Trabajo de compilación bibliográfica Togaf y Zachman Framework Realizado por: Yeimi Constanza Patiño Rodríguez Asignatura: Auditoria de sistemas 2 Profesor: Carlos Hernán Gómez Gómez Universidad nacional de Colombia Administración de sistemas informáticos INTRODUCCIÓN La evolución del Mundo hacia bloques económicos y de allí hacia Empresas Multinacionales con llevan que cada vez pierda importancia las normas específicas de cada País y tome mayor auge la estandarización Internacional y las reglas que se fijen en ese contexto. El País que no quiera someterse a estas nuevas reglas perderá grandes oportunidades de mejorar y prontamente podrá quedar aislado del resto del Mundo sumido (en el caso de los países pobres y/o en vías de desarrollo) en sus propios problemas sin ningún tipo de ayuda internacional y con cada vez menos posibilidades de desarrollo. Dentro de este contexto, los inversionistas Internacionales exigen reglas estandarizadas que les faciliten la realización de sus negocios en este entorno apoyados en el uso de la tecnología y en sistemas de información que les provean reportes financieros de calidad que sirvan para la toma de sus decisiones. Para ello se viene difundiendo y adoptando cada vez más en la mayoría de los Países del Mundo diferentes Estándares Internacionales emitidos por un Comité Internacional privado denominado el IASB; al igual que entidades como el IFAC - Internacional Federation of Accountants, que cuenta dentro de su composición con un Comité denominado IAASB (Internacional Auditing and Assurance Standards Board), (antes denominado Internacional Auditing Practices Committe IAPC) el cual trabaja a fin de implantar la uniformidad de las prácticas de auditoría y servicios relacionados a través del Mundo mediante la emisión de pronunciamientos en una variedad de funciones de auditoría y aseguramiento y promoviendo su aceptación a nivel mundial. El IASSB emite los Estándares Internacionales de Auditoria (NIAs o ISA en inglés), utilizado para reportar acerca de la confiabilidad de información preparada bajo normas de contabilidad (normalmente información histórica), también emite Estándares Internacionales para trabajos de aseguramiento (ISAE), Control de Calidad (ISQC), y servicios relacionados (ISRS). Así mismo emite las denominadas Declaraciones o Prácticas (IAPSs) para proveer asistencia técnica en la implementación de los Estándares y promover las buenas prácticas. MARCO TEORICO La naturaleza especializada de la auditoría a los sistemas de información (SI), así como las destrezas necesarias para llevar a cabo tales auditorías, requiere de estándares que aplican específicamente a la auditoría de SI. Entre varios de ellos y basado en la asignación de temas se encuentran TOGAF y el Zachman, frameworks de Arquitectura Empresarial. DESCRIPCIÓN GENERAL TOGAF The Open Group Architecture Framework (TOGAF), o Esquema de Arquitectura de Open Group, es un esquema (o marco de trabajo) de Arquitectura Empresarial que proporciona un enfoque para el diseño, planificación, implementación y gobierno de una arquitectura empresarial de información. Esta arquitectura es modelada por lo general con cuatro niveles o dimensiones: Negocios, Tecnología (TI), Datos y Aplicaciones. Cuenta con un conjunto de arquitecturas base que buscan facilitarle al equipo de arquitectos definir el estado actual y futuro de la arquitectura. 2.1.1 FASES ADM TOGAF se basa en cuatro fases o dimensiones: Arquitectura de Negocios (o de Procesos de Negocio), la cual define la estrategia de negocios, la gobernabilidad, la estructura y los procesos clave de la organización. Arquitectura de Aplicaciones, la cual provee un plano (blueprint, en inglés) para cada uno de los sistemas de aplicación que se requiere implantar, las interacciones entre estos sistemas y sus relaciones con los procesos de negocio centrales de la organización. Arquitectura de Datos, la cual describe la estructura de los datos físicos y lógicos de la organización, y los recursos de gestión de estos datos Arquitectura Tecnológica, la cual describe la estructura de hardware, software y redes requerida para dar soporte a la implantación de las aplicaciones principales, de misión crítica, de la organización. 2.1.2 ¿PARA QUE SIRVE TOGAF? En pocas palabras, TOGAF sirve para la creación de una Arquitectura Empresarial y normalmente se aplica a: Creación de aplicaciones de misión crítica o core business Minimizar riesgos de no-entendimiento entre Negocio y Tecnología Generación de valor y descubrimiento de oportunidades en Business Transformation Describir, documentar y continuar los sistemas y aplicaciones construidos Uno de los problemas comunes de la industria de TI es el entendimiento de las necesidades planteadas por los departamentos de negocio (usuarios de las plataformas tecnológicas) y los departamentos técnicos (encargados de crear las plataformas y dar los servicios demandados). Causa frecuente de fracaso en proyectos de TI, la dificultad de entendimiento entre Negocio y Tecnología no solo reside en las especificaciones de requisitos sino en el entendimiento de las soluciones e implicación en el proyecto. Enterprise Architecture, desde la visión de The Open Group, sirve para establecer un entorno de comunicación sin barreras, donde la información fluya entre los diferentes implicados. Este flujo sin barreras no quiere decir que no tenga límites: lo que persigue es permeabilidad entre los distintos niveles de definición existentes en la empresa, con el fin de poder representar la arquitectura de sistemas de información de forma que todos los implicados puedan entender y participar en el proyecto. La metodología empleada en TOGAF, ADM, se basa en modelos descriptivos y en un ciclo de vida iterativo que permite definir la arquitectura desde diferentes puntos de vista, implicando a diferentes áreas de la empresa para lograr un entendimiento global de las necesidades, restricciones y oportunidades del proyecto. 2.1.3 BENEFICIOS TOGAF, como otros frameworks de EA, tiene como principal objetivo establecer un enlace entre Negocio y TI en las empresas, aportando múltiples beneficios a ambas áreas, como son los siguientes: 2.1.3.1 REDUCCION DE COSTES Bien por mejorar los tiempos de mercado de los proyectos de TI, bien por incrementar su calidad o por identificar oportunidades y mejorar funcionalmente las aplicaciones, el efecto de aplicar TOGAF a la Enterprise Architecture es beneficioso en términos de costes: Reducción del coste de proyecto, pues al reducir costes y mejorar el entendimiento las soluciones aportadas requieren menor inversión para alcanzar los objetivos de negocio. Mayor ROI XGLOSARIOX, pues las inversiones en nuevos sistemas y en la transformación del negocio son recuperadas más rápidamente. Justificación de la inversión: la metodología descriptiva permite materializar el trabajo de arquitectura y dinamizar las inversiones en TI, involucrando de forma activa al personal vinculado a las operaciones del negocio en los proyectos 2.1.3.2 REDUCCION DE RIESGOS La gestión de riesgos en proyectos software no sólo debe contemplar los riesgos técnicos que puedan ser identificados por un arquitecto técnico. Las empresas son complejas y las relaciones entre diferentes departamentos, sistemas y objetivos individuales impactan en la gestión de riesgos de un proyecto. TOGAF identifica los drivers XGLOSARIOX y objetivos de Negocio, así como de todos los involucrados en los diferentes dominios de arquitectura, facilitando la identificación de estos riesgos y enfatizando en su mitigación: Análisis de riesgos y preocupaciones GAP Analysis Análisis de impacto Iteración sobre todos estos análisis Governance y gestión de requisitos, minimizando riesgos de dependencias y configuraciones. 2.1.3.3 IDENTIFICACION DE OPORTUNIDADES En cada proyecto se pueden descubrir oportunidades de negocio o de TI, y esto es lo que TOGAF explora en la fase E de ADM. La Enterprise Architecture puede y debe identificar oportunidades en cada uno de los proyectos, mediante los diferentes análisis y puntos de vista que TOGAF proporciona. Estos son algunos ejemplos de las oportunidades que pueden ser identificadas durante las iteraciones de un proyecto empleando TOGAF: Time to market. El GAP Análisis y planificación de migraciones / despliegues puede aportar visiones de posicionamiento con respecto a la competencia de una forma dinámica: se puede variar los alcances y tiempos de versionado de aplicaciones para lograr posicionamiento así como para materializar / justificar inversiones. Identificación de ineficiencias. TOGAF tiene en cuenta los procesos de negocio y los relaciona con las visiones de arquitectura de sistemas de información y de tecnología: la identificación de ineficiencias o de mejoras en procesos de negocio, búsqueda de sinergias entre departamentos o sistemas informáticos o la reducción de costes por reutilización de plataformas comunes son algunos ejemplos de ineficiencias identificadas por EA en proyectos. Reducción de riesgos y costes. El mantenimiento es un aspecto muy importante de los sistemas de información: gran parte de los presupuestos de TI se destinan a soportar los sistemas desarrollados. TOGAF permite tener una visión de conjunto de las arquitecturas e identificar aplicaciones o sistemas de alto coste de mantenimiento, pudiendo anticipar inversiones. 2.1.3.4 FLEXIBILIDAD Y ADAPTACION La transformación de las empresas es cada vez más frecuente y sobre todo más rápida. La agilidad demandada por el negocio supera a la capacidad de reacción del departamento de TI, por lo que es necesario flexibilizar los proyectos para adaptarse a estas transformaciones. La gestión de requisitos, centro de la metodología ADM, es la clave para flexibilizar proyectos sin perder calidad en las arquitecturas diseñadas. TOGAF permite además adaptar a las necesidades de cada proyecto y empresa el marco de trabajo y la metodología ADM, existiendo casos de referencia y guías de adaptación para diferentes industrias y contextos. La adaptación de los procesos así como de los requisitos que conforman un proyecto es un factor clave en la consecución de objetivos de negocio. 2.1.3.5 LENGUAJE COMUN TOGAF provee un amplio repositorio de documentos y modelos que permiten adaptar la visión de la empresa a los diferentes involucrados: de esta forma se lanza un puente entre los mundos de Negocio y Tecnología, haciendo participe a ambos en la descripción y construcción de las nuevas aplicaciones. El proceso de transformación requiere de este entendimiento, y TOGAF permite modelar la arquitectura de cada área para poder ser entendida por el conjunto de los implicados. 2.1.4 COMPARACION CON COBIT Actualmente y desde el año 2007 se habla del mapeo de TOGAF con COBIT, específicamente TOGAF 8.1, una versión anterior a la última de este framework y COBIT 4.0; este hecho hace prever o pensar la relación intrínseca entre ellos; justificado en la razón que para ciertos casos las necesidades y requerimientos de las empresas y sistemas son más extensos a lo que ofrece este framework; por tal motivo COBIT colabora a las empresas para modificar sus implementaciones de TOGAF. En este mapeo COBIT cubre completamente con todos sus procesos los tres dominios de TOGAF, estos son AMD en varias de sus fases, El Enterprise continuum, y el Resource Base. Su fin es mejorar la Administración de proyectos, Identificación de soluciones automatizadas, la administración de cambios y la gobernabilidad. Por esta razón, COBIT es una solución más compleja y robusta que TOGAF, mucho más útil y completa para cumplir los requerimientos de las organizaciones y empresas, que está disponible para colaborar en la administración y control de diferentes frameworks. DESCRIPCION GENERAL ZACHMAN FRAMEWORK Es un marco de trabajo para Enterprise Architecture (EA), creado y soportado por ZIFA (Zachman Institute for Framework Advancement). El nombre lo debe a su creador, John A. Zachman, quien lleva enfocando su carrera desde 1970 en la Arquitectura Empresarial. Durante los 80’s describió este framework de Arquitectura, que hoy se considera un estándar de facto en la industria. Este framework emplea modelos y vistas de los diferentes elementos que forman parte de la arquitectura empresarial, contemplando dos dimensiones: perspectivas de participantes o modelos y cuestiones básicas o puntos de vista. El framework define los artefactos que forman parte de la arquitectura, empleando para ello un lenguaje común para todos los implicados (de hecho contempla la organización de información en forma de metadatos, para una posible transformación de la misma en función de la audiencia). Zachman basó su framework en experiencias y aplicaciones de la ingeniería y arquitectura tradicional, resultando un modelo practico aplicable al desarrollo de sistemas de información desde un punto de vista empresarial. Desde ZIFA mantiene la visión de un framework independiente de fabricantes que pueda definir un lenguaje universal y unas guías estándares para la Arquitectura Empresarial. 2.2.1 ¿PARA QUE SIRVE ZACHMAN? El framework de Zachman sirve fundamentalmente para implementar una Arquitectura Empresarial en las compañías, siendo una asunción del mismo framework que toda compañía, grande o pequeña, necesita aplicar conceptos de arquitectura independientemente de sus características. Para llevar a cabo esta tarea de definición e implementación de Arquitectura Empresarial, Zachman considera diferentes perfiles, roles y habilidades que deben participar en el proceso, e incide especialmente en los problemas de comunicación y entendimiento existentes entre dichos perfiles. Dentro de la definición e implementación de arquitecturas empresariales, el consenso y entendimiento son facilitados por Zachman mediante una estructuración de puntos de vista, conceptos y artefactos (esto es, salidas o elementos obtenidos del proceso de arquitectura). Para conseguir este entendimiento de una forma sencilla e intuitiva, Zachman define las siguientes cuestiones, que deben ser respondidas por cada perfil para poder definir de forma completa la Arquitectura: ¿Qué? Los datos, sus relaciones y significados; ¿Cómo? Los procesos y funciones de la corporación; ¿Dónde? La red, tecnologías, distribución y localización de procesos, funciones y sistemas; ¿Quién? La gente que forma parte de la compañía, considerando aspectos que van desde la seguridad y roles hasta la organización de la compañía y los flujos de trabajo existentes; ¿Cuándo? El tiempo, representando ciclos, estructuras de proceso, de control y eventos de negocio; ¿Por qué? Las motivaciones en los diferentes segmentos de la compañía: objetivos de negocio, planes estratégicos, diseño y especificación de reglas, etc. Estas vistas son complementadas desde el framework con diferentes modelos, lo cual permite ofrecer una visión completa de la Enterprise Architecture, manejando diferentes artefactos en función de las coordenadas como se ve en el gráfico: Los modelos que contempla Zachman, y que permiten adaptar la información de definición de la arquitectura a la audiencia apropiada, se cruzan con las vistas anteriores. Cada modelo está relacionado con un determinado perfil dentro de la compañía, como se indica a continuación: Alcance: perfil Visionario o Planificador. Negocio: perfil Propietario. Sistema: perfil Diseñador. Tecnología: perfil Constructor. Representación Detallada: perfil de ejecución (Adjudicatario de Contrato). Configuración de componentes: perfil Implementador. Instancias funcionales de la empresa: perfil Trabajador 2.2.2 BENEFICIOS Dentro de los beneficios de Zachman Framework a la definición e implementación de Arquitecturas Empresariales, se destacan los siguientes: SIMPLICIDAD La definición del framework parte de una única figura que representa las vistas y capas a tener en cuenta a la hora de definir una arquitectura. Esto simplifica el entendimiento del marco de trabajo, las expectativas y la evaluación de esfuerzo que tiene adaptarlo a un determinado contexto. Pero más allá de la simplicidad, la completitud que describe posibilita llegar a extremos de detalle y complejidad comparables a otros frameworks de arquitectura orientados a industrias de Defensa o Finanzas. De hecho cada perspectiva resultante de las intersecciones en la matriz de capas y vistas puede definirse en tres niveles de detalle. El framework de Zachman es considerado como el framework Enterprise Architecture de más fácil adopción, por su simplicidad y facilidad de entendimiento. FLEXIBILIDAD El framework de Zachman deja abiertas las puertas a la interpretación y ejecución de los diferentes artefactos y actividades a desarrollar dentro de la construcción de Enterprise Architecture. Esto permite a cada empresa y contexto adaptar el framework a sus necesidades y capacidades: tanto los artefactos como las representaciones que se alcanzan en cada vista y capa de definición pueden ser ajustadas. ESTANDARIZACION Y ADAPTABILIDAD Zachman es considerado un estándar de facto en Enterprise Architecture, y se ha convertido en una referencia en la industria. Muchos otros frameworks de arquitectura ofrecen compatibilidad o integración con Zachman, dado que éste se encuentra implantado de forma extensiva. El poder contar con el framework de Zachman en conjunción con otros frameworks, como TOGAF, incrementa la cobertura de necesidades en Enterprise Architecture. Zachman es más maduro y horizontal que otros frameworks de EA, por lo que es un candidato ideal para establecer bases a las que sumar otras metodologías y marcos de trabajo. No existe ningún framework de EA que contemple todas las áreas de definición y cobertura, pero la suma de algunos de ellos puede incremental la completitud general. CONCLUSIONES Y OBSERVACIONES El framework Zachman puede ser usado como una herramienta tanto para los departamentos técnicos y no técnicos en sus procesos de desarrollo de sistemas, al identificar sus 6 perspectivas y asegurándose que todos sus componentes sean concisos y estén completos. Zachman puede ser usado como un plan para cualquier sistema que la organización necesita con funcionamiento total. Es posible que una herramienta no es suficiente. The Open Group (2002) afirma que "Los equipos de Arquitectura Empresarial exitosa son a menudo los que armonicen sus herramientas de arquitectura con su nivel de madurez, equipo / organización, capacidades, y el objetivo o el enfoque. Si las diferentes organizaciones dentro de una empresa son en diferentes niveles de madurez en su arquitectura y tienen diferentes objetivos o enfoque, se hace muy difícil para una herramienta satisfacer todas las necesidades de la organización. " El Zachman Framework para el modelado de sistemas proporciona una técnica de uso común que pueden aplicarse a principios de modelado en las políticas de seguridad proceso de definición de requisitos del sistema. Mediante la aplicación de los tres niveles de la jerarquía Zachman, es posible desarrollar una política de seguridad simple que pueda ser comprendida por el sistema de consumo. El Método de Desarrollo de Arquitectura TOGAF (ADM) es un estándar de la industria para el desarrollo de una empresa de arquitectura que se ocupa de las necesidades de negocios de la organización de que se trate. Hace un llamamiento para el desarrollo de una serie de modelos arquitectónicos para describir la arquitectura de manera eficaz. BIBLIOGRAFIA THE OPEN GROUP AND OMG. TOGAF ADM and MDA. http://www.omg.org/docs/omg/04-06-01.pdf AUDITORÍA TECNOLIGÍAS DE INFORMACIÓN. Estándares. http://www.etcheverry.cl/ati/Page17.html KYNETIA, SOFTWARE FOR BUSINESS SOLUTIONS. TOGAF. http://www.kynetia.es/especializacion/togaf.html THE OPEN GROUP AND OMG. TOGAF™ Version 9 -- 'The Book’. http://www.opengroup.org/togaf/ KYNETIA, SOFTWARE FOR BUSINESS SOLUTIONS. ZACHMAN. http://www.kynetia.es/especializacion/zachman.html GOOGLE BOOKS. COBIT Mapping: Mapping of TOGAF 8.1 With COBIT 4.0. http://books.google.com.co/books?id=5ZcU1O4u_74C&pg=PA118&lpg=PA 118&dq=Mapping+TOGAF+81+con+COBIT+4.0&source=bl&ots=7sMGKFB beG&sig=MIkdTG09jY4ayln1vaHw_rrbzGA&hl=es&ei=j_eScSYB5_WygWH9JVS&sa=X&oi=book_result&ct=result&resnum=1#PP A26,M1 YLIMÄKI, Tanja. REVIEW OF ENTERPRISE ARCHITECTURE TOOLS. http://haddock.titu.jyu.fi/larkkidata/pdf/EAToolReview_allInOne_final.pdf BUSINESS TRANSFORMATION. The GMB Journal. Arquitecturas Empresariales. http://www.gbm.net/bt/bt37/opinion/arquitecturas_empresariales.php