COBIT CASE STUDY:TIBO

An extended case study in which students can apply their COBIT knowledge to a real-life situation

COBITinAcademiaTMITGovernanceInstitute1

COBIT IT Governance Institute The IT Governance Institute (ITGI) (www.itgi.org) was established in 1998 to advance international thinking and standards in directing and controlling an enterprises information technology. Effective IT governance helps ensure that IT supports business goals, optimises business investment in IT, and appropriately manages IT-related risks and opportunities. The IT Governance Institute offers symposia, original research and case studies to assist enterprise leaders and boards of directors in their IT governance responsibilities. Information Systems Audit and Control Association With more than 35,000 members in more than 100 countries, the Information Systems Audit and Control Association (ISACA) (www.isaca.org) is a recognised worldwide leader in IT governance, control, security and assurance. Founded in 1969, ISACA sponsors international conferences, publishes the Information Systems Control Journal, develops international information systems auditing and control standards, and administers the globally respected Certified Information Systems Auditor (CISA) designation, earned by more than 35,000 professionals since inception, and the Certified Information Security Manager (CISM) designation, a groundbreaking credential earned by 5,000 professionals in its first two years. Disclaimer The IT Governance Institute, Information Systems Audit and Control Association [the Owner(s)] and the authors have designed and created COBIT in Academia and its related publications, titled COBIT Case Study: TIBO, COBIT Student Book, COBIT Caselets and COBIT Presentation Package, (the Work), primarily as an educational resource for educators. The Owners make no claim that use of any of the Work will assure a successful outcome. The Work should not be considered inclusive of any proper information, procedures and tests or exclusive of other information, procedures and tests that are reasonably directed to obtaining the same results. In determining the propriety of any specific information, procedure or test, the educator should apply his/her own professional judgement to the specific circumstances presented by the particular systems or information technology environment. Disclosure Copyright 2004 IT Governance Institute. All rights reserved. This publication is intended solely for academic use and shall not be used in any other manner (including for any commercial purpose). Reproductions of selections of this publication are permitted solely for the use described above and must include the following copyright notice and acknowledgement: Copyright 2004 IT Governance Institute. All rights reserved. Reprinted by permission. COBIT in Academia may not otherwise be used, copied, or reproduced, in any form by any means (electronic, mechanical, photocopying, recording or otherwise), without the prior written permission of the IT Governance Institute. Any modification, distribution, performance, display, transmission, or storage, in any form by any means (electronic, mechanical, photocopying, recording or otherwise) of COBIT in Academia is strictly prohibited. No other right or permission is granted with respect to this work. IT Governance Institute 3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 USA Phone: +1.847.590.7491 Fax: +1.847.253.1443 E-mail: research@isaca.org Web sites: www.itgi.org and www.isaca.org ISBN 1-893209-96-2 COBIT in Academia Printed in the United States of America 2COBITinAcademiaTMITGovernanceInstitute

CASE STUDY:TIBO ACKNOWLEDGEMENTS IT GOVERNANCE INSTITUTE WISHES TO RECOGNISE: The Board of Trustees Marios Damianides, CISA, CISM, CA, CPA, Ernst & Young LLP, USA, International President Abdul Hamid Bin Abdullah, CISA, CPA, Auditor Generals Office, Singapore, Vice President William C. Boni, CISM, Motorola, USA, Vice President Ricardo Bria, CISA, SAFE Consulting Group, Spain, Vice President Everett C. Johnson, CPA, Deloitte & Touche LLP (retired), USA, Vice President Howard Nicholson, CISA, CRN Solutions, Australia, Vice President Bent Poulsen, CISA, CISM, VP Securities Services, Denmark, Vice President Frank Yam, CISA, CIA, CCP, CFE, Focus Strategic Group Inc., Hong Kong, Vice President Robert S. Roussey, CPA, University of Southern California, USA, Past International President Paul A. Williams, FCA, MBCS, Paul Williams Consulting, UK, Past International President Emil DAngelo, CISA, CISM, Bank of Tokyo-Mitsubishi, USA, Trustee Ronald Saull, CSP, Great-West Life and IGM Financial, Canada, Trustee Erik Guldentops, CISA, CISM, Belgium, Advisor, IT Governance Institute The Development Team Erik Guldentops, CISA, CISM, University of Antwerp Management School, Belgium (Chair) Roger Debreceny, Ph.D., University of Hawaii, USA Steven De Haes, University of Antwerp Management School, Belgium (Project Manager) Roger Lux, Farmers Insurance Group, USA John Mitchell, CISA, CIA, CFE, LHS Business Control, UK Ed ODonnell, Ph.D., Arizona State University, USA Scott Summers, Ph.D., Brigham Young University, USA Wim Van Grembergen, Ph.D., University of Antwerp Management School, Belgium The Review Team Peter Best, CA, FCPA, MACS, Q.U.T. Accountancy, Australia Richard B. Dull, Ph.D., CISA, CPA, Clemson University, USA Frederick Gallegos, CISA, CGFM, CDE, California State Polytechnic University at Pomona, USA COBITinAcademiaTMITGovernanceInstitute

COBIT CONTENIDO Propsito del Documento........................................................................................................................ ........5 Descripcin del Caso de Estudio....................................................................................................................7 Un DIA en la vida de la historia del Outsourcing de TIBO.....................................................................7 Perfil de The Trusted Imperial Banking Organisation.................................................................................9 El ambiente de la Compaa TI .......................................................................................................................9 Proyectos........................................................................................................................... ..................................9 Tecnologia.......................................................................................................................... ...............................10 Estndares y Procedimientos.................................................................................................................. .....10 Seguridad... ....................................................................................................................... ...............................11 Entidades de la Organizacion...................................................................................................................... ..11 Junta Directiva............................................................................................................................. ....................11 Comit Ejecutivo...................................................................................................................... ................11 Grupo Estratgico de Negocios....................................................................................................................11 Comit de Coordinacin TI. ...........................................................................................12 Gerencia TI. ........................................................................................................................................ .........12 Equipos TI. ...................................................................................................................................... .................12 Operacin de Negocios............................................................................................................................ ......12 Cartas de Organizacin...................................................................................................................... ...........13 Material Adicional......................................................................................................................... ............14 Problemas de Seguridad....................................................................................................................... ....14 Preguntas........................................................................................................................... ...............................14 Acuerdo de grado de disponibilidad del Contrato Outsourcing............................................................15

Problema de Outsourcing.................................................................................................................... ....16 Preguntas........................................................................................................................ ............................16 Problemas de Estratgica de Alineacin.....................................................................................................16 Informacion Extra Adicional.......................................................................................................................16 Preguntas........................................................................................................................... ...............................17 Notas de Estudio .................................................................................................................................... .18 Material Adicional y Soporte de este Caso............................................................................................18 En General.............................................................................................................................. ..........................18 Para los problemas de Outsourcing ...................................................................................................18 Para los problemas Estratgicos de Alineacin. ................................................................................18 Soluciones sugeridas..................................................................................................................... .........19 Respuestas Generales ........................................................................................................................19 Respuestas Esperadas en Seguridad........................................................................................................19 Respuestas Esperadas en Outsourcing...................................................................................................20 Respuestas Esperadas en Estrategias de Alineacin..............................................................................21 Apndice............................................................................................................................ ...............................22

4COBITinAcademiaTMITGovernanceIn

CASO DE ESTUDIO: TIBO PROPOSITO DE ESTE DOCUMENTO El Caso de COBIT: TIBO es un producto desarrollado por el Instituto de Gobierno de Tecnologa de Informacin (IT) , en colaboracin con un grupo de acadmicos y practicantes internacionales , como parte de COBIT en la Academia. El objetivo de este documento es de proporcionar un caso extenso (incluyendo la descripcin del caso, las preguntas del estudiante y las notas de estudio) en el cul estudiantes puede aplicar su conocimiento de COBIT a una situacin de la vida real. Esto puede ser integrado en planes de estudio, para la administracin de sistemas de informacin, la administracin de la seguridad de informacin, auditar, sistemas de informacin que auditan y/o sistemas de informacin de contabilidad. Este caso ha sido diseado para ser utilizado principalmente en clases de post -grado. El caso podra ser utilizado tambin dentro de las clases de los que aun no se han graduado, si los estudiantes fueron expuestos a conceptos del control interno en un ambiente intensivo de IT (tecnologa de informacin), framework de control general y COBIT, en particular. El caso ha sido diseado para trazar al Libro del Estudiante de COBIT, un libro que explica e ilustra todos los elementos de COBIT, que fue desarrollado tambin por el Instituto de Gobierno de Tecnologa de Informacion como parte de COBIT en la Academia. Los materiales en este caso de estudio indican directamente el proceso de IT, cubierto en el captulo 2 (DS2) del Libro de Estudiante de COBIT y de las distribuciones adicionales en otros procesos suministrados en el captulo 3 (PO1, PO9, PO10, AI2, DS5, DS6, M1 y M2). Se sugiere que el caso sea manejado en 1 o posiblemente 2 sesiones de clase (vea la figura 1) despus de que se haya presentado el COBIT (la sesin 0). Sugerimos que la primera parte del caso se lleve a cabo en una sesin de clase de aproximadamente 1.5 horas. Se les debe proporcionar a los estudiantes la lectura (la descripcin del caso de estudio e informe de la Tabla del Gobierno de TI ,2nda Edicion), con las preguntas repartidas en la clase en uno o en ms de los asuntos descritos: la seguridad, outsourcing, la alineacin estratgica (proporcionado en la seccin Material Adicional). Las preguntas pueden ser manejadas durante una segunda sesin en una manera interactiva o como asignaciones a pequeos grupos. Los materiales adicionales de la lectura y las soluciones sugeridas a cada parte del caso se proporcionan en las notas de la pgina 18.

COBIT El Instituto de Gobierno de Tecnologa de Informacin ha desarrollado tambin otros 3 productos que pueden acompaar a este caso de estudio : El Libro del Estudiante COBIT (mencionado anteriormente ), el Paquete de Presentacin de COBIT proporcionado una presentacin de 80 diapositivas en Power Point sobre COBIT, y los COBIT CASELETS que incluyen mini casos para ejercicios mas pequeos en COBIT , para ser utilizados en los niveles del graduado y del estudiante

CASO DE ESTUDIO: TIBO DESCRIPCIN DEL CASO DE ESTUDIO UN DA EN LA VIDA DE LA HISTORIA DEL OUTSOURCING DE TIBO : Era claro que el ejecutivo oficial (el presidente) del Trusted Imperial Banking Organisation (TIBO), John Mitchell, no estaba de humor para la conversacin formal . El director de TI , Steven De Haes, fue acomodado en la oficina de director general en el piso 30 de la central del banco en el distrito financiero de la ciudad de Londres por el asistente personal Pyms Forsythe. De Haes tuvo alguna sospecha del problema cuando Forsythe lo haba llamado a la reunin hacia unos pocos minutos. Forsythe indic, "Mitchell ha tenido al Defensor financiero Survey2 por telfono y l ha estado hablando por telfono con el vicepresidente senior (SVP) de ventas al menudeo desde entonces. El no es feliz, y tu extravagante proyecto de operaciones de negocio web (We-BOP) es tan bueno como la muerte. De todos modos, l quiere verte en seguida". De Haes supo que el SVP de la venta al menudeo, Wim Van Grembergen, no era amigo de TI. El grupo de TI habia estado trabajando en el proyecto de We-BOP durante el ultimo ao para el grupo de la venta al menudeo, luchando por encontrar la competencia para el cliente de la venta al por menor en UK (Reino Unido ). Esta competencia vino no slo de las ofertas de Internet de algunos bancos sino tambin de instituciones financieras de solo-Internet. De Haes deseaba que su jefe, el principal oficial de funcionamiento (COO), Erik Guldentops, estuviera con l, pero l andaba en un viaje de negocios en el extranjero (otra vez). Michael sealo: Qu es lo que ustedes par de boffins en TI estn haciendo con el We-BOP? Estaba en el telfono con el Ombudsman de la Banca y me dijo que esta escribiendo una queja formal sobre nuestro servicio de banca por internet. El ha tenido mas de 40 quejas en los ltimos dos meses. He estado hablando con Wim Van Grembergen, y me dice que el no ha estado involucrado en el We-BOP en los ltimos seis meses, desde que ustedes hicieron que lo asesoraran por fuera. Quiero que traigan el We-BOP a la compaa y quiero que lo hagan ahora De Haes pudo tranquilizar al CEO y proporcionar mas informacin sobre la historia del proyecto. Esto revel que hay mucha inconformidad con la TI relacionada a la calidad del trabajo de terceros, pero tambin entre los negocios y la TI por que la Ti hizo la decisin outsourcing por si sola. De Haes dijo que la Ti hizo esto de buena fe por que el negocio ha estado livid sobre su inhabilidad para competir en el mercado de banca por internet. La discusin tambin revel que ha habido muchas seales de advertencia sobre la calidad del servicio. Sabes Steven , eso es correcto. En una platica que tuve con Wim, aprendi que el reporte de la mesa de ayuda de proveedores fue de Joshua Dean , uno de tus chicos, el administrador del uso de soporte. Joshua asumi que la compaa outsourcing se haba ocupado efectivamente de estas quejas. Ellos no fueron entrados al sistema de apoyo de usuario. Joshua haba notificado a Ed O`Donnell que los informes eran mas largos cada mes . Ed no fue sorprendido de esto por que l haba notado que la cuenta outsourced haba estado aumentando sobre los ltimos meses. Encima de l, Catherine en el desarrollo, haba odo que el proveedor de internet de Singapur no poda resolver los problemas errneos de la transaccin dijo Mitchell. Estaba claro al CEO TIBO que l iba a tener que llamar a todos los jugadores claves para llegar al fondo de este asunto.. El le pidi a Forsythe que hiciera una reunin para el da siguiente. "Pyms, harias el favor de cambiar tambin esa seguridad que encuentra en el comit de auditora de la junta directiva? Yo se que todos estamos conscientes de lo serio del Fire-fighting de seguridad despus de lo ocurrido el 9/11 , y atacar los incidentes de virus, pero tenemos que resolver primero el problema WeBOP

COBIT Ah por cierto, Steven, antes de que te vayas. Tienes idea sobre a quien podramos llamar para que sea nuestro guru en seguridad para la junta del comit de auditora? Podras acordarte, John, que si pusimos una requisicin para una posicin de CISO senior pero la conclusin del comit ejecutivo fue que podramos hacerlo sin uno. Todava estoy teniendo un debate con auditoria interna por que ellos estn tratando de poner esa responsabilidad sobre m, por que Erik y Roger no podran acordar sobre quin deba ser. En realidad solo tenemos a Ida Doano, nuestro administrador de seguridad, y ella estara realmente fuera de s en una junta del consejo. En su camino de regreso a su oficina, De Haes segua pensando en como haba comenzado todo. TI haba planeado el proyecto We-BOP pero no tena las capacidades o habilidades de desarrollo, dado eso la mayora de la gente de TI estn orientadas al mainframe. Durante un juego de golf, De Haes escuch por su amigo en otra compaa financiera sobre una fabulosa compaa de desarrollo en Singapur que produce aplicaciones e las mejores, reutilizables y de banca por internet que pueden ser utilizadas para el outsourcing. Se hizo un contrato basado en los acuerdos estndar del vendedor, negociado por Da Haes y uldentops firmado (por el CEO de TIBO. El departamento legal del banco tambin reviso el contrato y se hicieron algunos cambios de sus aspectos legales. El acuerdo de nivel de servicio del contrato de outsourcing cubri: El alcance del trabajo

Definiciones de lnea de tiempo para desarrollo y rollout

Desempeo, rastreo y reportes Papeles y responsabilidades Pagos y funcionalidades La intencin fue de que el tercero que proporcionaba el servicio proporcionara servicios de banca por internet incluyendo funcionalidad de oficina principal, interfaces para la oficina de soporte y funciones de soporte al cliente- en dos etapas. En la primera etapa, los clientes tendran acceso a sus cuentas de cheques y de ahorro. Las nuevas funciones que seran integradas a la aplicacin web en el futuro seran prstamos y tarjetas de crdito. La infraestructura de la oficina de soporte habia sido desarrollada internamente y era operacional. Cuando la aplicacin entro en operacin, todo sali bien. Haba u pequeo nmero de usuarios (5 por ciento de la base de clientes). Despus de seis meses, cuando creci el nmero de usuarios, comenzaron los problemas con la calidad de la entrega del servicio, tales como: El tiempo de respuesta fue insatisfactorio

Los clientes podan acceder al sistema solo durante ciertos tiempos en el dia (disponibilidad del sistema) Ocasionalmente las transacciones no eran ni fueron procesadas errneamente

Como resultado, la mesa de ayuda recibi un gran nmero de preguntas y quejas. El proveedor inform de estas quejas mensualmente y public facturas a causa de la carga de trabajo en la mesa de ayuda .Hasta ahora, estos problemas no habian sido extendidos ms all del nivel operacional donde fueron solucionados por la TI y por los empresarios en horas extras. Antes de llamar a Guldentops, el COO, en Manila para proporcionarle una actualizacin en el problema de We-BOP. De Haes tambin fue recordado por la pobre Doano en

administrador de seguridad, quien en realidad estaba abrumado con desarrollar procedimientos de seguridad, ponindose al corriente con las herramientas de seguridad, administrar contraseas para los CASO DE ESTUDIO: TIBO empleados de negocios que queran acceso a todo, y generando reportes que no proporcionaban la informacin necesaria y que eran ledos por pocos. Mientras el telfono estaba sonando, De Haes, tambin empez a modificar en su mente su agenda para el siguiente dia. El tenia que tener en realidad tenia que platicar con Dean y su gente sobre su falta de reaccin a las alarmas de firewalls y tambin con ODonnell, quien aparentemente sabia de la existencia de esa debilidad. Y, ah estaba la temida junta sobre las prioridades del proyecto con Va Grembergen y Lux. El va a tener que encontrar la manera para sacarlos de sus expectativas no razonables. Finalmente, Guldentops contest. Hola, Erik, ya se que es casi medianoche en Manila pero tenemos un GRAN problema EL PERFIL DE LAS ORGANIZACIONES DE ACTIVIDADES BANCARIAS TRUSTED IMPERIAL (TIBO) TIBO es una institucin financiera de mediano tamao con las siguientes caractersticas: Sus capacidades de negocio base son actividades bancarias al menudeo cuentas de ahorro, prstamos, tarjetas de crdito y actividades bancarias personales- al igual que desempear servicios claros y establecidos para los otros bancos en la regin. Una de sus fuerzas ha sido la atencin personal proporcionada a los clientes por los administradores de contabilidad en el grupo de actividades bancarias personal. Est minimizando su red de franquicias fsicas mientras persiguen agresivamente el negocio bancario electrnico Est comenzando a adquirir servicios de TI por fuera (outsource o de riesgo compartido) Ha pasado por muchas fusiones locales y como resultado tiene un ambiente complejo con servicios de TI compartidos que son difciles de integrar. Es orientada a procesos con una cultura emergente de inclusin del accionista pero no con una estrategia formal y una tendencia a cambiar prioridades despus de largos debates entre los accionistas Est compitiendo en un mercado en el cual se han llevado a cabo muchos cambios, incluyendo una creciente presencia de sociedades (prstamos y ahorros) y bancos internacionales. Nuevos productos que estn siendo introducidos por competidores incluyendo tarifas de inters en ahorros ms altas- son atractivos para los clientes. Adems, los servicios electrnicos financieros con acceso todo el da todos los das se estn volviendo ms comunes. Posee una base de clientes y rditos constantes, e incrementando adquisiciones en este punto, pero el efecto de una competencia que va creciendo se est sintiendo cada vez ms fuerte. Existe una preocupacin sobre la prdida de mercado al igual que mrgenes de ganancia comprimidos. Est enterada de los indicadores sobre los que se estn preocupando los reguladores sobre el riesgo sistemtico, mientras que TIBO proporciona servicios de pago y establecimiento a otras instituciones bancarias. EL AMBIENTE DE TI DE LA EMPRESA PROYECTOS Los proyectos TIBO incluyen: We-BOP (operaciones bancarias electrnicas) Actualmente (parcialmente en vivo y por outsourcing), esto incluye el acceso de los clientes a aplicaciones de ahorro y de cheques; todava falta por implementarse el

10

acceso a prstamos y tarjetas de crdito, todo con una sola interfaz de usuario. COBIT

CRM (administracin relacionada con el cliente) Esto juntar toda la informacin del cliente para habilitar la venta de productos, para apoyar tanto a los administradores de cuenta como a otro personal de soporte al cliente. CoBAR (aplicaciones de reconstruccin de el centro de negocios) Esto incluye principalmente aplicaciones de ahorro, cheques y prstamos. IT_NET- expansin de red IT y aplicaciones de plataformas estandarizadas ForPay- servicios de pago forneos Work_it- aplicaciones de trabajo y conectividad remota para los administradores de la cuenta

TECNOLOGIA El ambiente de TI consiste en 3 plataformas distintas. La plataforma central de COBAR proporciona el negocio primario y las aplicaciones financieras; estos incluyen ahorros, cheques, prstamos confianza actividades bancarias personales, interfaz de tarjeta de crdito (en unin\alianza con una firma importante de la tarjeta de crdito). Todas estas aplicaciones actualizadas en tiempo real. Las claras aplicaciones y administraciones de la contabilidad de la organizacin libro mayor , cuentas por pagar, activos fijos y conciliacin bancaria tambin se encuentran basadas en la central . La plataforma central actualmente utiliza ForPAy como un servicio hacia otros bancos. El nuevo ambiente de cliente-servidor consiste en 5 servidores de UNIX que formaran la base para la nueva aplicacin CRM con sus etapas iniciales de desarrollo. La conectividad de los sistemas corporativos es proporcionada por IT_NET, el cual es una red privada virtual (VPN) proveniente de la organizacin proveedor de telco. Total, la infraestructura de la red se va haciendo ms vieja y ms filtrada. Solo los administradores senior tienen laptops. La plataforma de red de la PC implica los servidores de Windows utilizados para los servicios de archivo y de impresin , comunicacin de servicios y servicios de entrada. Los sitios de trabajo de PC funcionan con Windows. Esa es la plataforma para la aplicacin de Work_It. La conectividad remota debe estar basada en las caractersticas disponibles en IT_Net . El acceso de la central est dado por un sistema de administracin de seguridad. La seguridad de UNIX es proporcionada por el sistema operativo; ninguna herramienta de seguridad. Los firewalls son instalados y administrados por un proveedor TI_Net , como un servicio manejado. La sede de la casa (cuartel Gral.) son de aproximadamente 600 empleados .En la nacin, la corporacin emplea a aproximadamente 9,000 genes, de los cuales 450 estn en IT. Los servicios de IT son crticos por los 600 jefetauras de empleados ESTANDARES Y PROCESOS Los procesos de TI fueron desarrollados en casa, y vara en la calidad y conformidad del area al area dentro del grupo de TI. El desarrollo de la estrategia de TI es relativamente informal. Esto est basado en la discusin de la gerencia y se documentan mediante notas de la gerencia, mas bien se determina por un proceso preescrito u otro formato estndar. TI quisiera ms direccin sobre el negocio y de la gerencia ejecutiva, pero se toman las decisiones estratgicas sobre una base de proyecto-por-proyecto. La organizacin de TI es bastante tradicional, con equipo de desarrollo de sistemas, equipo de operaciones y sistemas, y un equipo de tecnologa. El

11

equipo de gerencia consiste en un encargado por cada uno de los 3 grupos, mas el lder del departamento. CASO DE ESTUDIO: TIBO Los progresos del sistema se ha tomado en la casa\central (matriz), basadas en el acceso, con un sistema metodolgico del ciclo de desarrollo vital (SDLC) que fue adquirida hace algunos aos y se ha ajustado al suit banco. Estos ltimos aos estos mtodos han sido han sido anticuados y muy lentos de entender. Sin embargo han asegurado la documentacin razonable de los sistemas. Hay muy poca experiencia para adquirir soluciones de paquete. Solamente algunos de los equipos internos no tienen experiencia con los sistemas de cliente-servidor, y ninguna ha tenido experiencia en desarrollo web. Las operaciones estn bien organizadas con buena disciplina y procedimientos duros. Generalmente, todo el trabajo es tratado como alta prioridad. Hay turnos cubriendo operaciones 24 horas al da, con un pequeo grupo de noche que maneja la mayora del procesamiento de la jornada. Los acuerdos del nivel de servicios interno (SLAs) son definidos en trminos tcnicos y son realmente declaraciones a nivel de servicio, por ejemplo, objetivos de disponibilidad y requerimientos de capacidad para la red. Hay una pequea mesa de ayuda interna, que es ms que nada utilizada para Usuarios ocasionales y resetear contraseas. SEGURIDAD La seguridad est basada en un procedimiento de larga duracin, que esta basado en un sistema de administracin de seguridad de acceso central (mainframe) tradicional. Las estaciones de trabajo no tienen disco. El simple pero no actualizada poltica de seguridad declara las responsabilidades generales y la importancia de la seguridad y privacidad de los datos bancarios. La TI tiene servidores reforzados, firewalls, encriptacin difcil y una VPN. La autenticacin de usuario basada en token es soportada por polticas de seguridad reforzadas. Existe un pequeo grupo de administracin de seguridad que apoya el mantenimiento de seguridad y maneja los joiners, leavers y cambios a los derechos de acceso. No existe un administrador de seguridad especfico, a pesar de que un administrador de seguridad es responsable de ubicar y manejar los privilegios. Debido a las presiones de negocios y de tecnologa, la gente tiende a descuidar las reglas de seguridad. La seguridad todava esta direccionada en un modo reactivo y el banco ha ofrecido asistencia, consejos y proveedores que estn fuera de la compaa que vaya de acuerdo a esto. Previo a este punto la opcin general ha sido que ha habido pocos problemas de que preocuparse. LAS ENTIDADES ORGANIZACIONALES JUNTA DE DIRECTORES La junta de directores de TIBO tiene los siguientes atributos: El presidente de la junta no est involucrado con la compaa todos los das. Est compuesta por miembros internos y externos, con la mayora de los miembros del comit de auditoria externos. Los miembros son tcnicamente estudiados, pero estn conscientes del riesgo e interesados en lo que hacen los dems COMIT EJECUTIVO El squito de TIBO tiene los siguientes atributos: Tiene gran influencia sobre la junta, pero necesita la cooperacin de directores de juntas de directores externas. Est enfocado en alcanzar resultados monetarios, y es de alguna manera riesgoso. Consiste en un CEO, director ejecutivo financiero (CFO), director operacional (COO) y un ejecutivo de negocios. EL COO ve la TI como parte de sus deberes.

12

COBIT El control no es una prioridad importante en la lista, pero escuchar a auditoria y presionar para implementacin de recomendaciones Recientemente presion para desarrollo del sistema electrnico del banco.

GRUPO DE ESTRATEGIAS DE NEGOCIOS El grupo de estrategia de TIBO tiene los siguientes atributos: Reporta al ejecutivo de negocios y no tiene inclinacin tecnolgica Sus prioridades mas importantes son la administracin de la relacin con el cliente y el proyecto CRM Recientemente ha pasado por un ejercicio de reduccin de tamao, reduciendo las oficinas sucursales en un 50 por ciento. Ha referenciado el costo de TI en el sector empresarial de negocios y propuesto que la propia TI de TIBO sea mas cara que la competencia Las iniciativas estratgicas actuales son : La baja ejecucin del cierre de las sucursales Crear un sistema web de actividades bancarias, para descargar la demanda de los servicios en las sucursales (We-BOP) (en progreso) Desarrollar capacidades de CRM para crear oportunidades de vender servicios bancarios en cross-sell (proyecto iniciado) COMIT DE COORDINACION TI El Comit de Coordinacin de IT implica una mezcla de IT y de encargados de usuario (ver la carta de organizacin). Se juntan muchos mensualmente y su principal preocupacin es velar los desarrollos existentes y futuros. Reportan Trimestralmente al grupo de estrategias de negocio. Ha tenido poca implicacin con el desarrollo We-BOP debido a la naturaleza del desarrollo y operacin del outsourcing. GERENCIA TI El director y su equipo de gerencia TI es: Altamente tcnico y desea hacer una marca en negocios en lnea, especficamente con las actividades bancarias web, operaciones de poyecto,las cuales son un gran soporte. Se preocupa por la red, ya que puede estar funcionando fuera como resultado de actividades bancarias en lnea. Completo apoyo de los controles de TI En acuerdo de que haya mayor cooperacin con el grupo de estrategias de negocio, y dar prioridad al apoyo de soportes de TI del proyecto de la gerencia, pero no siempre conviene en que se debe de hacer primero. La firma cree que los sistemas actuales de la base pueden dar soporte a los negocios por varios aos y obtener que los sistemas de la base se reconstruyan. EQUIPOS TI Equipos de TI TIBO son : Profesionales altamente calificados con un gran enfoque de calidad. Ellos han puesto un fuerte control y funcionamiento del proyecto en el lugar. Sin embargo, lo ultimo es muy detallado y solamente se usa en un nivel local. Constantemente desviados por cambios en la administracin como resultados de algunos cambios en las aplicaciones y la infraestructura. Preocupados por un rpido cambio, especialmente el outsourcing y los proyectos de negocio-promovidos que comercialmente no siempre son aceptados y toman recursos a CASO DE ESTUDIO: TIBO

13

lejanas a la inversin de la infraestructura necesaria, como la red TI para aumentar la conectividad y para estandarizar soluciones. Preocupados por el incremento de los problemas de mantenimiento y la disminucin hbiles disponibles relacionadas con el sistema principal, y realmente ha incrementado la frustracin. OPERACIONES DE NEGOCIO Los ejecutivos de TIBO estan : convirtindose en IT estudiados y estn un poco celosos de que la TI este obteniendo su presupuesto mientras ellos tienen que reducirse y la TI no. Demandando que necesitan un incremento en la conectividad remota y automatizar soluciones de flujo de trabajo que sean mas efectivas en una red reducida. Quejndose del rendimiento del proceso, y del soporte para los sistemas de la base y empujando la SLAS y la reconstruccin de los sistemas que se esta convirtiendo en obsoletos. Que conecta cada vez a mas y mas clientes en lnea aunque no traen un ingreso inmediata mientras la presin de los sistemas de operacionales y de soporte

14

COBIT MATERIAL ADICIONAL El PROBLEMA DE SEGURIDAD PREGUNTAS

1. En una llamada annima al CFO, alguien demanda tener acceso a la informacin

del cliente escapada de los sistemas de la empresa y verifican con un fax que contiene una cierta informacin (nombres, cuenta, encargados, ec..) a) Analizar los riesgos de seguridad b) Recomendar algunas practicas buenas para mitigar mejor los riesgos

2. Eres informado de la infraccin que ocurri con los proveedores y te dan un

curso (corto e inadecuado) acuerdo inadecuado del porcentaje de disponibilidad (SLA). Los datos se escaparon por que los proveedores utilizaron un cliente real, datos vivos durante pruebas de aceptacin de la segunda fase en una instalacin insegura del web server. Definir lo que se debe de hacer la administracin en la relacin de seguridad de SLA Que piensas que realmente pas, que permiti que los datos fueran de dominio publico?

a) b)

15

CASO DE ESTUDIO: TIBO

16

COBIT EL PROBLEMA DE OUTSOURCING PREGUNTAS

1) Te estas enfrentando con un proceso de outsourcing detallado. Da una

evaluacin de ese proceso. Describe los problemas TIBO encontrados los riesgos que estos enfrentan, e identifica las mejores prcticas que, de ser implementadas, hubieran prevenido o aliviado los problemas o riesgos. Identifica los roles que auditoria, administracin de TI y el CEO deberan de tener en el uso de outsourcing . Compara estas mejores practicas a los papeles que en realidad tuvieron en TIBO.

2)

EL PROLEMA DE ALINEACION ESTRATEGICA INFORMACION EXTRA La estrategia de negocios es determinada por el grupo de estrategias de negocios, el cual esta comprometido por el CEO , vicepresidente de ventas al menudeo y operaciones de venta,y dos miembros de fuera. Uno de los miembros de fuera Charles Penrose, en actual CEO de Accubank fue introducido en el TIBO hace 18 meses. El otro miembro de fuera es Nigel Sorrell. El es tambin miembro de la junta de directores. El grupo de estrategias de negocios se junta el primer martes de cada mes para repasar el progreso en iniciativas estratgicas previas y discutir la direccin estratgica del banco. La informacin para los repasos de progreso se obtiene generalmente invitando al administrador de proyecto de la iniciativa en particular para dar una breve presentacin. El grupo trata de estar al tanto que puedan interrumpir las practicas de la industria. E particular el grupo ha estado pensando sobre: Estrategias de canal Tendencias actuales Relaciones y retencin de clientes El grupo de estrategias de negocios tiene excelentes procesos de documentacin, mantiene un documento de iniciativas estratgicas que detalla cada una de las iniciativas y tablas de progreso en cada uno.este documento es distribuido a la junta de directores y al comit ejecutivo. El comit de ejecutivo se junta el primer jueves de cada mes. Siempre se incluye una discusin sobre problema estratgicos en la agenda del comit ejecutivo. John Michel siempre se asegura de que se le de la adecuada atencin a la direccin estratgica del banco. La junta de directores se junta cada trimestre. Las iniciativas estratgicas siempre se encuentran entre los muchos temas discutidos por la junta. En la organizacin se delegan muchas decisiones estratgicas para implementacin por ejemplo, se deleg la iniciativa We-BOP al director de TI para implementacin. El director de TI asigno un administrador de proyectos y luego comenz a buscar luciones potenciales para esta iniciativa. Decidi que la manera mas segura para entrar a la actividad bancaria electrnica era manejar por fuera de la compaa su funcin habilidad.

17

CASO DE ESTUDIO: TIBO

PREGUNTAS 1. Analizar las implicaciones de gobernacin sobre como TIBO manej el outsourcing de niveles de junta de directores, ejecutivos y administracin de TI. Cules seran las mejores prcticas para gobernar contratos de outsourcing? 2. Por qu el CEO no estaba al tanto de la quejas de los clientes antes del reporte del Ombudsman? Cmo se puede evitar esto en el futuro? Qu cambios de gobernacin propone para resolver este problema? 3. Mientras la junta comienza la iniciativa CRM, Cmo se puede alcanzar una mejor alineacin entre la Ti y la estrategia de negocios que fue evidente en la iniciativa We-BOP?

18

COBIT NOTAS DE ESTUDIO MATERIAL ADICIONAL PARA POYAR ESTE CASO EN GENERAL Capitulo 3 del Libro de Estudiante COBIT (proceso DS5 y PO9) Organizacin internacional para la estandarizacin (ISO) 17799 Material introductorio sobre ITIL (Biblioteca de infraestructura de TI, oficina de comercio de gobierno , UK) PARA EL PROBLEMA DE OUTSOURCING Libro del Estudiante COBIT ( Proceso DS2) Sitios web de outsourcing www.outsourcing.com Cutter Consortiums Sourcing and Vendor Relationships E-mail Advisor-e-mails semanales visita cutter.com Debajo de Data, Analysis, and Advice, click en Sourcing and Vendor Relationships. Date de alta para una suscripcion de prueba para el servicio de email semanal. Tambin hay disponibles reportes gratis en el sitio web Computerworld Outsourcingweekly e-mails (gratis): visita www.cwrld.com/nl/sub.asp. Selecciona Outsourcing, y regstrate tambin, para su centro de conocimiento de outsourcing visita : www.computerworld.com/managementtopics/outsourcing. Network World visita www.nwfusion.com, escribe outsourcing. Tech Republic visita www.techrepublic.com, escribe outsourcing. IDGContenido 8 revistas incluyendo InfoWorld, PC World, CIO Magazine, etc. visita www.idg.net, escribe outsourcing.

Publicaciones tipicas en outsourcing de TI proporcionadas por el maestro Opcionalmente proporcione al alumno artculos tpicos sobre outsourcing y referencias COBIT Considere como se esta manejando la administracin del cambio (como se organiz, despus del numero de cambios operacionales debido a las quejas y errores ) Proporcione a los alumnos una breve descripcin del SLA, como es utilizado originalmente por la empresa Utilice el programa de auditoria de outsourcing proporcionado por el isaca para apuntar a los estudiantes en la direccin correcta, www.isaca.org PARA EL PROBLEMA DE ALINEACION ESTRATEGICA Se les ha proporcionado a los alumnos un acercamiento de la compaia a la estrategia proporcionado en la pgina 16. Los estudiantes tambien tienen el material PO1 del libro del estudiante COBIT y el Board Briefing on IT Governance, 2nd edition (www.itgi.org) como material de referencia.

19

CASO DE ESTUDIO: TIBO SOLUCIONES SUGERIDAS RESPUESTAS GENERALES Algunos temas generales que se necesitan enfatizar en las respuestas proporcionadas por los estudiantes: La estrategia no est clara para todas las partes, y existe una diferencia de opinin sobre las prioridades. Existen problemas mayores con la administracin del cambio como resultado de mucho cambios La empresa esta apenas en un nivel 2 de madurez por seguridad de informacin No existe coordinacin y hay falta de comunicacin Est consciente de que el nivel de madurez 2 est construido dentro del caso (refirase al modelo de madures del proceso DS5). Sus caractersticas son: Las responsabilidades y contabilidades para la seguridad de TI son asignadas a un administrador de seguridad de TI sin autoridad de administracin, reportando al supervisor de base de datos. La alerta de seguridad esta fragmentada y limitada La informacin de seguridad de TI es generada, pero raramente analizada. Las soluciones de seguridad tienen a responder reactivamente a los incidentes de seguridad de TI y adoptando las ofertas de proveedores, sin mencionar las necesidades especificas de la organizacin Las polticas de seguridad estn siendo desarrolladas, pero no se estn utilizando las habilidades y herramientas adecuadas. Los reportes de seguridad de TI son incompletos, mal dirigidos e impertinentes. RESPUESTAS ESPERADAS SOBRE SEGURIDAD 1.- En una llamada annima al CFO, alguien dice tener acceso a informacin de clientes fugada de los sistemas de la empresa y la verifica con un fax que contiene informacin importante y confidencial (nombres, cuentas, administradores, etc.). a. Analiza los riesgos de seguridad. stos son: Parece haber una falta de administracin (junta, comit de auditoria) con respecto a seguridad. La seguridad de bajos recursos No hay un plan de seguridad de TI Las polticas estn basadas en la era de mainframes y deben ser reforzados para nuevas tecnologas como laptops y discos virtuales Responsabilidades y contabilidades para la seguridad de TI son asignadas a un administrador de seguridad de TI sin autoridad de administracin, reportndole al supervisor de bases de datos. b. Recomiende algunas buenas prcticas para mitigar mejor los riesgos. Algunas buenas prcticas para mitigar riesgos son: Implementar el ISO 17799 Usar el proceso DS5 de COBIT 2. Le informan que la infraccin (brecha) ocurrida con el proveedor y se les da una copia del actual (corto e inadecuado) acuerdo de nivel de servicio (SLA). La informacin se fug por que el proveedor utilizo datos reales y actuales del cliente durante las pruebas de aceptacin de la segunda fase en una instalacin insegura de servidor web. a. Defina que debi de haber puesto administracin en el SLA en cuanto a seguridad. Administracin debe requerir que el: COBIT SLA estipule que la seguridad debe ser del nivel del ISO 17799 Proveedor sea certificado y auditado de acuerdo a ese estndar. b. Qu cree usted que realmente paso para permitir que estos datos fueran de dominio pblico? Lo siguiente podra permitir que los datos fueran de dominio pblico:

20

El personal de outsourcing pudo haber robado informacin Se puedo haber decomisado y vendido un servidor sin limpiar el disco Los datos pudieron haber sido buscados en google por alguien buscando el nombre de un vecino Las cuentas de ex empleados pudieron haber sidos desactivadas impropiamente

RESPUESTAS ESPERADAS SOBRE OUTSOURCING 1) Usted se enfrenta con un proceso de outsourcing detallado. D una evaluacin de este proceso. Describe los problemas TIBO encontrados o los riesgos que estos enfrentan e idenifica las mejores prcticas que , de ser implementadas, hubieran prevenido los problemas o riesgos. Seale los riesgos del : Gobierno inadecuado del proceso de seleccin Falta de conocimiento o posicionamiento del CEO para tomar esa decisin tecnolgica Falta de prueba Elementos no definidos o dbilmente definidos, en el SLA Falta de medidas de seguridad Ausencia de orientacin de negocios sobre otras medidas Reporte inadecuado (cuales reportes, quien es el responsable ) Artculos no cubiertos en el SLA del contrato de outsourcing. Idealmente estos deberan ser identificados por el alumno: - Mtricas de desempeo - Tiempo de respuesta - Disponibilidad del sistema. Parece que los clientes pueden acceder al sistema durante ciertas horas en el da - Seguridad - Pruebas (debido a la falta de pruebas alunas cosas no son procesadas son procesadas incorrectamente) - Entrenamiento (el proveedor desarrollo un archivo de error para administrar errores pero el personal interno de Tino fue entrenando para manejar esto) - Cargos extras para la mesa de ayuda en caso de que la carga de trabajo incremente - Requerimientos no completamente pensados - Administracin de cambios (cmo fue esto organizado despus del nmero de cambios operacionales debido a los errores y quejas?) 2) Identificar los roles que auditora, administracin de TI y el CEO deben de tener en outsourcing. Compare estas practicas con los roles que en realidad se desempearon en TIBO. Las comparaciones son: Auditora debi de haber estado involucrada en el desarrollo. Hubo nueva tecnologa, alto riesgo y nuevos procesos de outsourcing para los cuales no haba ninguna experiencia. Haba un componente que se relacionaba altamente con el cliente con una potencialmente grande exposicin con el cliente. La administracin de negocios debi haber estado mas involucrada en determinar la solucin. Dejaron la solucin completamente a TI y por lo tanto no se dieron cuenta de los posibles riesgos de negocios relacionados con el outsourcing. La administracin de TI debi haber sido mas proactiva en administrar el contrato por fuera de la compaa y no debi haber dejado las cosas solo al proveedor. CASO DE ESTUDIO: TIBO RESPUESTAS ESPERADAS EN LA ALINEACIN ESTRATGIZA 1. Analice las implicaciones de gobernacin sobre cmo TIBO manej el outsourcing de niveles de junta de directores, ejecutivo y administracin de TI.

21

Cules seran las mejores prcticas para gobernar los contratos de outsourcing? Los temas importantes que deben surgir en la discusin: Comunicacin (ej., reporte de mesa de ayuda: no se hizo nada debido a las incorrectas suposiciones sobre responsabilidades) Comits de direccin de TI y estrategia de TI Mas complicacin de los negocios Claridad sobre el valor (principalmente intangible) que va ser devuelto por la inversin en TI 2. Por qu el CEO no estaba al tanto de las quejas de lo clientes antes del reporte del defensor? Cmo se puede evitar esto en el futuro? Qu cambios de gobernacin propone para resolver este problema? Fue tratado con una solucin operacional tecnolgica en lugar de ser tratado con una base de riesgo de negocio. As: No se vio al outsourcing como una oportunidad estratgica por la administracin ejecutiva o por la junta. La TI lo vio como una solucin tctica para sus propios problemas de recursos. La falta de un comit estratgico de TI quiso decir que el outsourcing no fue considerado en un contexto de negocio estratgico y, como resultado, no se evaluaron los nuevos riesgos de negocio La seleccin de un proveedor debe ser un proceso formal en el cual todas las partes apropiadas, tales como TI y consecucin, deben ser involucrados Alguien con responsabilidad necesita manejar el contrato por fuera en una base diaria. Las quejas de los clientes fueron dirigidas a un nivel muy bajo (Joshua Dean) y l pens que era solo un reporte de informacin. Su jefe pens que todas las quejas haban sido ya resueltas por el proveedor debido a la gran cantidad de facturas que recibieron para soporte. El problema de transaccin equivocado no fue identificado como importante para la mesa de ayuda de fuera de la compaa debido a la falta de entrenamiento. El SLA debe tener una seccin que trate con el problema de administracin con un procedimiento de escalamiento para incidentes serios. Las quejas de los clientes deben ir con el administrador de contrato y no directamente al departamento de soporte al usuario de TI. 3. Mientras la junta comienza la iniciativa CRM, cmo se puede alcanzar una mejor alineacin entre TI y la estrategia de negocio que la que fue evidente en la iniciativa We-BOP? Existe la necesidad de un comit de estrategia de TI o una crecida necesidad de membresa de TI del grupo de estrategia de negocio para proporcionar alineacin de negocio/TI. Se necesita un comit de direccin de TI en lugar de el comit de coordinacin Se deben seguir las guas del Board Briefing on IT Governance, 2nd Edition.

COBIT APENDICE

22

El servicio Ombudsman Financiero es un poderoso servicio regulatorio de UK. El servicio Ombudsman Financiero, localizado en el Reino Unido, podra ayudar con una queja financiera que usted no pueda resolver con un: Banco Sociedad Constructora Consejero Financiero Sociedad Amiga o Unin de Crdito Compaa de Seguros Firma de Inversin Corredor de Bolsa Compaa de Fondos de Ahorro El servicio Ombudsman Financiero fue propuesto por ley de que diera un servicio gratis e independiente a los clientes para resolver disputas con firmas financieras. Puede ayudar con la mayora de las quejas financieras sobre: Servicios bancarios Tarjetas de Crdito Polticas de Dotacin Consejo de inversin y financiero Polticas de Seguro Administracin de Inversin y Fondo Seguro de vida Hipotecas Planes personales de pensin Planes de ahorro y cuentas Casas de Bolsas Bonos de ingreso Puede imponer multas, pero el impacto real de tales incidentes es la pena que resulta de los reportes cuando sea hacen pblicos.

23