Soluciones SOA SarbOx Accelerator Soluciones SOA SarbOx Accelerator

Soluciones SOA

SarbOx Accelerator

Soluciones SOA

SarbOx Accelerator

http://images.google.com/imgres?imgurl=http://www.bmv.com.mx/BMV/GRA/logosemis/5105.gif&imgrefurl=http://www.bmv.com.mx/BMV/JSP/sec5_infoemis.jsp%3Fidmenu%3D1%26seidemi%3D5105&h=60&w=120&sz=3&hl=en&start=11&tbnid=bNsU49PuviMW9M:&tbnh=44&tbnw=88&prev=/images%3Fq%3Dgrupo%2Bcasa%2Bsaba%26svnum%3D10%26hl%3Den%26lr%3D%26rls%3Dcom.microsoft:en-US%26sa%3DN

Agenda

• Introducción

•Gestión de identidad

•Sarbanes-Oxley/Control interno

•Solución SarbOx Accelerator

• ¿Por qué Sun Microsystems?

•Demo

Soluciones SOA

Introducción

Soluciones SOA

Introducción

AntecedentesSun Microsystems de México y QoS Labs han trabajado conjuntamente en el desarrollo de soluciones de negocio, integrando sus productos y servicios de software, enmarcados bajo la referencia de una arquitectura orientada a servicio (SOA), considerando:

SOA

ELCM SarbOx BI

. . .

• Suites de desarrollo acelerado basadas en SOA.• Ambientes de laboratorio y demostración.• Programas de entrenamiento y

certificación.• Servicios profesionales primer y segundo

nivel.• Consultoría primer y segundo nivel.• Service-Desk.

Objetivo

Ofrecer a nuestros clientes soluciones a través de las cuales se facilite la automatización e incorporación de estrategias, políticas, procesos y mejores prácticas de negocio a su infraestructura de sistemas de TI (BSS), generando beneficios estratégicos como:

• Incremento de la productividad y del ingreso.• Reducción de costos y optimización

operativa.• Generación de negocio incremental.• Seguridad y minimización de riesgos.• Cumplimiento de regulaciones.• Adopción de mejores prácticas.• Mejora en la calidad del servicio.

ESTRATEGIA

TECNOLOGIA

PROCESOS

ClienteConsultor/Auditor

Soluciones SOA

Gestión de Identidad

Soluciones SOA

Gestión de Identidad

IntroducciónEl proceso de Gestión del Ciclo de Vida de Empleados (ELCM, por sus siglas en inglés) representa una actividad crítica para las empresas contemporáneas que cuentan con un alto requerimiento de administración de cuentas de recursos corporativos debido a:• Gran cantidad de cuentas administradas para acceso a

aplicaciones, servicios e instalaciones.

• Constante requerimiento administrativo en la asignación de roles, perfiles y/o privilegios de los empleados.

• Alto uso de personal externo temporal.

• Cumplimiento con regulaciones.

• Alta tasa de rotación y/o temporalidad de los empleados que las requieren.

Antecedentes• El concepto de Gestión del Ciclo de Vida de Empleados

se basa en proveer, tanto al empleador como al empleado, la continua administración de servicios, desde el proceso inicial de contratación hasta el de salida, controlado extremo a extremo.

• ELCM provee a las empresas una solución de negocios que resuelve el problema de “aprovisionar” y “desaprovisionar” empleados con acceso a servicios e instalaciones y mantener rastro de su actividad en los sistemas, así como de los documentos y de las actividades de procesos y proyectos relacionados a los mismos.

• Implementar una solución ELCM, ayuda a las empresas a gestionar en tiempo real los accesos de sus empleados a los servicios e instalaciones, con una mayor efectividad y a un menor costo, a lo largo de su permanencia en la empresa.

El Problema Corporativo

• Baja productividad> Tiempo que se necesita para agregar o retirar servicios.> Uso requerido de varias contraseñas en diversas aplicaciones.

• Alto costo de administración de usuarios

> Costos significativos por llamadas a la mesa de ayuda para reasignar contraseñas.> Administración de múltiples sistemas de autenticación.

• Riesgo de seguridad> Ineficiente “desaprovisionamiento” de empleados. > Proceso/política de cambio periódico de contraseña no sistemático.> Asegurar el cumplimiento regulatorio.

Métricas del Problema Corporativo•El usuario promedio tarda 16 minutos al día en tareas

de autenticación y autorización de acceso (Meta Group).

•El fraude de identidad afecta a más de 2,000 personas al día en el mundo y cada 79 segundos una identidad es robada (National Small Business Travel & Health Association).

•Una organización típica de 2,500 usuarios puede gastar alrededor de $850,000 USD al año en costos relacionados a helpdesk (Gartner Group).

•Se estima que las llamadas al helpdesk cuestan un promedio de $30 dólares americanos cada una y que las solicitudes de administración de contraseña de los usuarios representan un 40% del volumen de llamadas al helpdesk (Gartner Group).

Métricas del Problema Corporativo•El 45% de las llamadas al helpdesk están

relacionadas a reasignaciones de contraseñas. Un sistema automatizado de reinicio de contraseñas reduciría el volumen de llamadas en una tercera parte (Meta Group).

•La administración de contraseñas es uno de los diez puntos de mayor riesgo que hoy enfrentan las compañías (Gartner Group).

•La generación de huecos de seguridad por no desaprovisionar a los empleados que dejan la compañía y que continúan teniendo acceso a los sistemas del negocio, pudiendo utilizar o borrar información propietaria.

Premisas• Al contratar a un empleado, es necesario brindarle acceso a los servicios e instalaciones necesarias que le permitan realizar actividades laborales.

• Existe una gran diversidad de sistemas / aplicaciones, bases de datos y repositorios de usuarios (directorios, DBMS, etc.) en las empresas.

• Las funciones y responsabilidades de los empleados cambian a lo largo de su “ciclo de vida” dentro de la empresa.

• Los empleados pierden u olvidan las contraseñas de acceso a sus servicios.

• Los empleados se ausentan por periodos largos o, simplemente, dejan de pertenecer a la compañía.

Causas Raíz – Problemas en Seguridad de Acceso

La Causa-Raíz de muchos problemas de seguridad y control son:• Sistemas y aplicaciones aisladas• Procesos de negocio aislados• Falta de control centralizado en procesos de administración de usuarios• Repositorios de identidad redundantes

La Causa-Raíz de muchos problemas de seguridad y control son:• Sistemas y aplicaciones aisladas• Procesos de negocio aislados• Falta de control centralizado en procesos de administración de usuarios• Repositorios de identidad redundantes

¿Qué se Observa?

Las tecnologías de información, en particular aquellas relacionadas a

arquitecturas orientadas a servicio (SOA), representan una herramienta poderosa para apoyar y asegurar un manejo adecuado, seguro, rastreable y eficaz del ciclo de

vida de los empleados de las organizaciones que, por su dinámica organizacional, así lo

requieran y justifiquen.“Una correcta gestión del ciclo de vida de empleados genera

un impacto positivo en la disminución de costos administrativos, al reducir la complejidad y el tiempo requerido en la administración de cuentas de usuarios, maximizando la

continuidad y productividad operativa de las empresas.”

“Una correcta gestión del ciclo de vida de empleados genera un impacto positivo en la disminución de costos

administrativos, al reducir la complejidad y el tiempo requerido en la administración de cuentas de usuarios, maximizando la

continuidad y productividad operativa de las empresas.”

¿Qué es ELCM?ELCM es la gestión del ciclo de vida de un empleado ante la organización, el cual contempla las actividades que impactan en la infraestructura de TI durante los procesos de:

a) Contratación o alta del empleado; b) Utilización de los recursos corporativos requeridos por el mismo; c) Modificación de sus accesos o roles; d) Terminación o baja del empleado; y, e) Auditoría de actividades a lo largo de su vida útil ante la organización .

¿Qué DEBE¿Qué DEBEun usuarioun usuarioacceder?acceder?

(Aprovisionamiento) (Aprovisionamiento)

¿Qué PUEDE¿Qué PUEDEun usuarioun usuarioacceder?acceder?

(Auditoría de Identidad) (Auditoría de Identidad)

¿Qué USÓ¿Qué USÓun usuarioun usuarioal acceder?al acceder?

(Auditoría de Actividad) (Auditoría de Actividad)

Diagrama ELCM

Contratación

Modificación

Terminación

ELCM

• Captura de datos• Asignación de recursos• Creación de usuarios• Asignación de permisos

• Respaldo de datos• Negación de recursos• Eliminación de cuentas de usuarios• Negación de permisos• Re-asignación de información

• Autenticar y acceder• Cambio de datos• Re-asignación de recursos• Recuperación de contraseñas• Cambio de contraseñas• Re-asignación de permisos

Utilización

Auditoría

d

d

d

Gestión del Ciclo de Vida de Identidad y Auditoría de Identidad

Tiempo

Pri

vileg

ios

Contratación del Empleado

Aprovisionamientomanual delempleado



Término de la Relación Laboral

Desaprovisionamientomanual delempleado


Desaprovisionamientomanual delempleado

Modificaciónde Accesos y Privilegios

El usuario incrementaaccesos y privilegios

anteriores


El usuario incrementaaccesos y privilegios

anteriores

Accesos ActivosDespués de la

Salida del Empleado RIESGO DE SEGURIDAD!!

Accesos ActivosDespués de la

Salida del Empleado RIESGO DE SEGURIDAD!!

“Un promedio de 20% de los empleados que salen de la organización mantienen accesos no autorizados.”

Fuente: NTIA Monitor Password Survey, Meta Group y Gartner

“Un promedio de 20% de los empleados que salen de la organización mantienen accesos no autorizados.”

Fuente: NTIA Monitor Password Survey, Meta Group y Gartner

Comportamiento Típico del Ciclo de Vida

Tiempo

Pri

vileg

ios


Desaprovisionamientoautomatizado del

empleado


Desaprovisionamientoautomatizado del

empleado

No Quedan Accesos ActivosDespués de la

Salida del Empleado

No Quedan Accesos ActivosDespués de la

Salida del Empleado

Comportamiento Óptimo del Ciclo de Vida






El usuario pierde y ganaprivilegios según

su función se modifica


El usuario pierde y ganaprivilegios según

su función se modifica

Categoría Impacto de Negocio BeneficiosRe-asignación de Contraseña

- Automatización de la capacidad para la re-asignación de contraseña reduce el volumen de llamadas en el Call-Center

- Reducción de Costos hasta en un 60%

Marco de Referencia para Autenticación

- Se reduce el tiempo de liberación y puesta en operación de nuevos servicios web (no se tiene que desarrollar un nuevo método de acceso y autenticación cada vez que se diseña una aplicación).- Reducción de los recursos tecnicos requeridos para adminstrar multiples métodos de autenticación y acceso.

- Reducción de Costos en un 50%- Mejoras hasta en un 10%

Acceso Unificado (SSO) a través del Web

- Mejoras en la productividad de los usuarios al utilizar menos constraseñas y menos tiempo para firmarse en recursos corporativos

- Mejora de la productividad hasta en un 60%

Administración de Cuentas

- Mejora la seguridad de los sistemas al administrar, de manera centralizada, las cuentas de usuarios (aprovisionamiento / desaprovisionamiento)

- Hasta un 60% me mejora en seguridad sobre el ambiente existente

Precisión de datos y eficiencia en la creación de cuentas

- Menor número de errores al introducir datos a los sistemas- Información de los usuarios ingresada menos veces - reduce el trabajo del grupo de captura.

- Mejora del costo hasta en un 100%

Categoría Impacto de Negocio BeneficiosRe-asignación de Contraseña

- Automatización de la capacidad para la re-asignación de contraseña reduce el volumen de llamadas en el Call-Center



- Se reduce el tiempo de liberación y puesta en operación de nuevos servicios web (no se tiene que desarrollar un nuevo método de acceso y autenticación cada vez que se diseña una aplicación).- Reducción de los recursos tecnicos requeridos para adminstrar multiples métodos de autenticación y acceso.





Administración de Cuentas

- Mejora la seguridad de los sistemas al administrar, de manera centralizada, las cuentas de usuarios (aprovisionamiento / desaprovisionamiento)

- Hasta un 60% me mejora en seguridad sobre el ambiente existente

Precisión de datos y eficiencia en la creación de cuentas

- Menor número de errores al introducir datos a los sistemas- Información de los usuarios ingresada menos veces - reduce el trabajo del grupo de captura.

- Mejora del costo hasta en un 100%

Premisas de Analistas

Costo de la solución por usuario 100$ USDTotal 500,000$ USD

Variables de Usuarios y Aplicaciones Variables Calculadas# Usuarios finales 5000 usuarios Promedio de llamadas por usuario al año 81000 llamadas# aplicaciones a las que se firma el empleado 6 aplicaciones # de reasignación de contraseñas al año 32400 llamadas#seg to login an application 5 Segundos Costo anual por reasignación de contraseñas 680,400$ USDPromedio de pago por hora/empleado 15$ USD Costo anual por reasignación de contraseñas una vez

implementado ELCM34,020$ USD

# de accesos requeridos con la solución ELCM 1 acceso

Variables de Costo y Llamadas Ahorros por Productividad del UsuarioPromedio de llamadas por usuario al mes 1.35 llamadas Costo promedio anual por firma a aplicaciones de todos los

usuarios150,000$ USD

% de llamadas para re-asignación de contraseña 40 % Costo promedio anual por firma a aplicaciones de todos los usuarios con la solución ELCM

25,000$ USD

Costo promedio por cada llamada a la mesa de ayuda 21$ USD% llamadas eliminadas con Single-Sign-On 95 % Retorno de la Inversión

Ahorros aproximados por año en llamadas a la mesa de ayuda para reasignación de contraseñas

796,355$ USD

Meses aproximados para el retorno de la inversión 8 meses

Análisis ROICategoría Impacto de Negocio Beneficios

Re-asignación de Contraseña - Automatización de la capacidad para la re-asignación de contraseña reduce el volumen de llamadas en el Call-Center



- Se reduce el tiempo de liberación y puesta en operación de nuevos servicios web (no se tiene que desarrollar un nuevo método de acceso y autenticación cada vez que se diseña una aplicación).- Reducción de los recursos técnicos requeridos para adminstrar multiples métodos de autenticación y acceso.





Propuesta de Valor: Gestión del Ciclo de Vida de IdentidadHabilitando Mejor Seguridad, Reducción de Costos e Incremento de la Productividad

Fuentes: Gartner, Giga

Auto-Servicio de Gestión de Contraseñas–Costos de la Mesa de Ayuda: Reducciones de al menos un 35% con ahorros de hasta $75 USD por usuario por llamada.

Administración Delegada– Seguridad de TI: Mejora de la actividad a través de la delegación de privilegios basada en roles y reglas, auditoría y reporteo.

Sincronización de Información de Identidad–TCO: Implementación y mantenimiento de una sola solución para el manejo de proyectos de meta-directorio y aprovisionamiento.

Aprovisionamiento Automatizado de Usuarios

– Seguridad de TI: Asegura niveles apropiados de acceso al iniciar la relación y la remoción de la totalidad del acceso en cuanto la relación termina.– Eficiencia de TI: Ahorros de $70,000 por cada 1,000 usuarios administrados.– Ganancias por Productividad de los Usuarios: $1,000 USD por empleado nuevo y $350 USD por empleado ya existent.e.

Auditoría de Identidad: Propuesta de ValorHabilitando el Cumplimiento Sostenible y Repetible

Fase 1, Revisión básica, 100% de los

usuarios son revisados.

Fase 2, Revisión con políticas de

auditoría, reduce los usuarios

revisados hasta un 40%.

Fase 3, Revisión con políticas de

auditoría y escaneos de

auditoría constantes, reduce

hasta un 80%.Fase 4, Revisar sólo usuarios actualizados,

reduce hasta un 90%.

Certificación Basada en Políticas y Atestiguación Gerencial

–Eficiencia de TI: Reduce el tiempo de meses a días.

Verificación de Separación de Tareas (SOD)

–Costo de TI: Ahorros de hasta $300K USD por año por sistema.

Remediación Automatizada–Cumplimiento: Arreglar violaciones tan pronto son detectadas y las aprobaciones capturadas.

Cumplimiento Preventivo–Cumplimiento: Verificar la política SOD al aprovisionar, atando la política al usuario.

Conciliación de Accesos Esperados y Reales

–Cumplimiento: Comparar los roles de usuario a los accesos reales a los sistemas.

Soluciones SOA

Sarbanes-Oxley/Control Interno

Soluciones SOA

Sarbanes-Oxley/Control Interno

•El cumplimiento de Sarbanes-Oxley representa una obligación para todas aquellas empresas públicas que, de manera directa o indirecta, cotizan en la bolsa de valores de los EE.UU.

•La iniciativa Sarbanes-Oxley requiere que las empresas públicas implementen controles internos sobre el reporte de información financiera, operaciones y activos. Estos controles dependen fuertemente de la incorporación o el mejoramiento de tecnologías de información y métodos de negocio.

•Sarbanes Oxley trae consigo repercusiones positivas en la organización, al instaurar una serie de controles internos basados en estándares como COSO, COBIT o la norma ISO 17799, los cuales establecen un conjunto de mejores prácticas para optimizar el control interno. La implantación de dichos controles, incrementa considerablemente la confianza de los inversionistas.

Introducción

•Una correcta implementación de la iniciativa Sarbanes-Oxley genera un impacto positivo en la disminución de riesgos en materia de seguridad y prevención de fraudes, manteniendo a salvo la integridad y responsabilidad de la gestión del CEO, CFO y CIO de las compañías, los intereses de sus inversionistas y asegurando la continuidad operativa de las empresas, a través de un mejor control y una mayor eficacia en la supervisión de los procesos administrativos de las mismas.

•Prepara a las empresas en general, y ofrece una guía para el cumplimiento de normas locales, que buscan incrementar la confianza de los inversionistas, socios, empleados y proveedores, así como garantizar la correcta operación y supervisión del negocio.

•La gestión eficaz de procesos y empleados asegura el cumplimiento de políticas corporativas y regulaciones gubernamentales, como es el caso de Sarbanes-Oxley.

Introducción

Antecedentes Sarbanes-Oxley (SOX o SarbOx), o acto del 2002 de Reforma Contable y de Protección a Inversionistas de Empresas Públicas, es una ley federal estadounidense, constituida el 30 de julio de 2002.

Introduce cambios significativos a la regulación de la práctica financiera y corporativa, definiendo reglas estrictas para cumplir con un solo objetivo: “proteger a los inversionistas al mejorar el nivel de certeza y confianza de la información corporativa, apegándose a las leyes que norman las obligaciones financieras”.

La iniciativa, está organizada en once títulos, aunque las secciones 302, 404, 401, 409, 802 y 906 son las más significativas y que mayor atención requieren por parte de las empresas.

Se determinaron algunas fechas límite para su cumplimiento:

• Para empresas estadounidenses públicas: 15 de junio de 2004.

• En el caso de empresas pequeñas y extranjeras: 15 de julio de 2006.

A partir de estas fechas, la empresas deberán emitir sus estados financieros bajo las normas establecidas por SarbOx (trimestralmente para empresas de EE.UU. y anualmente para empresas extrajeras).

El Problema Corporativo …

•Certificación de los reportes financieros por parte del Director General (CEO) y Director Financiero (CFO).

•Las empresas deben encontrarse preparadas para hacer públicos eventos que afecten al negocio en un rango de 48 horas.

•Las empresas deben demostrar niveles apropiados para controlar o forzar el cumplimiento de procesos de negocio involucrados en el reporteo financiero.

•Presentar evidencia en tiempo real de eventos materiales que afecten a la empresa.

•La empresa deberá llevar a cabo ajustes correctivos tan pronto los Auditores los detecten.

•Emisión de reportes que presenten las transacciones que formalmente no aparezcan directamente en el Balance Financiero, pero que pudieran afectar la situación presente o futura de la empresa.

•Presentar ante la SEC (Security and Exchange Commission) de los EE.UU. información Pro-Forma de manera oportuna.

… El Problema Corporativo

• Levantamiento y revisión (assessment) de los controles internos.

• Responsabilidad directa del CEO y/o CFO, que puede traer consigo el reembolso de bonos o compensaciones que se hayan otorgado y que afecten negativamente la información financiera del negocio.

• Fecha límite de dos días para reportar transacciones que involucren los títulos accionarios de la compañía.

• Prohibida la asignación de créditos personales o extensión de éstos a directores y personal ejecutivo.

• Ningún director de la compañía podrá influenciar fraudulentamente o coercitivamente los resultados de una auditoria.

• Creación de nuevas sanciones (multas y encarcelamiento) por:>Destrucción, alteración y falsificación de registros o

documentos.>Destrucción de registros corporativos de auditoría.>Fraude con documentos bursátiles (securities).>Conspiración o intento de conspiración.

Top 10 – Violaciones de Control1. Segregación de tareas no identificadas o no resueltas.

2. Controles de acceso no seguros al SO de aplicaciones financieras o de portal.

3. Acceso no seguro a BD que soportan las aplicaciones financieras.

4. El grupo de desarrollo puede simular transacciones de negocio en la instancia de producción.

5. Muchos usuarios con acceso a transacciones de “super-usuario”.

6. Empleados o consultores que estuvieron previamente en la empresa, aún cuentan con acceso a algunos sistemas.

7. Periodos de actualización en el ERP (GL) sin restricción.

8. En programas a la medida, las tablas e interfases no cuentan con seguridad.

9. Los procedimientos para actualizaciones manuales no existen o no se siguen.

10.Los documentos del sistema no coinciden con el proceso actual.

Fuente: Ken Vander Wal, Partner, National Quality Leader, Conferencia E&YISACA Sarbanes, 4/6/04

Métricas del Problema CorporativoSiendo Sarbanes-Oxley una iniciativa de Ley, la compañía deberá – en todo momento – evitar caer en los supuestos que estipulan la aplicación de multas económicas a la empresa o sus directivos:

•Presentar errores en los reportes anuales o trimestrales podrían ocasionar penas pecuniarias a los directivos de la empresa de hasta por $1,000,000 USD, si estos errores se hacen con intención o dolo, la multa podría subir hasta $5,000,000 USD (Secciones 302 y 404).

•Por no revelar cualquier cambio material de manera oportuna, podrá imponerse una multa de hasta $100,000 USD y hasta 10 años de prisión (Sección 409).

•Se podría incurrir en multas hasta por $1,000,000 USD y/o prisión por alterar, destruir o mutilar cualquier registro o documento para intentar impedir una investigación (Sección 802).

65%70% 74%

Ingreso anual$324,000,000 USD $3,500,000,000 USD $7,900,000,000 USD

CT $1.5 MDD Aprox. 0.46% del ingreso

CT $7.3 MDD Aprox.

0.09% del ingresoCT $3.7 MDD

Aprox.0.11% del ingreso

Costo promedio de implementación (excluyendo los costos promedio de auditorias relacionadas a la sección 404) expresado como porcentaje del costo total

Costo promedio de auditoria relacionada a la sección 404, expresado como porcentaje del costo total

35%

30%

26%

Fuente: Sarbanes-Oxley Section 404 Costs and Implementation Issues: Survey Update

Costos Promedio de Cumplimiento SarbOx por Compañía Según Ingresos Anuales

9,000_8,000_7,000_6,000_

5,000_

4,000_

3,000_

2,000_

1,000_ 0_

$1,240$860

$8,510

$4,770$4,310

$2,530

Año 1

Año 2

$324,000,000 USD $3,500,000,000 USD $7,900,000,000 USDIngreso anual

-30.70%

-41.30%

-43.90%

Fuente: Sarbanes-Oxley Section 404 Costs and Implementation Issues: Survey Update

Mile

s d

e U

SD

Costos Totales de Cumplimiento SarbOx en los Primeros Dos Años

Fraude de informes financieros$257,

923

Fraude médico o de seguros$33,7

09

Fraude de consumidor$2,70

5

Fraude relacionado con vendedores, terceros $759

Fraude de empleados $464

Administración deficiente $432

Crimen computacional $67

(en miles de dólares)

Fuente: Encuesta de Fraude 2003. KPMG Forensic

Costo Anual Promedio de Fraude por Categorías Principales

60

32

25

18

15

12

7

0 10 20 30 40 50 60 70

Fraude de Empleado

Fraude de Consumidor

Fraude Relacionado con Vendedores,Terceros

Crimen Computacional

Administración Deficiente

Fraude Médico o de Seguros

Fraude de informes financieros





Fraude Relacionado con Vendedores,Terceros


Fraude de Empleado


# de veces que se presentó

Tipo de Fraude Experimentado en un Periodo de Doce Meses

19%

15%

11%

9%

7%

35%

4% Fraude de Empleado


Fraude Relacionado con Vendedores, Terceros






Porcentaje que Representa Cada Tipo de Fraude

0 10 20 30 40 50 60 70 80 90

Controles Internos

Auditorías Internas

Aviso por parte de un Empleado

Por Accidente

Aviso Anónimo

Aviso por parte de un Cliente

Aviso de un Organismo Fiscalizador o que haga aplicar la Ley

Aviso por parte de un Vendedor

Auditoría Externa

199419982003


Métodos para Descubrir Fraudes (%)

63%

37%

Víctimas de FraudeSin Fraude

Fuente: Ernst & Young, Fraude en México: Mitos y Realidades, 2006.

Proporción de Empresas Mexicanas que Sufren Fraude

19% 40%

41%

Nivel Jerárquico Bajo

Nivel Gerencial

Ejecutivos de Alto Nivel


El mayor número de fraudes se realiza por el Nivel Medio (Gerencial)

El mayor número de fraudes se realiza por el Nivel Medio (Gerencial)

Incidencia de Fraudes Según el Nivel Jerárquico del Empleado

•Moral Baja.

•Incongruencias entre el estándar de vida de un empleado y su nivel de remuneración o cambios súbitos de dicho estándar.

•Empleados que no toman vacaciones.

•Relaciones estrechas o poco profesionales con clientes o proveedores.

•Historial profesional inconsistente.


Indicadores para la Comisión de Fraudes Entre los Empleados

29%

24%22%

25%Compras

Ventas

Finanzas

Otras Áreas


El mayor número de fraudes se presenta en las áreas de Compras de

las organizaciones.

El mayor número de fraudes se presenta en las áreas de Compras de

las organizaciones.

Áreas Funcionales con Mayor Número de Incidencias de Fraudes

25%

33%42%

Controles InternosDeficientes oInexistentes

Fallas Administrativas

Por Accidente


El mayor número de fraudes se podrían evitar si el Control Interno se

implementa o bien, se fortalece.

El mayor número de fraudes se podrían evitar si el Control Interno se

implementa o bien, se fortalece.

Principales Fuentes de los Fraudes

6%16%

78%

Nivel JeárquicoBajo

Nivel Gerencial

Ejecutivos de AltoNivel

En los últimos dos años, las empresas reportaron un promedio de 7 incidentes de fraude y las pérdidas oscilaron entre $50 y $150,000 pesos por incidente.


A mayor nivel jerárquico, más “oneroso” y menos frecuente será el fraude.A mayor nivel jerárquico, más “oneroso” y menos frecuente será el fraude.

Impacto Económico en la Empresa por Nivel Jerárquico de los Empleados

• Implementar Controles Internos

• Revisión Gerencial

• Auditoría Interna

• Auditoría Externa

• Denuncias

• Detección por Accidente


Principales Medidas Preventivas

•Los reportes financieros deben ser verificables y auditables.

•Publicación puntual y confiable de eventos materiales al negocio.

•Habilidad para auditar la estructura y los procesos de control interno.

•Extender más allá los sistemas financieros comunes.

•Incrementar las evidencias operativas y la visión de los órganos reguladores.

•Fortalecer la gobernabilidad corporativa.

•Cumplir con las obligaciones empresariales, que generen confianza y ayuden a crear evidencia.

•Fortalecer la independencia de los Auditores.

•Incrementar la supervisión del Auditor.

•Ampliar las sanciones por acciones mal intencionadas.

Premisas

¿Qué se observa?

Las tecnologías de información, en particular aquellas relacionadas a

arquitecturas orientadas a servicio (SOA), representan una herramienta poderosa para apoyar y asegurar un manejo adecuado,

seguro, rastreable y eficaz de las operaciones cotidianas en las

organizaciones que, por su dinámica organizacional, así lo requieran y justifiquen.“Principalmente, las tecnologías de información pueden apoyar el cumplimiento de los incisos: 103, 107(d), 108, 301, 302, 403 404, 409, 1001, 1102 y el Título VIII de la iniciativa Sarbanes-

Oxley.”

“Principalmente, las tecnologías de información pueden apoyar el cumplimiento de los incisos: 103, 107(d), 108, 301, 302, 403 404, 409, 1001, 1102 y el Título VIII de la iniciativa Sarbanes-

Oxley.”

Soluciones SOA

Solución SarbOxAccelerator

Soluciones SOA

Solución SarbOxAccelerator

¿Qué es la Solución SarbOx Accelerator?Es una suite de desarrollo acelerado, para apoyar y capitalizar el esfuerzo requerido para llevar a cabo el cumplimiento de la iniciativa Sarbanes-Oxley.

La solución SarbOx Accelerator es, en sí, una plataforma de desarrollo para documentar y automatizar procesos, integrar aplicaciones existentes, identificar a los usuarios y participantes, administrar su ciclo de vida ante la organización, gestionar la publicación de información y, en todo momento, generar, gestionar y monitorear los rastros de auditoría requeridos por Sarbanes-Oxley.

Diagrama de la Solución

Documentacióne Implantaciónde Controles

Internos (404)

IntegraciónOperacional

y Ajuste

Monitoreo,Mantenimiento

y Validaciónde Controles

Optimizaciónde Controles

Ciclo de VidaCiclo de VidaSarbOxSarbOx

¿Por Qué Elegir Esta Solución?•Basada en una arquitectura orientada a servicios (SOA).

•Altamente modular, escalable, extensible e integrable, permitiendo una rápida integración y reducción de costos.

•Solución de desarrollo acelerado y rápida implantación.

•Arquitectura abierta y compatible con los principales estándares de la industria (por ejemplo, BPEL, SPML y LDAP).

•Plataforma tecnológica re-usable, compartible, confiable, segura y robusta.

Funcionalidades de la Solución• Gobernabilidad• Acceso unificado• Integración con aplicaciones

de soporte al negocio (BSS o back-end)

• Unificación de registros• Federación de identidad• Certificados y firma electrónica• Repositorio centralizado de

transacciones• Administración de procesos de

negocio (BPM)• Monitor de transacciones

(BAM) • Alta disponibilidad de la

infraestructura tecnológica• Soporte a estándares de la

industria• Biblioteca electrónica• Auditoría de documentos• Motor de transformación de

documentos• Foros de discusión

• Búsqueda avanzada de documentos

• Aprovisionamiento de usuarios• Automatización de flujos de

trabajo de aprovisionamiento• Sincronización de datos de

identidad• Repositorio de identidad virtual• Repositorio centralizado• Conformidad con regulaciones• Auditoría de identidad• Reconciliación de identidad• Gestión de contraseñas• Autenticación• Autorización (control de acceso

centralizado)• Single Sign-On• Federación de identidad• Acceso unificado• Auto-servicio• Administración delegada• Soporte a estándares de la

industria

Líneas Futuras (Evolución)• Tablero de cumplimiento (Compliance Dashboard)

• Auditoría de actividad

• Gestión del ciclo de vida de personas

• Planeación general de la vida del empleado

• Control de documentos

• Control de tareas de proyectos y procesos

• Gestión de niveles de servicio

• Gestión de incidentes

• Inventario de recursos corporativos

• Gestión del ciclo de vida de la información (ILM)

Beneficios de la Solución

•Compromiso Directivo (participación activa del consejo de administración y del comité de auditoría de la empresa).

•Mayor estructura en el proceso de cierre anual y registro de evidencia de las operaciones diarias.

•Implantación de actividades anti-fraude con procesos bien establecidos.

•Mejora en documentación de controles y procesos que sirve de base para capacitación, lineamientos cotidianos y evaluación de la administración (management).

•Mejora en definición de controles sus relaciones y riesgos, a lo largo de la organización.

•Volver el control algo cotidiano para la organización.

•Mayor entendimiento por el personal operativo y administrativo.

•Re-implantación de controles básicos, distribución de responsabilidades y privilegios según perfiles.

Beneficios de la Solución

• Provee seguridad, confiabilidad y escalabilidad en una solución de bajo costo de implementación, administración y adquisición.

• Asegura un alto retorno de inversión al ofrecer cumplimiento continuo y sostenido.

• Automatiza y fortalece los controles internos reduciendo significativamente los riesgos y las repercusiones regulatorias.

• Integra compras, entregas e instalación en un plan de trabajo que reduce riesgos e incrementa velocidad de implantación.

• El cliente se enfoca en la problemática cotidiana del negocio, no en evaluar tecnología.

• Tecnología estandarizada, utilizada a nivel global y bien probada para el diseño, construcción e integración de soluciones innovadoras utilizando metodologías y procesos de punta para soportar las aplicaciones empresariales.

Soluciones SOA

¿Por qué SunMicrosystems?

Soluciones SOA

¿Por qué SunMicrosystems?

Packaged

Liderazgo en el MercadoMagic Quadrant for User Provisioning,

1H06

Forrester Wave™: User Account Provisioning, Q1 ’06

“Sun ha logrado desarrollar una solución altamente funcional y flexible, además de ser relativamente fácil de implementar, mientras que otros competidores aún tienen

problemas para balancear estos objetivos.”

“Sun ha logrado desarrollar una solución altamente funcional y flexible, además de ser relativamente fácil de implementar, mientras que otros competidores aún tienen

problemas para balancear estos objetivos.”

Packaged

¿Por Qué Eligieron Esta Solución?• La mayor base instalada de clientes con una solución de gestión de identidad.

•Gartner, Forrester y Meta Group sitúan a Sun Microsystems como la mejor opción debido a:

> “El más rico en funciones.” - Forrester> Flexibilidad de sus productos para adecuarse a los requerimientos de sus clientes. > Facilidad de implementación de su solución.> Solidez en la funcionalidad de sus conectores.> Mejor suite para la administración de políticas de acceso e identidad.

• Se ofrece en licencia perpetua o bien, renta anual por empleado.

• Único con un módulo de auditoría de identidad, indispensable en proyectos de cumplimiento regulatorio (por ejemplo, Sarbanes-Oxley).

Packaged

Liderazgo en el Mercado

“SeeBeyond (Java CAPS) aparece como uno de los líderes en el cuadrante mágico de Gartner 1H05, siendo

sobresaliente por su visión, amplia funcionalidad y una fuerte habilidad para ejecutar.”

“SeeBeyond (Java CAPS) aparece como uno de los líderes en el cuadrante mágico de Gartner 1H05, siendo

sobresaliente por su visión, amplia funcionalidad y una fuerte habilidad para ejecutar.”

Cuadrante Mágico para Software de Integración, 1H05

Packaged

¿Por Qué Eligieron Esta Solución?• Productos basados en mensajería ligera (web

services), independientes de la plataforma tecnológica.

• Sus soluciones son probadas y soportadas en múltiples servidores de aplicación y sus herramientas de desarrollo funcionan con varios marcos de referencia de desarrollo (ej: Eclipse y Visual Studio.NET)

• Orientados a escenarios de negocio donde la mayoría de las aplicaciones son paquetes comprados o bien, aplicaciones legadas (legacy) operando en un ambiente heterogéneo de servidores de aplicación, sistemas operativos o simplemente, sobre una máquina virtual de Java (JVMs).

• Proveen un contenedor para la creación de nuevas aplicaciones compuestas (composite applications) y múltiples flujos de trabajo.

Cuentas de Referencia

Instalación y Entrega Firma

Consultora/Auditor

Consultoría procesos de negocio

Desarrollo de interfaces

Desarrollo de agentes

Desarrollo de componentes

Desarrollo de Web ServicesSun Microsystems

Hardware

Licenciamiento

Servicios profesionales

Soporte nivel 2

Mantenimiento

QoS Labs

Licenciamiento

Servicios profesionales

Soporte nivel 1

Mantenimiento

Entrenamiento

Soluciones SOA

Demo

Soluciones SOA

Demo

• Escena 1 – Vista del Administrador de Recursos Humanos• Escena 2 – Alta de un nuevo empleado• Escena 3 – Aprobación y aprovisionamiento de cuentas• Escena 4 – Primer acceso del empleado• Escena 5 – Reasignación de labores• Escena 6 – Monitoreo del proceso de pago de bono• Escena 7 – Monitoreo del proceso de solicitud de reportes

financieros• Escena 8 – Auditoría de identidad• Escena 9 – Terminación del empleado

Script del Demo

Arquitectura Tecnológica

Recursos

DirectoriosServidores de

PolíticasBases de datos Mainframes

Aplicaciones de negocio

Sistemas Operativos

Aplicaciones a la medida

Gestión de acceso

Portal(Presentación)

Autenticación Autorización

Gestión de identidad

Servicios de datos de identidad

Políticas y flujos de trabajo

Servicios de directorio

Servicios de aprovisionamiento

Repositorio de contenidos

Administrador semántico

Aplicaciones compuestas

Enterprise Service Bus

BPM BAM

Servicios de negocio

Registro y repositorio

Adaptadores

Usuariointerno

Administrador SLA

Motor de correlación

Ambientevirtual

Adaptadores

VistasVistas y Formas

Au

dito

ría

Mo

nito

reo

Proveedor de servicios

Proveedor de identidades

Federación

SAML

WSRP

Usuarioexterno

d d

Marco de Referencia SOA y Componentes de la Solución

OpcionalRequerido

Instancia de Demostración

Ir a laDEMO

http://jes-01.lab.qoslabs.net/

¿Preguntas?

??

•Declaración de interés.

•Levantamiento de requerimientos de negocio.

•Planteamiento de un proyecto específico.

Siguientes Pasos …

Gracias por su atención … Gracias por su atención …

QoS Labs:

Raúl García ManríquezConsultor Comercial de Proyectos de

[email protected]@qoslabs.com +52 (55) 53402400 x2438

Sun Microsystems:

[email protected] +52 (55) 52586100

mailto:[email protected]

mailto:[email protected]

Documents

Soluciones SOA SarbOx Accelerator Soluciones SOA SarbOx Accelerator