos y proyectos relacionados a los mismos. • Implementar una solución ELCM, ayuda a las empresas a gestionar en tiempo real los accesos de sus empleados a los servicios e instalaciones, con una mayor efectividad y a un menor costo, a lo largo de su permanencia en la empresa.

  9. El Problema Corporativo • Baja productividad • Tiempo que se necesita para agregar o retirar servicios. • Uso requerido de varias contraseñas en diversas aplicaciones. • Alto costo de administración de usuarios • Costos significativos por llamadas a la mesa de ayuda para reasignar contraseñas. • Administración de múltiples sistemas de autenticación. • Riesgo de seguridad • Ineficiente “desaprovisionamiento” de empleados. • Proceso/política de cambio periódico de contraseña no sistemático. • Asegurar el cumplimiento regulatorio.

  10. Métricas del Problema Corporativo • El usuario promedio tarda 16 minutos al díaen tareas de autenticación y autorización de acceso (Meta Group). • El fraude de identidadafecta a más de 2,000 personas al día en el mundo y cada 79 segundos una identidad es robada (National Small Business Travel & Health Association). • Una organización típica de 2,500 usuarios puede gastar alrededor de $850,000 USD al año en costos relacionados a helpdesk(Gartner Group). • Se estima que las llamadas al helpdesk cuestan un promedio de $30 dólares americanos cada una y que las solicitudes de administración de contraseña de los usuarios representan un 40% del volumen de llamadas al helpdesk (Gartner Group).

  11. Métricas del Problema Corporativo • El 45% de las llamadas al helpdesk están relacionadas a reasignaciones de contraseñas. Un sistema automatizado de reinicio de contraseñas reduciría el volumen de llamadas en una tercera parte (Meta Group). • La administración de contraseñas es uno de los diez puntos de mayor riesgoque hoy enfrentan las compañías (Gartner Group). • La generación de huecos de seguridadpor no desaprovisionar a los empleados que dejan la compañía y que continúan teniendo acceso a los sistemas del negocio, pudiendo utilizar o borrar información propietaria.

  12. Premisas • Al contratar a un empleado, es necesario brindarle acceso a los servicios e instalaciones necesarias que le permitan realizar actividades laborales. • Existe una gran diversidad de sistemas / aplicaciones, bases de datos y repositorios de usuarios (directorios, DBMS, etc.) en las empresas. • Las funciones y responsabilidades de los empleados cambian a lo largo de su “ciclo de vida” dentro de la empresa. • Los empleados pierden u olvidan las contraseñas de acceso a sus servicios. • Los empleados se ausentan por periodos largos o, simplemente, dejan de pertenecer a la compañía.

  13. Causas Raíz – Problemas en Seguridad de Acceso • La Causa-Raíz de muchos problemas de seguridad y control son: • Sistemas y aplicaciones aisladas • Procesos de negocio aislados • Falta de control centralizado en procesos de administración de usuarios • Repositorios de identidad redundantes

  14. ¿Qué se Observa? Las tecnologías de información, en particular aquellas relacionadas a arquitecturas orientadas a servicio (SOA), representan una herramienta poderosa para apoyar y asegurar un manejo adecuado, seguro, rastreable y eficaz del ciclo de vida de los empleadosde las organizaciones que, por su dinámica organizacional, así lo requieran y justifiquen. “Una correcta gestión del ciclo de vida de empleados genera un impacto positivo en la disminución de costos administrativos, al reducir la complejidad y el tiempo requerido en la administración de cuentas de usuarios, maximizando la continuidad y productividad operativa de las empresas.”

  15. ¿Qué DEBE un usuario acceder? (Aprovisionamiento) ¿Qué PUEDE un usuario acceder? (Auditoría de Identidad) ¿Qué USÓ un usuario al acceder? (Auditoría de Actividad) ¿Qué es ELCM? ELCM es la gestión del ciclo de vida de un empleado ante la organización, el cual contempla las actividades que impactan en la infraestructura de TI durante los procesos de: • Contratación o alta del empleado; • Utilización de los recursos corporativos requeridos por el mismo; • Modificación de sus accesos o roles; • Terminación o baja del empleado; y, • Auditoría de actividades a lo largo de su vida útil ante la organización.

  16. Diagrama ELCM Auditoría Contratación d • Captura de datos • Asignación de recursos • Creación de usuarios • Asignación de permisos Utilización • Autenticar y acceder • Cambio de datos • Re-asignación de recursos • Recuperación de contraseñas • Cambio de contraseñas • Re-asignación de permisos d ELCM • Respaldo de datos • Negación de recursos • Eliminación de cuentas de usuarios • Negación de permisos • Re-asignación de información Modificación d Terminación

  17. Gestión del Ciclo de Vida de Identidad y Auditoría de Identidad

  18. Término de la Relación Laboral Desaprovisionamiento manual del empleado Modificación de Accesos y Privilegios El usuario incrementa accesos y privilegios anteriores Accesos Activos Después de la Salida del Empleado RIESGO DE SEGURIDAD!! Contratación del Empleado Aprovisionamiento manual del empleado Comportamiento Típico del Ciclo de Vida “Un promedio de 20% de los empleados que salen de la organización mantienen accesos no autorizados.” Fuente: NTIA Monitor Password Survey, Meta Group y Gartner Privilegios Tiempo

  19. Término de la Relación Laboral Desaprovisionamiento automatizado del empleado Modificación de Accesos y Privilegios El usuario pierde y gana privilegios según su función se modifica No Quedan Accesos Activos Después de la Salida del Empleado Contratación del Empleado Aprovisionamiento manual del empleado Comportamiento Óptimo del Ciclo de Vida Privilegios Tiempo

  20. Premisas de Analistas

  21. Análisis ROI

  22. Auto-Servicio de Gestión de Contraseñas • Costos de la Mesa de Ayuda: Reducciones de al menos un 35% con ahorros de hasta $75 USD por usuario por llamada. • Administración Delegada • Seguridad de TI: Mejora de la actividad a través de la delegación de privilegios basada en roles y reglas, auditoría y reporteo. • Sincronización de Información de Identidad • TCO: Implementación y mantenimiento de una sola solución para el manejo de proyectos de meta-directorio y aprovisionamiento. • Aprovisionamiento Automatizado de Usuarios • Seguridad de TI: Asegura niveles apropiados de acceso al iniciar la relación y la remoción de la totalidad del acceso en cuanto la relación termina. • Eficiencia de TI: Ahorros de $70,000 por cada 1,000 usuarios administrados. • Ganancias por Productividad de los Usuarios: $1,000 USD por empleado nuevo y $350 USD por empleado ya existent.e. Propuesta de Valor: Gestión del Ciclo de Vida de IdentidadHabilitando Mejor Seguridad, Reducción de Costos e Incremento de la Productividad Fuentes: Gartner, Giga

  23. Certificación Basada en Políticas y Atestiguación Gerencial • Eficiencia de TI: Reduce el tiempo de meses a días. • Verificación de Separación de Tareas (SOD) • Costo de TI: Ahorros de hasta $300K USD por año por sistema. • Remediación Automatizada • Cumplimiento: Arreglar violaciones tan pronto son detectadas y las aprobaciones capturadas. • Cumplimiento Preventivo • Cumplimiento: Verificar la política SOD al aprovisionar, atando la política al usuario. • Conciliación de Accesos Esperados y Reales • Cumplimiento: Comparar los roles de usuario a los accesos reales a los sistemas. Auditoría de Identidad: Propuesta de ValorHabilitando el Cumplimiento Sostenible y Repetible Fase 1, Revisión básica, 100% de los usuarios son revisados. Fase 2, Revisión con políticas de auditoría, reduce los usuarios revisados hasta un 40%. Fase 3, Revisión con políticas de auditoría y escaneos de auditoría constantes, reduce hasta un 80%. Fase 4, Revisar sólo usuarios actualizados, reduce hasta un 90%.

  24. Soluciones SOA Sarbanes-Oxley/ Control Interno

  25. Introducción • El cumplimiento de Sarbanes-Oxley representa una obligación para todas aquellas empresaspúblicasque, de manera directa o indirecta, cotizan en la bolsa de valores de los EE.UU. • La iniciativa Sarbanes-Oxley requiereque las empresas públicas implementen controles internossobre el reporte de información financiera, operaciones y activos. Estos controles dependen fuertemente de la incorporación o el mejoramiento de tecnologías de información y métodos de negocio. • Sarbanes Oxley trae consigo repercusiones positivasen la organización, al instaurar una serie de controles internos basados en estándares como COSO, COBIT o la norma ISO 17799, los cuales establecen un conjunto de mejores prácticas para optimizar el control interno. La implantación de dichos controles, incrementa considerablemente la confianza de los inversionistas.

  26. Introducción • Una correcta implementación de la iniciativa Sarbanes-Oxley genera un impacto positivo en la disminución de riesgosen materia de seguridad y prevención de fraudes, manteniendo a salvo la integridad y responsabilidad de la gestión del CEO, CFO y CIO de las compañías, los intereses de sus inversionistas y asegurando la continuidad operativa de las empresas, a través de un mejor control y una mayor eficacia en la supervisión de los procesos administrativos de las mismas. • Prepara a las empresasen general, y ofrece una guía para el cumplimiento de normas locales, que buscan incrementar la confianza de los inversionistas, socios, empleados y proveedores, así como garantizar la correcta operación y supervisión del negocio. • La gestión eficaz de procesos y empleadosasegura el cumplimiento de políticas corporativas y regulaciones gubernamentales, como es el caso de Sarbanes-Oxley.

  27. Antecedentes • Sarbanes-Oxley (SOX o SarbOx), o acto del 2002 de Reforma Contable y de Protección a Inversionistas de Empresas Públicas, es una ley federal estadounidense, constituida el 30 de julio de 2002. • Introduce cambios significativos a la regulación de la práctica financiera y corporativa, definiendo reglas estrictas para cumplir con un solo objetivo: “proteger a los inversionistas al mejorar el nivel de certeza y confianza de la información corporativa, apegándose a las leyes que norman las obligaciones financieras”. • La iniciativa, está organizada en once títulos, aunque las secciones 302, 404, 401, 409, 802 y 906 son las más significativas y que mayor atención requieren por parte de las empresas. • Se determinaron algunas fechas límite para su cumplimiento: • Para empresas estadounidenses públicas: 15 de junio de 2004. • En el caso de empresas pequeñas y extranjeras: 15 de julio de 2006. A partir de estas fechas, la empresas deberán emitir sus estados financieros bajo las normas establecidas por SarbOx (trimestralmentepara empresas de EE.UU. y anualmente para empresas extrajeras).

  28. El Problema Corporativo … • Certificación de los reportes financieros por parte del Director General (CEO) y Director Financiero (CFO). • Las empresas deben encontrarse preparadas para hacer públicos eventos que afecten al negocio en un rango de 48 horas. • Las empresas deben demostrar niveles apropiados para controlar o forzar el cumplimiento de procesos de negocio involucrados en el reporteo financiero. • Presentar evidencia en tiempo real de eventos materiales que afecten a la empresa. • La empresa deberá llevar a cabo ajustes correctivos tan pronto los Auditores los detecten. • Emisión de reportes que presenten las transacciones que formalmente no aparezcan directamente en el Balance Financiero, pero que pudieran afectar la situación presente o futura de la empresa. • Presentar ante la SEC (Security and Exchange Commission) de los EE.UU. información Pro-Forma de manera oportuna.

  29. … El Problema Corporativo • Levantamiento y revisión (assessment) de los controles internos. • Responsabilidad directa del CEO y/o CFO, que puede traer consigo el reembolso de bonos o compensaciones que se hayan otorgado y que afecten negativamente la información financiera del negocio. • Fecha límite de dos días para reportar transacciones que involucren los títulos accionarios de la compañía. • Prohibida la asignación de créditos personales o extensión de éstos a directores y personal ejecutivo. • Ningún director de la compañía podrá influenciar fraudulentamente o coercitivamente los resultados de una auditoria. • Creación de nuevas sanciones (multas y encarcelamiento) por: • Destrucción, alteración y falsificación de registros o documentos. • Destrucción de registros corporativos de auditoría. • Fraude con documentos bursátiles (securities). • Conspiración o intento de conspiración.

  30. Top 10 – Violaciones de Control Segregación de tareas no identificadas o no resueltas. Controles de acceso no seguros al SO de aplicaciones financieras o de portal. Acceso no seguro a BD que soportan las aplicaciones financieras. El grupo de desarrollo puede simular transacciones de negocio en la instancia de producción. Muchos usuarios con acceso a transacciones de “super-usuario”. Empleados o consultores que estuvieron previamente en la empresa, aún cuentan con acceso a algunos sistemas. Periodos de actualización en el ERP (GL) sin restricción. En programas a la medida, las tablas e interfases no cuentan con seguridad. Los procedimientos para actualizaciones manuales no existen o no se siguen. Los documentos del sistema no coinciden con el proceso actual. Fuente: Ken Vander Wal, Partner, National Quality Leader, Conferencia E&YISACA  Sarbanes, 4/6/04

  31. Métricas del Problema Corporativo Siendo Sarbanes-Oxley una iniciativa de Ley, la compañía deberá – en todo momento – evitar caer en los supuestos que estipulan la aplicación de multas económicas a la empresa o sus directivos: • Presentar errores en los reportes anuales o trimestrales podrían ocasionar penas pecuniarias a los directivos de la empresa de hasta por $1,000,000 USD, si estos errores se hacen con intención o dolo, la multa podría subir hasta $5,000,000 USD (Secciones 302 y 404). • Por no revelar cualquier cambio material de manera oportuna, podrá imponerse una multa de hasta $100,000 USDy hasta 10 años de prisión (Sección 409). • Se podría incurrir en multas hasta por $1,000,000 USD y/o prisión por alterar, destruir o mutilar cualquier registro o documento para intentar impedir una investigación (Sección 802).

  32. Costos Promedio de Cumplimiento SarbOx por Compañía Según Ingresos Anuales CT $7.3 MDD Aprox. 0.09% del ingreso CT $3.7 MDD Aprox. 0.11% del ingreso CT $1.5 MDD Aprox. 0.46% del ingreso 26% 30% 35% 74% 70% 65% Ingreso anual $324,000,000 USD $3,500,000,000 USD $7,900,000,000 USD Costo promedio de implementación (excluyendo los costos promedio de auditorias relacionadas a la sección 404) expresado como porcentaje del costo total Costo promedio de auditoria relacionada a la sección 404, expresado como porcentaje del costo total Fuente: Sarbanes-Oxley Section 404 Costs and Implementation Issues: Survey Update

  33. Costos Totales de Cumplimiento SarbOx en los Primeros Dos Años 9,000_ 8,000_ 7,000_ 6,000_ 5,000_ 4,000_ 3,000_ 2,000_ 1,000_ 0_ -43.90% $8,510 Milesde USD -41.30% $4,770 $4,310 $2,530 -30.70% $1,240 $860 Ingreso anual $324,000,000 USD $3,500,000,000 USD $7,900,000,000 USD Año 1 Año 2 Fuente: Sarbanes-Oxley Section 404 Costs and Implementation Issues: Survey Update

  34. Costo Anual Promedio de Fraude por Categorías Principales (en miles de dólares) Fuente: Encuesta de Fraude 2003. KPMG Forensic

  35. Tipo de Fraude Experimentado en un Periodo de Doce Meses # de veces que se presentó Fuente: Encuesta de Fraude 2003. KPMG Forensic

  36. Porcentaje que Representa Cada Tipo de Fraude Fuente: Encuesta de Fraude 2003. KPMG Forensic

  37. Métodos para Descubrir Fraudes (%) Fuente: Encuesta de Fraude 2003. KPMG Forensic

  38. Proporción de Empresas Mexicanas que Sufren Fraude Fuente: Ernst & Young, Fraude en México: Mitos y Realidades, 2006.

  39. Incidencia de Fraudes Según el Nivel Jerárquico del Empleado El mayor número de fraudes se realiza por el Nivel Medio (Gerencial) Fuente: Ernst & Young, Fraude en México: Mitos y Realidades, 2006.

  40. Indicadores para la Comisión de Fraudes Entre los Empleados • Moral Baja. • Incongruencias entre el estándar de vida de un empleado y su nivel de remuneración o cambios súbitos de dicho estándar. • Empleados que no toman vacaciones. • Relaciones estrechas o poco profesionales con clientes o proveedores. • Historial profesional inconsistente. Fuente: Ernst & Young, Fraude en México: Mitos y Realidades, 2006.

  41. Áreas Funcionales con Mayor Número de Incidencias de Fraudes El mayor número de fraudes se presenta en las áreas de Compras de las organizaciones. Fuente: Ernst & Young, Fraude en México: Mitos y Realidades, 2006.

  42. Principales Fuentes de los Fraudes El mayor número de fraudes se podrían evitar si el Control Interno se implementa o bien, se fortalece. Fuente: Ernst & Young, Fraude en México: Mitos y Realidades, 2006.

  43. Impacto Económico en la Empresa por Nivel Jerárquico de los Empleados A mayor nivel jerárquico, más “oneroso” y menos frecuente será el fraude. En los últimos dos años, las empresas reportaron un promedio de 7 incidentes de fraude y las pérdidas oscilaron entre $50 y $150,000 pesos por incidente. Fuente: Ernst & Young, Fraude en México: Mitos y Realidades, 2006.

  44. Principales Medidas Preventivas • Implementar Controles Internos • Revisión Gerencial • Auditoría Interna • Auditoría Externa • Denuncias • Detección por Accidente Fuente: Ernst & Young, Fraude en México: Mitos y Realidades, 2006.

  45. Premisas • Los reportes financierosdeben ser verificables y auditables. • Publicación puntual y confiablede eventos materiales al negocio. • Habilidad para auditar la estructura y los procesos de control interno. • Extender más allá los sistemas financieros comunes. • Incrementar las evidenciasoperativasy la visión de los órganos reguladores. • Fortalecer la gobernabilidad corporativa. • Cumplir con las obligaciones empresariales, que generen confianza y ayuden a crear evidencia. • Fortalecer la independencia de los Auditores. • Incrementar la supervisión delAuditor. • Ampliar las sanciones por acciones mal intencionadas.

  46. ¿Qué se observa? Las tecnologías de información, en particular aquellas relacionadas a arquitecturas orientadas a servicio (SOA), representan una herramienta poderosa para apoyar y asegurar un manejo adecuado, seguro, rastreable y eficaz de las operaciones cotidianasen las organizaciones que, por su dinámica organizacional, así lo requieran y justifiquen. “Principalmente, las tecnologías de información pueden apoyar el cumplimiento de los incisos: 103, 107(d), 108, 301, 302, 403 404, 409, 1001, 1102 y el Título VIII de la iniciativa Sarbanes-Oxley.”

  47. Soluciones SOA Solución SarbOx Accelerator

  48. ¿Qué es la Solución SarbOx Accelerator? Es una suite de desarrollo acelerado, para apoyar y capitalizar el esfuerzo requerido para llevar a cabo el cumplimiento de la iniciativa Sarbanes-Oxley. La solución SarbOx Accelerator es, en sí, una plataforma de desarrollo para documentar y automatizarprocesos, integrar aplicaciones existentes, identificar a los usuarios y participantes, administrar su ciclo de vidaante la organización, gestionar la publicación de informacióny, en todo momento, generar, gestionar y monitorear los rastros de auditoría requeridos por Sarbanes-Oxley. ü

  49. Diagrama de la Solución Documentación e Implantación de Controles Internos (404) Integración Operacional y Ajuste Optimización de Controles Ciclo de Vida SarbOx Monitoreo, Mantenimiento y Validación de Controles

  50. ¿Por Qué Elegir Esta Solución? • Basada en una arquitectura orientada a servicios (SOA). • Altamente modular, escalable, extensible e integrable, permitiendo una rápida integración y reducción de costos. • Solución de desarrollo acelerado y rápida implantación. • Arquitectura abierta y compatible con los principales estándares de la industria (por ejemplo, BPEL, SPML y LDAP). • Plataforma tecnológica re-usable, compartible, confiable, segura y robusta.

More Related