4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 2

0:00

S… Speaker 1 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 2)

Mejor se desactiva de otra forma. Lo que hay está aclarando es que en SAP entran y desactivan el usuario y se eliminan las asociaciones, o sea, le terminan sacando todos los roles y todos los permisos que tienen. Por eso lo comenté específicamente de SAP.

0:18

S… Speaker 3 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 2)

Hago una consulta. ¿Tienen un organigrama como bien completo sobre el área? Bueno, acá en realidad mesa de soporte, no sé cómo termina impactando, ¿no? Pero por el tema del flujo de las aprobaciones y un nivel de organigrama que a nosotros nos permite entender, digamos, cómo están organizados. ¿De TI? Sí. Sí, tenemos SuccessFactor.

0:46

S… Speaker 1 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 2)

que es la herramienta de recursos humanos donde están los organigramas. Yo puedo hacer una bajada de ahí y te lo paso. Claro, no sería de mucha ayuda. Bueno, yo lo bajo. Lo que sí hay que tener en cuenta es que muchas veces las aprobaciones de alta no solamente son de TI, ¿no? Como comentaba Diego, vos tenés aprobaciones funcionales y tenés otras aprobaciones de...

1:14

S… Speaker 1 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 2)

técnicas, digamos. O sea, si yo te paso el organigrama de TI, no vamos a tener la totalidad de los aprobadores funcionales porque muchas veces depende la aplicación a la que se le está dando el alta o el acceso, puede tener un aprobador u otro que no es del área de TI. Pero sí, lo del área de TI, el organigrama, yo puedo compartirtelo.

1:40

S… Speaker 1 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 2)

La mesa de ayuda, la mesa de ayuda es externa. Eso no puede estar dentro del organigrama, está especializada. Pero sí, todo el área, bueno, de IAN, sí va a aparecer en el organigrama como responsable. Toda la estructura, el desarrollo, toda esa parte va a estar. Perfecto. Bien.

2:13

S… Speaker 2 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 2)

Y después tenemos las modificaciones. Es muy similar. Las modificaciones pueden ser una modificación de los perfiles o el acceso que tenga un usuario o el pedido de un acceso a un nuevo sistema, por ejemplo, o algo por el estilo. O sea, eso se considera, una vez que está creado el usuario, si cambia de gerencia, por ejemplo, se considera una modificación porque ya el perfil en AD está creado.

2:45

S… Speaker 2 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 2)

Bueno, después tenemos la gestión de usuarios privilegiados. Todo lo que sean usuarios privilegiados, hay un proyecto específicamente, a ver, para lo que son dentro de los sistemas, los usuarios privilegiados dentro de los sistemas, hay un proyecto de PAM. Todavía no está totalmente funcional, estamos en proceso de migración, pero ya se están registrando en un sistema PAM.

3:16

S… Speaker 3 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 2)

Mientras tanto, en algunos sistemas todavía se sigue usando lo que se menciona acá, que es el keypass, que es un poco más local, digamos, no es una herramienta centralizada. Ok. A nosotros igual nos interesa ver lo que está implementado hoy. O sea, si es algo que todavía está como no productivo, no entender solamente... Los usuarios privilegiados serían los superusuarios, ¿no?

3:42

S… Speaker 2 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 2)

Sí, son todos los que tienen los usuarios de sistema, los root, etc. Y lo que es monitoreo, bueno, también se realiza, el monitoreo se realiza también, todo esto está en proceso de cambio, digamos. Ustedes lo que quieren, si lo que quieren ver es lo que está en funcionamiento, bueno, los sistemas tienen registro de auditoría y eso no ha cambiado respecto a lo que está.

4:16

S… Speaker 2 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 2)

Lo que se dice acá. O sea, todos los cambios se registran a través de un ticket. Así que a través de Shira se puede hacer el traqueo de los cambios. Lo mismo con, bueno, gestión de usuarios genéricos. Esto obviamente no ha cambiado. ¿Pero qué serían como los usuarios genéricos?

4:46

S… Speaker 2 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 2)

Usuarios genéricos son los que no vienen en el sistema, pero fueron agregados. O sea, por ejemplo, se puede llegar a ser terceros a los que se les da algún acceso y son innominados. O sea, no van al nombre de la persona, sino al nombre de la compañía, por ejemplo.

5:00

S… Speaker 1 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 2)

Esos son usuarios genéricos. Son los que no entran en ninguna de las categorías anteriores, básicamente. No son usuarios privilegiados porque no vienen por defecto en el sistema y no son usuarios nominados. Y bueno, después tenemos el proceso de revalida de accesos. Este es un proceso que también estamos modificando porque siempre se pueden mejorar los procesos. El funcionamiento en principio es el mismo que está acá.

5:32

S… Speaker 1 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 2)

Pero va a haber algunos cambios en breve en la forma en la que se hace porque tenemos implementado un nuevo sistema que nos permite automatizar la recertificación de usuarios y lo que es la revalida de accesos. O sea, actualmente, hasta el año pasado, se hizo enviando un email. O sea, una persona del equipo extrae la información del sistema.

6:00

S… Speaker 3 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 2)

envía un email y se pide la confirmación de los dueños de ese sistema. Perdón, Diego. Ahí, Daniela, lo que te intenta explicar a través de lo que está o no está, más allá de lo que lo quieran decir en la foto de hoy, lo que intenta explicar Diego es que los procesos se cumplen.

6:18

S… Speaker 3 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 2)

Lo que se está haciendo es tratar de optimizarlo y centralizarlo porque como se hacían de forma individual o de forma más casera, pero el proceso se cumplía, quizás es más engorroso, lleva más tiempo. Hoy por hoy el objetivo es optimizar y automatizar los procesos y sobre todo agilizarlo y mejorar los controles. ¿Eso qué quiere decir?

6:40

S… Speaker 3 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 2)

Como dice Diego, está reemplazando el envío de un correo, una persona nominal lo reciba, todo, que le pase a través de un proceso automático y lo reciban equipos de trabajo y se eficientiza el tiempo. A eso él se refiere y por eso te está nombrando continuamente, más allá de lo que...

6:58

S… Speaker 3 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 2)

En lo que es la foto de hoy hay cosas que están en amplio porcentaje ya desplegado, por ejemplo el tema de la bóveda de clave de usuario, la parte de lo que es, ahí te refieres, está casi toda hecha en la parte de infra y seguridad, por ahí nos falta un poco la parte de desarrollo porque le pega a sistemas que están funcionales.

7:15

S… Speaker 4 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 2)

Y un bloqueo de eso podría interrumpir el negocio. Nada más que por eso él te lo va a ir señalando. No, está perfecto. Nosotros tomamos nota porque también es importante que nos comenten. Sí, es como que yo estoy parada en la foto hoy, pero sé que el proceso está vivo y está sujeto a mejoras y capaz que siga cambiando durante el año. Recorriendo la memoria descriptiva, ahí ves que él te está mencionando cosas que están en proceso de...

7:39

S… Speaker 3 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 2)

de implementación y algunas están en un grado de avance muy importante porque infraestructura y seguridad van de la mano, por eso estoy tanto en tema, pero no deja de decir en la memoria descriptiva que se cumple de una metodología a la que hoy hay, no es que el control no existe.

8:06

S… Speaker 2 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 2)

Si ustedes vieron en la planilla que entregamos, teníamos una serie de planes de remediación donde estaba la implementación de todas estas herramientas que mencionan Diego y Omar. Pero bueno, estamos en proceso de terminar esos planes de remediación. Por eso es que van a encontrar cosas que mencionan los chicos que te dicen, o sea, parte ya está, parte nos falta, pero es para poder cumplir.

8:33

S… Speaker 2 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 2)

Con estos planes comprometidos el año pasado, o sea, se siguió todo el proceso trabajando y estamos finalizando esos proyectos o en medio de esos proyectos, ¿sí? Pero yo creo que eso deberían tenerlo en cuenta porque realmente no estamos en la misma posición del año pasado, o sea, se está trabajando bastante en poder mejorar estos proyectos. Además, ¿se ajustaron aquellos...?

9:01

S… Speaker 3 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 2)

los cuales por ahí no podemos llegar al punto que dice Diego de la optimización del proceso, pero se reforzaron esos puntos que se vieron débiles en su primera instancia, ¿no? Es decir, más allá de que estamos poniendo un tubi, en el entremedio estamos poniendo procesos que hoy quizás son manuales o meritan unas acciones adicionales, las cuales estamos viendo que optimizadas podrían ser más eficientes. Bien. Bueno, gracias por las aclaraciones.

9:30

S… Speaker 1 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 2)

también vamos a recorrer como lo que es la matriz y los gaps y qué es lo que se mejoró, digamos, aunque es que estás trabajando justamente con un poco más de detalle. Perfecto, cuando veamos los procesos en particular, si vemos, no sé, la gestión de PAM, ahí vamos a tener que discutir qué es lo que quieren ver en realidad, porque como estamos en proceso de migración, por ahí en dos meses ya está terminada.

10:00

S… Speaker 2 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 2)

aunque sea la fase 1, ya está terminada, y si yo te muestro lo que es keypass, por ejemplo, va a quedar desactualizada la información que tiene. Entonces, vamos a tener que discutir en detalle, por ahí les mostramos las dos cosas y ven el estado. Y después, bueno, lo que es monitoreo de sistemas operativos y bases de datos, que está relacionado también, esto no ha cambiado. También estamos en proceso de mejorarlo, muchas cosas que se hacían manualmente,

10:31

S… Speaker 1 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 2)

Como la revisión de los logs, estos se hacían en forma manual y los estamos llevando a un 100 para que se hagan. Si todavía no está finalizado, pero estamos en proceso de... Lo pudieron, hemos mencionado también ese tema. ¿Qué documentación en particular? Que se creen repositorios donde se documente la evidencia de cada control. Automatizando mucho de esto, la evidencia va a quedar directamente en un sistema.

11:21

S… Speaker 2 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 2)

Yo te mencionaba lo de la recertificación de usuarios, eso va a colectar toda la información de los usuarios de los sistemas que tengamos en un sistema en particular y la auditoría se pueda hacer sobre ese sistema directamente. Entonces no es que queda todo disperso y no queda todo por e-mails y demás, sino que va a quedar, hablando en forma general, va a quedar todo en un sistema en particular. Lo mismo con los logs de auditoría, va a quedar todo en el CIEM.

11:51

S… Speaker 1 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 2)

Al menos a nivel de decisión y de progreso vamos en ese sentido. La trazabilidad de las altas, bajas o las modificaciones de usuarios, de roles, eso está todo en Shira, que tenemos Shira que ya está centralizado para todas las distribuidoras, con los workflows centralizados, con los grupos de aprobadores también. Entonces todo eso, la trazabilidad queda a través de un ticket.

12:26

S… Speaker 3 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 2)

Como comentaban ahí, sigue todo el workflow de la creación de recursos humanos, pasa a IAM y sigue su curso. Y es más, ahí te agrego, por ejemplo, sistemas, bases de datos, todo lo que seguridad lo releva, lo audita, genera los tickets asociados a esas tareas y las remediaciones van atadas a ese análisis que hizo a través de un ticket también.

12:55

S… Speaker 3 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 2)

Levantan, hacen un escaneo manual hoy, aún de tiempo determinado. Mientras este proceso se está automatizando en una herramienta que es totalmente auditable, hay que ir ticket a ticket asociando lo que la seguridad levanta, por ejemplo, y desde infraestructura remediamos, o desde desarrollo remedia, o de las distintas áreas. Entonces, esas son las, el ASIS y el TUBI, en el cual constantemente estamos en búsqueda.

13:27

S… Speaker 2 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 2)

Bien. Bueno, este fue un repaso breve sobre el proceso. Después me dirán cómo quieren entrar en detalles en las siguientes reuniones. Porque ahí sí, a ver, nosotros tenemos segregación de tareas, entonces yo no puedo entrar a los sistemas, dirían, por supuesto. Así que tengo que involucrar a la gente que tiene acceso.

13:59

S… Speaker 2 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 2)

Respecto a lo que dice el control en particular y cómo funciona el proceso, ¿vos tendrías identificado quién sería la persona con la que deberíamos... Ok, eso como para tener claro... Como te decía, estamos en un proceso de migración todavía, entonces hay ciertos sistemas en los que yo te puedo decir, IAM hace todo, que mencioné, Active Directory y Omega, ellos en este momento lo pueden hacer en tu end. Pero otros sistemas, por ejemplo, dependemos de los equipos de infraestructura.

14:29

S… Speaker 2 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 2)

Porque todavía no se la ha transferido. Entonces ahí vamos a tener que involucrar al equipo de IAM, que hace la primera revisión, y abre una tarea al equipo de infraestructura para que implemente, digamos. Sí, que nos organizamos. Sobre todo por el lado que nos toca a nosotros. Venimos en un constante progreso y avanzando a velocidades superiores a las normales.

15:00

S… Speaker 2 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 2)

y distribuyendo tareas en cada uno de los equipos. Ahí, cuanto más amplia puedas hacer la agenda y los temas a tratar y las necesidades más puntuales las puedas detallar, nos haces un favor. ¿Por qué? Porque tenemos un montón de procesos que están asociados a las actividades diarias y más aún el día a día, porque la operación continúa y todos estamos en la parte operativa dando soporte, los equipos no son extremadamente grandes. Cuanto más puedas ampliar la visión.

15:29

S… Speaker 1 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 2)

de las auditorías y lo que vas a necesitar ver, evidenciar y mostrar, así tenemos la persona justa en el momento que la necesite y poder completar esa evidencia y que no queden pendientes, así podemos ir matando, si te parece. Ok, bien. Sí, ahí no sé María Laura, pero nosotros tenemos las matrices, los controles, si quieren sobre eso hacemos como un Excel donde ustedes me indiquen los responsables, los mails y yo actualizo. También tendríamos que ver las agendas de las personas que participen también, pero...

15:59

S… Speaker 3 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 2)

Parte de infraestructura, si me avisas con una apertura de 30 días vista, lo que se va a necesitar, yo lo organizo. Pero ahí, Daniela, continuaríamos por ahora, porque si bien ahora estamos viendo el documento de las narrativas, donde te abarca varios controles, es un poco lo que comentan los chicos, de cada control, a lo mejor si se quiere ver ya la herramienta, en dónde se lleva ese control, en dónde está la trazabilidad.

16:32

S… Speaker 3 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 2)

Es sumar a la persona que tiene acceso y que te puede mostrar. La idea es que continuemos a esto, viéndolo por los controles asociados a las narrativas, por ejemplo, en este caso, lo que es acceso a sistemas y a datos.

16:47

S… Speaker 3 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 2)

¿Cuál sería? Por eso es que yo por ahí la reunión pasada, no sé si no fui clara, pero un poco ver la metodología, porque es lo que yo digo, los equipos son grandes y tendremos que sumar a la persona justa para ver. Si no, acá lo que estamos ahora te podemos dar un pantallazo genérico, pero si ya queremos entrar en el detalle, tener la trazabilidad de cada uno de los casos, de los controles, ahí sí deberemos sumar.

17:11

S… Speaker 1 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 2)

Sí, es que necesitamos ese nivel de detalle. O sea, básicamente es cómo se ejecuta el control y tener claro cómo se ejecuta en el sistema y nosotros ir viéndolo o que nos preparen el caso. Por eso vos decís control, ¿no? Y por ejemplo, tal como te lo planteó Diego, hablamos de...

17:28

S… Speaker 2 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 2)

Acceso y base de datos. Toca 8 sistemas. De 8 sistemas por ahí tenemos que involucrar 4 personas para completarte el proceso. ¿Por qué? Porque base de datos lo tenemos todavía. Sí, ahí lo que habíamos hablado es que arranquemos con SAP y después con todo lo que es comercial. Pero por eso, ¿qué sería después? ¿Qué es después? ¿En la misma sesión? ¿En una sesión separada? Por eso, toquemos los sistemas. Es un tema a coordinar con ustedes. Es un tema a coordinar con ustedes. No es que yo...

17:55

S… Speaker 1 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 2)

Te hago otra pregunta. ¿Ustedes lo que hacen es la revisión de procesos o de controles? Estamos en la etapa inicial que es el entendimiento del proceso y nosotros recibimos toda la información con las narrativas, los gaps que se identificaron y las marqueses de controles actuales que ustedes tienen. Entonces, medio que esa es nuestra base. Entonces, entendemos el proceso punta a punta y seguir el proceso punta a punta. Por ejemplo, un alta de acceso, una modificación.

18:22

S… Speaker 1 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 2)

Atado también un poco a controles como para ver cómo eso se ata con lo que tiene actualmente la matriz. Ustedes van a seleccionar un proceso aplicado a un sistema, por ejemplo, no sé, alta o baja modificaciones, aplicado al sistema SAP y van a revisar de punta a punta eso. Vos me mostrás un caso, yo no elijo, no es que voy a tener una muestra. Vos me podés mostrar cualquier caso que tengas X durante el ejercicio para que nosotros lo podamos ver.

18:52

S… Speaker 1 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 2)

No, está trabajando sobre muestras y ya estoy en la parte de testing, sino en la parte de entendimiento. Pero se entiende bien, Daniela, es decir, compartiendo pantalla, ingresando al sistema, viendo la funcionalidad. Ok, un funcional se necesita. Sí, sí, sí. Así que bueno, si les parece, entonces coordinamos eso. Yo les digo bien qué se necesita, digamos, a nivel de este proceso que estamos arrancando, que es acceso.

19:23

S… Speaker 1 (4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 2)

por control, por narrativa y ustedes me van diciendo cuáles son las personas que deberían intervenir para que podamos coordinar las reuniones y podamos hacer justamente esa reunión en la que se siga bien el proceso.

4. DESA - Ciclo ITGC - Grabación reunion 10-4 Parte 2

Summary

Ask AI About This Transcript