Quienes Somos Sisdata, c.a. SISDATA, C.A. Experiencia de 36 años en desarrollo e implementación de sistemas bancarios Fábrica de software de punta de mejores prácticas Consultoría en metodologías y buenas prácticas Implementación e integrador de sistemas Apoyo de personal altamente calificado con sólida experiencia en sistemas bancarios Sisdata, c.a.

Roles y Responsabilidades SISDATA, C.A. Instalación de los sistemas y generación de bases de datos COBIT para el Banco Levantamiento de información de gobierno de TI y su integración con COBIT y otros sistemas del banco Desarrollo de adaptaciones e interfases y carga de recursos de TI de COBIT Entrenamiento de utilización de los sistemas Pruebas e implementación de los sistemas Producción de informes Sisdata, c.a.

Gobierno Corporativo: Qué es el Gobierno de TI Es parte integral del Gobierno Corporativo, el cual se basa en liderazgo, estructuras y procesos que aseguren que la tecnología de información de la corporación se soporte y abarque los objetivos y estrategias de la organización, siendo este Gobierno responsabilidad de la directiva y gerencia ejecutiva. Determina el marco de trabajo para soportar la toma de decisiones y asignar la responsabilidad para fomentar el comportamiento deseado en el uso de la Tecnología de Información. Es el instrumento que permite valorar el equilibrio de poderes y autonomía de las unidades en función de lograr los objetivos comunes. Gobierno Corporativo: Adecuación Adherirse a las legislación, cumplir con las políticas internas y requerimientos de auditoría Rendimiento Mejora en la rentabilidad, eficiencia, efectividad, crecimiento 3 3

Porqué se requiere el Gobierno de TI La gestión de tecnología es compleja en la medida que la organización madura La alta disponibilidad y el mantenimiento de los servicios de carácter estratégico y obligatorio Se debe alinear la tecnología (y mantenerla) a las estrategias del negocio Fortalecer la seguridad en sus principios básicos: Confidencialidad, Integridad y Disponibilidad Cumplir con las regulaciones y Hacer rentable la tecnología (Costo/Valor) 4 4

Valor de las acciones de la Corporativa Cómo interactua el Gobierno Corporativo y el Gobierno de TI Valor de las acciones de la Corporativa Dirige Estrategia Mide Recursos Procesos Conocimiento Información Capacidad Utiliza Validación Resultados Reporta Riesgos Activos Rendimiento Mejora 5 5

i El camino a la constitución del Gobierno de TI 6 La metodología aplicada en la consultoría, permite que se evalúen y determinen las necesidades para que cada etapa se estructure en función de la estrategia tecnológica y su armonización con la estrategia del negocio, constituyendo con esto el Gobierno Corporativo del banco para alcanzar Los objetivos del negocios i Los procesos del negocio a Información Conductores de Valor de los Accionistas Valor generado por la TI Administración de riesgo Alineación estratégica de TI Medición de desempeño proveen Los recursos de TI Capital humano y procesos 6 6

El Espíritu de la Norma RIESGOS BENEFICIOS Sisdata, c.a. Contribuir en el logro de la minimización de las brechas entre los objetivos del negocio, las necesidades de control y los niveles de servicios en un entorno adecuado de gestión de riesgos. Auditoría de Sistemas Negocios Seguridad de Información Vicepresidencia de Tecnología Administración Integral de Riesgos TECNOLOGIA DE INFORMACION Y COMUNICACIONES BENEFICIOS RIESGOS Supervisión GENERA GARANTIZA FACILITA DISMINUYE AUMENTA Normativa Controles Sisdata, c.a. 7

Sistemas de Gobierno de Tecnología de Información Componentes y Funcionamiento Gobierno de TI y Riesgo Tecnológico Auditoría de TI Integración a otras Metodologías Modelos de Funcionamiento Componentes de Gobierno de TI Funcionamiento de Auditoría Planificación Estratégica de TI Alineación COBIT con Metodologías y BSC Relación con Leyes y Reglamentos Controles Control de Gestión Filosofía y Bondades Alineación con Objetivos Estratégicos Verificación de Normativa Artículo 48 Arquitectura Empresarial (TOGAF) Funcionamiento con Tecnología Web Evaluación de Madurez Análisis y Evaluación de Riesgo e Impacto Implementación del Sistema Fases de Implementación Sisdata, c.a.

Modelos de Funcionamiento Gobierno de Tecnología de Información Marco Referencial y Componentes de COBIT Análisis y Evaluación de Riesgo Tecnológico Auditoría de Tecnología de Información Sisdata, c.a.

Alineación de COBIT con Metodologías y Balanced Scorecard Objetivos de Negocio Objetivos de TI Planificación Estratégica Auditoría y Autoevaluación Procesos de TI Controles Objetivos de Control Proyectos de TI Alineación Estratégica con Metodologías y Frameworks ITIL ISO 27002 TCO TOGAF SUDEBAN LEYES PMBOK VAL IT ISO 27001 Arquitectura Empresarial CMM Balance Scorecard Objetivos Estratégicos Indicadores Sisdata, c.a.

Alineación de COBIT con Aplicaciones ITIL Auditoría de Sistemas y del Control Interno Alineación con Procesos P01 y P10 Alineación con Proceso DS4 Planificación Estratégica Continuidad del Negocio/Servicios Alineación con Proceso DS2 Alineación con Proceso A16 Gestión de Finanzas de Servicios Gestión de Cambios y Versiones COBIT Alineación con Proceso DS1 Alineación con Proceso DS8 y DS10 Gestión de Niveles de Servicios Gestión de Problemas e Incidentes Alineación con Proceso DS9 Proceso DS8 Gestión de Capacidad/Disponibilidad Gestión de Configuración Centro de Servicios (ITIL) Procesos son sistemas ITIL Sisdata, c.a.

Importación de Eventos desde sistemas ITIL a COBIT Auditoría de Sistemas y del Control Interno COBIT Planificación Estratégica Atrasos Proyectos Desastres Continuidad del Negocio Administración de Cambios y Versiones Fallas y Retrasos Problemas Administración de Problemas Administración de Niveles de Servicios Administración de Incidentes Incidentes varios Fallas de Servicios Indisponibilidad Administración de Disponibilidad Administración de Configuración Fallas Administración de Centro de Servicios Fallas de Servicios Sisdata, c.a.

Filosofía y Bondades Multigrupos financieros, multiempresas y multipaises Utiliza tecnología de Internet / Extranet Integración de COBIT con ITIL e ISO 27000 La plataforma y funcionamiento es través de los siguientes sitios web del usuario Front office y Back office Autoevaluación de controles vía Internet Alineación de metas e indicadores de COBIT y Control de Gestión Contempla la arquitectura Empresarial Arquitectura de organización Arquitectura de negocio Arquitectura de aplicaciones Arquitectura de información Arquitectura tecnológica Infraestructura Contempla el Gobierno de TI y su alineación con la arquitectura empresarial Utiliza las directrices gerenciales, auditoría e implementación El riesgo tecnológico es ampliado a : procesos TI, objetivos de control, recursos TI y arquitectura empresarial Sisdata, c.a.

Filosofía y Bondades Nuestra Metodología de implementación utiliza las herramientas de implementación de COBIT Facilita a los auditores el acceso a los controles y a los recursos Los controles están intimamente relacionados con los requerimientos del negocio (Criterios de información, Gobierno de TI y Factores de COSO) Contempla todas las alineaciones y referencias cruzadas de los componentes y marco referencial de control de COBIT Contempla el Gobierno de TI Utiliza las directrices gerenciales, auditoría e implementación Sisdata, c.a.

Funcionamiento con Tecnología Web Back Office Implementación de Cobit Gobierno de TI Planificación de auditoría Medición y Evaluación Seguridad y Auditoria Servidor Principal Ancho de Banda “ABA” Front Office Estrategias Planes Construcción de controles Autoevaluación Alertas Grupos corporativos Empresas filiales Propietarios Auditores Alta gerencia Consultores Planificación de auditorías Equipos de trabajo Usuarios Análisis Usuarios del Sistema Sisdata, c.a.

Componentes de Gobierno de TI Arquitectura Empresarial Creación Valor de Negocio Organización Arq. de negocio Arq. de aplicaciones Arq. de información Arq. tecnológica Utilización del framework (Inversiones y Rentabilidad de TI) Val IT Equipos de trabajo Personal Políticas & Estrategias de TI Regulaciones Manuales de políticas de TI Definición de políticas de TI Estrategias de TI Normativas de SUDEBAN Otras leyes y regulaciones GOBIERNO TI Procedimientos de TI Requerimientos Mitigación Acciones correctivas Mejoras Medidas preventivas Requerimientos del negocio Requerimientos del TI Requerimientos de clientes Actividades de TI TOC Carga e Importación datos Con aplicaciones Con información Con infraestructura Con personas Costo Total de Propiedad Modelo de costos / beneficios Carga de datos Importación de datos Sisdata, c.a.

Creación de Valor de Negocio (VAL IT) (Gobierno y gestión de una cartera de programas de cambio de negocio) Gobierno del Valor Establecimiento del marco del buen gobierno, monitoreo y control Marcando la dirección estratégica para las inversiones Definiendo las características de la cartera de inversiones Gestión de Carteras Gestión de Inversión El establecimiento y gestión de perfiles y recursos La definición de umbrales para la inversión La evaluación, priorización y selección, aplazamiento o rechazos de nuevas inversiones La gestión de la cartera global El monitoreo e informes sobre el rendimiento de la cartera Desarrollo del caso de negocio (dando soporte a la selección de programas de inversión oportuno) Gestión de programas (gestionando la ejecución de los programas) Realización de beneficios (gestionando activamente la realización de los beneficios de Sisdata, c.a.

Costo Total de Propiedad (TCO) Políticas Costos y Gastos Políticas de costos Políticas de gastos Políticas de beneficios Cálculo Proyectos y Mantenimiento Variables económicas Flujos de caja Análisis de Proyección Análisis de sensibilidad Detección de gastos Costo de proyectos Costo de personal / proveedores Costo de arquitectura utilizada Costo de activos fijos utilizados Costo de infraestructura MODELO Arquitectura Empresarial Rubros de costos y gastos Arq. de negocio Arq. de aplicaciones Arq. de información Arq. Tecnológica Infraestructura Activos Personal Consultoría Licencias Mantenimiento Impuestos Otros Importación de Datos Perfiles Analíticos Depreciaciones Costo de servicios Costo de Mts2 Costo hora/hombre, otros Por plataformas Por unidades de negocio Por cada arquitectura Costo/beneficios Flujos de caja y Otros Sisdata, c.a.

Relación con Leyes y Reglamentos Normativas de SUDEBAN Otros Reglamentos Tecnología de Información y otras Ley de Delitos Informáticos y otras leyes Artículos Artículos Relación Objetivos de Control Procesos TI Dominio Sisdata, c.a.

Alineación de metodologías y marcos con Objetivos Estratégicos Metas del Negocio Objetivos del Negocio Objetivos de TI Procesos de TI Actividades de TI Metodologías y Marcos Metodología ITIL ISO 27001 ISO 27002 SUDEBAN Leyes Val TI TCO TOGAF Objetivos de Control COBIT PMBOK Planificación Estratégica TI Proyectos de TI OBJETIVOS ESTRATÉGICOS (BSC) Envío a Control de Gestión Prepara los parámetros de de identificación Prepara los datos de la metodología Sisdata, c.a.

Proceso TI Evaluación de Madurez Componentes del Modelo de Madurez Niveles de Madurez Atributos de Madurez Factores de Madurez Situación Actual Mejoras Mejoras Propuestas Proceso TI Objetivos de Control Resultado de Auditoría Modelo de Madurez Benchmarking (Análisis comparativo) Análisis de Brechas Asignación del Nivel de Madurez Banco A Banco B Banco C Indicadores Cualitativo Indicadores Cuantitativo Nivel de Madurez de la Empresa Posición Estratégica de TI Sisdata, c.a.

Análisis de Riesgo e Impacto Amenazas Debilidades Objetivos de Control Oportunidades Análisis Fortalezas Controles Vulnerabilidades Brechas Indicadores de Análisis Niveles de Riesgo Estado de Riesgo Niveles de Criticidad Impactos de Amenazas Grados Vulnerabilidad Probabilidad Amenazas Sisdata, c.a.

Evaluación de Riesgo Centro de Servicios (Help Desk) Incidentes Recursos de TI COBIT Registrar Incidentes Arquitectura Empresarial Aplicaciones Información Infraestructura Personas Ubica el problema Registra origen Envía el incidente Negocio Aplicaciones Información Tecnológica Infraestructura Registrar Pérdidas Simulación Método de Cálculo VaR Cálculo de VaR Parámetros Estadístico de Pérdidas Sisdata, c.a.

Funcionamiento de Auditoría Planificación de Auditoría Programas Autoevaluación Programas Auditoría Interna Programas Auditoría Externa Propietarios de Procesos TI Equipos de Auditoría Firmas de Auditoría Auditores Internos Auditores Internos Recaudación de Datos Controles Evaluación de Controles Evaluación de Cumplimiento Evaluación de Riesgo (Sustentación) Información de Control Inconsistencias y evidencias Metas cumplidas e incumplidas Conclusiones Sisdata, c.a.

Pasos de Auditoría Sisdata, c.a. Diseño de Controles Configuración de Cuestionarios Planificación de Programas Base, Seguridad Arquitecturas y Recursos TI Políticas Documentación Se asignan los procesos TI a auditar Se asignan los controles Cierres y Reaperturas Asignar fechas Asignar cuestionarios a los Programas. Evaluación de Controles Confirmación de Auditores Aprobación de Programas Selección de respuesta Se verifican contra las Medidas de Control Se confirman los actuales o Se reasignan otros auditores Se asignan los auditores Se generan los controles para un programa o un procesos de TI Evaluación de Cumplimienlo Evaluación de Riesgo Informe de Auditoría Control de entrevistas Revisión de procedimientos Cumplimiento de controles Evidencias Medidas de control insatisfac. Amenazas, Debilidades y Vulnerabilidades Evidencias Resumen Cumplimientos Perfiles de inconsistencias Dictámen Sisdata, c.a.

Control Controles Sisdata, c.a. Indicadores Niveles de Madurez Clasificación de Cobit Objetivos Desempeño Cumplimiento de controles Tipo de Control Grupo de Control Directrices de Auditoría Origen del Control Evaluación Comprobación Evaluación y Cumplimiento Riesgo Base, Seguridad Arquitecturas y Recursos TI Políticas Documentación Control Procesos de TI Autoevaluación y Auditoría Objetivos de Control Prácticas de control Actividades de TI Procedimientos de Control Evaluación inmediata Análisis comparativos Riesgo Impacto Requerimientos del Negocio Características Pruebas Criterios de Información Gobierno de TI Factores de COSO Clase (general o específico) Uso en el negocio (estratégico /geren c.) Uso interno (manual o automático) Función (preventivo, detectivo, ……. Frecuencia (contínuo, periódico, …… Evidencias Amenazas Debilidades Vulnerabilidades Evaluación de Riesgo e Impacto Sisdata, c.a.

Verificación de Normativa (artículo 48) con objetivo de control Normativas de SUDEBAN Planificación de Auditoría Tecnología de Información y otras Programas de Auditoría Artículo 48 Planificación de auditoría Verificación Análisis de cumplimiento de planificaciones Objetivos de Control Procesos TI Dominio Sisdata, c.a.

Histórico de Auditoría Controles Procesos de Auditorías Autoevaluaciones Evaluación de controles Evaluación de cumplimiento Evaluación de riesgo (sustentac.) Procesos de TI por propietarios Cálculo de metas Información de Control Datos de Auditoría Inconsistencias y evidencias Metas cumplidas e incumplidas Conclusiones Nro. Auditoría Auditores Metas Fecha y hora Controles Objetivos de control Sisdata, c.a.

Seguridad de Acceso Sisdata, c.a. Estructura del Sistema AUTORIZACIÓN Módulos Aplicación a Aplicación b Aplicación m Página Web b1 Página Web b2 Página Web bn AUTORIZACIÓN Usuarios Perfiles de Acceso Directivos Empleados Equipos de trabajo Administrador Usuario Auditor Sisdata, c.a.

Transacción del Sistema Pista de Auditoría Transacción del Sistema Página Web Seguridad Verifica si es auditable AUDITOR Datos del Usuario Arquitectura Histórico de Transacciones CONSULTAS Por rango de fecha Por Transacción Por usuario Por estación de trabajo Sisdata, c.a.

Alineación de COBIT con Arquitectura Empresarial RECURSOS DE TI DE COBIT Arquitectura Organización Arquitectura de Aplicaciones Grupos Corporativos Empresas filiales Unidades de negocio Unidades responsables Roles y responsabilidades Sistemas de información Subsistemas Programas Procedimientos administrativos Procesos administrativos Flujos de procesos (BPM) Aplicaciones Sistemas de información Subsistemas Programas Procedimientos administrativos Procesos administrativos Información Arquitectura de Información COBIT Hardwares Softwares Redes Sitios Web Bases de datos Tablas SQL Vistas de tablas SQL Archvos convencionales Archivos XSD de XML Bases de datos Tablas SQL Vistas de tablas SQL Archvos convencionales Archivos XSD de XML Arquitectura de Negocio Arquitectura Tecnológica Modelo de Negocio Mapas de procesos Objetivo de negocio Procesos de negocio Actividades de negocio Hardwares Alineación Hardwares-Softwares Softwares Redes Sitios Web Vistas de Hardwares-Softwares Vistas de Softwares-Hardwares Vistas de Sitios Web-Programas Infraestructura Instalaciones Equipos Fuentes de energías Personas Infraestructura Personal Cargos Habilidades, Conocimientos y Experiencia Instalaciones Equipos Fuentes de energías Sisdata, c.a.

Planificación Estratégica de TI Planes Estratégicos Objetivos Estratégicos Indicadores Cuantitativos Indicadores PKI Iniciativas (opcional) Proyectos TI PMBOK Alineación con Objetivos de Control Fases COBIT Actividades Indicadores Cualitativos Tareas (opcional) Avances Financieros Recursos Sisdata, c.a.

Control de Gestión (BSC) Construcción de Indicadores Estratégicos Metas del Negocio según COBIT 4.0 Balanced ScoreCard Medición de Objetivos Estratégicos Propuesta y Cadena de Valor (Kaplan) Sisdata, c.a.

Construcción de Indicadores Estratégicos (PKI) Objetivos Estratégicos Transferidos Ayuda Origen del Objetivo Ayuda de COBIT ITIL PMBOK ISO 27001 ISO 27002 SUDEBAN Leyes Val TI TCO TOGAF Finanzas Clientes (CRM) Recursos Humanos Indicadores Preestablecidos Objetivos de TI Procesos de TI Actividades de TI Análisis de Objetivos Estratégicos Construcción de Mapas Tableros estratégicos Definición de Indicadores Fórmulas de Indicadores Diagrama DUPON Control de Gestión Construye los indicadores Ejecución de indicadores Evaluación de indicadores Actualiza en cascada Retorno Sisdata, c.a.

Metas del Negocio según COBIT 4.0 Objetivos del Negocio Objetivos de TI Metas y Métricas Criterios de Información Procesos de TI Objetivos de Control Actividades de TI Indicadores de Desempeño Calificación y Autoevaluación Variables Controles Recursos de TI y Arquitecturas Gobierno de TI Auditoría Sisdata, c.a.

Balanced ScoreCard Planificación Plan estratégico Estratégica Tableros Estratégicos Visión y Estrategia Mapas Estratégicos Temas Estratégicos Bondades Los tableros, temas y mapas estratégicos son definidos en forma independiente, luego relacionados Permite combinaciones y copias estratégicas La estrategia genera el alineamiento entre ellos Integra los objetivos estratégicos (negocio) Sisdata, c.a.

Tableros Estratégicos PLAN ESTRATÉGICO Perspectivas Causa/Efecto Contratistas Presupuesto Objetivos Estratégicos Financieros Indicadores y Metas 1 a k Iniciativas 1 a m Recursos 1 a n Financiera Contratistas Presupuesto Objetivos Estratégicos Clientes Clientes Indicadores y Metas 1 a k Iniciativas 1 a m Recursos 1 a n Contratistas Presupuesto Objetivos Estratégicos Procesos Internos Procesos Indicadores y Metas 1 a k Iniciativas 1 a m Recursos 1 a n Contratistas Presupuesto Aprendizaje y Crecimiento Objetivos Estratégicos Empleados Indicadores y Metas 1 a k Iniciativas 1 a m Recursos 1 a n Sisdata, c.a.

Mapas Estratégicos Perspectivas Diagrama de Causa y Efecto Objetivos Estratégicos Financiero F1 Objetivos Estratégicos Financiero F2 Objetivos Estratégicos Financiero Fm Financiera Clientes Objetivos Estratégicos Clientes C1 Objetivos Estratégicos Clientes C2 Objetivos Estratégicos Clientes Cn Objetivos Estratégicos Procesos P1 Objetivos Estratégicos Procesos P2 Objetivos Estratégicos Procesos Pk Procesos Internos Objetivos Estratégicos Empleados E1 Objetivos Estratégicos Empleados E2 Objetivos Estratégicos Empleados Eq Aprendizaje y Crecimiento Sisdata, c.a.

Medición de Objetivos Estratégicos con Indicadores INICIO DE MEDICIÓN INDICADOR Bases de Datos FÓRMULA Variables Dinámicas Tablas SQL Tablas Dinámicas CÁLCULO (+ - * /) Elementos de Datos Valores Valor Diagrama Dupón Importación de Datos OBJETIVOS ESTRATÉGICOS Históricos Parámetros de Extracción Un valor Promedio Cantidad Máximo Mínimo ENVÍA A GOBIERNO DE TI Sisdata, c.a.

Propuestas y Cadenas de Valor (modelo de Kaplan y Norton) Propósito: Crear valor a clientes y accionistas Capital Humano Propuesta de Valor Relación Habilidades Conocimientos Experiencias Tipos de Productos/Servicios Líneas de Productos/Servicios Grupos de Productos/Servicios Productos/Servicios Servicio Asociación Atributos Relación Imagen Capital de Información Atributos Sistemas Procedimientos administrativos Aplicaciones Informáticas Procesos administrativos Procesos automatizados Bases de datos Archivos convencionales Redes Precio Costo Meta mensual Evaluación de precios mercado Evaluación de calidad Evaluación de disponibilidad Evaluación de selección Evaluación de funcionalidad Objetivos Estratégicos Procesos Creación de Valor Cadenas de Valor Medición Gestión de operaciones Gestión de clientes Innovación Reguladores y sociales Fases de cadenas de valor Alineación de cadenas de procesos Indicadores Estratégicos Iniciativas Estratégicas Sisdata, c.a.

Fases de Implementación de COBIT Herramientas de Implementación de COBIT Plan de Implementación Encuesta COBIT Autoevaluación de Gobierno Preocupación de Directivos Diagnóstico de Control de TI Evaluación de Riesgo Responsables de Procesos Acuerdos de Servicios (SLA) Cargar los Recursos y Arquit. Generación de Entorno COBIT Crear el Gobierno de TI Aplicaciones Información Infraestructura Personas Referencias cruzadas Metas Indicadores Controles Base Organización El Negocio Procedimientos y Políticas Proyectos Estratégicos, etc. Crear otros Controles Auditoría y Autoevaluaciones Análisis de Evaluación Controles de Recursos Controles de Arquitectura Controles de Políticas Controles de Seguridad Autoevaluación Pasos de Auditorías Evaluación Procesos y Objetivos Control Criterios de Información Gobierno de TI Factores de COSO Sisdata, c.a.

Esquema Global de Trabajo El marco de trabajo utilizado se esquematiza de la siguiente forma: Evaluación contra Estándares Desarrollo de instrumentos de recolección y análisis Información general de la Organización y contexto de TIC Análisis de Brecha Evaluación entorno de TI Análisis de aspectos Fundación TIC, Gobierno y Auditoría Recomendaciones y propuestas de ajuste para implementación Modelo de gestión en SIATI Talleres de sensibilización Sisdata, c.a.

Productos a Entregar SISDATA, C.A. Sisdata, c.a. Informes mensuales de avance Sistemas implementados Informe de implementación Documentación actualizada Informe post implementación Licencias de uso y garantías sobre fuentes siguiendo la normativa vigente Sisdata, c.a.

Estrategia de Implementación Utilizar las herramientas de implementación de COBIT (opcional) Ir registrando los recursos de TI y de las arquitecturas de la empresa a medida que nazca los procesos de auditoría Crear los controles de gran importancia cómo fase inicial Crear la matriz RACI Planificar los programas de auditoría, asignación de auditores y aprobaciones Iniciar las autoevaluaciones Iniciar las auditorías interna Iniciar las auditorías externa Seguimiento Lapso de tiempo : 6 a 12 meses Sisdata, c.a.