Universidad Austral de Chile

Facultad de Ciencias Económicas y Administrativas

Escuela de Ingeniería Comercial

Sistemas de Información EmpresarialADMI 273

“DEFINICIÓN DE CONCEPTOS ”

Nombre: Viviana Estrada Rios

Profesor: Cristian Salazar Concha

Valdivia, 03 de Mayo de 2010

MODELO DE 3 CAPAS

¿Qué es la arquitectura de una aplicación?

La arquitectura se refiere a la forma en la que es diseñada tanto física como lógicamente una aplicación.

Diseño físico: Se refiere al lugar donde estarán las piezas de la aplicación.Diseño lógico: Aquí se especifica la estructura de la aplicación y sus componentes sin tener en cuenta donde se localizara el Software ni el Hardware ni la infraestructura.

Cliente-ServidorEsta definición se usa para describir una aplicación en la cual dos o más procesos separados trabajan juntos para completar una tarea. El proceso Cliente solicita al proceso Servidor la ejecución de una acción en particular esta operación se conoce como proceso cooperativo.Los procesos pueden o no estar en una sola máquina.

Tipos de arquitectura

Centralizada : consiste en un conjunto de terminales brutas que se conectan a un Mainframe todas la operaciones se realizan en ésta, mientras que las terminales solo se emplean como interface.

Modelo de 2 capas Es una arquitectura constituida por 2 capas: Front-End y Back-End.Front-End: consiste en la capa donde el usuario interactúa con su PC.Back-End: es el servidor de bases de datos como Oracle o SQL-Server.Dificultades de la arquitectura de 2 capasDificultad al realizar cambios en el Front-EndDificultad al compartir procesos comunes.Problemas de seguridad, etc.

Arquitectura de 3 capas Es el sucesor de la arquitectura de dos capas, ésta implementa una ó n capas adicionales las cuales se encargan de encapsular las reglas del negocio asociadas con el sistema y las separa de la presentación y del código de la D.B.

Comunicación entre las capas

El modelo de 3 capas es una forma lógica de agrupar los componentes que creamos. Está basado en el concepto de que todos los niveles de la aplicación, son una colección de componentes que se proporcionan servicios entre sí o a otros niveles adyacentes. La única comunicación que no está permitida es la de Frond-End con Back-End, contrario al modelo de 2 capas donde cada capa solo se comunica con su capa superior o inferior siendo estas las capas de Front-End y Back-End.

MODELO DE 3 CAPAS

Los servicios se forman de componentesEl modelo de 3 capas está destinado a ayudarnos a construir componentes físicos a partir de los niveles lógicos. Así que podemos empezar tomando decisiones sobre qué parte lógica de la aplicación vamos a encapsular en cada uno de nuestros componentes de igual modo que encapsulamos los componentes en varios niveles. Un nivel está conformado por varios componentes, por tanto puede suplir varios servicios.

Niveles del modeloNivel Usuario: Los componentes del nivel de usuario, proporcionan la interfaz visual que los clientes utilizarán para ver la información y los datos. En este nivel, los componentes son responsables de solicitar y recibir servicios de otros componentes del mismo nivel o del nivel de servicios de negocio. Es muy importante destacar que, a pesar de que las funciones del negocio residen en otro nivel, para el usuario es transparente la forma de operar.

Nivel de Negocios: Como los servicios de usuario no pueden contactar directamente con el nivel de servicios de datos, es responsabilidad de los servicios de negocio hacer de puente

entre estos. Los objetos de negocio proporcionan servicios que completan las tareas de negocio tales como verificar los datos enviados por el cliente. Antes de llevar a cabo una transacción en la D.B. Los componentes de los servicios de negocio también nos sirven para evitar que el usuario tenga acceso directo a la base de datos, lo cual proporciona mayor seguridad en la integridad de ésta.

Nivel de Datos: El nivel de datos se encarga de las típicas tareas que realizamos con los datos: Inserción, modificación, consulta y borrado. La clave del nivel de datos es que los papeles de negocio no son implementados aquí. Aunque un componente de servicio de datos es responsable de la gestión de las peticiones realizadas por un objeto de negocio.Un nivel de servicios de datos apropiadamente implementado, debería permitir cambiar su localización sin afectar a los servicios proporcionados por los componentes de negocio.

Ventajas• Los componentes de la aplicación pueden ser desarrollados en cualquier lenguaje.• Los componentes son independientes.• Los componentes pueden estar distribuidos en múltiples servidores.• La D.B. es solo vista desde la capa intermedia y no desde todos los clientes.• Los drivers del D.B. No tienen que estar en los clientes.• Mejora la administración de los recursos cuando existe mucha concurrencia.• Permite reutilización real del software y construir aplicaciones escalables.

COBIT:

(Control Objectives for Information and related Technology), fue desarrollada en 1996 por las entidades americanas, Information Systems Audit and Control Association y la IT Governance Institute, como un estándar (aceptado internacionalmente) que vincula la tecnología informática y prácticas de resguardo para la seguridad y el control en los procedimientos TI. Cobit articula sus prácticas en torno a tres ejes: procesos TI, recursos TI y criterios de información, conformando un cubo de gestión global y ofreciendo un marco para usuarios, auditores y responsables de seguridad. Debido a la creciente regulación de cuestiones como la protección de datos personales o la privacidad de la información, en su tercera versión este método está ganando aceptación como guía de prácticas para controlar datos, sistemas y riesgos relacionados. Los indicadores de gestión (Management Guidelines) de Cobit miden las capacidades de una empresa en 34 procesos TI diferentes; incluyen elementos para la evaluación del rendimiento; un listado de factores críticos para el éxito (FCE en el enfoque de Porter), que proporcionan las mejores prácticas para cada proceso TI; y modelos de madurez que ayudan en tareas de medición con benchmarking.

Su principal valor es su capacidad para guiar a las empresas en los procesos necesarios para implementar el control que sobre su información exigen Sarbanes Oxley (SOX), la

supervisión basada en riesgos, Basilea II, entre otras regulaciones vigentes. Si una compañía afirma haber asegurado la entrada a su data center utilizando un proceso de registros y contraseñas, usando Cobit podrá extraer un informe completo de los accesos que se hayan producido durante un determinado período de tiempo. Además, aporta un valor al data center por sí mismo, dado que incrementa el nivel de control sobre los procesos, resultando especialmente valioso en cualquier ambiente donde la confidencialidad y privacidad son críticas.

Para ayudar a las organizaciones a satisfacer con éxito los desafíos de los negocios actualmente, el IT Governance Institute (ITGI) ha publicado la versión de COBIT 4.1

COBIT es un framework de Gobierno de TI y un conjunto de herramientas de soporte  para el gobierno de T.I.   que les permite a los gerentes cubrir la brecha entre los requerimientos de control, los aspectos técnicos y riesgos de negocio.

COBIT hace posible el desarrollo de una política clara y las buenas prácticas para los controles de T.I. a través de las organizaciones.

COBIT enfatiza en la conformidad a regulaciones, ayuda a las organizaciones a incrementar el valor alcanzado desde la TI, permite el alineamiento y simplifica la implementación de la estructura COBIT.

La última versión, COBIT 4.1, enfatiza el cumplimiento normativo, ayuda a las organizaciones a incrementar el valor de T.I., apoya el alineamiento con el negocio y simplifica la implantación de COBIT. Esta versión no invalida el trabajo efectuado con las versiones anteriores del COBIT, sino que puede ser empleado para mejorar el trabajo previo.Cuando importantes actividades son planeadas para iniciativas de Gobierno de T, o cuando se prevé la revisión de la estructura de control de la empresa, es recomendable empezar con la más reciente versión de COBIT.

Componentes de COBIT:

ITIL:

ITIL, Information Technology Infrastructure Library, es una colección de las mejores prácticas observadas en la industria de TI. Es un conjunto de libros en los cuales se encuentran documentados todos los procesos referentes a la provisión de servicios de tecnología de información hacia las organizaciones.

ITIL por medio de procedimientos, roles, tareas, y responsabilidades que se pueden adaptar a cualquier organización de TI, genera una descripción detallada de mejores practicas, que permitirán tener mejor comunicación y administración en la organización de TI. Proporciona los elementos necesarios para determinar objetivos de mejora y metas que ayuden a la organización a madurar y crecer. ITIL esta dividido en 10 procesos, mismos que están divididos en 5 procesos operacionales (libro azul) y 5 tácticos (libro rojo), además de incluirse dentro de los procesos operacionales una función que es la de service desk.

Libro azul: • Incident management• Problem management• Configuration management• Change management• Release management• Función de service desk

Libro rojo: • Service Level management

• Financial management for IT service• Availability management• Capacity management• IT service continuity management• Security management

Las ventajas de ITIL para los clientes y usuarios• Mejora la comunicación con los clientes y usuarios finales a través de los diversos puntos de contacto acordados. • Los servicios se detallan en lenguaje del cliente y con más detalles.• Se maneja mejor la calidad y los costos de los servicios.• La entrega de servicios se enfoca mas al cliente, mejorando con ello la calidad de los mismos y relación entre el cliente y el departamento de IT. • Una mayor flexibilidad y adaptabilidad de los servicios.

 Ventajas de ITIL para TI • La organización TI desarrolla una estructura más clara, se vuelve más eficaz, y se centra más en los objetivos de la organización.• La administración tiene un mayor control, se estandarizan e identifican los procedimientos, y los cambios resultan más fáciles de manejar.• La estructura de procesos en IT proporciona un marco para concretar de manera más adecuada los servicios de outsourcing.• A través de las mejores prácticas de ITIL se apoya al cambio en la cultura de TI y su orientación hacia el servicio, y se facilita la introducción de un sistema de administración de calidad.• ITIL proporciona un marco de referencia uniforme para la comunicación interna y con proveedores.

 Desventajas • Tiempo y esfuerzo necesario para su implementación.• Que no se de el cambio en la cultura de las área involucradas.• Que no se vea reflejada una mejora, por falta de entendimiento sobre procesos, indicadores y como pueden ser controlados.• Que el personal no se involucre y se comprometa.• La mejora del servicio y la reducción de costos puede no ser visible.• Que la inversión en herramientas de soporte sea escasa. Los procesos podrán parecer inútiles y no se alcancen las mejoras en los servicios.

 

ISO:

La Organización Internacional para la Estandarización (ISO) es una federación de alcance mundial integrada por cuerpos de estandarización nacionales de 130 países, uno por cada país.La ISO es una organización no gubernamental establecida en 1947. La misión de la ISO es promover el desarrollo de la estandarización y las actividades con ella relacionada en el mundo con la mira en facilitar el intercambio de servicios y bienes, y para promover la cooperación en la esfera de lo intelectual, científico, tecnológico y económico.Todos los trabajos realizados por la ISO resultan en acuerdos internacionales los cuales son publicados como Estándares Internacionales.

¿De dónde proviene el nombre ISO?

Muchas personas habrán advertido la falta de correspondencia entre el supuesto acrónimo en inglés de la Organización y la palabra “ISO”. Así sería, pero ISO no es el acrónimo.En efecto, “ISO” es una palabra, que deriva del Griego “isos”, que significa “igual”, el cual es la raíz del prefijo “iso” el cual aparece en infinidad de términos.Desde “igual” a “estándar” es fácil seguir por esta línea de pensamiento que fue lo que condujo a elegir “ISO” como nombre de la Organización.

ISO Estándares, ¿Cómo desarrolla la ISO sus estándares?

La Organización Internacional para la Estandarización estipula que sus estándares son producidos de acuerdo a los siguientes principios:1) Consenso: Son tenidos en cuenta los puntos de vistas de todos los interesados: fabricantes, vendedores, usuarios, grupos de consumidores, laboratorios de análisis, gobiernos, especialistas y organizaciones de investigación.2) Aplicación Industrial Global: Soluciones globales para satisfacer a las industrias y a los clientes mundiales.3) Voluntario: La estandarización internacional es conducida por el mercado y por consiguiente basada en el compromiso voluntario de todos los interesados del mercado.

La norma ISO 20000 se denominó anteriormente BS 15000 y está alineada con el planteamiento del proceso definido por la IT Infrastructure Library (ITIL - Biblioteca de infraestructuras de tecnología de la información) de The Office of Government Commerce (OGC).La certificación ISO 20000 proporciona a las organizaciones un planteamiento estructurado y fiable para el desarrollo de servicios de tecnología de la información, creando una oportunidad a las empresas para salvaguardar sus sistemas de gestión de tecnología de la información.La certificación ISO 20000 muestra el compromiso con una infraestructura de tecnología de la información fiable con la ayuda de profesionales mejorando la satisfacción global de clientes y empleados, y la imagen como empresa.

La norma ISO 20000 consta de dos partes:Por un lado la norma ISO 20000, define los requisitos que tiene que cumplir una

organización para proporcionar servicios gestionados de una calidad aceptable a los clientes. Alcanza: · Requisitos para un sistema de gestión· Planificación e implantación de la gestión del servicio· Planificación e implantación de servicios nuevos o cambiados· Proceso de prestación de servicios· Procesos de relaciones· Procesos de resolución· Procesos de control y liberación

Por otra parte es el código de procedimiento y describe los mejores procedimientos para procesos de gestión de resultando especialmente útil para organizaciones que se preparan para someterse a una auditoría según la norma ISO 20000-1 o para planificar mejoras del servicio.

Las ventajas de la norma ISO 20000:

La norma ISO 20000 reduce el riesgo ofreciendo apoyo fiable de profesionales de la tecnología de la información (internos o subcontratados), cuando y donde más se necesita. “ Pone cualquier situación de tecnología de la información bajo control inmediato y mejora la productividad de los empleados y la fiabilidad del sistema de tecnología de la información. La certificación aporta también motivación a la organización y demuestra la fiabilidad y calidad de los servicios de tecnología de la información para empleados, partes interesadas y clientes.

El certificado IT Service Management System según la norma ISO 20000 permitirá demostrar altos niveles de calidad y fiabilidad de los servicios de tecnología de información, cuando presente ofertas para contratos internacionales o cuando realice ampliaciones locales para aumentar el volumen de negocio.La norma ISO 20000 se puede vincular también con la norma ISO 27000 (norma internacional para seguridad de la información). Integrando las auditorias de estos sistemas de gestión se podrá ahorrar tiempo y dinero.

SOX:

La Ley Sarbanes-Oxley es una ley americana que fue emitida 2002 en los Estados Unidos (a menudo abreviado como SOX) es la legislación promulgada en respuesta a la de alto perfil de Enron y WorldCom escándalos financieros que protejan a accionistas y público en general de los errores de contabilidad y las prácticas fraudulentas en la empresa. El acto es administrado por la Securities and Exchange Commission (SEC), que fija los plazos para su cumplimiento y publica normas sobre los requisitos. Sarbanes-Oxley no es un conjunto de prácticas y no especifica cómo una empresa debe almacenar los registros, sino que define los registros que se deben almacenarse y por cuánto tiempo.

La legislación no sólo afecta el aspecto financiero de las empresas, sino que también afecta a los departamentos de TI, cuyo trabajo consiste en almacenar los registros electrónicos de una corporación. La Ley Sarbanes-Oxley establece que todos los registros comerciales, incluyendo los registros electrónicos y mensajes electrónicos, se debe guardar por "no menos de cinco años". Las consecuencias por el incumplimiento de las multas, encarcelamiento, o ambos. Los departamentos de TI son cada vez más ante el reto de crear y mantener un archivo de registros corporativos de una manera costo-efectiva que satisfaga los requisitos expuestos por la legislación.

¿Cuál es el impacto de la Ley Sarbanes-Oxley en las operaciones de TI?

La Ley Sarbanes-Oxley contienen las tres reglas que afectan a la gestión de registros electrónicos. La primera regla se refiere a la destrucción, alteración o falsificación de registros. Sec. 802 (a) "El que a sabiendas, altere, destruya, mutile, oculte, encubre, falsifica o hace un asiento falso en cualquier registro, documento u objeto tangible con la intención de impedir, obstruir, o influir en la investigación o la administración de la cualquier asunto en la jurisdicción de cualquier departamento o agencia de los Estados Unidos o en cualquier caso presentado bajo el título 11, o en relación con la contemplación o de cualquier asunto o caso, será multado bajo este título, encarcelado por no más de 20 años, o los dos ". La segunda regla define el período de retención para el almacenamiento de registros. Las mejores prácticas indican que las empresas almacenar de forma segura todos los registros de negocios utilizando las mismas pautas establecidas para los contadores públicos. Sec. 802 (uno) (1) "Cualquier contador que lleva a cabo una auditoría de un emisor de valores a los que la sección 10A (a) de la Ley de Intercambio de Valores de 1934 (15 USC 78j-1 (a)) se aplica, mantendrá todos los de auditoría o papeles de trabajo de revisión por un período de 5 años desde el final del período fiscal en que la auditoría o revisión se concluyó ". Esta tercera regla se refiere al tipo de registros de negocios que necesitan ser almacenados, incluyendo todos los registros de negocios y las comunicaciones, incluidas las comunicaciones electrónicas. Sec. 802 (uno) (2) "La Securities and Exchange Comisión dará a conocer, dentro de los 180 días, las reglas y reglamentos, que sean razonablemente necesarias, relativas a la conservación de los registros pertinentes, tales como papeles de trabajo, documentos que forman la base de una auditoría o revisión, memorandos, correspondencia, comunicaciones, otros documentos y registros (incluidos los documentos electrónicos) que se crean, enviado o recibido en relación con una auditoría o revisión y contienen

conclusiones, opiniones, análisis, o datos financieros relativos a dicha auditoría o revisión ".

BASILEA:

Acuerdo de Basilea II es un estándar comercial internacional que exige a las entidades financieras mantener suficientes reservas en efectivo para cubrir los riesgos contraídos por las operaciones. Los acuerdos Basilea son una serie de recomendaciones sobre leyes y regulaciones bancarias emitidas por el Comité de Basilea sobre Supervisión Bancaria (apoyo bienales). El nombre de los acuerdos se deriva de Basilea, Suiza, donde el comité que mantiene los acuerdos se reúne.

Basilea II mejorado en Basilea I, promulgada por primera vez en la década de 1980, al ofrecer modelos más complejos para el cálculo de capital regulatorio. En esencia, el acuerdo ordena que los bancos que poseen activos de mayor riesgo debieran estar obligados a tener más capital a la mano de las que mantienen carteras más seguras. Basilea II también obliga a las empresas a publicar tanto los detalles de las inversiones de riesgo y las prácticas de gestión de riesgos. El título completo del acuerdo es Basilea II: Convergencia internacional de medidas y normas de capital - Marco revisado.

Los tres requisitos esenciales de Basilea II son:

1. Obligatoriedad de que las asignaciones de capital por los administradores institucionales son más sensibles al riesgo.

2. La separación de riesgos de crédito de los riesgos operativos y la cuantificación de ambos.

3. Reducir el margen o posibilidad de arbitraje regulatorio, tratando de alinear el riesgo real o económico precisamente con una valoración legal.

Basilea II ha dado lugar a la evolución de una serie de estrategias para permitir a los bancos hacer inversiones de riesgo, como el mercado de hipotecas de alto riesgo. Activos de mayor riesgo se mueven a partes no reguladas de sociedades de cartera. Por otra parte, el riesgo puede ser transferido directamente a los inversores por la bursatilización, el proceso de tomar un activo no líquido o grupos de activos y transformarlas en una seguridad que se puedan comercializar en los mercados abiertos.

Bibliografía

http://www.e-nnovate.cl/actualidad/que-es-itil-fortalezas-y-debilidades-de-un-modelo.html

http://www.e-nnovate.cl/negocios-ti/que-es-cobit.html

http://www.gestiopolis.com/recursos/experto/catsexp/pagans/ger/49/iso.htm

http://searchcio.techtarget.com/sDefinition/0,,sid182_gci920030,00.html

http://searchsecurity.techtarget.co.uk/sDefinition/0,,sid180_gci1289542,00.html