Soluciones SOA SarbOx Accelerator.

Soluciones SOA SarbOx Accelerator

Agenda Introducción Gestión de identidad
Sarbanes-Oxley/Control interno Solución SarbOx Accelerator ¿Por qué Sun Microsystems? Demo

Soluciones SOA Introducción

Antecedentes Sun Microsystems de México y QoS Labs han trabajado conjuntamente en el desarrollo de soluciones de negocio, integrando sus productos y servicios de software, enmarcados bajo la referencia de una arquitectura orientada a servicio (SOA), considerando: Suites de desarrollo acelerado basadas en SOA. Ambientes de laboratorio y demostración. Programas de entrenamiento y certificación. Servicios profesionales primer y segundo nivel. Consultoría primer y segundo nivel. Service-Desk. Sun Microsystems de México y QoS Labs han trabajado conjuntamente en la elaboración de soluciones de negocio que ayuden a la venta de sus productos y servicios de software, enmarcados bajo una arquitectura orientada a servicios (SOA). Dichas soluciones involucran productos y servicios de Sun Microsystems, QoS Labs y terceros. Dentro de las primeras soluciones acordadas en una fase inicial del proyecto, se encuentran las soluciones ELCM y SarbOx. SOA es un concepto que ayuda a dirigir esfuerzos específicos dentro de las empresas debido a la claridad de los marcos de referencia y roadmaps relacionados para su adopción e implantación. Es así como las empresas logran obtener beneficios en el corto plazo y comienzan a utilizar los lineamientos descritos en un modelo conceptual de “Arquitectura de Sistemas”, en proyectos concretos, como es el caso de la gestión de identidad y la automatización de procesos. ELCM SarbOx BI . . . SOA

Objetivo Ofrecer a nuestros clientes soluciones a través de las cuales se facilite la automatización e incorporación de estrategias, políticas, procesos y mejores prácticas de negocio a su infraestructura de sistemas de TI (BSS), generando beneficios estratégicos como: Incremento de la productividad y del ingreso. Reducción de costos y optimización operativa. Generación de negocio incremental. Seguridad y minimización de riesgos. Cumplimiento de regulaciones. Adopción de mejores prácticas. Mejora en la calidad del servicio. Cliente Consultor/Auditor Se deberá entender como “suite de desarrollo acelerado”, al conjunto de elementos técnicos (software y hardware) que incluyen herramientas modulares con componentes preconstruidos y basadas en estándares mundialmente aceptados, que eviten lo más posible, la generación de código de programación y operaciones manuales, para lograr los resultados esperados de automatización, integración, implantación de controles, auditoría y generación de reportes. ESTRATEGIA PROCESOS TECNOLOGIA

Soluciones SOA Gestión de Identidad

Introducción El proceso de Gestión del Ciclo de Vida de Empleados (ELCM, por sus siglas en inglés) representa una actividad crítica para las empresas contemporáneas que cuentan con un alto requerimiento de administración de cuentas de recursos corporativos debido a: Gran cantidad de cuentas administradas para acceso a aplicaciones, servicios e instalaciones. Constante requerimiento administrativo en la asignación de roles, perfiles y/o privilegios de los empleados. Alto uso de personal externo temporal. Cumplimiento con regulaciones. Alta tasa de rotación y/o temporalidad de los empleados que las requieren. El proceso de gestión del ciclo de vida de empleados representa una actividad crítica para las empresas contemporáneas que cuentan con un alto requerimiento de administración de cuentas de recursos corporativos debido a: una gran cantidad de cuentas administradas para acceso a aplicaciones, servicios e instalaciones; un constante requerimiento administrativo en la asignación de roles, perfiles y/o privilegios de los empleados; un alto uso de personal externo temporal; cumplimiento con regulaciones, y, una alta tasa de rotación y/o temporalidad de los empleados que las requieren. Una correcta gestión del ciclo de vida de empleados genera un impacto positivo en la disminución de costos administrativos, al reducir la complejidad y el tiempo requerido en la administración de cuentas de usuarios, maximizando la continuidad y productividad operativa de las empresas. La gestión adecuada del ciclo de vida de empleados disminuye los riesgos de una empresa en materia de seguridad y de control de activos. La gestión eficaz del ciclo de vida de empleados asegura el cumplimiento de políticas corporativas y regulaciones gubernamentales impuestas a la empresa. Las tecnologías de información, en particular aquellas relacionadas a arquitecturas orientadas a servicio (SOA), representan una herramienta poderosa para apoyar y asegurar un manejo adecuado y eficaz del ciclo de vida de empleados en las organizaciones que por su dinámica organizacional así lo requieran y justifiquen.

Antecedentes El concepto de Gestión del Ciclo de Vida de Empleados se basa en proveer, tanto al empleador como al empleado, la continua administración de servicios, desde el proceso inicial de contratación hasta el de salida, controlado extremo a extremo. ELCM provee a las empresas una solución de negocios que resuelve el problema de “aprovisionar” y “desaprovisionar” empleados con acceso a servicios e instalaciones y mantener rastro de su actividad en los sistemas, así como de los documentos y de las actividades de procesos y proyectos relacionados a los mismos. Implementar una solución ELCM, ayuda a las empresas a gestionar en tiempo real los accesos de sus empleados a los servicios e instalaciones, con una mayor efectividad y a un menor costo, a lo largo de su permanencia en la empresa. Puntos a resaltar: Continua administración de servicios de extremo a extremo. Resuelve el problema de “aprovisionar” y “desaprovisionar” manteniendo rastro de su actividad en los sistemas. Gestionar en tiempo real los accesos de sus empleados a los servicios e instalaciones

El Problema Corporativo
Baja productividad Tiempo que se necesita para agregar o retirar servicios. Uso requerido de varias contraseñas en diversas aplicaciones. Alto costo de administración de usuarios Costos significativos por llamadas a la mesa de ayuda para reasignar contraseñas. Administración de múltiples sistemas de autenticación. Riesgo de seguridad Ineficiente “desaprovisionamiento” de empleados. Proceso/política de cambio periódico de contraseña no sistemático. Asegurar el cumplimiento regulatorio. Baja productividad Tiempo que se necesita para agregar o retirar servicios. Uso requerido de varias contraseñas en diversas aplicaciones. Alto costo de administración de usuarios Costos significativos por llamadas a la mesa de ayuda para reasignar contraseñas. Administración de múltiples sistemas de autenticación. Riesgo de seguridad Ineficiente “desaprovisionamiento” de empleados. Proceso/política de cambio periódico de contraseña no sistemático. Asegurar el cumplimiento regulatorio.

Métricas del Problema Corporativo
El usuario promedio tarda 16 minutos al día en tareas de autenticación y autorización de acceso (Meta Group). El fraude de identidad afecta a más de 2,000 personas al día en el mundo y cada 79 segundos una identidad es robada (National Small Business Travel & Health Association). Una organización típica de 2,500 usuarios puede gastar alrededor de $850,000 USD al año en costos relacionados a helpdesk (Gartner Group). Se estima que las llamadas al helpdesk cuestan un promedio de $30 dólares americanos cada una y que las solicitudes de administración de contraseña de los usuarios representan un 40% del volumen de llamadas al helpdesk (Gartner Group). El usuario promedio tarda 16 minutos al día en tareas de autenticación y autorización de acceso (Meta Group). El fraude de identidad afecta a más de 2,000 personas al día en el mundo y cada 79 segundos una identidad es robada (National Small Business Travel & Health Association). Una organización típica de 2,500 usuarios puede gastar alrededor de $850,000 USD al año en costos relacionados a helpdesk (Gartner Group). Se estima que las llamadas al helpdesk cuestan un promedio de $30 dólares americanos cada una y que las solicitudes de administración de contraseña de los usuarios representan un 40% del volumen de llamadas al helpdesk (Gartner Group).

El 45% de las llamadas al helpdesk están relacionadas a reasignaciones de contraseñas. Un sistema automatizado de reinicio de contraseñas reduciría el volumen de llamadas en una tercera parte (Meta Group). La administración de contraseñas es uno de los diez puntos de mayor riesgo que hoy enfrentan las compañías (Gartner Group). La generación de huecos de seguridad por no desaprovisionar a los empleados que dejan la compañía y que continúan teniendo acceso a los sistemas del negocio, pudiendo utilizar o borrar información propietaria. El 45% de las llamadas al helpdesk están relacionadas a reasignaciones de contraseñas. Un sistema automatizado de reinicio de contraseñas reduciría el volumen de llamadas en una tercera parte (Meta Group). La administración de contraseñas es uno de los diez puntos de mayor riesgo que hoy enfrentan las compañías (Gartner Group). La generación de huecos de seguridad por no desaprovisionar a los empleados que dejan la compañía y que continúan teniendo acceso a los sistemas del negocio, pudiendo utilizar o borrar información propietaria.

Premisas Al contratar a un empleado, es necesario brindarle acceso a los servicios e instalaciones necesarias que le permitan realizar actividades laborales. Existe una gran diversidad de sistemas / aplicaciones, bases de datos y repositorios de usuarios (directorios, DBMS, etc.) en las empresas. Las funciones y responsabilidades de los empleados cambian a lo largo de su “ciclo de vida” dentro de la empresa. Los empleados pierden u olvidan las contraseñas de acceso a sus servicios. Los empleados se ausentan por periodos largos o, simplemente, dejan de pertenecer a la compañía. [Premisa] [Implicación] Al contratar a un empleado, es necesario brindarle acceso a los servicios e instalaciones necesarias que le permitan realizar sus actividades laborales. Las áreas de sistemas deben asegurar que el proceso, aparentemente simple, de creación de cuentas de usuarios no tome semanas, y por ende conduzca a periodos de tiempos muertos y baja productividad. Existe una gran diversidad de sistemas/aplicaciones, bases de datos y repositorios de usuarios (directorios, DBMS, etc.) en las empresas. Las áreas de sistemas deben contar con la capacidad de “mapear” y sincronizar los atributos de usuarios a lo largo de todos los repositorios existentes en la infraestructura de la empresa. Las funciones y responsabilidades de los empleados cambian a lo largo de su “ciclo de vida” dentro de la empresa. Las áreas de sistemas deben asegurar que los empleados no se enfrenten a tiempos muertos adicionales debido a la espera del acceso a nuevos servicios e información, modificación de privilegios/permisos o reasignación de tareas de proyectos y procesos, y por ello se obtenga un resultado negativo en cuanto a productividad, pérdida de ventas, generación de oportunidades o mala atención a clientes. Los empleados pierden u olvidan las contraseñas de acceso a sus servicios y requieren recuperarlas o definir nuevas. El mal manejo de las contraseñas genera un alto riesgo legal y de seguridad, además de un innecesario volumen de casos abiertos en el Call Center. Los empleados se ausentan por periodos largos debido a vacaciones, enfermedades, permisos o asignaciones de trabajo especiales, simplemente, dejan de pertenecer a la compañía. Las empresas deben ser capaces de suspender o “apagar” temporal o definitivamente cuentas “huérfanas”, así como los accesos a servicios e instalaciones otorgados a un empleado, sin perder el rastro de los documentos, procesos y proyectos relacionados al mismo y que seguirán siendo importantes para la empresa.

Causas Raíz – Problemas en Seguridad de Acceso
La Causa-Raíz de muchos problemas de seguridad y control son: Sistemas y aplicaciones aisladas Procesos de negocio aislados Falta de control centralizado en procesos de administración de usuarios Repositorios de identidad redundantes La Causa-Raíz de muchos problemas de seguridad y control son: Sistemas y aplicaciones aisladas Procesos de negocio aislados Falta de control centralizado en procesos de administración de usuarios Repositorios de identidad redundantes

¿Qué se Observa? Las tecnologías de información, en particular aquellas relacionadas a arquitecturas orientadas a servicio (SOA), representan una herramienta poderosa para apoyar y asegurar un manejo adecuado, seguro, rastreable y eficaz del ciclo de vida de los empleados de las organizaciones que, por su dinámica organizacional, así lo requieran y justifiquen. “Una correcta gestión del ciclo de vida de empleados genera un impacto positivo en la disminución de costos administrativos, al reducir la complejidad y el tiempo requerido en la administración de cuentas de usuarios, maximizando la continuidad y productividad operativa de las empresas.”

(Auditoría de Identidad) (Auditoría de Actividad)
¿Qué es ELCM? ELCM es la gestión del ciclo de vida de un empleado ante la organización, el cual contempla las actividades que impactan en la infraestructura de TI durante los procesos de: Contratación o alta del empleado; Utilización de los recursos corporativos requeridos por el mismo; Modificación de sus accesos o roles; Terminación o baja del empleado; y, Auditoría de actividades a lo largo de su vida útil ante la organización . ¿Qué DEBE un usuario acceder? (Aprovisionamiento) ¿Qué PUEDE (Auditoría de Identidad) ¿Qué USÓ al acceder? (Auditoría de Actividad) Se deberá entender como “suite de desarrollo acelerado”, al conjunto de elementos técnicos (software y hardware) que incluyen herramientas modulares con componentes preconstruidos y basadas en estándares mundialmente aceptados, que eviten lo más posible, la generación de código de programación y operaciones manuales, para lograr los resultados esperados de automatización, integración, implantación de controles, auditoría y generación de reportes. La gráfica de los tres círculos corrobora que esta solución soporta el “cumplimiento continuo” de las iniciativas de regulación que requieren, como parte de sus normas, la correcta administración de usuarios así como la capacidad para identificar los movimientos y actividades que efectúa el usuario dentro del ambiente tecnológico de la empresa.

d d d Diagrama ELCM ELCM Auditoría Contratación Utilización
Captura de datos Asignación de recursos Creación de usuarios Asignación de permisos Utilización Autenticar y acceder Cambio de datos Re-asignación de recursos Recuperación de contraseñas Cambio de contraseñas Re-asignación de permisos d ELCM Respaldo de datos Negación de recursos Eliminación de cuentas de usuarios Negación de permisos Re-asignación de información Modificación Cuando en una empresa se lleva a cabo la contratación de un empleado, se inicia un ciclo o proceso de asignación y mantenimiento de recursos necesarios para que el empleado realice exitosamente el trabajo por el cual fue contratado, en otras palabras para que sea productivo para la empresa. Durante la primera etapa (contratación), se realizan diversas actividades en el menor tiempo posible para que el empleado pueda iniciar con su trabajo cuanto antes. En la segunda etapa (utilización), el empleado es notificado que las cuentas de los recursos a los cuales requiere acceso se encuentran disponibles, accede por primera vez y mantiene una interacción diaria con los mismos. En la tercera etapa (modificación), el empleado puede requerir cambios en sus cuentas o solicitar acceso a otros recursos o servicios. Finalmente, durante la tercera etapa (terminación), cuando el empleado sale de la empresa, se deben retirar o bloquear los recursos asignados al mismo para proteger la información de la empresa y en caso de ser necesario, respaldar y/o reasignar la información y tareas a otros empleados. A continuación se muestra una lista de actividades comunes que se deben realizar como consecuencia de la contratación de un empleado: Definir y capturar la información general del empleado: a) datos generales como nombre, apellidos, edad o género; b) tipo de empleado, si es temporal o permanente; c) puesto, y con él a su supervisor y subordinados; y, d) unidad organizacional, como la localidad, división o área de trabajo, entre otros. Recuperar toda la información disponible: en caso de que el empleado trabajara en la empresa anteriormente, evitando el tener que volver a capturarla. Aprobar el perfil del empleado: asegurándose que los datos, permisos de acceso y grupos a los que pertenece son los correctos. Asignar y configurar los recursos del empleado: a) capturando nuevamente sus datos generales y datos particulares de los recursos; b) creando sus cuentas de usuario en los sistemas o aplicaciones y agregándolas a los grupos correspondientes; y, c) asignando las credenciales y permisos necesarios para el acceso correspondiente. Notificar y entregar los recursos al empleado: a) incluyendo rutas de acceso, físico o lógico; b) identificadores de usuario; y, c) contraseñas o mecanismos de autentificación y acceso, así como toda la papelería y documentación corporativa correspondiente. Una vez entregados los recursos al empleado, se inicia la etapa de interacción diaria entre el empleado y sus recursos. Durante esta etapa se llevan acabo actividades como las que se enlistan a continuación: Primer acceso a los recursos: cada vez que un empleado accede a un recurso por primera vez, es muy probable que tenga que hacer ajustes al recurso, como cambiar su contraseña, verificar su información, proporcionar nuevos datos o aceptar acuerdos de confidencialidad. Autenticación a los recursos: el empleado debe presentar sus credenciales a los recursos que estén protegidos para su uso. Cambio de contraseña: ya sea por políticas de seguridad o simplemente porque el empleado así lo desea. Recuperación de contraseña: es muy común que los empleados pierdan u olviden sus contraseñas y de alguna u otra forma deban recuperarlas para continuar con su trabajo. Solicitar accesos a otros recursos o más permisos a recursos ya asignados: las funciones del empleado pueden cambiar, ya sea por que fue promovido o porque cambió de localidad o de unidad de negocio. Por último, eventualmente un empleado deja de trabajar para una empresa y al momento de su salida deberán realizarse algunas otras actividades, tales como: Notificar formalmente que el empleado ya no trabajará más en la empresa. Cancelar o negar el acceso a los recursos que habían sido asignados al empleado: ya sea desactivando las cuentas de usuario de manera temporal o eliminándolas en forma definitiva. Respaldar toda la información del empleado: que por alguna razón deba mantenerse en existencia. Dar seguimiento a los documentos, correspondencia y tareas de procesos y/o proyectos: en los que participaba el empleado y que deban ser reasignados a otra persona o personas dentro de la organización. d Terminación

Gestión del Ciclo de Vida de Identidad y Auditoría de Identidad
Identity Lifecycle Management and Identity Auditing Point solution versus integrated Detective versus preventative Process consolidation

de Accesos y Privilegios
Comportamiento Típico del Ciclo de Vida Término de la Relación Laboral Desaprovisionamiento manual del empleado Modificación de Accesos y Privilegios El usuario incrementa accesos y privilegios anteriores “Un promedio de 20% de los empleados que salen de la organización mantienen accesos no autorizados.” Fuente: NTIA Monitor Password Survey, Meta Group y Gartner Privilegios Accesos Activos Después de la Salida del Empleado RIESGO DE SEGURIDAD!! Hacer notar paso a paso las etapas que típicamente se presenta cuando se trata de administrar a los empleados: Contratación del Empleado (alta) Modificación de Acceso y privilegios – Acceso incrementales, no se depuran permisos. Término de la relación laboral (baja) Accesos de empleado a aplicaciones aún después de haber dejado la organización. HACER INCAPIE EN LOS RIESGOS DE SEGURIDAD POR UN DESAPROVISIONAMIENTO INCOMPLETO. Contratación del Empleado Aprovisionamiento manual del empleado Tiempo

de Accesos y Privilegios
Comportamiento Óptimo del Ciclo de Vida Término de la Relación Laboral Desaprovisionamiento automatizado del empleado Modificación de Accesos y Privilegios El usuario pierde y gana privilegios según su función se modifica Privilegios No Quedan Accesos Activos Después de la Salida del Empleado Reforzar las ventajas de la aplicación durante el ciclo de vida: Contratación del Empleado (alta) – se asignan los privilegios adecuados desde su inicio. El empleado no pierde tiempo en lo que se le da de alta en todos los sistemas o aplicaciones. ES PRODUCTIVO EN UN MENOR TIEMPO. Modificación de Acceso y privilegios – Conforme el usuario va adquiriendo nuevas funciones, los accesos y permisos a las aplicaciones y sistemas van cambiando. Término de la relación laboral (baja) – El aprovisionamiento es definitivo, lo que mitiga en un 100% el riesgo de accesos no autorizados una vez que el empleado ha dejado la organización. Contratación del Empleado Aprovisionamiento manual del empleado Tiempo

Premisas de Analistas

Análisis ROI Para efectos de este análisis ROI se consideró la siguiente información de los analistas: Reasignación de contraseña – Reducción hasta en un 60% de los costos en el helpdesk por este concepto. Métodos de autenticación – Reducción de los costos hasta en un 50% y reducción de errores hasta en un 10%. Productividad de los usuarios (al introducir menos contraseñas) - Mejora de la productividad hasta en un 60%. Supuestos de la empresa en la que se estaría implementando la solución: Variables de usuario y aplicaciones: 5,000 usuarios con acceso a las aplicaciones corporativas. 6 aplicaciones corporativas promedio por usuario final (seis contraseñas de acceso). Tiempo promedio por cada login 5 segundos. $15 USD Costo promedio por empleado por hora. APROXIMADAMENTE, EL COSTO ANUAL PARA LA EMPRESA POR EL NÚMERO TOTAL DE EMPLEADOS, FIRMANDOSE EN 6 APLICACIONES AL DÍA ES DE $150,000 USD. Variables de costo y llamadas: 1.35 llamadas promedio por usuario al mes. 40% de llamadas en proporción del total de llamadas recibidas en el helpdesk (Los supuestos de los analistas mencionan que esta reducción podría ser de hasta un 60%). $21.00 USD el costo promedio por cada llamada al helpdesk (Gartner y otros analistas, como Forrester y MetaGroup, llegan a estimar un promedio de $30.00 USD por llamada). APROXIMADAMENTE 81,000 LLAMADAS AL AÑO, CON UN COSTO ESTIMADO DE: $681,400 USD. En cuanto a la inversión y los beneficios esperados: Una solución promedio para 5,000 empleados costaría alrededor de $500,000 USD. Reducción de accesos a través del Single-Sign-On (acceso unificado) a 1 (anteriormente se requerían 6 accesos promedio por usuario por día). Reducción en llamadas para reasignación de contraseña en un 95%. AL IMPLEMENTARSE LA SOLUCIÓN ELCM, LOS BENEFICIOS SERÍAN: REDUCCIÓN DEL COSTO POR ACCESO Y AUTENTICACIÓN HASTA EN UN 85%, EQUIVALENTE A $125,000 USD DE LOS $150,000 USD. REDUCCIÓN DEL COSTO EN EL HELPDESK POR REASIGNACIÓN DE CONTRASEÑAS DE $680,400 USD A $34,020. TOTAL DE REDUCCIÓN DE COSTOS AL AÑO: $646,380 USD CON ESTOS AHORROS PROMEDIO SE ESPERARÍA UN RETORNO DE LA INVERSIÓN EN UN LAPSO DE 8 MESES A PARTIR DE LA IMPLEMENTACIÓN DE LA SOLUCIÓN. Otras cifras de ROI: Una extranet de 50,000 usuarios puede alcanzar un retorno sobre inversión (ROI) de 310% y un ahorro de $4 millones de dólares americanos – con una recuperación en sólo 7.5 meses (Gartner Group). En una encuesta de más de 400 grandes organizaciones, la automatización del reinicio de contraseñas reduciría en 30% las llamadas al helpdesk . En una organización de 10,000 usuarios, esto equivale a $648,000 dólares americanos anuales (Meta Group).

Propuesta de Valor: Gestión del Ciclo de Vida de Identidad Habilitando Mejor Seguridad, Reducción de Costos e Incremento de la Productividad Auto-Servicio de Gestión de Contraseñas Costos de la Mesa de Ayuda: Reducciones de al menos un 35% con ahorros de hasta $75 USD por usuario por llamada. Administración Delegada Seguridad de TI: Mejora de la actividad a través de la delegación de privilegios basada en roles y reglas, auditoría y reporteo. Sincronización de Información de Identidad TCO: Implementación y mantenimiento de una sola solución para el manejo de proyectos de meta-directorio y aprovisionamiento. Aprovisionamiento Automatizado de Usuarios Seguridad de TI: Asegura niveles apropiados de acceso al iniciar la relación y la remoción de la totalidad del acceso en cuanto la relación termina. Eficiencia de TI: Ahorros de $70,000 por cada 1,000 usuarios administrados. Ganancias por Productividad de los Usuarios: $1,000 USD por empleado nuevo y $350 USD por empleado ya existent.e. Identity Lifecycle Mgmt includes 4 high-level functions that can deliver value to customers Password management can help reduce help desk costs by at least 35% with savings up to $75 per user per call Delegated administration and self-service helps offload mundane administration tasks from help desk and IT support staff Identity synchronization Automated provisioning can improve IT operational efficiency by removing the need for manual intervention in granting of access or gathering of approvals. Gartner and Giga have estimated $70,000/user savings for every 1,000 managed users. GE - example In addition, because users no longer have to wait weeks or months for access to applications, it is estimated that companies can achieve productivity gains of $1000 for every new employee and $350 for every existing employee that needs access. The bottom line is that organizations are typically seeing ROI payback: 7.5 to 13 months Fuentes: Gartner, Giga

Auditoría de Identidad: Propuesta de Valor Habilitando el Cumplimiento Sostenible y Repetible
Fase 1, Revisión básica, 100% de los usuarios son revisados. Certificación Basada en Políticas y Atestiguación Gerencial Eficiencia de TI: Reduce el tiempo de meses a días. Verificación de Separación de Tareas (SOD) Costo de TI: Ahorros de hasta $300K USD por año por sistema. Remediación Automatizada Cumplimiento: Arreglar violaciones tan pronto son detectadas y las aprobaciones capturadas. Cumplimiento Preventivo Cumplimiento: Verificar la política SOD al aprovisionar, atando la política al usuario. Conciliación de Accesos Esperados y Reales Cumplimiento: Comparar los roles de usuario a los accesos reales a los sistemas. Fase 2, Revisión con políticas de auditoría, reduce los usuarios revisados hasta un 40%. Fase 3, Revisión con políticas de auditoría y escaneos de auditoría constantes, reduce hasta un 80%. (Separation of Duty) Fase 4, Revisar sólo usuarios actualizados, reduce hasta un 90%.

Soluciones SOA Sarbanes-Oxley/ Control Interno

Introducción El cumplimiento de Sarbanes-Oxley representa una obligación para todas aquellas empresas públicas que, de manera directa o indirecta, cotizan en la bolsa de valores de los EE.UU. La iniciativa Sarbanes-Oxley requiere que las empresas públicas implementen controles internos sobre el reporte de información financiera, operaciones y activos. Estos controles dependen fuertemente de la incorporación o el mejoramiento de tecnologías de información y métodos de negocio. Sarbanes Oxley trae consigo repercusiones positivas en la organización, al instaurar una serie de controles internos basados en estándares como COSO, COBIT o la norma ISO 17799, los cuales establecen un conjunto de mejores prácticas para optimizar el control interno. La implantación de dichos controles, incrementa considerablemente la confianza de los inversionistas. El cumplimiento a la regulación impuesta por la iniciativa Sarbanes-Oxley representa una obligación para todas aquellas empresas públicas que, de manera directa o indirecta, cotizan en la bolsa de valores de los EE.UU. De igual forma, representa una mejor práctica a seguir para el resto de las empresas debido a los beneficios inherentes al cumplimiento de la misma, así como la tendencia futura a convertirse en un requisito global para poder participar como un jugador confiable en el mercado local e internacional. La iniciativa Sarbanes-Oxley requiere que las empresas públicas implementen controles internos sobre el reporte de información financiera, operaciones y activos. Estos controles dependen fuertemente de la incorporación o el mejoramiento de tecnologías de información y métodos de negocio. Sarbanes Oxley, no sólo impacta positivamente debido al proceso de cumplimiento a la regulación que implica, sino también porque esta iniciativa trae consigo repercusiones positivas en la organización, al instaurar una serie de controles internos basados en estándares como COSO (Committee of Sponsoring Organizations of the Treadway Commission) o la norma ISO 17799, los cuales permiten establecer un conjunto de mejores prácticas para optimizar el control interno. La implantación de dichos controles, además de apoyar la maximización de la continuidad y productividad operativa de las empresas, incrementa considerablemente la confianza de los inversionistas en aquellas que los incorporan como parte de su operación cotidiana. Es por esta razón, que la norma Sarbanes-Oxley representa un acelerador importante para las empresas públicas y, eventualmente, para todas aquellas empresas que busquen recursos en mercados nacionales o internacionales, donde la confianza que puedan ofrecer a los inversionistas será decisiva en la capacidad de obtención de recursos financieros para su crecimiento.

Introducción Una correcta implementación de la iniciativa Sarbanes-Oxley genera un impacto positivo en la disminución de riesgos en materia de seguridad y prevención de fraudes, manteniendo a salvo la integridad y responsabilidad de la gestión del CEO, CFO y CIO de las compañías, los intereses de sus inversionistas y asegurando la continuidad operativa de las empresas, a través de un mejor control y una mayor eficacia en la supervisión de los procesos administrativos de las mismas. Prepara a las empresas en general, y ofrece una guía para el cumplimiento de normas locales, que buscan incrementar la confianza de los inversionistas, socios, empleados y proveedores, así como garantizar la correcta operación y supervisión del negocio. La gestión eficaz de procesos y empleados asegura el cumplimiento de políticas corporativas y regulaciones gubernamentales, como es el caso de Sarbanes-Oxley. Una correcta implementación de la iniciativa Sarbanes-Oxley genera un impacto positivo en la disminución de riesgos en materia de seguridad y prevención de fraudes, manteniendo a salvo la integridad y responsabilidad de la gestión del CEO, CFO y CIO de las compañías, los intereses de sus inversionistas y asegurando la continuidad operativa de las empresas, a través de un mejor control y una mayor eficacia en la supervisión de los procesos administrativos de las mismas. Sarbanes-Oxley ayuda a preparar a las empresas en general, como una guía para el cumplimiento de normas locales, que buscan incrementar la confianza de los inversionistas, socios, empleados y proveedores, así como garantizar la correcta operación y supervisión del negocio. Dentro del cumplimiento de Sarbanes-Oxley, se observa que el proceso de gestión del ciclo de vida de empleados (ELCM por sus siglas en inglés) representa una actividad crítica para las empresas contemporáneas, ya que asegura la correcta gestión de roles, perfiles y privilegios dentro de una organización, auxiliando en mantener la integridad, la seguridad y el control, sobre los procesos, sistemas de información y emisión de reportes financieros, requerido para el cumplimiento de regulaciones. La gestión eficaz de procesos y empleados asegura el cumplimiento de políticas corporativas y regulaciones gubernamentales, como es el caso de Sarbanes-Oxley.

Antecedentes Sarbanes-Oxley (SOX o SarbOx), o acto del 2002 de Reforma Contable y de Protección a Inversionistas de Empresas Públicas, es una ley federal estadounidense, constituida el 30 de julio de 2002. Introduce cambios significativos a la regulación de la práctica financiera y corporativa, definiendo reglas estrictas para cumplir con un solo objetivo: “proteger a los inversionistas al mejorar el nivel de certeza y confianza de la información corporativa, apegándose a las leyes que norman las obligaciones financieras”. La iniciativa, está organizada en once títulos, aunque las secciones 302, 404, 401, 409, 802 y 906 son las más significativas y que mayor atención requieren por parte de las empresas. Se determinaron algunas fechas límite para su cumplimiento: Para empresas estadounidenses públicas: 15 de junio de 2004. En el caso de empresas pequeñas y extranjeras: 15 de julio de 2006. A partir de estas fechas, la empresas deberán emitir sus estados financieros bajo las normas establecidas por SarbOx (trimestralmente para empresas de EE.UU. y anualmente para empresas extrajeras). Importante hacer ver que toda aquella empresa que esté registrada ante la SEC (Security Exchange Commision) tendrá la obligación de cumplir con la legislación a partir del 15 de julio de 2006 (fecha en la que se debió entregar el primer reporte) y esto se deberá hacer anualmente (en el caso de empresas mexicanas). Sarbanes-Oxley (SOX o SarbOx), o acto del 2002 de Reforma Contable y de Protección a Inversionistas de Empresas Públicas, es una ley federal estadounidense, constituida el 30 de julio de 2002. Introduce cambios significativos a la regulación de la práctica financiera y corporativa, definiendo reglas estrictas para cumplir con un solo objetivo: “proteger a los inversionistas al mejorar el nivel de certeza y confianza de la información corporativa, apegándose a las leyes que norman las obligaciones financieras”. La iniciativa, está organizada en once títulos, aunque las secciones 302, 404, 401, 409, 802 y 906 son las más significativas y que mayor atención requieren por parte de las empresas. Se determinaron algunas fechas límite para su cumplimiento: Para empresas estadounidenses públicas: 15 de junio de 2004. En el caso de empresas pequeñas y extranjeras: 15 de julio de 2006. A partir de estas fechas, la empresas deberán emitir sus estados financieros bajo las normas establecidas por SarbOx (trimestralmente para empresas de EE.UU. y anualmente para empresas extrajeras).

El Problema Corporativo …
Certificación de los reportes financieros por parte del Director General (CEO) y Director Financiero (CFO). Las empresas deben encontrarse preparadas para hacer públicos eventos que afecten al negocio en un rango de 48 horas. Las empresas deben demostrar niveles apropiados para controlar o forzar el cumplimiento de procesos de negocio involucrados en el reporteo financiero. Presentar evidencia en tiempo real de eventos materiales que afecten a la empresa. La empresa deberá llevar a cabo ajustes correctivos tan pronto los Auditores los detecten. Emisión de reportes que presenten las transacciones que formalmente no aparezcan directamente en el Balance Financiero, pero que pudieran afectar la situación presente o futura de la empresa. Presentar ante la SEC (Security and Exchange Commission) de los EE.UU. información Pro-Forma de manera oportuna. La iniciativa Sarbanes–Oxley plantea varios requerimientos a las empresas, algunos de los cuales se describen a continuación: Certificación de los reportes financieros por parte del Director General (CEO) y Director Financiero (CFO). Las empresas deben encontrarse preparadas para hacer públicos eventos que afecten al negocio en un rango de 48 horas. Las empresas deben demostrar niveles apropiados para controlar o forzar el cumplimiento de procesos de negocio involucrados en el reporteo financiero. Presentar evidencia en tiempo real de eventos materiales que afecten a la empresa. La empresa deberá llevar a cabo ajustes correctivos tan pronto los Auditores los detecten. Emisión de reportes que presenten las transacciones que formalmente no aparezcan directamente en el Balance Financiero, pero que pudieran afectar la situación presente o futura de la empresa. Presentar ante la SEC (Security and Exchange Commission) de los EE.UU. información Pro-Forma de manera oportuna.

… El Problema Corporativo
Levantamiento y revisión (assessment) de los controles internos. Responsabilidad directa del CEO y/o CFO, que puede traer consigo el reembolso de bonos o compensaciones que se hayan otorgado y que afecten negativamente la información financiera del negocio. Fecha límite de dos días para reportar transacciones que involucren los títulos accionarios de la compañía. Prohibida la asignación de créditos personales o extensión de éstos a directores y personal ejecutivo. Ningún director de la compañía podrá influenciar fraudulentamente o coercitivamente los resultados de una auditoria. Creación de nuevas sanciones (multas y encarcelamiento) por: Destrucción, alteración y falsificación de registros o documentos. Destrucción de registros corporativos de auditoría. Fraude con documentos bursátiles (securities). Conspiración o intento de conspiración. Levantamiento y revisión (Assessment) de los controles internos. Responsabilidad directa del CEO y/o CFO, que puede traer consigo el reembolso de bonos o compensaciones que se hayan otorgado y que afecten negativamente la información financiera del negocio. Fecha límite de dos días para reportar transacciones que involucren los títulos accionarios de la compañía. Prohibida la asignación de créditos personales o extensión de éstos a directores y personal ejecutivo. Ningún director de la compañía podrá influenciar fraudulentamente o coercitivamente los resultados de una auditoria. Creación de nuevas sanciones (multas y encarcelamiento) por: Destrucción, alteración y falsificación de registros o documentos. Destrucción de registros corporativos de auditoría. Fraude con documentos bursátiles (securities). Conspiración o intento de conspiración. Información adicional: Como se comentó anteriormente, el beneficio principal de implementar una Arquitectura Orientada a Servicio (SOA) es la optimización operativa, la cual se logra a través de los ahorros que genera la reutilización de servicios consumidos por distintos procesos de negocio y la disminución de los requerimientos de mantenimiento y adecuación de los componentes de software, cuando los procesos de negocio así lo requieren. En un estudio realizado por IDC en 2005 para empresas en Latinoamérica, se muestra que el 42% de las organizaciones están enfocando sus esfuerzos y recursos en lograr esto, en comparación del resto, que en un 37% buscan crecimiento, en un 16% reducción de costos y en un 5% aceleración. Cuando los mandos directivos (CxO’s) se enfrentan a tareas que pueden ser potencialmente tediosas, repetitivas y laboriosas, recurren a sus áreas de TI en búsqueda de soluciones creativas, para mantener a la compañía en un cumplimiento sostenido de Sarbanes-Oxley y otras regulaciones, evitando en todo momento, acciones legales que afecten a la compañía o directamente al personal de la misma. Las tecnologías de información, en particular aquellas relacionadas a arquitecturas orientadas a servicio (SOA), representan una herramienta poderosa para apoyar y asegurar un manejo adecuado, seguro, rastreable y eficaz de las operaciones cotidianas en las organizaciones que, por su dinámica organizacional, así lo requieran y justifiquen. Principalmente, las tecnologías de información pueden apoyar el cumplimiento de los incisos: 103, 107(d), 108, 301, 302, , 409, 1001, 1102 y el Título VIII de la iniciativa Sarbanes-Oxley.

Top 10 – Violaciones de Control
Segregación de tareas no identificadas o no resueltas. Controles de acceso no seguros al SO de aplicaciones financieras o de portal. Acceso no seguro a BD que soportan las aplicaciones financieras. El grupo de desarrollo puede simular transacciones de negocio en la instancia de producción. Muchos usuarios con acceso a transacciones de “super-usuario”. Empleados o consultores que estuvieron previamente en la empresa, aún cuentan con acceso a algunos sistemas. Periodos de actualización en el ERP (GL) sin restricción. En programas a la medida, las tablas e interfases no cuentan con seguridad. Los procedimientos para actualizaciones manuales no existen o no se siguen. Los documentos del sistema no coinciden con el proceso actual. La lista de las violaciones de control fue tomada de un estudio de Ernst & Young, muestras las principales violaciones de control para compañías que deben cumplir con auditorías de TI para Sarbanes-Oxley. Esta lista representa el “Top 10” de problemas que resuelve la suite de identidad de Sun. Fuente: Ken Vander Wal, Partner, National Quality Leader, Conferencia E&YISACA Sarbanes, 4/6/04

Siendo Sarbanes-Oxley una iniciativa de Ley, la compañía deberá – en todo momento – evitar caer en los supuestos que estipulan la aplicación de multas económicas a la empresa o sus directivos: Presentar errores en los reportes anuales o trimestrales podrían ocasionar penas pecuniarias a los directivos de la empresa de hasta por $1,000,000 USD, si estos errores se hacen con intención o dolo, la multa podría subir hasta $5,000,000 USD (Secciones 302 y 404). Por no revelar cualquier cambio material de manera oportuna, podrá imponerse una multa de hasta $100,000 USD y hasta 10 años de prisión (Sección 409). Se podría incurrir en multas hasta por $1,000,000 USD y/o prisión por alterar, destruir o mutilar cualquier registro o documento para intentar impedir una investigación (Sección 802). Multas y penalizaciones de las secciones más importantes de SarbOx: Sección 302: Requiere que el CEO y CFO certifiquen los reportes entregados periódicamente a la SEC. Errores en los reportes podrían ocasionar penas legales a los directivos. Las penas ante la ley son las siguientes: Certificar sabiendo que el reporte no se comporta conforme a los requerimientos – Multas de $1,000,000 USD, prisión por 10 años, o ambas. Certificar con dolo sabiendo que el reporte no se comporta conforme a los requerimientos – Multas de hasta $5,000,000 USD, prisión por 20 años, o ambas. Otras instancias de fraude tienen penalizaciones de hasta 30 años de prisión. Sección 409: Requerimiento de revelar cualquier cambio material de manera oportuna. Penalizaciones para la sección 409: Cualquier persona que con dolo viole cualquier provisión de este capítulo excepto la sección 404, o que con dolo viole cualquier regla u orden bajo este capítulo, o que con dolo viole la sección 404 sabiendo que lo estipulado es falso o engañoso en lo que respecta a cualquier material, será multado por no más de $ o encarcelado por no más de 10 años en la prisión del estado, o ambos. No podrá encarcelarse al culpable si se demuestra que la falta fue hecha sin conocimiento de la ley u orden. Las multas colectadas por este concepto deberán ser mandadas inmediatamente al tesorero de estado para ser depositadas en el fondo de seguridad de persecución del fraude (Securities Fraud Prosecution Fund) establecido por la sección 69 del capítulo 10. Sección 404: Requerimiento de entregar un reporte sobre el Control Interno. Requiere documentación, evaluación y remediación de controles internos duros - transparencia y exactitud. Las penas ante la ley son las siguientes: Sección 802: Retención y protección de documentos y registros de auditoría. Digitalización y fácil acceso a registros históricos, incluyendo correspondencia y correo electrónico Penalizaciones de la sección 802 por alterar documentos: Como resultado de la destrucción de documentos por varias empresas y sus firmas de contabilidad, en especial Enron y Arthur Anderson, la sección 802 provee penalizaciones – multas de hasta $1,000,000 USD y/o sentencia de prisión para “cualquiera que sabiéndolo altere, destruya ó mutile cualquier registro ó documento con la intención de impedir una investigación.

Costos Promedio de Cumplimiento SarbOx por Compañía Según Ingresos Anuales
CT $7.3 MDD Aprox. 0.09% del ingreso CT $3.7 MDD Aprox. 0.11% del ingreso CT $1.5 MDD Aprox. 0.46% del ingreso 26% 30% 35% 74% 70% La gráfica muestra los costos promedio de cumplimiento del primer año para empresas con diferentes tamaños, según su nivel de ingreso anual en MUSD. Se puede apreciar que el costo del cumplimiento se mantiene por debajo del 1% anual y que la proporción entre el costo de la auditoría y el costo de la implementación oscilan entre el 35%/65% para empresas de menor ingreso vs. un 26%/74% contra aquellas de gran tamaño o corporativas. Se concluye que la inversión requerida en este tipo de empresas no representa un monto importante en relación a sus ingresos, por lo que el costo/beneficio se justifica plenamente. 65% Ingreso anual $324,000,000 USD $3,500,000,000 USD $7,900,000,000 USD Costo promedio de implementación (excluyendo los costos promedio de auditorias relacionadas a la sección 404) expresado como porcentaje del costo total Costo promedio de auditoria relacionada a la sección 404, expresado como porcentaje del costo total Fuente: Sarbanes-Oxley Section 404 Costs and Implementation Issues: Survey Update

Costos Totales de Cumplimiento SarbOx en los Primeros Dos Años
9,000_ 8,000_ 7,000_ 6,000_ 5,000_ 4,000_ 3,000_ 2,000_ 1,000_ 0_ -43.90% $8,510 Miles de USD -41.30% $4,770 $4,310 $2,530 -30.70% Es importante hacer notar la baja del costo de cumplimiento (auditoría e implementación) del primer alo al segundo, oscilando entre un 30.7% para las empresas de menor facturación, hasta un 43.9% para empresas de gran tamaño o corporativas. Se concluye que dada dicha baja, existe oportunidad de que las empresas inviertan en nuevas tecnologías que ayuden a automatizar y eficientar sus procesos de negocio, sin tener que incrementar el gasto que ya tenían presupuestado en años anteriores. $1,240 $860 Ingreso anual $324,000,000 USD $3,500,000,000 USD $7,900,000,000 USD Año 1 Año 2 Fuente: Sarbanes-Oxley Section 404 Costs and Implementation Issues: Survey Update

Costo Anual Promedio de Fraude por Categorías Principales
(en miles de dólares) Fraude de informes financieros $257,923 Fraude médico o de seguros $33,709 Fraude de consumidor $2,705 Fraude relacionado con vendedores, terceros $759 Fraude de empleados $464 Administración deficiente $432 Crimen computacional $67 Si se compara el monto promedio del fraude más oneroso vs. la frecuencia de estos, veremos que la proporción se invierte: Son los más onerosos los que menos se presentan y vise-versa. Fraude de informes financieros Declaración errónea de ingresos de activos Pasivos y gastos ocultos Reconocimiento inadecuado de ingresos Omisiones inadecuadas o revelaciones inadecuadas Fraude Médico o de Seguros Fraude médico o de solicitud de indemnización por siniestro Mala manipulación de pólizas con fin de generar comisiones Fraude de indemnización de trabajadores Fraude de Consumidor Robo de cajeros automáticos Fraude de cheque Fraude de tarjeta de crédito Clasificación fraudulenta de mercadería para los clientes Devoluciones de mercadería fraudulentas Robo de identidad Fraude Relacionado con Vendedores, Terceros Manipulación de las licitaciones y fijación de precios Soborno Desviación de las ventas Duplicar facturaciones Extorsión Facturas falsas y vendedores fantasma Robo de inventario Incentivos ilícitos y conflictos de interés Fraude de préstamo Robo de propiedad intelectual Fraude de Empleados Abuso de cuenta de gastos Fraude de nómina de sueldo Robo de fondos de pensión Robo o apropiación ilegal de activos Administración Deficiente Conflictos de interés Tráfico de información privilegiada Crimen Computacional - Pirateo de sistemas informáticos y otros robos cibernéticos Fuente: Encuesta de Fraude KPMG Forensic

# de veces que se presentó
Tipo de Fraude Experimentado en un Periodo de Doce Meses Nota: Los porcentajes no suman el 100% ya que del total de empresas consideradas en la muestra, algunas de ellas experimentaron más de un tipo de fraude. A pesar de que el fraude de empleado no represente el mayor monto, destaca como el de mayor incidencia. # de veces que se presentó Fuente: Encuesta de Fraude KPMG Forensic

Porcentaje que Representa Cada Tipo de Fraude
Fraude de informes financieros Declaración errónea de ingresos de activos Pasivos y gastos ocultos Reconocimiento inadecuado de ingresos Omisiones inadecuadas o revelaciones inadecuadas Fraude Médico o de Seguros Fraude médico o de solicitud de indemnización por siniestro Mala manipulación de pólizas con fin de generar comisiones Fraude de indemnización de trabajadores Fraude de Consumidor Robo de cajeros automáticos Fraude de cheque Fraude de tarjeta de crédito Clasificación fraudulenta de mercadería para los clientes Devoluciones de mercadería fraudulentas Robo de identidad Fraude Relacionado con Vendedores, Terceros Manipulación de las licitaciones y fijación de precios Soborno Desviación de las ventas Duplicar facturaciones Extorsión Facturas falsas y vendedores fantasma Robo de inventario Incentivos ilícitos y conflictos de interés Fraude de préstamo Robo de propiedad intelectual Fraude de Empleados Abuso de cuenta de gastos Fraude de nómina de sueldo Robo de fondos de pensión Robo o apropiación ilegal de activos Administración Deficiente Conflictos de interés Tráfico de información privilegiada Crimen Computacional - Pirateo de sistemas informáticos y otros robos cibernéticos Fuente: Encuesta de Fraude KPMG Forensic

Métodos para Descubrir Fraudes (%)
Nota: Los porcentajes no suman el 100% ya que una empresa pudo haber utilizado más de un método para la detección de fraudes. Destaca el control interno como el mejor método para prevenir y descubrir fraudes. Fuente: Encuesta de Fraude KPMG Forensic

Proporción de Empresas Mexicanas que Sufren Fraude
Fuente: Ernst & Young, Fraude en México: Mitos y Realidades, 2006.

El mayor número de fraudes se realiza por el Nivel Medio (Gerencial)
Incidencia de Fraudes Según el Nivel Jerárquico del Empleado El mayor número de fraudes se realiza por el Nivel Medio (Gerencial) Fuente: Ernst & Young, Fraude en México: Mitos y Realidades, 2006.

Indicadores para la Comisión de Fraudes Entre los Empleados
Moral Baja. Incongruencias entre el estándar de vida de un empleado y su nivel de remuneración o cambios súbitos de dicho estándar. Empleados que no toman vacaciones. Relaciones estrechas o poco profesionales con clientes o proveedores. Historial profesional inconsistente. Fuente: Ernst & Young, Fraude en México: Mitos y Realidades, 2006.

Áreas Funcionales con Mayor Número de Incidencias de Fraudes
El mayor número de fraudes se presenta en las áreas de Compras de las organizaciones. Fuente: Ernst & Young, Fraude en México: Mitos y Realidades, 2006.

Principales Fuentes de los Fraudes
El mayor número de fraudes se podrían evitar si el Control Interno se implementa o bien, se fortalece. Fuente: Ernst & Young, Fraude en México: Mitos y Realidades, 2006.

Impacto Económico en la Empresa por Nivel Jerárquico de los Empleados
A mayor nivel jerárquico, más “oneroso” y menos frecuente será el fraude. En los últimos dos años, las empresas reportaron un promedio de 7 incidentes de fraude y las pérdidas oscilaron entre $50 y $150,000 pesos por incidente. Fuente: Ernst & Young, Fraude en México: Mitos y Realidades, 2006.

Principales Medidas Preventivas
Implementar Controles Internos Revisión Gerencial Auditoría Interna Auditoría Externa Denuncias Detección por Accidente Fuente: Ernst & Young, Fraude en México: Mitos y Realidades, 2006.

Premisas Los reportes financieros deben ser verificables y auditables.
Publicación puntual y confiable de eventos materiales al negocio. Habilidad para auditar la estructura y los procesos de control interno. Extender más allá los sistemas financieros comunes. Incrementar las evidencias operativas y la visión de los órganos reguladores. Fortalecer la gobernabilidad corporativa. Cumplir con las obligaciones empresariales, que generen confianza y ayuden a crear evidencia. Fortalecer la independencia de los Auditores. Incrementar la supervisión del Auditor. Ampliar las sanciones por acciones mal intencionadas. Nota: Estas premisas ayudan a identificar los puntos genéricos de la iniciativa Sarbanes-Oxley, en donde la tecnología funciona como un acelerador para lograr el cumplimiento continuo a través de la implantación y automatización de un estándar de control interno como lo son COSO o ISO17799.

¿Qué se observa? Las tecnologías de información, en particular aquellas relacionadas a arquitecturas orientadas a servicio (SOA), representan una herramienta poderosa para apoyar y asegurar un manejo adecuado, seguro, rastreable y eficaz de las operaciones cotidianas en las organizaciones que, por su dinámica organizacional, así lo requieran y justifiquen. “Principalmente, las tecnologías de información pueden apoyar el cumplimiento de los incisos: 103, 107(d), 108, 301, 302, , 409, 1001, 1102 y el Título VIII de la iniciativa Sarbanes-Oxley.”

Soluciones SOA Solución SarbOx Accelerator

ü ¿Qué es la Solución SarbOx Accelerator?
Es una suite de desarrollo acelerado, para apoyar y capitalizar el esfuerzo requerido para llevar a cabo el cumplimiento de la iniciativa Sarbanes-Oxley. La solución SarbOx Accelerator es, en sí, una plataforma de desarrollo para documentar y automatizar procesos, integrar aplicaciones existentes, identificar a los usuarios y participantes, administrar su ciclo de vida ante la organización, gestionar la publicación de información y, en todo momento, generar, gestionar y monitorear los rastros de auditoría requeridos por Sarbanes-Oxley. ü Se deberá entender como “suite de desarrollo acelerado”, al conjunto de elementos técnicos (software y hardware) que incluyen herramientas modulares con componentes preconstruidos y basadas en estándares mundialmente aceptados, que eviten lo más posible, la generación de código de programación y operaciones manuales, para lograr los resultados esperados de automatización, integración, implantación de controles, auditoría y generación de reportes.

Diagrama de la Solución
Documentación e Implantación de Controles Internos (404) Optimización de Controles Integración Operacional y Ajuste Ciclo de Vida SarbOx ¿Cómo explico el proceso de negocios que soporta la solución SarbOx? Las etapas consideradas por las empresas para la implantación de una solución genérica como parte del proceso de cumplimiento Sarbanes-Oxley se conocen como el Ciclo de Vida SarbOx. Estas etapas contemplan un proceso cíclico que va desde el inicio de las actividades de análisis, documentación e implantación de controles internos, hasta aquellas que apoyan la gestión operativa cotidiana y a realizar los ajustes necesarios que permitan ir perfeccionando el funcionamiento de los procesos de negocio y, en este caso, de los controles internos que éstos requieren. La siguiente gráfica presenta el Ciclo de Vida SarbOx Durante la etapa de Documentación e Implantación de Controles Internos se lleva a cabo: Definición del marco de referencia de control interno a utilizar (estándar): COSO, ISO17799, etc. Evaluar el control interno a nivel entidad. Evaluar los controles internos a nivel de: Procesos, Transacciones y Aplicaciones, documentación y pruebas de controles. Identificación de áreas de oportunidad. Implementar medidas correctivas en controles clave. Evaluar la efectividad general de los controles. Como parte de la etapa de Integración Operacional y Ajuste se considera: Seguimiento a medidas correctivas de controles clave. Actualizar las estrategias de corrección de controles. Integrar nuevos controles operacionales. Desarrollo de nuevas políticas y procedimientos. Asignación de responsabilidades en el mantenimiento de SOX 404. En la etapa de Monitoreo, Mantenimiento y Validación de Controles se contempla: Establecer un proceso de monitoreo permanente. Identificar y actualizar los cambios en los controles. Validar periódicamente de controles internos. Identificar fallas de control. Dar seguimiento a las fallas de control. Documentación de pruebas de control. Durante la última etapa de Optimización de Controles se efectúa: Racionalización de controles, llevando a cabo consideraciones sobre costo/beneficio de los controles. Automatizar controles clave. Estandarizar procesos clave. Integrar otros controles clave. NOTA: Es importante considerar que, dada la prorroga para empresas extranjeras, estas pudieran considerar modificar el orden de las etapas enfocándose en: (1) re-evaluar y racionalizar su inventario de controles claves; y, (2) incorporar elementos de valor antes de proceder con la implementación, integración operativa y establecimiento de sistemas de monitoreo. Esto cambiaría el ciclo dejando la última etapa como la primera. Monitoreo, Mantenimiento y Validación de Controles

¿Por Qué Elegir Esta Solución?
Basada en una arquitectura orientada a servicios (SOA). Altamente modular, escalable, extensible e integrable, permitiendo una rápida integración y reducción de costos. Solución de desarrollo acelerado y rápida implantación. Arquitectura abierta y compatible con los principales estándares de la industria (por ejemplo, BPEL, SPML y LDAP). Plataforma tecnológica re-usable, compartible, confiable, segura y robusta. Acrónimos: BPEL: Business Process Execution Language SPML: Service Provisioning Mark up Language LDAP: Lightweight Directory Access Protocol

Funcionalidades de la Solución
Gobernabilidad Acceso unificado Integración con aplicaciones de soporte al negocio (BSS o back-end) Unificación de registros Federación de identidad Certificados y firma electrónica Repositorio centralizado de transacciones Administración de procesos de negocio (BPM) Monitor de transacciones (BAM) Alta disponibilidad de la infraestructura tecnológica Soporte a estándares de la industria Biblioteca electrónica Auditoría de documentos Motor de transformación de documentos Foros de discusión Búsqueda avanzada de documentos Aprovisionamiento de usuarios Automatización de flujos de trabajo de aprovisionamiento Sincronización de datos de identidad Repositorio de identidad virtual Repositorio centralizado Conformidad con regulaciones Auditoría de identidad Reconciliación de identidad Gestión de contraseñas Autenticación Autorización (control de acceso centralizado) Single Sign-On Federación de identidad Acceso unificado Auto-servicio Administración delegada Soporte a estándares de la industria (¿Qué funcionalidad ofrece?) Con base en los componentes tecnológicos, utilizados para habilitar la solución SarbOx, se pueden identificar las siguientes funcionalidades que ésta provee: Gobernabilidad: Capacidad de contribuir a los esfuerzos relacionados a la alineación que debe existir entre la estrategia del negocio y las capacidades técnicas del mismo, en relación al cumplimiento de Sarbanes-Oxley. Acceso unificado: Unificar el acceso a los recursos corporativos mediante la relación de los mismos en una única interfaz de usuario personalizada, a través de un único punto de acceso, de forma segura y remota desde cualquier ubicación geográfica. Integración con aplicaciones de soporte al negocio (BSS o back-end): Integrar aplicaciones existentes con procesos operativos estables hacia la interfaz que ofrece el acceso unificado y, a su vez, ofrecer la capacidad e intercomunicación entre aplicaciones internas y externas (proveedores, clientes, socios de negocio, etc.). Unificación de registros: Identificar información común en distintas fuentes (sistemas o bases de datos) para determinar el mejor registro, mediante procesos de comparación y eliminación. Federación de identidad: Capacidad para establecer una relación de confianza entre entidades con el fin de permitir el acceso a servicios. Esta relación o círculo de confianza se logra a través de un “Proveedor de Identidad”. Certificados y firma electrónica: Identificar al usuario en todo momento para validar la identidad electrónica del mismo y el registro de las operaciones en los sistemas. Repositorio centralizado de transacciones: Proveer un repositorio de información de alto nivel, que no esté atado a la aplicación de manejo contable y financiero (ERP), para poder enriquecer el detalle de las transacciones y almacenarlo para la generación de nuevos reportes que faciliten el cumplimiento de Sarbanes-Oxley y, a su vez, traigan mejoras operativas al negocio. Administración de procesos de negocio (BPM): Capacidad de automatizar las actividades que constituyen los procesos de negocio de manera integrada a la infraestructura de TI. Monitor de transacciones (BAM): Supervisar los indicadores claves de desempeño del negocio en tiempo real. Conocer y administrar cuellos de botellas, deficiencias (eficiencias) en procesos y/o personas. Proveer información suficiente para la toma de decisiones oportunas. Alta disponibilidad de la infraestructura tecnológica: Los componentes de la solución deberán ofrecer capacidades de redundancia y alta disponibilidad para mantener los procesos, reportes, servicios y demás componentes operando adecuadamente de manera ininterrumpida 7x24. Soporte a estándares de la industria: La solución deberá proveer, a través de sus distintos componentes, los estándares más utilizados por la industria para brindar a la solución permanencia y escalabilidad que se traduzca en un mayor y más rápido retorno en la inversión. Biblioteca electrónica: Capacidad para publicar documentos de manera electrónica, incluyendo funcionalidad para generar estructuras de carpetas y archivos, contenidos, plantillas y direcciones de Internet, realizar “check in/out” y administrar versiones, evitando con esto, el re-trabajo en ambientes colaborativos. Auditoría de documentos: Capacidad de mantener rastro de los datos generales de un documento (fecha y hora de creación, fecha y hora de modificación, formato, etc.), así como de las personas que mantienen una relación con el mismo (creador, autorizador, administrador, etc.). Motor de transformación de documentos: Funcionalidad de transformación del formato de documentos y archivos, por ejemplo: de Word a PDF, de PowerPoint a Flash, etc. Foros de discusión: Capacidad de generar y administrar discusiones concatenadas o secuenciales en relación a temas y/o documentos específicos. Búsqueda avanzada de documentos: Capacidad para localizar documentos mediante la combinación de Meta-Data, contenido, ubicación, categoría, etc. Aprovisionamiento de usuarios: Crear, leer, modificar y eliminar la información que forma parte de la identidad de los usuarios en las cuentas de los recursos corporativos. Automatización de flujos de trabajo de aprovisionamiento: Definición, programación y automatización de los pasos requeridos durante la ejecución del proceso de aprovisionamiento de usuarios. Sincronización de datos de identidad: Mantener consistencia de la información del usuario en las distintas cuentas de los recursos corporativos, identificando las fuentes rectoras (authoritative resource) de los atributos del usuario. Repositorio de identidad virtual: Gestión centralizada de la información de los atributos del usuario que se encuentra de manera local en cada recurso corporativo, bajo un concepto de mapeo de atributos, sin importar que los identificadores y demás nombres y atributos de cada cuenta sean distintos en cada aplicación. Repositorio centralizado: Unificar la información general de usuarios en un directorio central, el cual pueda ser utilizado por diversos recursos corporativos. Conformidad con regulaciones: Cumplir con los requerimientos legales impuestos a la empresa, en relación a temas tales como seguridad, auditoría, control, reporte, etc. Auditoría de identidad: Examinar, detectar, notificar, remediar y revisar resultados en cuanto a los recursos que puede acceder un usuario y el registro de su información para asegurar su precisión o validez, mediante la emisión de reportes. Reconciliación de identidad: Comparar y reportar las cuentas que existen en los recursos corporativos y que no están registradas en el repositorio de identidad virtual, para tomar las acciones adecuadas, con base en políticas establecidas. Durante el proceso de reconciliación, se puede detectar: a) cuentas de usuario nuevas y eliminadas; b) cambios de los valores de los atributos; c) cuentas que no están asociadas a usuarios (correlacionándolas si es posible); y, d) cuentas que han sido movidas de un contenedor en un recurso a otro contenedor en un recurso. Gestión de contraseñas: Administración general (alta, cambios y recuperación) de claves de acceso de las cuentas de usuarios, pudiendo establecer políticas de las características de las contraseñas que son obligadas, cuando se realizan los cambios a partir del repositorio de identidad virtual. Autenticación: Contar con diversos mecanismos de autenticación a recursos corporativos para poder manejar distintos niveles de seguridad, verificando la identidad del usuario. Autorización (control de acceso centralizado): Controlar los privilegios de acceso de los usuarios a los recursos corporativos. Single Sign-On: Autenticar una sola vez al usuario, permitiendo el acceso a diversos recursos corporativos, sin tener que volver a presentar credenciales para cada recurso. Auto-servicio: Delegar la gestión de funciones básicas de administración de perfiles y claves de acceso a los usuarios mismos, evitando que tengan que recurrir a una mesa de ayuda. Administración delegada: Delegar la responsabilidad de la gestión de usuarios, información, funciones, reportes, proyectos, recursos corporativos, etc., a lo largo de la estructura organizacional.

Líneas Futuras (Evolución)
Tablero de cumplimiento (Compliance Dashboard) Auditoría de actividad Gestión del ciclo de vida de personas Planeación general de la vida del empleado Control de documentos Control de tareas de proyectos y procesos Gestión de niveles de servicio Gestión de incidentes Inventario de recursos corporativos Gestión del ciclo de vida de la información (ILM) (¿Qué otra funcionalidad ofrecerá en un futuro?) A continuación se presenta la lista de funcionalidades que por el momento no son cubiertas por las versiones actuales de los componentes que conforman la solución, pero que se contempla cubrir en futuras versiones: Tablero de cumplimiento (compliance dashboard): Vista detallada que presente, al usuario autorizado, un panorama general o resumen de la información de evidencia que generan los procesos y actividades relacionadas al cumplimiento de la iniciativa Sarbanes-Oxley, en cualquier momento que desee consultarse. Deberá proveer acceso a los reportes generados por las aplicaciones financieras que operan cotidianamente en las actividades de la empresa. Auditoría de actividad: Examinar, detectar, notificar, remediar y revisar resultados en cuanto a los recursos que accedió un usuario, así como las acciones o actividades del mismo en el recurso, mediante la emisión de reportes. Control de documentos: Mantener visibilidad en la creación, revisión, modificación, autorización y publicación de documentos corporativos, incluyendo su correspondencia de correo electrónico y de voz, así como capacidad de gestión en cuanto a la reasignación de los mismos a otros usuarios. Control de tareas de proyectos y procesos: Mantener visibilidad del estado de las tareas asignadas a empleados en proyectos y procesos, así como capacidad de gestión en cuanto a la reasignación de las mismas a otros usuarios. Gestión de niveles de servicio: Monitorear y reportar los niveles de disponibilidad de los servicios, así como la planeación de la capacidad de los recursos que los soportan. Gestión de incidentes: Monitoreo en tiempo real de la infraestructura que soporta a los servicios de la empresa para detectar fallas, su causa de origen y el impacto ocasionado. Inventario de recursos corporativos: Mantener una relación de todos los recursos corporativos, su información detallada y la asociación existente con las personas que componen la empresa.

Beneficios de la Solución
Compromiso Directivo (participación activa del consejo de administración y del comité de auditoría de la empresa). Mayor estructura en el proceso de cierre anual y registro de evidencia de las operaciones diarias. Implantación de actividades anti-fraude con procesos bien establecidos. Mejora en documentación de controles y procesos que sirve de base para capacitación, lineamientos cotidianos y evaluación de la administración (management). Mejora en definición de controles sus relaciones y riesgos, a lo largo de la organización. Volver el control algo cotidiano para la organización. Mayor entendimiento por el personal operativo y administrativo. Re-implantación de controles básicos, distribución de responsabilidades y privilegios según perfiles. Compromiso Directivo (participación activa del consejo de administración y del comité de auditoría de la empresa). Mayor estructura en el proceso de cierre anual y registro de evidencia de las operaciones diarias. Implantación de actividades anti-fraude con procesos bien establecidos. Mejora en documentación de controles y procesos que sirve de base para capacitación, lineamientos cotidianos y evaluación de la administración (management). Mejora en definición de controles sus relaciones y riesgos, a lo largo de la organización. Volver el control algo cotidiano para la organización. Mayor entendimiento por el personal operativo y administrativo. Re-implantación de controles básicos, distribución de responsabilidades y privilegios según perfiles

Beneficios de la Solución
Provee seguridad, confiabilidad y escalabilidad en una solución de bajo costo de implementación, administración y adquisición. Asegura un alto retorno de inversión al ofrecer cumplimiento continuo y sostenido. Automatiza y fortalece los controles internos reduciendo significativamente los riesgos y las repercusiones regulatorias. Integra compras, entregas e instalación en un plan de trabajo que reduce riesgos e incrementa velocidad de implantación. El cliente se enfoca en la problemática cotidiana del negocio, no en evaluar tecnología. Tecnología estandarizada, utilizada a nivel global y bien probada para el diseño, construcción e integración de soluciones innovadoras utilizando metodologías y procesos de punta para soportar las aplicaciones empresariales. Provee seguridad, confiabilidad y escalabilidad en una solución de bajo costo de implementación, administración y adquisición. Asegura un alto retorno de inversión al ofrecer cumplimiento continuo y sostenido. Automatiza y fortalece los controles internos reduciendo significativamente los riesgos y las repercusiones regulatorias. Integra compras, entregas e instalación en un plan de trabajo que reduce riesgos e incrementa velocidad de implantación. El cliente se enfoca en la problemática cotidiana del negocio, no en evaluar tecnología. Tecnología estandarizada, utilizada a nivel global y bien probada para el diseño, construcción e integración de soluciones innovadoras utilizando metodologías y procesos de punta para soportar las aplicaciones empresariales.

Soluciones SOA ¿Por qué Sun Microsystems?

Liderazgo en el Mercado
Packaged Sun Microsystems sobresale como superior funcionalmente y marca el estándar en lo que a aprovisionamiento de cuentas se refiere. Ha logrado desarrollar una solución altamente funcional y flexible, además de ser relativamente fácil de implementar, mientras que otros competidores aún tienen problemas para balancear estos objetivos. BMC, IBM, CA, y Novell también se encuentran bien posicionados. El producto de Administración y Aprovisionamiento de Usuarios de BMC fue mejorado recientemente, es muy funcional y contempla como un eje relevante de su estrategia de posicionamiento, la alineación de la tecnología bajo principios de IT Gobernance. Tivoli, el Administrador de Identidad de IBM, tiene una historia de implementaciones exitosas y de gran escala. eTrust Admin de CA tiene una arquitectura robusta y una poderosa herramienta de auditoría, soportado por IdentityMinder (proveniente de la adquisición de Netegrity), el cual agregó nuevas funcionalidades para la administración de políticas y administración de usuarios. Finalmente, el Administrador de Identidad de Novell, tiene recientes mejoras en cuanto a flujo de trabajo, gestión de políticas y auditoría. Todas estas marcas traen consigo un amplio portafolio de soluciones en materia de Administración de Identidad. Courion, HP y Thor Technologies ofrecen opciones competitivas. El Enterprise Provisioning Suite de Courion es de los más fuertes en las áreas de administración de contraseña y de auto-servicio. Lo que sorprende es que esta pequeña marca de administración de identidad ha sumado una cantidad impresionante de socios tecnológicos, que compiten contra las sociedades de otras marcas más grandes. Dentro del paquete de HP, OpenView Select Identity, se encuentran las bases para un producto líder del mercado, pero la ausencia de algunas funcionalidades clave hacen que la solución se vea mermada en puntaje. El Xellerate Identity Manager (XellerateIM) de Thor Technologies participa con lo mejor en cuanto a funcionalidad, pero decae por el tamaño pequeño de la compañía y su escaso número de sociedades, problemas que Oracle, su nuevo dueño puede remediar rápidamente. Microsoft entrega un producto con pocos conectores, un flujo de trabajo básico incorporado y sin auto-servicio. Hoy en día, el Microsoft Identity Integration Server (MIIS) es un sistema de “meta-directorios”, con la habilidad de brindar a las organizaciones una solución para modificar, según sus requerimientos particulares, algunas funcionalidades básicas de aprovisionamiento vía “scripting”. “Sun ha logrado desarrollar una solución altamente funcional y flexible, además de ser relativamente fácil de implementar, mientras que otros competidores aún tienen problemas para balancear estos objetivos.”

¿Por Qué Eligieron Esta Solución?
La mayor base instalada de clientes con una solución de gestión de identidad. Gartner, Forrester y Meta Group sitúan a Sun Microsystems como la mejor opción debido a: “El más rico en funciones.” - Forrester Flexibilidad de sus productos para adecuarse a los requerimientos de sus clientes. Facilidad de implementación de su solución. Solidez en la funcionalidad de sus conectores. Mejor suite para la administración de políticas de acceso e identidad. Se ofrece en licencia perpetua o bien, renta anual por empleado. Único con un módulo de auditoría de identidad, indispensable en proyectos de cumplimiento regulatorio (por ejemplo, Sarbanes-Oxley). Packaged Solución basada en una arquitectura orientada a servicios (SOA) que permite establecer lineamientos claros de desarrollo e integración de componentes al ambiente de TI, permitiendo capitalizar los beneficios que este tipo de arquitectura brinda. Sun Microsystems cuenta con el respaldo de tener la mayor base instalada de clientes con una solución de Identity Management. Los análisis de Gartner, Forrester y Meta Group sitúan a Sun Microsystems como la mejor opción en cuanto administración y aprovisionamiento de usuarios debido a: Número de funciones incluidas en su suite (“El más rico en funciones.” - Forrester). Flexibilidad de sus productos para adecuarse a los requerimientos de sus clientes. Facilidad de implementación de su solución. Solidez en la funcionalidad de sus conectores. Mejor suite para la administración de políticas de acceso e identidad. La solución ELCM se ofrece bajo un modelo de licencia perpetua o de renta anual por empleado. Único con una completa funcionalidad de auditoría de identidad, que se convierte en un módulo indispensable en proyectos de cumplimiento regulatorio (como en el caso de Sarbanes-Oxley). Liberación programada de versiones de software que aseguran el valor futuro de la inversión. Solución novedosa y pionera para el mercado Mexicano

Cuadrante Mágico para Software de Integración, 1H05
Liderazgo en el Mercado Cuadrante Mágico para Software de Integración, 1H05 Packaged Sun posicionado con SeeBeyond en el cuadrante superior derecho (LEADERS), notablemente es el proveedor que mejores funcionalidades provee a sus clientes, sin embargo, dado el poco tiempo que tiene en el mercado, no fue colocado mejor que Tibco, IBM o Microsoft en el eje correspondiente a la “Habilidad para Ejecutar”. “SeeBeyond (Java CAPS) aparece como uno de los líderes en el cuadrante mágico de Gartner 1H05, siendo sobresaliente por su visión, amplia funcionalidad y una fuerte habilidad para ejecutar.”

¿Por Qué Eligieron Esta Solución?
Productos basados en mensajería ligera (web services), independientes de la plataforma tecnológica. Sus soluciones son probadas y soportadas en múltiples servidores de aplicación y sus herramientas de desarrollo funcionan con varios marcos de referencia de desarrollo (ej: Eclipse y Visual Studio.NET) Orientados a escenarios de negocio donde la mayoría de las aplicaciones son paquetes comprados o bien, aplicaciones legadas (legacy) operando en un ambiente heterogéneo de servidores de aplicación, sistemas operativos o simplemente, sobre una máquina virtual de Java (JVMs). Proveen un contenedor para la creación de nuevas aplicaciones compuestas (composite applications) y múltiples flujos de trabajo. Packaged Solución basada en una arquitectura orientada a servicios (SOA) que permite establecer lineamientos claros de desarrollo e integración de componentes al ambiente de TI, permitiendo capitalizar los beneficios que este tipo de arquitectura brinda. Sun Microsystems cuenta con el respaldo de tener la mayor base instalada de clientes con una solución de Identity Management. Los análisis de Gartner, Forrester y Meta Group sitúan a Sun Microsystems como la mejor opción en cuanto administración y aprovisionamiento de usuarios debido a: Número de funciones incluidas en su suite (“El más rico en funciones.” - Forrester). Flexibilidad de sus productos para adecuarse a los requerimientos de sus clientes. Facilidad de implementación de su solución. Solidez en la funcionalidad de sus conectores. Mejor suite para la administración de políticas de acceso e identidad. La solución ELCM se ofrece bajo un modelo de licencia perpetua o de renta anual por empleado. Único con una completa funcionalidad de auditoría de identidad, que se convierte en un módulo indispensable en proyectos de cumplimiento regulatorio (como en el caso de Sarbanes-Oxley). Liberación programada de versiones de software que aseguran el valor futuro de la inversión. Solución novedosa y pionera para el mercado Mexicano

Cuentas de Referencia

Firma Consultora/Auditor
Instalación y Entrega Firma Consultora/Auditor Consultoría procesos de negocio Desarrollo de interfaces Desarrollo de agentes Desarrollo de componentes Desarrollo de Web Services Sun Microsystems Hardware Licenciamiento Servicios profesionales Soporte nivel 2 Mantenimiento QoS Labs Licenciamiento Servicios profesionales Soporte nivel 1 Mantenimiento Entrenamiento

Instalación y Entrega Esta tabla presenta la actividad de cada uno de los participantes por etapa del proceso de implantación de la solución.

Pasos a Seguir… Las fases que aparecen aquí, son SUGERIDAS. El programa final de trabajo para una empresa puede variar dependiendo de los requerimientos prioritarios que tenga. Sólo se presenta para ejemplificar el tipo de actividades que se requieren durante un proyecto de este tipo.

Soluciones SOA Demo

Script del Demo Escena 1 – Vista del Administrador de Recursos Humanos
Escena 2 – Alta de un nuevo empleado Escena 3 – Aprobación y aprovisionamiento de cuentas Escena 4 – Primer acceso del empleado Escena 5 – Reasignación de labores Escena 6 – Monitoreo del proceso de pago de bono Escena 7 – Monitoreo del proceso de solicitud de reportes financieros Escena 8 – Auditoría de identidad Escena 9 – Terminación del empleado

d Arquitectura Tecnológica
En el diagrama de la arquitectura se pueden distinguir claramente los diferentes bloques que la conforman. En la parte inferior y de manera horizontal se muestran los recursos corporativos, que se componen por los sistemas y repositorios de información o datos de la empresa que serán consultados y actualizados por los diferentes componentes de la arquitectura según procesos y políticas de negocio utilizando diferentes mecanismos estándar de transmisión y transformación de datos. En la parte central del diagrama, se pueden localizar - a los lados - dos grandes bloques verticales, del lado izquierdo, en color azul, el bloque de gestión de identidad y del lado derecho, en color amarillo, el bloque de aplicaciones compuestas. El bloque de gestión de identidad contiene los componentes encargados de ofrecer los servicios y procesos que mantienen actualizadas y sincronizadas las cuentas de los usuarios en los diferentes recursos corporativos, utilizando adaptadores para la integración con cada tipo de recurso y presentando formas y vistas para la manipulación y consulta de los atributos correspondientes a cada cuenta. Contiene también los servicios de auditoría necesarios para llevar el control de los cambios realizados a dichas cuentas y presentar reportes de los mismos. Similarmente, el bloque de aplicaciones compuestas contiene los componentes encargados de ofrecer los servicios y procesos que atienden a los requerimientos de negocio de la empresa, los cuales interactúan unos con otros de manera compuesta presentando diferentes vistas de acceso para su consumo o lo que se le conoce como aplicaciones compuestas. En la parte superior del diagrama se presenta el sistema de gestión de acceso, encargado de los servicios de autenticación y autorización, y por encima de este, el sistema de portal, encargado de los servicios de presentación. En el centro de la arquitectura se encuentra el administrador semántico, que junto con el motor de correlación, el administrador SLA, el repositorio de contenidos y su integración con el resto de los componentes de la arquitectura, se encargan de llevar a cabo la virtualización y la gestión, así como complementación de las funciones de gobernabilidad TI de todo el ambiente.

Marco de Referencia SOA y Componentes de la Solución
Componentes de Software Java System Portal Server Java System Web Server Java Application Server Sun Java System Identity Management Suite Identity Manager Directory Server Access Manager Identity Auditor Java Composite Application Platform Suite Sun ESB: eInsight BPM: eWay Adapters: eGate Integrator: eVision Studio: eBAM Studio: eInsight BPM Opcional Requerido

Instancia de Demostración
Ir a la DEMO

¿Preguntas? ?

Siguientes Pasos … Declaración de interés.
Levantamiento de requerimientos de negocio. Planteamiento de un proyecto específico. Siguientes pasos sugeridos para formalizar un proyecto con el Cliente: Declaración de interés. Levantamiento de requerimientos de negocio. Planteamiento de un proyecto específico. Definir y formalizar una POC con objetivos y compromisos claros.

Gracias por su atención …
QoS Labs: Raúl García Manríquez Consultor Comercial de Proyectos de Software +52 (55) x2438 Sun Microsystems: +52 (55)

Soluciones SOA SarbOx Accelerator.

Presentaciones similares

Presentación del tema: "Soluciones SOA SarbOx Accelerator."— Transcripción de la presentación:

Presentaciones similares

Sobre el proyecto

Feedback

Iniciar la sesión

Autorizarse a través de una red social:

Soluciones SOA SarbOx Accelerator.

Presentaciones similares

Presentación del tema: "Soluciones SOA SarbOx Accelerator."— Transcripción de la presentación:

Presentaciones similares

Sobre el proyecto

Feedback