Este documento presenta información sobre diferentes temas relacionados con sistemas de información empresarial, incluyendo el modelo de tres capas, COBIT, ITIL, ISO e ISO 20000. Explica conceptos como arquitectura de aplicaciones, modelo de cliente-servidor, y tipos de arquitectura como centralizada y de dos y tres capas. También describe los componentes, beneficios y desventajas de COBIT, ITIL e ISO/ISO 20000.
1. Universidad Austral de Chile
Facultad de Ciencias Económicas y Administrativas
Escuela de Ingeniería Comercial
Sistemas de Información Empresarial
ADMI 273
“DEFINICIÓN DE CONCEPTOS ”
Nombre: Viviana Estrada Rios
Profesor: Cristian Salazar Concha
Valdivia, 03 de Mayo de 2010
2. MODELO DE 3 CAPAS
¿Qué es la arquitectura de una aplicación?
La arquitectura se refiere a la forma en la que es diseñada tanto física como lógicamente
una aplicación.
Diseño físico: Se refiere al lugar donde estarán las piezas de la aplicación.
Diseño lógico: Aquí se especifica la estructura de la aplicación y sus componentes sin
tener en cuenta donde se localizara el Software ni el Hardware ni la infraestructura.
Cliente-Servidor
Esta definición se usa para describir una aplicación en la cual dos o más procesos
separados trabajan juntos para completar una tarea. El proceso Cliente solicita al proceso
Servidor la ejecución de una acción en particular esta operación se conoce como proceso
cooperativo.
Los procesos pueden o no estar en una sola máquina.
Tipos de arquitectura
• Centralizada: consiste en un conjunto de terminales brutas que se conectan a un
Mainframe todas la operaciones se realizan en ésta, mientras que las terminales solo
se emplean como interface.
• Modelo de 2 capas
Es una arquitectura constituida por 2 capas: Front-End y Back-End.
Front-End: consiste en la capa donde el usuario interactúa con su PC.
Back-End: es el servidor de bases de datos como Oracle o SQL-Server.
Dificultades de la arquitectura de 2 capas
Dificultad al realizar cambios en el Front-End
Dificultad al compartir procesos comunes.
Problemas de seguridad, etc.
• Arquitectura de 3 capas
Es el sucesor de la arquitectura de dos capas, ésta implementa una ó n capas
adicionales las cuales se encargan de encapsular las reglas del negocio asociadas
con el sistema y las separa de la presentación y del código de la D.B.
3. Comunicación entre las capas
El modelo de 3 capas es una forma lógica de agrupar los componentes que creamos. Está
basado en el concepto de que todos los niveles de la aplicación, son una colección de
componentes que se proporcionan servicios entre sí o a otros niveles adyacentes. La única
comunicación que no está permitida es la de Frond-End con Back-End, contrario al modelo
de 2 capas donde cada capa solo se comunica con su capa superior o inferior siendo estas
las capas de Front-End y Back-End.
MODELO DE 3 CAPAS
Los servicios se forman de componentes
El modelo de 3 capas está destinado a ayudarnos a construir componentes físicos a partir de
los niveles lógicos. Así que podemos empezar tomando decisiones sobre qué parte lógica
de la aplicación vamos a encapsular en cada uno de nuestros componentes de igual modo
que encapsulamos los componentes en varios niveles. Un nivel está conformado por varios
componentes, por tanto puede suplir varios servicios.
Niveles del modelo
Nivel Usuario: Los componentes del nivel de usuario, proporcionan la interfaz visual que
los clientes utilizarán para ver la información y los datos. En este nivel, los componentes
son responsables de solicitar y recibir servicios de otros componentes del mismo nivel o del
nivel de servicios de negocio. Es muy importante destacar que, a pesar de que las funciones
del negocio residen en otro nivel, para el usuario es transparente la forma de operar.
4. Nivel de Negocios: Como los servicios de usuario no pueden contactar directamente con el
nivel de servicios de datos, es responsabilidad de los servicios de negocio hacer de puente
entre estos. Los objetos de negocio proporcionan servicios que completan las tareas de
negocio tales como verificar los datos enviados por el cliente. Antes de llevar a cabo una
transacción en la D.B.
Los componentes de los servicios de negocio también nos sirven para evitar que el usuario
tenga acceso directo a la base de datos, lo cual proporciona mayor seguridad en la
integridad de ésta.
Nivel de Datos: El nivel de datos se encarga de las típicas tareas que realizamos con los
datos: Inserción, modificación, consulta y borrado. La clave del nivel de datos es que los
papeles de negocio no son implementados aquí. Aunque un componente de servicio de
datos es responsable de la gestión de las peticiones realizadas por un objeto de negocio.
Un nivel de servicios de datos apropiadamente implementado, debería permitir cambiar su
localización sin afectar a los servicios proporcionados por los componentes de negocio.
Ventajas
• Los componentes de la aplicación pueden ser desarrollados en cualquier lenguaje.
• Los componentes son independientes.
• Los componentes pueden estar distribuidos en múltiples servidores.
• La D.B. es solo vista desde la capa intermedia y no desde todos los clientes.
• Los drivers del D.B. No tienen que estar en los clientes.
• Mejora la administración de los recursos cuando existe mucha concurrencia.
• Permite reutilización real del software y construir aplicaciones escalables.
COBIT:
(Control Objectives for Information and related Technology), fue desarrollada en 1996 por
las entidades americanas, Information Systems Audit and Control Association y la IT
Governance Institute, como un estándar (aceptado internacionalmente) que vincula la
tecnología informática y prácticas de resguardo para la seguridad y el control en los
procedimientos TI. Cobit articula sus prácticas en torno a tres ejes: procesos TI, recursos TI
y criterios de información, conformando un cubo de gestión global y ofreciendo un marco
para usuarios, auditores y responsables de seguridad. Debido a la creciente regulación de
cuestiones como la protección de datos personales o la privacidad de la información, en su
tercera versión este método está ganando aceptación como guía de prácticas para controlar
datos, sistemas y riesgos relacionados. Los indicadores de gestión (Management
Guidelines) de Cobit miden las capacidades de una empresa en 34 procesos TI diferentes;
incluyen elementos para la evaluación del rendimiento; un listado de factores críticos para
el éxito (FCE en el enfoque de Porter), que proporcionan las mejores prácticas para cada
proceso TI; y modelos de madurez que ayudan en tareas de medición con benchmarking.
5. Su principal valor es su capacidad para guiar a las empresas en los procesos necesarios para
implementar el control que sobre su información exigen Sarbanes Oxley (SOX), la
supervisión basada en riesgos, Basilea II, entre otras regulaciones vigentes. Si una
compañía afirma haber asegurado la entrada a su data center utilizando un proceso de
registros y contraseñas, usando Cobit podrá extraer un informe completo de los accesos que
se hayan producido durante un determinado período de tiempo. Además, aporta un valor al
data center por sí mismo, dado que incrementa el nivel de control sobre los procesos,
resultando especialmente valioso en cualquier ambiente donde la confidencialidad y
privacidad son críticas.
Para ayudar a las organizaciones a satisfacer con éxito los desafíos de los negocios
actualmente, el IT Governance Institute (ITGI) ha publicado la versión de COBIT 4.1
• COBIT es un framework de Gobierno de TI y un conjunto de herramientas de
soporte para el gobierno de T.I. que les permite a los gerentes cubrir la brecha
entre los requerimientos de control, los aspectos técnicos y riesgos de negocio.
• COBIT hace posible el desarrollo de una política clara y las buenas prácticas para
los controles de T.I. a través de las organizaciones.
• COBIT enfatiza en la conformidad a regulaciones, ayuda a las organizaciones a
incrementar el valor alcanzado desde la TI, permite el alineamiento y simplifica la
implementación de la estructura COBIT.
La última versión, COBIT 4.1, enfatiza el cumplimiento normativo, ayuda a las
organizaciones a incrementar el valor de T.I., apoya el alineamiento con el negocio y
simplifica la implantación de COBIT. Esta versión no invalida el trabajo efectuado con las
versiones anteriores del COBIT, sino que puede ser empleado para mejorar el trabajo
previo.
Cuando importantes actividades son planeadas para iniciativas de Gobierno de T, o cuando
se prevé la revisión de la estructura de control de la empresa, es recomendable empezar
con la más reciente versión de COBIT.
6. Componentes de COBIT:
ITIL:
ITIL, Information Technology Infrastructure Library, es una colección de las mejores
prácticas observadas en la industria de TI. Es un conjunto de libros en los cuales se
encuentran documentados todos los procesos referentes a la provisión de servicios de
tecnología de información hacia las organizaciones.
ITIL por medio de procedimientos, roles, tareas, y responsabilidades que se pueden adaptar
a cualquier organización de TI, genera una descripción detallada de mejores practicas, que
permitirán tener mejor comunicación y administración en la organización de TI.
Proporciona los elementos necesarios para determinar objetivos de mejora y metas que
ayuden a la organización a madurar y crecer.
ITIL esta dividido en 10 procesos, mismos que están divididos en 5 procesos operacionales
(libro azul) y 5 tácticos (libro rojo), además de incluirse dentro de los procesos
operacionales una función que es la de service desk.
Libro azul:
• Incident management
• Problem management
• Configuration management
• Change management
• Release management
• Función de service desk
7. Libro rojo:
• Service Level management
• Financial management for IT service
• Availability management
• Capacity management
• IT service continuity management
• Security management
Las ventajas de ITIL para los clientes y usuarios
• Mejora la comunicación con los clientes y usuarios finales a través de los diversos puntos
de contacto acordados.
• Los servicios se detallan en lenguaje del cliente y con más detalles.
• Se maneja mejor la calidad y los costos de los servicios.
• La entrega de servicios se enfoca mas al cliente, mejorando con ello la calidad de los
mismos y relación entre el cliente y el departamento de IT.
• Una mayor flexibilidad y adaptabilidad de los servicios.
Ventajas de ITIL para TI
• La organización TI desarrolla una estructura más clara, se vuelve más eficaz, y se centra
más en los objetivos de la organización.
• La administración tiene un mayor control, se estandarizan e identifican los
procedimientos, y los cambios resultan más fáciles de manejar.
• La estructura de procesos en IT proporciona un marco para concretar de manera más
adecuada los servicios de outsourcing.
• A través de las mejores prácticas de ITIL se apoya al cambio en la cultura de TI y su
orientación hacia el servicio, y se facilita la introducción de un sistema de administración
de calidad.
• ITIL proporciona un marco de referencia uniforme para la comunicación interna y con
proveedores.
Desventajas
• Tiempo y esfuerzo necesario para su implementación.
• Que no se de el cambio en la cultura de las área involucradas.
• Que no se vea reflejada una mejora, por falta de entendimiento sobre procesos,
indicadores y como pueden ser controlados.
• Que el personal no se involucre y se comprometa.
• La mejora del servicio y la reducción de costos puede no ser visible.
• Que la inversión en herramientas de soporte sea escasa. Los procesos podrán parecer
inútiles y no se alcancen las mejoras en los servicios.
8. ISO:
La Organización Internacional para la Estandarización (ISO) es una federación de alcance
mundial integrada por cuerpos de estandarización nacionales de 130 países, uno por cada
país.
La ISO es una organización no gubernamental establecida en 1947. La misión de la ISO es
promover el desarrollo de la estandarización y las actividades con ella relacionada en el
mundo con la mira en facilitar el intercambio de servicios y bienes, y para promover la
cooperación en la esfera de lo intelectual, científico, tecnológico y económico.
Todos los trabajos realizados por la ISO resultan en acuerdos internacionales los cuales son
publicados como Estándares Internacionales.
¿De dónde proviene el nombre ISO?
Muchas personas habrán advertido la falta de correspondencia entre el supuesto acrónimo
en inglés de la Organización y la palabra “ISO”. Así sería, pero ISO no es el acrónimo.
En efecto, “ISO” es una palabra, que deriva del Griego “isos”, que significa “igual”, el cual
es la raíz del prefijo “iso” el cual aparece en infinidad de términos.
Desde “igual” a “estándar” es fácil seguir por esta línea de pensamiento que fue lo que
condujo a elegir “ISO” como nombre de la Organización.
ISO Estándares, ¿Cómo desarrolla la ISO sus estándares?
La Organización Internacional para la Estandarización estipula que sus estándares son
producidos de acuerdo a los siguientes principios:
1) Consenso: Son tenidos en cuenta los puntos de vistas de todos los interesados:
fabricantes, vendedores, usuarios, grupos de consumidores, laboratorios de análisis,
gobiernos, especialistas y organizaciones de investigación.
2) Aplicación Industrial Global: Soluciones globales para satisfacer a las industrias y a los
clientes mundiales.
3) Voluntario: La estandarización internacional es conducida por el mercado y por
consiguiente basada en el compromiso voluntario de todos los interesados del mercado.
La norma ISO 20000 se denominó anteriormente BS 15000 y está alineada con el
planteamiento del proceso definido por la IT Infrastructure Library (ITIL - Biblioteca de
infraestructuras de tecnología de la información) de The Office of Government Commerce
(OGC).
La certificación ISO 20000 proporciona a las organizaciones un planteamiento
estructurado y fiable para el desarrollo de servicios de tecnología de la información,
creando una oportunidad a las empresas para salvaguardar sus sistemas de gestión de
tecnología de la información.
La certificación ISO 20000 muestra el compromiso con una infraestructura de tecnología
9. de la información fiable con la ayuda de profesionales mejorando la satisfacción global de
clientes y empleados, y la imagen como empresa.
La norma ISO 20000 consta de dos partes:
Por un lado la norma ISO 20000, define los requisitos que tiene que cumplir una
organización para proporcionar servicios gestionados de una calidad aceptable a los
clientes.
Alcanza:
á Requisitos para un sistema de gestión
á Planificación e implantación de la gestión del servicio
á Planificación e implantación de servicios nuevos o cambiados
á Proceso de prestación de servicios
á Procesos de relaciones
á Procesos de resolución
á Procesos de control y liberación
Por otra parte es el código de procedimiento y describe los mejores procedimientos para
procesos de gestión de resultando especialmente útil para organizaciones que se preparan
para someterse a una auditoría según la norma ISO 20000-1 o para planificar mejoras del
servicio.
Las ventajas de la norma ISO 20000:
La norma ISO 20000 reduce el riesgo ofreciendo apoyo fiable de profesionales de la
tecnología de la información (internos o subcontratados), cuando y donde más se necesita.
“ Pone cualquier situación de tecnología de la información bajo control inmediato y
mejora la productividad de los empleados y la fiabilidad del sistema de tecnología de la
información. La certificación aporta también motivación a la organización y demuestra
la fiabilidad y calidad de los servicios de tecnología de la información para empleados,
partes interesadas y clientes.
El certificado IT Service Management System según la norma ISO 20000 permitirá
demostrar altos niveles de calidad y fiabilidad de los servicios de tecnología de
información, cuando presente ofertas para contratos internacionales o cuando realice
ampliaciones locales para aumentar el volumen de negocio.
La norma ISO 20000 se puede vincular también con la norma ISO 27000 (norma
internacional para seguridad de la información). Integrando las auditorias de estos sistemas
de gestión se podrá ahorrar tiempo y dinero.
10. SOX:
La Ley Sarbanes-Oxley es una ley americana que fue emitida 2002 en los Estados Unidos
(a menudo abreviado como SOX) es la legislación promulgada en respuesta a la de alto
perfil de Enron y WorldCom escándalos financieros que protejan a accionistas y público en
general de los errores de contabilidad y las prácticas fraudulentas en la empresa. El acto es
administrado por la Securities and Exchange Commission (SEC), que fija los plazos para su
cumplimiento y publica normas sobre los requisitos. Sarbanes-Oxley no es un conjunto de
prácticas y no especifica cómo una empresa debe almacenar los registros, sino que define
los registros que se deben almacenarse y por cuánto tiempo.
La legislación no sólo afecta el aspecto financiero de las empresas, sino que también
afecta a los departamentos de TI, cuyo trabajo consiste en almacenar los registros
electrónicos de una corporación. La Ley Sarbanes-Oxley establece que todos los registros
comerciales, incluyendo los registros electrónicos y mensajes electrónicos, se debe
guardar por "no menos de cinco años". Las consecuencias por el incumplimiento de las
multas, encarcelamiento, o ambos. Los departamentos de TI son cada vez más ante el reto
de crear y mantener un archivo de registros corporativos de una manera costo-efectiva que
satisfaga los requisitos expuestos por la legislación.
¿Cuál es el impacto de la Ley Sarbanes-Oxley en las operaciones de TI?
La Ley Sarbanes-Oxley contienen las tres reglas que afectan a la gestión de registros
electrónicos. La primera regla se refiere a la destrucción, alteración o falsificación de
registros.
Sec. 802 (a) "El que a sabiendas, altere, destruya, mutile, oculte, encubre, falsifica o hace
un asiento falso en cualquier registro, documento u objeto tangible con la intención de
impedir, obstruir, o influir en la investigación o la administración de la cualquier asunto
en la jurisdicción de cualquier departamento o agencia de los Estados Unidos o en
cualquier caso presentado bajo el título 11, o en relación con la contemplación o de
cualquier asunto o caso, será multado bajo este título, encarcelado por no más de 20 años,
o los dos ".
La segunda regla define el período de retención para el almacenamiento de registros. Las
mejores prácticas indican que las empresas almacenar de forma segura todos los registros de
negocios utilizando las mismas pautas establecidas para los contadores públicos.
Sec. 802 (uno) (1) "Cualquier contador que lleva a cabo una auditoría de un emisor de
valores a los que la sección 10A (a) de la Ley de Intercambio de Valores de 1934 (15 USC
78j-1 (a)) se aplica, mantendrá todos los de auditoría o papeles de trabajo de revisión por
un período de 5 años desde el final del período fiscal en que la auditoría o revisión se
concluyó ".
Esta tercera regla se refiere al tipo de registros de negocios que necesitan ser almacenados,
incluyendo todos los registros de negocios y las comunicaciones, incluidas las
comunicaciones electrónicas.
11. Sec. 802 (uno) (2) "La Securities and Exchange Comisión dará a conocer, dentro de los
180 días, las reglas y reglamentos, que sean razonablemente necesarias, relativas a la
conservación de los registros pertinentes, tales como papeles de trabajo, documentos que
forman la base de una auditoría o revisión, memorandos, correspondencia,
comunicaciones, otros documentos y registros (incluidos los documentos electrónicos) que
se crean, enviado o recibido en relación con una auditoría o revisión y contienen
conclusiones, opiniones, análisis, o datos financieros relativos a dicha auditoría o revisión
".
BASILEA:
Acuerdo de Basilea II es un estándar comercial internacional que exige a las entidades
financieras mantener suficientes reservas en efectivo para cubrir los riesgos contraídos por
las operaciones. Los acuerdos Basilea son una serie de recomendaciones sobre leyes y
regulaciones bancarias emitidas por el Comité de Basilea sobre Supervisión Bancaria
(apoyo bienales). El nombre de los acuerdos se deriva de Basilea, Suiza, donde el comité
que mantiene los acuerdos se reúne.
Basilea II mejorado en Basilea I, promulgada por primera vez en la década de 1980, al
ofrecer modelos más complejos para el cálculo de capital regulatorio. En esencia, el acuerdo
ordena que los bancos que poseen activos de mayor riesgo debieran estar obligados a tener
más capital a la mano de las que mantienen carteras más seguras. Basilea II también obliga
a las empresas a publicar tanto los detalles de las inversiones de riesgo y las prácticas de
gestión de riesgos. El título completo del acuerdo es Basilea II: Convergencia
internacional de medidas y normas de capital - Marco revisado.
Los tres requisitos esenciales de Basilea II son:
1. Obligatoriedad de que las asignaciones de capital por los administradores
institucionales son más sensibles al riesgo.
2. La separación de riesgos de crédito de los riesgos operativos y la cuantificación
de ambos.
3. Reducir el margen o posibilidad de arbitraje regulatorio, tratando de alinear el
riesgo real o económico precisamente con una valoración legal.
Basilea II ha dado lugar a la evolución de una serie de estrategias para permitir a los
bancos hacer inversiones de riesgo, como el mercado de hipotecas de alto riesgo. Activos
de mayor riesgo se mueven a partes no reguladas de sociedades de cartera. Por otra parte,
el riesgo puede ser transferido directamente a los inversores por la bursatilización, el
proceso de tomar un activo no líquido o grupos de activos y transformarlas en una
seguridad que se puedan comercializar en los mercados abiertos.