Plan Estratégico de Tecnología y Servicios Informáticos 2018 – 2020 Departamento de Servicios de Información y Tecnología (DOITS) Plan Estratégico de Tecnología y Servicios Informáticos 2018 – 2020 Abordando Oportunidades, Riesgos y Amenazas de la Tecnología de la información Washington, D.C. Abril de 2017

Estructura y Servicios CIDH SAJ SEDI SAP SSM Departamento de Servicios de Información y Tecnología REMJA SECURITY LAB SIAR ERP Estructura y Servicios HELP DESK OAS CONNECT EXCHANGE IPSP IEAB … Servicios Internos Servicios Externos … Seguridad Informática Recursos Humanos Estructura de Información Calidad de Software Infraestructura y Comunicaciones Desarrollo de Software CORE / Departamental Departamento de Servicios de Información y Tecnología SDF / TAP 50 / 50 … …

Departamento de Servicios de Información y Tecnología 2006 2010 2012 2013 2014 2015 2016 Personal Aplicaciones Desarrolladas (Total) Crecimiento de Información Almacenada en Terabytes Teléfonos Inteligentes Tickets de Asistencia Técnica Eventos Analizados de Seguridad Informática

Plan Estratégico SAF/DOITS 2018-2020

Plan Estratégico SAF/DOITS 2018-2020 Desarrollo de Software

Desarrollo de Software Desarrollo de aplicaciones centrales y departamentales Implementación de nuevo ERP Plataforma de manejo de contenidos organizacionales Comunidades Virtuales Espacios colaborativos de trabajo Desarrollos de aplicaciones para dispositivos móviles 6

Desarrollo de Software (Continuación) Administración de procesos Portal de servicios de la SAF Redefinición de sistemas “legacy” Redefinición y automatización de procesos básicos rutinarios 7

Infraestructura y Comunicaciones Estructura de Información Desafíos a Corto Plazo Infraestructura y Comunicaciones Renovación del leasing de la Infraestructura Informática y de Comunicaciones. Arquitectura de almacenamiento de datos unificado. Alta disponibilidad en servicios críticos. Data centers compatibles con normas ISO. Servicios en la nube. Desarrollo de Software Redefinición de los procesos de negocio de la SG/OEA. Actualización del ERP (OASES) existente. Desarrollo de SBPs (Portal de Servicios SAF) Implementación de un Sistema de Gestión de Contenidos (CMS) de la SG/OEA. Aplicaciones departamentales. Aplicaciones móviles. Redefinición de sistemas “legacy”. Seguridad Informática Actualización tecnológica de la Arquitectura de Seguridad Informática (ISA) de la SG/OEA. Actualización del disaster recovery plan. Creación del CERT de la OEA. Continuación de la concienciación y capacitación del personal de la SG/OEA. Calidad de Software Programa de acreditación técnica. Aplicación de la política de tercerización de software de la SG/OEA. Recursos Humanos Retención de personal calificado. Capacitación. Conversión de contratos CPR a posiciones staff. Estructura de Información Actualización de motores de bases de datos Oracle/Microsoft. Implementación de Tableros de control de gestión de la SG/OEA.

Infraestructura y Comunicaciones Riesgos y Amenazas a Corto Plazo Infraestructura y Comunicaciones Renovación del leasing de la Infraestructura Informática y de Comunicaciones. Desarrollo de Software Redefinición de los procesos de negocio de la SG/OEA. Actualización del ERP (OASES) existente. Seguridad Informática Actualización tecnológica de la Arquitectura de Seguridad Informática (ISA) de la SG/OEA Actualización del disaster recovery plan. Recursos Humanos Retención de personal calificado. Capacitación. Conversión de contratos CPR a posiciones staff.

Abordando Riesgos y Amenazas de la Tecnología de la información Situación Actual Mitigación de Riesgos Riesgo de no hacer nada Amenazas Impacto En Progreso Acciones / Recursos necesarios Fondo de Capital de TI Costo recurrente presupuestado/año Leasing de Infraestructura no se renueva Cese de todas las Operaciones Alto Análisis de proveedores potenciales Renovación del leasing Mantener el presupuesto de TI existente $ 0 $600,000 Renovación de la Infraestructura no completada Incapacidad para proporcionar servicios adicionales Medio Fondos Adicionales $2,000,000 $30,000 ERP permanece en la versión actual sin soporte. Falla de los sistemas financieros Desarrollo de herramientas internas de software ad/hoc Redefinición de los procesos de negocio de la SG/OEA Migración a la nube $2,500,000 ~ $700,000 No hay actualizaciones a los sistemas de Seguridad Informática Datos de la SG/OEA comprometidos $200,000 ~ $20,000 Plataforma de Disaster Recovery no actualizada - Solución parcial con proveedor externo - Backup de los servicios centrales en la nube $0 ~$ 150,000 Total del Fondo de Capital de TI necesario: Año 1 $4,700,000 Aumento anual total del presupuesto de TI $900,000

Principales Riesgos y Amenazas a Corto Plazo Infraestructura y Comunicaciones MNB GSB ADM 1GB Oficinas Nacionales Acceso Remoto a la Sede VPN Internet CIRCUITO COMPLETO en la Sede 300 MB 200 MB El 75% de la infraestructura existente bajo leasing expirará el 12/31/2017

Riesgo de la no renovación: Cese de todas las operaciones de la SG/OEA Principales Riesgos y Amenazas a Corto Plazo Infraestructura y Comunicaciones MNB 1GB National Offices HQ Remote Access "La Junta observa que la tecnología informática (TI) es un elemento esencial para facilitar las operaciones diarias de la OEA; en realidad, todo el personal utiliza la infraestructura de la tecnología informática con fines operativos y para la provisión de programas técnicos." Riesgo de la no renovación: Cese de todas las operaciones de la SG/OEA Costo total de renovación del leasing: $3.000.000 en 5 años Los fondos regulares de mantenimiento de TI incluyen : $600.000 por año Fondos totales adicionales necesarios para tener una renovación completa de la infraestructura de la SG/OEA: $2.000.000

Contribuciones/Proyectos Activos Fijos (Inventario) Principales Riesgos y Amenazas a Corto Plazo Actualización del ERP existente - "OASES" RBCS LMS OPDB PES CPR Legal MS SQL PIMS TECS TXF MS SQL OASES Electronic Business Suite Versión 11 DRH Recursos Humanos DSF Nómina de Sueldos Contribuciones/Proyectos Gestión de Efectivo Cuentas por Cobrar Cuentas por Pagar Libro Mayor Activos Fijos Motor de BD ORACLE DC Compras DSG Activos Fijos (Inventario)

Electronic Business Suite Principales Riesgos y Amenazas a Corto Plazo Actualización del ERP existente - "OASES" Código de colores: Con soporte Soporte extendido Sin soporte Electronic Business Suite ORACLE OEA Línea de tiempo 11.5.8 11.5.10 12.0.0 12.1 12.2 Oracle Fusion Oracle ERP Cloud 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 Motor de Base de Datos ORACLE OEA Línea de tiempo 8i 9i 10g 11g 12c 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016

Informes de la Junta de Auditores Externos Principales Riesgos y Amenazas a Corto Plazo Actualización del ERP existente - "OASES" Informes de la Junta de Auditores Externos “La junta manifiesta su preocupación por el hecho de que se siga utilizando una plataforma OASES y bases de datos conexas cada vez más obsoletas.” Riesgo de Falla en los Sistemas Financieros Incapacidad para implementar Normas Internacionales de Información Financiera (IFRS / IPSAS)

Principales Riesgos y Amenazas a Corto Plazo Actualización del ERP existente - "OASES" Ahorro de TCO $1.5M - $11M* Análisis Comparativo de Costos de ORACLE EBS Instalación Localmente vs Instalación en la Nube Comparación de Acumulación de Costos en 10 años Nota: Estimaciones basadas en datos proporcionados por el cliente y supuestos de datos operacionales no proporcionados. Fuente: ORACLE

Principales Riesgos y Amenazas a Corto Plazo Seguridad Informática Fuente: Arquitectura de Seguridad Informática de la OEA

Principales Riesgos y Amenazas a Corto Plazo Seguridad Informática Escenario en permanente evolución genera mayores amenzas. Última inversión de capital realizada en 2010 (CIDA) Mayor riesgo de que los datos de la SG/OEA sean comprometidos. Fondos adicionales necesarios para mitigar las necesidades urgentes: $200.000 durante un período de un año. Mantenimiento necesario para períodos posteriores: $20.000 por año

Informes de la Junta de Auditores Externos Principales Riesgos y Amenazas a Corto Plazo Disaster Recovery Informes de la Junta de Auditores Externos “La seguridad informática y la recuperación ante desastres continúan representando riesgos para la infraestructura informática actual. Si no invierte en mejorar y modernizar esta infraestructura, la OEA seguirá expuesta al riesgo de posibles pérdidas de uso de los sistemas y los datos en caso de producirse una infiltración o un desastre en su infraestructura de TI. La Junta no considera sostenible depender de una infraestructura informática obsoleta que requiere atención inmediata.” En caso de desastre, la vuelta a operación tardará varias semanas, bajo el esquema actual. Necesidad de implementar plataforma de “Disaster Recovery “ en la nube. Fondos necesarios para configurar los servicios de Disaster Recovery en la nube: $150.000 por año

Abordando Riesgos y Amenazas de la Tecnología de la información Situación Actual Mitigación de Riesgos Riesgo de no hacer nada Amenazas Impacto En Progreso Acciones / Recursos necesarios Fondo de Capital de TI Costo recurrente presupuestado/año Leasing de Infraestructura no se renueva Cese de todas las Operaciones Alto Análisis de proveedores potenciales Renovación del leasing Mantener el presupuesto de TI existente $ 0 $600,000 Renovación de la Infraestructura no completada Incapacidad para proporcionar servicios adicionales Medio Fondos Adicionales $2,000,000 $30,000 ERP permanece en la versión actual sin soporte. Falla de los sistemas financieros Desarrollo de herramientas internas de software ad/hoc Redefinición de los procesos de negocio de la SG/OEA Migración a la nube $2,500,000 ~ $700,000 No hay actualizaciones a los sistemas de Seguridad Informática Datos de la SG/OEA comprometidos $200,000 ~ $20,000 Plataforma de Disaster Recovery no actualizada - Solución parcial con proveedor externo - Backup de los servicios centrales en la nube $0 ~$ 150,000 Total del Fondo de Capital de TI necesario: Año 1 $4,700,000 Aumento anual total del presupuesto de TI $900,000

Informes de la Junta de Auditores Externos Abordando Riesgos y Amenazas de la Tecnología de la información "La Junta observa que Informes de la Junta de Auditores Externos Fondo de Capital de Tecnología Necesario

Plan Estratégico de Tecnología y Servicios Informáticos 2018 – 2020 Departamento de Servicios de Información y Tecnología (DOITS) Plan Estratégico de Tecnología y Servicios Informáticos 2018 – 2020 Abordando Oportunidades, Riesgos y Amenazas de la Tecnología de la información Washington, D.C. Abril de 2017