Modelo de Gobierno de Gestión Usuarios TI

Documentos relacionados
COBIT 5. Niveles de Capacidad Desafío de formalización de procesos Costos y Beneficios. A/P Cristina Borrazás, CISA, CRISC, PMP

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

V.4 SUBDIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN

MARCO DE REFERENCIA SISTEMAS DE INFORMACIÓN PARA LA GESTIÓN DE TI EN EL ESTADO COLOMBIANO

PROCEDIMIENTO VERSION: 01 ADMINISTRACIÓN DE HARDWARE, SOFTWARE Y COMUNICACIONES INFORMÁTICAS PROCESO GESTION DE LA EDUCACIÓN

Proceso: AI2 Adquirir y mantener software aplicativo

Resumen General del Manual de Organización y Funciones

12 JUNIO Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo de 76. BN-MOF Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

SMART Mobile Services

Resumen General del Manual de Organización y Funciones

Is not jus power, is reliability and trust. Yei Systems S.A. de C.V.

3. Horario laboral referencial: Lunes Viernes 8:00 a.m. a 6:00 p.m.

LICITACIÓN N L13045 NUEVO SISTEMA LEY DE TRANSPARENCIA

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos

PROCEDIMIENTO DE MANTENIMIENTO PREVENTIVO Y CORRECTIVO PROCESO GESTIÓN TECNOLÓGICA

CARACTERISTICAS DEL SISTEMA

Consultoría en Arquitectura Empresarial, SOA y de Software

Señor A/P. Lino Bessonart FEMI Presente Ref.: 181/2009

METODOLOGIAS DE AUDITORIA INFORMATICA

Modelo de Seguridad de la Información. Luis Mauricio Vergara Enero de 2013

1.8 TECNOLOGÍA DE LA INFORMACIÓN

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

Bechtle Solutions Servicios Profesionales

Gestión de Seguridad Informática

PROGRAMA DE GESTIÓN DOCUMENTAL

ITIL FOUNDATION V3 2011

Definición del Catalogo de Servicios V3. José Ricardo Arias Noviembre de 2010

PROCESO: GESTION INFORMÁTICA PROCEDIMIENTO: GESTION DE CONFIGURACIONES

TEMA 5: La explotación de un servicio TI

PORTAFOLIO DE SERVICIOS DE GESTION IT

Tema 1: Organización, funciones y responsabilidades de la función de TI.

MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA

Descripción de las posiciones del área de sistemas

INFORME TECNICO PARA LA ADQUISICIÓN DE LICENCIAS SOFTWARE OFIMÁTICO

Elementos requeridos para crearlos (ejemplo: el compilador)

Nomenclador de cargos

LANZAMIENTO PROYECTO : INTEGRA Montaje del ERP SIESA Enterprise. Barranquilla - Colombia 2012

CONSEJO DE NORMALIZACIÓN Y CERTIFICACIÓN DE COMPETENCIA LABORAL NORMAS TÉCNICAS DE COMPETENCIA LABORAL

ATENCIÓN DE SOLICITUDES DE SERVICIO DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES Y SISTEMAS ESPECIALES

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST

Quiénes Somos? Sistematización Exitosa. Garantía del 110% Acompañamiento Constante. Nuestra Organización. No pague hasta ver los primeros resultados

Recursos HELP DESK Biblioteca 2012

ACUERDO DE SERVICIO. Sistemas-Gestión de los Servicios Informáticos

Gestión de riesgo operacional

Anexo Q. Procesos y Procedimientos

Soluciones Tecnológicas

Arquitectura de desarrollo Fomento.Net

A la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales:

IT Project Portfolio Management y su vinculación con la Estrategia Corporativa

Antecedentes de GT Consultores

SOLUCIONES EN SEGURIDAD INFORMATICA

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

PROCESO DE GESTION DE ALMACEN DE MANTENIMIENTO DEL SISTEMA MACROBÚS

SMV. Superintendencia del Mercado de Valores

Gestión del Servicio de Tecnología de la información

Manual de Procedimientos

Pliego de Especificaciones Técnicas. Servicios para Gestión de Procesos y Certificación ISO Plantilla: AR.GCRS.TPL.0039.v1r0

Este dominio consta de 7 procesos que se describen a continuación.

Procedimiento para el Manejo de No Conformidades, Acciones Preventivas y Correctivas del Sistema de Gestión Integral

Resumen de indicadores básicos de COBIT Preparado por: T I AUDISEG S.A.

Business Intelligence Strategy Framework Cómo elaborar la estrategia de Inteligencia de Negocios en su organización? Javier Bermúdez, MBA

INFORME TECNICO PREVIO DE EVALUACION DE SOFTWARE DE GESTIÓN PARA LA PLATAFORMA DE SERVIDORES DE ACCESO Y ARCHIVO DE OSINERGMIN

Sistema de gestión de procesos institucionales y documental.

Gestión de Activos de TI (ITAM)

ORGANIZACIONAL DEL AREA DE SISTEMAS (CONTROLES SOBRE LAS ACTIVIDADES IT)

Implementación de ITIL en Banco de México (Banxico)

PERFILES OCUPACIONALES

José E. Quintero Forero CISM, CRISC

Tecninorte Programación y Mantenimiento Parque Empresarial Tirso González, 22 - oficina Astillero - Cantabria

Sinopsis de la gestión de programas de acuerdo con el estándar del Project Management Institute 1

Sistema de Gestión de Proyectos Estratégicos.

INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE N GRC/GGR/OSIE. 4. CARGO : Jefe de la Oficina de Sistemas, Informática y Estadística.

Diseño, Desarrollo e Implementación de una Aplicación Web para el manejo Centralizado de la Información Corporativa en AGA Consultores

Presentación de COBIT 5. Alfredo Zayas. ISACA Capítulo Cd. de México

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL

SOLUCIONES AVANZADAS EN TECNOLOGIA, INFORMATICA Y COMUNICACIONES SOCIEDAD POR ACCIONES SIMPLIFICADA

COMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD

PROCEDIMIENTO DE ACTUALIZACIÓN TECNOLÓGICA PROCESO GESTIÓN TECNOLÓGICA

INFORME Nº1 PROPUESTA METODOLÓGICA Y PLAN DE TRABAJO DESARROLLO DE UN SISTEMA INTEGRADO DE GESTIÓN PARA EL GOBIERNO REGIONAL DE ATACAMA

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)

ANEXO A - Plan de Proyecto EDT de la solución EDT GENERAL DEL PROYECTO1

Soluciones Integrales que brindan Calidad, Seguridad y Confianza

UNIVERSIDAD TECNOLÓGICA DE PANAMÁ SECRETARÍA GENERAL FACULTAD DE INGENIERÍA DE SISTEMAS COMPUTACIONALES

Soporte Técnico de Software HP

Audire V.3 FECHA DEL BOLETÍN BOLETIN 15

Brindamos asesorías que involucran tecnología y personal calificado, estos hacen de DOCTUM su mejor aliado.

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

Cómo organizar el Departamento de Seguridad

AUDITORIA INFORMATICA

UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS

sistemas de gestión isocloud Herramienta de Gestión de Calidad y Medio Ambiente para Pymes indracompany.com

PROCEDIMIENTO GENERAL DE INFORMATICA DIAGRAMA DE FLUJO DEL MANTENIMIENTO PREVENTIVO DEL HARDWARE

Integrando un BCMS a las prácticas de gestión de la empresa: nuevo enfoque y normativa

ANEXO TÉCNICO No. 2 SERVICIOS DE SEGURIDAD DE LA INFORMACION PARA LA SOLUCIÓN PROVISTA

Desarrollo e Implementación de Herramienta para la Gestión de Mantenimiento de Activos.

CORPORACION FINANCIERA DE DESARROLLO S.A. Informe Técnico de Estandarización de las Licencias IBM COGNOS-INFOSPHERE

Código: P-DGPLANEI-CC-06 Revisión: 06 Página: 1 de 7 Fecha de emisión: 31 de mayo de 2007 Fecha de modificación: 21 de abril de 2015

Información de Uso Interno elaborada por Credibanco. Divulgación limitada. PCI / DSS. (Payment Card Industry - Data Security Standard)

Transcripción:

Modelo de Gobierno de Gestión Usuarios TI Gestión de Usuarios TI (GUTI) Mario Neciosup MBA, CISA, CRISC, ISO 2700 LA, COBIT 5 F Marzo 205

Agenda Introducción 2 Antecedentes 3 Proyecto Usuarios de TI 4 Modelo de Gobierno de Gestión Usuarios de TI 5 Conclusiones 2

Introducción 3

Introducción Objetivo de la presentación: Dar a conocer el modelo utilizado por el Banco de Crédito del Perú (BCP) para la definición e implementación de un gobierno que permita que las unidades de TI (Usuarios TI) fuera de la unidad de Sistemas puedan crear y mantener soluciones de TI especializadas dentro de parámetros preestablecidos de riesgos, seguridad y estabilidad operativa. 4

Introducción Algunas cifras del BCP al 3.2.203 Ingresos totales US$ 2,525 millones Utilidad operativa US$ 809 millones PDM de colocaciones 30.7% Cartera de colocaciones US$ 22,35 millones Clientes >6 millones PDM de depósitos 3.6% Colaboradores 22,657 Oficinas 40 Cajeros automáticos 2,09 Agentes 5,820 5

Introducción Organización de unidad de Sistemas Gerencia de División Sistemas Gerencia de Área Ingeniería y Desarrollo de TI Gerencia de Área Infraestructura y Operaciones de TI Gerencia de Área Arquitectura y Estándares de TI Gerencia de Área de Gestión de Proyectos Gerencia de Desarrollo y Calidad de Software Gerencia de Inteligencia de Negocios 6

Introducción Infraestructura de TI 7

Antecedentes 8

Gartner analizó la tendencia Usuarios TI y propone gestionarlo Qué porcentaje del esfuerzo en el desarrollo de aplicación será conducido por personas fuera del Departamento de TI? Las implementaciones de TI de usuario final han venido creciendo con el tiempo Estos Usuarios TI deben estar enmarcados en un modelo de gobierno Los esfuerzos de la Unidad Usuaria de TI podrían aumentar significativamente en casi todas las principales empresas en el futuro próximo. Es irrealista pensar que todos los esfuerzos de la Unidad Usuaria de TI pueden gestionarse totalmente dentro de los lineamientos centralizados de TI. En cambio, el gobierno de este frente debe centrarse en el nivel adecuado de gestión que requieren ciertas clases especificas de aplicaciones. El objetivo de la Unidad TI centralizada debe ser facilitar el desarrollo de aplicaciones de la Unidad Usuaria de TI en lo que sea apropiado, no resistirlo. 9

Antecedentes 204 202 203 Aplicar Modelo de Gobierno de Usuarios TI Continuar revisión y evacuación del cumplimiento de normas. 20 Inventario de Activos de Información (Área de Riesgos de Operación), Evaluación de riesgos de Seguridad de App, Creación Unidad Usuarios TI Evaluación SBS ASA 202: necesidad de aplicar políticas de seguridad. Deloitte: diagnóstico para medir grado de cumplimiento de requisitos para la gestión fuera de la custodia de la DSYO. 2009 200 Evaluación SBS - ASA 200: necesidad de implementar un gobierno para aplicaciones Usuarios TI. Circular SBS - G40-2009: sobre la Gestión de la Seguridad de la Información.

Proyecto Usuarios de TI

Ciclo de Vida de una Solución Usuarios TI Una Aplicación No TI, Especializada o nueva iniciativa, será evaluada si debe o no ser una Aplicación Corporativa o ser parte de una existente. En principio, todas las aplicaciones son catalogadas como Aplicaciones No TI Se consideran Aplicaciones Especializadas Formales, cuando tienen licencia de funcionamiento para estar bajo la administración de un usuario, debido a que tienen roadmap o cumplen estándares y lineamientos del modelo de gestión de Usuarios TI.

Estrategia Proyecto Gestión de Usuarios TI Objetivos Definir e implementar un gobierno que permita que las unidades de TI (Usuarios TI) fuera de Sistemas puedan crear y mantener soluciones de TI especializadas dentro de parámetros preestablecidos de riesgos, seguridad y estabilidad operativa. Cumplir el pedido regulatorio de la SBS de contar con un modelo de gobierno para iniciativas fuera de Sistemas. Factores de exito Visión de modelo de Pirata-Corsario, pasa a ser un modelo Regulado- Regulador y Especializado-Corporativo. Los Usuarios TI deben ver mínimamente impactados sus beneficios actuales: flexibilidad, velocidad (time-to-market), adaptabilidad. Sistemas establece el modelo y además provee asesoría y soporte a los Usuarios TI manteniéndolos dentro de lineamientos y estándares. Se identificará soluciones que deben ser corporativizadas así como otras que pueden permanecer como especializadas. Involucramiento de las Gerencias. Despliegue incremental del modelo - Fast Track

Organización de Gestión Usuarios TI Gobierno: Coordinar cambios en normas, estándares y procedimientos Gestión del Portafolio de Aplicaciones. Mantener informado a las áreas usuarias. Coordinar con Auditoria y Riesgo Operativo las evaluaciones a las unidades que tienen aplicaciones Usuarios TI Proyectos: Definición de la estrategia del proyecto en cuanto a alcance, cronograma, costos, personas, proveedores, riesgos, comunicaciones y calidad. Ejecución de medidas preventivas o correctivas para prevenir o regularizar retrasos o gastos excedentes. Negociación de tarifas y esfuerzos con proveedores Asesoría: Definir la estrategia de proyectos chicos en cuanto a alcance, cronograma, costos, personas, proveedores, riesgos, comunicaciones y calidad. Asesorar al usuario en el uso y adopción de Tecnologías de Información. Asesorar al usuario en la aplicación de lineamientos y estándares tecnológicos. Definir la arquitectura tecnológica de aplicaciones especializadas. Canalizar las solicitudes de usuarios (proyectos pequeños). Canalizar la creación de aplicaciones dentro del Portafolio Apps Especializadas Apoyar en la coordinación con stakeholders (Infraestructura, Seguridad, Arquitectura, Brokers, Proveedores, etc) en cuanto a la solicitud de SW, HW y accesos.

Implementación de la Estrategia Users IT LEVANTAMIENTO DE INFORMACIÓN GAPs TECNOLÓGICOS Levantamiento de Información Plantillas Definiciones de roles en usuarios Alineamiento con ARO y Seguridad Portafolio User IT centralizado GAPs tecnológicos Modelo de análisis gap Presentación estadística de resultados Roadmap Aplicaciones Actuales PATRONES FUNCIONALES Y COMBOS TECNOLÓGICOS Definición de patrones como categorías de aplicaciones Combos tecnológicos definidos para necesidades típicas Adopción tecnológica de diversas soluciones con infraestructura y modelo de gobierno Aplicaciones Nuevas Lineamientos y Estándares Patrones Funcionales y Combos Tecnológicos Modelo de Gobierno LINEAMIENTOS Y ESTÁNDARES Estándares ad hoc para Users IT Lineamientos basados en taxonomía de seguridad informática (ISO) y riesgo operativo MODELO DE GOBIERNO Definición de alcances de la gestión de usuarios de TI Proceso de atención de nuevas inciativas

Gaps de Estándares Tecnológicos Apps críticas (2) Tipos de Aplicaciones Datamart 2 7% Base de Datos MS SQL SERVER 2000 MS SQL SERVER 2005 2 7% Lenguaje de Programación PL/SQL para los procesos ETL Sun Java Wireless Toolkit 2.5. Visual Studio 2005 Desarrollos extendidos MS SQL Server 2008 Visual Studio 2008 Oracle 0gR 3 25% Visual Studio 2008 C# 92% 8 67% 4 34% Visual Studio 6.0 Lenguajes de Programación por Categoría Tecnológica 5 42% Sistema Operativo 6 50% MS Windows Server 2000 MS Windows Server 2003 MS Windows Server 2008 3 25% 2 7% Framework.NET 7 5.NET Framework 2.0 50%.NET Framework 3.5 40% No aplica 00% 90% 80% 70% 60% 30% 20% 2 4 3 Visual Studio 6.0 Visual Studio 2008 C# Visual Studio 2008 Visual Studio 2005 Sun Java Wireless Toolkit 2.5. Appls Críticas: Cobra, MAC, Negociación (Trad, Web y Data Entry), GCC, Datamart, Sisecob, B4C, Buzón Cliente Deudor, Chasecard, Operaciones de Cobranzas 0% 0% Datamart Desarrollos extendidos

Gaps de Estándares Tecnológicos Apps no críticas (37) 4 3 Tipos de Aplicaciones 2 32% Desarrollos extendidos Digitador Masivo Web Digitador Masivo Host 0 27% Base de Datos 3% 4 3 MS Access MS SQL SERVER 2000 MS SQL SERVER 2005 No aplica MS SQL Server 2008 5 4% Lenguaje de Programación 3% 5 3% Visual Studio.NET 2003 Visual Studio 2005 Visual Studio 2008 Visual Studio 6.0 30% 30% 2% 6 43% 24 65% Sistema Operativo 3% 3 9 24% MS Windows Server 2000 MS Windows Server 2003 Windows XP 5 4% MS Windows Server 2008 3% Framework.NET 6 6% 5 40%.NET Framework 2.0.NET Framework 3.5 No aplica No se especificó 00% 90% 80% 70% 60% 50% 40% 30% 20% 0% 0% Lenguajes de Programación por Categoría Tecnológica 6 4 Desarrollos extendidos 0 Digitador Masivo Web 4 Digitador Masivo Host Visual Studio 6.0 Visual Studio 2008 Visual Studio 2005 Visual Studio.NET 2003

LINEAMIENTOS Aplicaciones Críticas (2) AUDITORIA ACCESOS CONTINGENCIA RESPALDOS 3 25% 9% 6 50% 0 % 33.33 % 50 % 66.67 % 00 % 9 75% 9% 37.5 % 62.5 % 93.75 % 00 % 4 33% 2 7% 6 50% 0 % 50 % 00 % 2 00% 00 % Logs de eventos(fecha, hora) Rastreo físico (IP,user name, etc) Acceso a logs. Registro de usuarios Revisión de privilegios Solicitud de conformidad de accesos. Gestión de contraseñas Mecanismo de contingencia Pruebas de operatividad y fiabilidad Simulaciones Backup de data Almacenamiento histórico Procedimiento de restauración CONTROL DE CAMBIOS DOCUMENTACION INCIDENTES CONFIDENCIALIDAD 2 7% 50 % 00 % 2 7% 0 % 50 % 00 % 00 % 3 25% 0 % 50 % 00 % 0 83% 9 75% 2 00% 8 67% Proceso de atención de cambios. Análisis de impacto. Aprobación de custodios Cumplimiento de documentación básica (Doc. Req., Manual de usuario /instalación, Diagrama de arquitectura, etc) Appls Críticas: Cobra, MAC, Negociación (Trad, Web y Data Entry), GCC, Datamart, Sisecob, B4C, Buzón Cliente Deudor, Chasecard, Operaciones de Cobranzas Cumplimiento de políticas de antivirus. Identificación de ambientes de desarrollo, pruebas, producción. Compatibilidad de parches Protección de datos de prueba. Control de accesos a ambientes de desarrollo, pruebas, producción.

LINEAMIENTOS Aplicaciones no Críticas (37) AUDITORIA ACCESOS CONTINGENCIA RESPALDOS 3% 3% 3 3 30 0 % 33.33 % 50 % 66.67 % 2 5% 3% 3% 2 5% 8 22% 23 62% 0 % 37.5 % 50 % 58.33 % 62.5 % 00 % 25 6 6 6% 4 % 2 5% 0 % 50 % 00 % N.A. 36 97% 0 % 00 % Logs de eventos(fecha, hora) Rastreo fisico (IP,user name, etc) Acceso a logs. Registro de usuarios Revisión de privilegios Solicitud de conformidad de accesos. Gestión de contraseñas Mecanismo de contingencia Pruebas de operatividad y fiabilidad Simulaciones Backup de data Almacenamiento histórico Procedimiento de restauración CONTROL DE CAMBIOS DOCUMENTACION INCIDENTES CONFIDENCIALIDAD 3% 3% 2 5% 34 92% 0 % 50 % 00 % 5 4% 3 29 7 0 % 50 % 00 % 36 97% 66.67 % 00 % 6 6% 3 84% 0 % 50 % Proceso de atención de cambios. Análisis de impacto. Aprobación de custodios Cumplimiento de documentación básica (Doc. Req., Manual de usuario /instalación, Diagrama de arquitectura, etc) Cumplimiento de políticas de antivirus. Identificación de ambientes de desarrollo, pruebas, producción. Compatibilidad de parches Protección de datos de prueba. Control de accesos a ambientes de desarrollo, pruebas, producción.

Hoja de ruta y acciones Qué Define lo que se realizará en las aplicaciones Cómo Define cómo se atenderá las acciones de la hoja de ruta: proveedores, interno, presupuesto, etc. Se verá integralmente con otras unidades Cuándo La velocidad de atención se definirá en conjunto con la aprobación de la forma de llevar a cabo las acciones

Estrategias de planes de acción Aplicaciones que tienen buen cumplimiento de estándares y lineamientos y puede gestionarse adecuadamente bajo las unidades usuarias de TI. Aplicaciones que demandan un alto nivel de escalabilidad, estabilidad y soporte debido a su nivel de complejidad (alta cantidad de usuarios y tecnológica) Por su criticidad requieren un alto cumplimiento de estándares y lineamientos de seguridad Alto Complejidad Mantener Eliminar/Consolidar Reemplazar Corporativizar Migrar Bajo Valor al negocio Alto Aportan a la reducción de la complejidad tecnológica Dan margen a reducir costos de mantenimiento Aplicaciones con uso de tecnología obsoleta con alto riesgo de quedar sin soporte. Requieren alta rotación y adaptabilidad.

Acciones de Hoja de Ruta Plan de acción Migrar Definición Cubrir gaps de estándares y lineamientos de aplicación de usuario. Mantener como aplicación especializada Corporativizar Mantener Consolidar Reemplazar Eliminar Realizar las migraciones o mejoras requeridas para pasar la aplicación a la administración centralizada de la DSYO. No realizar cambios dado que la aplicación cumple con lineamientos y estándares. Debe mantenerse como aplicación especializada. Integrar la funcionalidad de una aplicación en otra aplicación especializada, corporativa o en alguna plataforma tecnológica estándar (ej. Sharepoint). Dar de baja a la aplicación y utilizar en su reemplazo otra ya existente que cubre totalmente su funcionalidad, sea especializada o corporativa. Dar de baja a la aplicación porque redunda totalmente en otra, está en desuso o no agrega valor al negocio

Estado de la gestión La Identificación del Portafolio User IT UNIVERSO USERS IT BCP 259 Aplicaciones Estándares y Lineamientos Cumple 20% 80% No Cumple Operaciones, Sistemas y Administración (54% - 678) Minorista y Gestión de Patrimonios (2% - 264) Riesgos (2% - 59) Mayorista (3% - 37) 0% 20% 40% 60% 80% 00% GCOSA Riesgos 63 52 39 8 7 Gaps Staff (5% - 74) BCP Capital (2% - 2) Minorista 249 5 Grupo Crédito (% - ) Finanzas 2 3 COMPLEJIDAD Aplicaciones Sistemas Planeamiento y Finanzas (2% - 25) Mayorista BCP Capital 9 37 2 Aplicaciones Users IT 37 259 CANTIDAD Staff Grupo Crédito 74

Alcance de la Gestión Usuarios TI Al evaluar los pedidos Users IT se debe tener en cuenta la criticidad del negocio (necesidad/urgencia) y además la complejidad e impacto en la Arquitectura de Sistemas del BCP Confidencialidad Integridad Disponibilidad Privacidad User IT Fuera de Límite No hacer como User IT, sino como requerimientos regulares Con Riesgo Iniciativas aceptables como Users IT Hacer como User IT sólo como excepción Tecnologías Usuarios TI Nivel de Servicio Tamaño Interfaces : Consulta/Provee/Modifica, Stand Alone, Básica, Usuarios TI, Corporativas

Rol de nuestros Stakeholders Formalización de Flujo de atención, procesos y mejoras. Creación de la norma de modelo de Gobierno e impacto en otras normas con las que interactúa. Definición de presupuesto para nuevas soluciones. Aprobación de solicitudes especializadas de la unidad usuaria. BDS Revisar que las unidades usuarias de TI estén siguiendo el proceso definido por el modelo de gobierno de aplicaciones especializadas (canalización de requerimientos, portafolio actualizado, lineamientos, cumplimiento de roadmap, etc). Auditar a las unidades que brindan soporte al modelo dentro del marco definido para el gobierno de aplicaciones especializadas. Mejora de Procesos / Normas Auditoria GESTION DE USUARIOS TI Seguridad Informática ARO Validación del cumplimiento de lineamientos de seguridad en App ESP. Asesoría y atención en temas relacionados a la seguridad de información. Gestión y control de proyectos de entidades regulatorias relacionadas al modelo User TI. Arquitecto de Dominio define Roadmap. Definición de Arquitectura y Estándares. Arquitectura de Dominios, Gestión de Activos Infraestructur a Gestión de Requerimientos y Recursos Coordinaciones para pase de producción. Gestión de Incidentes y Problemas (Remedy)

Modelo de Gobierno 36

Modelo de Gobierno - Macro Proceso de Atención Usuario TI Broker Sistemas Asesor GUTI Necesidad Nueva, Modificación o Eliminación de aplicaciones No IT Con la aprobación del Líder usuario. Solicita Pedido Valida Criterios Revisa solicitud Valida criterios de aceptación (Scoring Criticidad/Complejidad) Entrega Propuesta Acepta Pedido * Registra Pedido Vía: Clear Quest Diagnostico y Análisis de la solución Revisa patrón funcional Combo tecnológico Estándar/Lineamientos Aprobación del Usuario Implementación de la Solución 2 Servicio -Solicitud de nueva o upgrade infraestructura nueva -Solicitud de telecomunicaciones, seguridad. Solicita Servicio Vía: Buzón GSTI Acepta Servicio Evalúa Servicio Acepta Servicio Apoyo Recomendaciones técnicas y seguimiento del pedido 3 Incidentes Reporta Incidente Vía: Web Incidente User IT / HelpDesk (En proceso) Soporte Soporte Hardware y Software * Inicialmente el asesor apoyará al usuario en el registro de pedidos

Participación de recursos Análisis de la Necesidad Análisis y Diseño Construcción Certificación Pase a Producción GESTOR DE APLICACIONES DE USUARIO BROKER DE SISTEMAS ESPECIALISTA DE APLICACIÓN / PROVEEDOR RELEASE MANAGEMENT RELEASE MANAGEMENT ARQUITECTO DE DOMINIO USUARIO FINAL DE LA UNIDAD Owner o Dueño Seguridad AIO y AET Seguridad AIO y AET ASESOR GUTI * Detalle Flujo de atención: Anexo 2 AIO : Área de Infraestructura y Operaciones AET: Área de Arquitectura y Estándares de TI Participación puntual No separación de horas

Conclusiones 39

Beneficios del Modelo Users IT Rapidez Asesoría y soporte técnico Reducción del Riesgo Gestión Óptima Cumplimiento Regulatorio Reducción de Costos Uso de tecnologías pre-fabricadas, ya probadas, acorde a necesidades recurrentes. Gestión ágil y simple Reutilización de aplicaciones Users IT. Equipo TI de la unidad recibe asesoría y soporte durante toda la gestión de sus aplicaciones Comunidad usuaria de TI Soluciones construidas por los mismos usuarios con mayor perdurabilidad y escalabilidad. Estabilidad, seguridad y contingencia de aplicaciones al implementar lineamientos. Uso de tecnologías con soporte adecuado al aplicar estándares. Inventario centralizado e integral Gestión de la demanda y oferta permitirá la mejora continua en el servicio La unidad usuaria recibe una Hoja de ruta para una adecuada gestión de su portafolio en el mediano y largo plazo. Identificación de aplicaciones que deben ser corporativizadas Cumplir exigencias de la SBS: seguridad, riesgos y estabilidad operativa Uso de tecnología de usuario final en infraestructura centralizada. Costo total en el tiempo se reduce como resultado de reducción del riesgo, time to market, apalancamiento en infraestructura existente, desarrollos gestionados, etc

Mario Neciosup MBA, CISA, CRISC, ISO 2700 LA, COBIT 5 F mneciosup@bcp.com.pe MUCHAS GRACIAS

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback