Integracion Cobit Coso Iso27001 Itil y Magerit

1

INTEGRACION COBIT, COSO, ISO27001, ITIL Y MAGERIT Pablo Andrés Sánchez Zambrano Universidad de Guayaquil, Facultad de Ciencias Matemáticas y Físicas, Guayaquil, Ecuador.  E-mail: pablosanchez.pf [email protected] @gmail.com  Abstrac  Abstracto to — En En este documento se describen las principales metodologías para implementación de la auditoria informática en las organizaciones relacionadas con el uso de las TI (Tecnologías de la información) para la creación de sistemas de información con el fin de obtener la mayor productividad y calidad posibles. Í ndice

MAGERIT

de térmi términos nos — COBIT, COBIT,

COSO, ISO27001, ITIL, ■

I. I NTRODUCCIÓN  N la actualidad los temas referentes a la auditoria ■ informática recogen cada vez más relevancia tanto a nivel nacional como internacional, ya que el activo más importante  para las empresas empresas es la información por lo que que invertir grandes grandes cantidades de dinero para la creación de sistemas de información y SGSI (Sistema de Gestión de Seguridad de la■ Información) es fundamental para obtener la mayor  productividad y calidad posible. Un SGSI se puede puede mejorar mediante la inclusión de áreas áreas de aplicación ISO 27000, o midiendo el estado de maduración de su SGSI a través de COBIT (Control Objectives for Information and related Technology) o ITIL (La Biblioteca de ■ Infraestructura Infraestructura de Tecnologías de la Información). Información). [1] La información se ha convertido en un activo vital para el éxito y la continuidad en el mercado de cualquier organización. organización. Por ende, el aseguramiento de dicha información y de los sistemas que la procesan es un objetivo de primer nivel para la organización. Para la correcta gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metodológica, documentada y basada en unos objetivos claros de seguridad y una acertada evaluación de los riesgos a los que está sometida la información de la organización. [1]  [1]  En este documento se realiza una investigación descriptiva cualitativa de las siguientes metodologías COBIT, COSO, ISO27001, ITIL, MAGERIT.

E

II. METODOLOGÍAS A. COBIT COBIT (control de objetivos para la tecnología y la información), es un modelo de referencia, empleado en la

administración y control de las tecnologías de la información  permite analizar cada uno uno de los procesos procesos del área de tecnología de de información y comunicación, siendo estos 34 procesos, divididos en 4 dominios: Planeación y organización, adquisición e implementación, entrega y soporte, y monitoreo.[2] monitoreo.[2] Planear y Organizar (PO) Estrategias y tácticas. Identificar la manera en que TI pueda contribuir de la mejor manera al logro de los objetivos del negocio. Proporciona dirección para la entrega de soluciones (AI) y la entrega de servicio (DS). Adquirir e Implementar Implementar (AI) Identificación Identificación de soluciones, soluciones, desarrollo o adquisición, cambios y/o mantenimiento de sistemas existentes. Proporciona las soluciones y las pasa para convertirlas en servicios. Entregar y Dar Soporte Soporte (DS) Cubre la la entrega entrega de los servicios servicios requeridos. Incluye la prestación del servicio, la administración ad ministración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operacionales. Recibe las soluciones y las hace utilizables por los usuarios finales. Monitorear y Evaluar (ME) Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos requerimientos de control. Este dominio abarca la administración del desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del gobierno. Monitorear todos los procesos para asegurar que se sigue la dirección provista. Para satisfacer los objetivos del negocio, la información necesita concordar con ciertos criterios a los que COBIT hace referencia como requerimientos de negocio para la información. Al establecer la lista de requerimientos, COBIT combina principios contenidos en modelos referenciales existentes y conocidos:[3] conocidos: [3] Requerimiento de Calidad: Calidad. Costo. Entrega de servicio. 2. Requerimientos de Seguridad: Confidencialidad.   



2

 

Integridad. Disponibilidad.

Fig. 1 Criterios de información [3]

Fig. 2 Estructura de COBIT[3]

Fig. 3 COBIT 4.1 los procesos en COBIT satisfacen uno o varios criterios de la información de la siguiente manera: (P) Primario. - es el grado al cual el objetivo de control definido impacta directamente el requerimiento de información de interés. (S) Secundario es el grado al cual el objetivo de control definido satisface únicamente de forma indirecta o en menor medida el requerimiento de información de interés. Blanco (vacío) podría aplicarse; sin embargo, los requerimientos son satisfechos más apropiadamente por otro criterio en este proceso y/o por otro proceso. [3] Procesos COBIT 4.1

TABLA I Proceso COBIT 4.1[3] Procesos y Objetivos de Control COBIT 4.1 PLANIFICACION Y ORGANIZACIÓN PO1 Definen un Plan de TI Estratégico PO2 Definen la Información Arquitectura PO3 Determinan Dirección Tecnológica PO4 Definen los Procesos de TI, Organización y Relaciones PO5

Manejan la Inversión TI

PO6

Comunican Objetivos de Dirección y Dirección

PO7

Manejan Recursos TI Humanos

PO8

Manejan Calidad

PO9 P10

Evalúan y Manejan Riesgos de TI Manejan Proyectos

ADQUISICION AI1  Identifican Soluciones Automatizadas Adquieren y Mantienen Software De aplicación AI2 AI3 Adquieren y Mantienen Infraestructura de Tecnología Permiten Operación y Usan AI5 Procuran Recursos TI AI4 AI6 Manejan Cambios AI7 Instalan y Acreditan Soluciones y Cambios ENTREGAR Y DAR SOPORTE DS1 Definición y administración de los niveles de servicio Administración de los servicios de terceros. DS2 DS3 Administración del desempeño y capacidad de TI Garantías en la continuidad del servicio DS4 DS5 Garantías en la seguridad de los sistemas. DS6 Identificación y asignación de costos de TI. Educación y entrenamiento a los usuarios DS7 DS8 Administración de la mesa de servicios de TI y los incidentes. Administración de la configuración de TI. DS9 DS10 Administración de los problemas con TI. DS11 Administración de los datos. DS12 Administración del ambiente físico DS13 Administración de las operaciones de TI. MONITOREAR Y EVALUAR ME1 Monitoreo y evaluación del desempeño de TI. ME2 Monitoreo y evaluación el control interno. ME3 Garantías en el cumplimiento regulatorio ME4 Proporciona gobierno de TI

TABLA II genérica acerca del Modelo de Madurez [3]

3

En su investigación Ortiz Collaguazo concluye La auditoría • Ambiente de control • Evaluación de riesgos informática realizada en el Departamento de Sistemas aplicando la metodología COBIT 4.1 permitió analizar los • Actividades de control • Información y comunicación resultados obtenidos mediante los procesos de los cuatro • Supervisión dominios aplicados, al igual que se pudo determinar en qué grado de madurez se encuentra la empresa. Después de haber De la definición anterior se concluye, que el COSO I, se determinado los KPI’S (indicadores claves de desempeño) divide en cinco componentes, que han sido diseñados para correspondientes a cada área, se pudo analizar las principales facilitar a las empresas la evaluación y mejora de sus sistemas, funciones que cumplen cada área generando u obteniendo  proporcionando seguridad razonable en la aplicación de su resultados tales como, la satisfacción del cliente-usuario, en control interno.  base al porcentaje de cumplimiento de cada función principal, COSO II de tal manera que se cumpla a cabalidad los objetivos del Departamento de Sistemas (IT). Para determinar los KPI en el Departamento de Sistemas se debe tomar en consideración el nivel de cumplimiento y las principales actividades que se realiza en cada área, para poder establecer y aplicar la estructura critica del semáforo que califica el nivel de cumplimiento existente. [3]

B. COSO Según la página web(AEC, 2016)COSO define: (Committee of Sponsoring Organizations of the Treadway) que en español significa Comité de Organizaciones Patrocinadoras de la Comisión Treadway, es una Comisión 30 voluntaria constituida  por representantes de cinco organizaciones del sector privado en EEUU, para proporcionar liderazgo intelectual frente a tres temas interrelacionados: la gestión del riesgo empresarial (ERM), el control interno, y la disuasión del fraude. [4] En su investigación Romero Balboa detalla el proceso evolutivo de la metodologia COSO siendo asi la version I, II, III las cuales se fueron mejorando a medida que las empresas tenian cambios evolutivos. Evolución del COSO I, II, III COSO I

Fig. 4 COSO I (1992) Fuente: COSO, Auditores Externos, 2013

Fig. 5 COSO II Administración de riesgo de la empresa ERM

En el 2004, se publicó COSO II, Marco Integrado de Gestión de Riesgos que amplía el concepto del sistema de control interno a la gestión de riesgos, implicando necesariamente a todo el personal, incluidos los directivos y administradores. Aspectos importantes: • Administración del riesgo en la determinación de la estrategia • • • •

Eventos y riesgo Apetito de riesgo

Tolerancia al riesgo Visión de portafolio de riesgo

 No sustituye el modelo coso de 1992 sino que incorpora como parte de él, permitiendo a las compañías mejorar sus  prácticas de control interno o decidir encaminarse hacia un  proceso más completo de gestión de riesgo. En conclusión, el COSO II, fue creado para incorporar al marco del control interno como parte de él, proporcionando las  bases necesarias para su evaluación y gestión integral del riesgo, en esta etapa se trata de ampliar el estudio del riesgo, estableciendo un control interno que permita cubrir los peligros existentes en las empresas. COSO III

Según documento web (Auditool, 2016) manifiesta: Según el COSO el sistema de control interno es: Proceso realizado por el consejo de directores, administradores y otro personal de una entidad, diseñado para proporcionar seguridad razonable mirando el cumplimiento de los objetivos en las siguientes categorías: • Efectividad y ef iciencia de las operaciones. • •

Confiabilidad de la información financiera. Cumplimiento de las leyes y regulaciones aplicables.

La estructura del estándar se dividía en cinco componentes:

Fig. 5 Modelo COSO III Fuente: COSO, Auditores Externos, 2013

4

En mayo de 2013 el Comité –  COSO publica la actualización aplican controles, acciones preventivas y correctivas del Marco Integrado de Control Interno cuyos objetivos son: establecidas a través del tratamiento del riesgo y complementado con buenas prácticas para el cumplimiento por • Aclarar los requerimientos del control interno. • Actualizar el contexto de la aplicación del control interno  parte del personal de la organización y terceras partes. Una vez • Ampliar su aplicación al expandir los objetivos operativos finalizados estos documentos, deben contar con el aval de la Este nuevo Marco Integrado permite una mayor cobertura de dirección de la organización y deben establecer el inicio del los riesgos a los que se enfrentan actualmente las SGSI. Sigue a este proceso la educación en seguridad de la organizaciones. información a todo el personal y el establecimiento de El modelo de control interno COSO 2013 actualizado está auditorías y mejoramiento continuo. Cada cierto tiempo, como compuesto por los cinco componentes establecidos en el marco lo establece el estándar ISO/IEC 27001, deben realizarse anterior, y 17 principios y puntos de enfoque que presentan las actualizaciones y mejoras a los planes, adecuándolos según la características fundamentales de cada componente. Se introducción de nuevos procesos y tecnologías. [5] caracteriza por tener en cuenta los siguientes aspectos y generar En su investigación Sanabria concluye que La eficacia y diferentes beneficios: eficiencia de la construcción del SGSI, las políticas y planes de seguridad de la información a través del uso de la metodología • Mayores expectativas del gobierno corporativo. • Globalización de mercados operacionales. sugerida comprueban la agilidad del proceso y los beneficios • Cambio continuo en mayor complejidad en los negocios.  para la organización. En promedio este proceso de • Mayor demanda y complejidad en normativas. establecimiento de un SGSI toma para una organización entre un año y dos años debido a la dificultad de la limitación de • Expectativas de competencias con responsabilidades. • Uso y mayor nivel de confianza en tecnologías.  procesos, aseguramiento de plataformas tecnológicas y • Expectativas relacionadas con prevenir el fraude. educación del personal. La metodología desarrollada permite De acuerdo con lo mencionado anteriormente, el COSO III fue realizar el procedimiento de una manera ágil y segura, tomando creado para presentar en forma actualizada los componentes de otros dominios y puntos de vista, elementos que permiten el y principios del COSO I, ajustando a los cambios evolutivos establecimiento de planes de seguridad más robustos y que de las empresas, ayudando a tener una mayor cobertura de los además de evaluar procesos, tengan presente la importancia del riesgos existentes actualmente, ampliando el concepto de aspecto técnico al interior del SGSI. [5] control interno, los objetivos de cada componente e incluyendo una guía orientadora para facilitar la supervisión del Sistema de D. ITIL Control sobre las operaciones, el cumplimiento y los objetivos En su investigación Torres Montesdeoca indican que la de reporte. metodologia ITIL es la abreviación de Information Technology Infrastructure Library, fue desarrollado en 1980 por Central C. ISO 270001 La metodología diseñada cuenta con una estructura creada a Computer and Telecommunication Agency (CCTA) del  partir de la experiencia en procesos de auditorías a gobierno del Reino Unido para garantizar una entrega eficaz y organizaciones. Estas auditorías han sido orientadas a normas eficiente de los servicios de TI, hoy se encuentra regulado por tales como ITIL y la misma ISO/IEC 27001 en conjunto con un el Ministerio de Comercio del reino unido. ITIL fue  proceso de auditoría desarrollado con la Red de datos de la desarrollada al darse cuenta de que las empresas u Universidad Distrital Francisco José de Caldas entre el año organizaciones cada vez son más dependientes de la 2008 y 2009. Las dificultades de la implementación de un SGSI Informática para alcanzar sus objetivos empresariales. A pesar se ven representadas en la falta de profundidad o de que se desarrolló en la década de los años 80, no fue hasta el recomendación de actividades a realizar dentro de cada control, año 1990 que fue considerablemente adaptada. A lo largo de la haciendo referencia al numeral A del estándar ISO/IEC historia de ITIL se han desarrollado varias publicaciones de la 27001.[5] misma que son las siguientes: la metodología se aborda a través de la aplicación del ciclo ITIL V1 conformada por 31 libros. Deming o también conocido como PHVA (Planificar, Hacer, ITIL V2 conformada por 7 libros. Verificar, Actuar) el cual es aplicado de la siguiente forma: ITIL V3 conformado por 5 libros ITIL 2011 que es una mejora a ITIL V3 “PLANEAR: Diseñar o revisar procesos que soportan servicios de tecnologías de la información. Los objetivos que ITIL nos brindan son los siguientes: HACER: Implementación del plan y gestión de los procesos. Servir de guía en base a buenas prácticas que garantizan la VERIFICAR: Medición de los procesos y de los servicios de calidad de los servicios de TI. tecnologías de la información, comparación con los objetivos Proporcionar una descripción detallada de los procesos con marcados y generación de informes. mayor relevancia de una organización de TI. ACTUAR: Planificación e implementación de cambios para la Alinear los servicios de TI con las necesidades de la empresa mejora de los procesos.” [5] u organización. La política de seguridad de la información es el marco que Optimizar la calidad de los servicios TI ofrecidos. establece los alcances y objetivos del SGSI. Por su parte, los Llevar un control y gestión eficiente de los recursos.  planes de seguridad son documentos de tipo ejecutivo que Satisfacer los requisitos y expectativas de los clientes.

5

Llevar una documentación de cada actividad que se realice. Ventajas y desventajas: Ventajas: Mejora la comunicación con los clientes y usuarios finales Los servicios se especifican con más detalle y en un lenguaje comprensible para el cliente Mejora la calidad de los servicios TI Se desarrolla una estructura clara de la organización. Desventajas: El tiempo y esfuerzo para su correcta implementación puede ser muy alto.  No se vea reflejado una mejora por falta de entendimiento de los procesos involucrados. Ciclo de vida: El ciclo de vida del servicio tiene como principal objetivo de  brindarnos una visión general de la vida de un servicio desde su etapa de desarrollo hasta el momento en que se deje de prestar el servicio. El ciclo de vida del servicio es un modelo de organización que nos brinda información sobre: Como se encuentra estructurada la gestión del servicio. Como los diferentes elementos del ciclo de vida están relacionados entre sí. El efecto que los cambios en un elemento provocaran sobre otros elementos y sobre el ciclo de vida. El ciclo de vida de un servicio está conformado por cinco fases: Estrategia del servicio. Diseño del servicio. Transición del servicio. Operación del servicio Mejora continua del servicio. [6] Versiones ITIL v1 fue desarrollada entre los años 80 y 90, está conformada por 30 libros y se centraba en estandarizar los diversos procedimientos y 23 formas de trabajo en las diferentes áreas de TI que poseía el gobierno británico. ITIL v2 fue desarrollada entre los años 2000 y 2001 y a diferencia de ITIL v1 que contaba con 30 libros ITIL v2 constaba tan solo de 7 libros para hacer a ITIL más accesible a las personas interesadas. En esta versión de ITIL se agruparon los libros según los procesos de administración que cubrían, con este cambio ITIL v2 comenzó a considerarse como un modelo de referencia para el soporte técnico y calidad de TI. ITIL v3 entro en escena en el año 2007 y contaba con solo 5 libros en vez de los 7 libros de la versión anterior. En esta versión se introdujo el concepto de ciclo de vida del servicio que nos brinda una visión general de la vida de un servicio desde el desarrollo del servicio hasta que se deje de prestar el servicio. ITIL 2011 mantiene los 5 libros de ITIL v3 con la diferencia de que se le aumentaron procesos y se realizaron modificaciones para un mejor entendimiento de los conceptos. E. MAGERIT En su investigación Varón Quiroga indica que MARGERIT es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica, como respuesta a la percepción de que la Administración, y, en     

general, toda la sociedad, dependen de forma creciente de las tecnologías de la información para el cumplimiento de su misión[7] Esta metodología es importante porque el crecimiento de la tecnología dentro de las organizaciones se está dando de manera exponencial y, por lo tanto, es necesario minimizar los riesgos asociados al uso de los sistemas garantizando la autenticidad, confidencialidad, integridad, disponibilidad y trazabilidad de los mismos, con la finalidad de generar confianza en los clientes tanto internos como externos de la organización; de igual manera, presenta una guía de cómo llevar a cabo el análisis de riesgos y se divide en 3 libros, el primero describe la estructura del modelo de gestión de riesgos, el segundo presenta el inventario para enfocar el análisis de riesgos y el último compila una guía de técnicas de trabajo para dicho fin [8] MAGERIT fue creada con el fin de cumplir con objetivos como conocer el estado de seguridad de los sistemas de información y la implementación de medidas de seguridad, garantizar que no posea elementos que queden fuera del análisis  para que tenga una profundidad adecuada en el mismo, mitigar las vulnerabilidades y asegurar el desarrollo del sistema en todas las fases de desarrollo. Estos objetivos han posicionado a MAGERIT como una de las metodologías más utilizadas en el ámbito empresarial ya que les permite prepararse para procesos de auditorías, certificaciones y acreditaciones[8] En su investigación concluyen que la metodología MAGERIT es una buena opción que permite a las organizaciones un mayor asertividad en la toma de decisiones,  permite encontrar inconsistencias dentro del sistema que no han sido identificadas y no se sospechaba de su existencia, debido a que su análisis de riesgos es más completo y tiene en cuenta elementos empresariales que otras metodologías no contemplan. [8] En el cuadro que se muestra a continuación se muestra un comparativo de los modelos COBIT, ITIL e ISO 27000 basado en las funciones, las áreas de cobertura, la organización que creó el modelo, para qué se implementa y quienes los orientan (evalúan). Es importante concluir que un modelo no será mejor que otro, debido a que inicialmente hay que evaluar la  pertinencia, la cobertura (áreas) y ante todo que cada organización, cada empresa tiene su particularidad, por ende, lo importante será adoptar un modelo pertinente, tomar los elementos que sean aplicables y adaptar el modelo de referencia  para generar un modelo propio para la empresa. [1] TABLA III Comparativo COBIT, ITIL, ISO 27000 REA Funciones reas

Creador

COBIT Mapeo de  procesos IT 4 procesos y 34 Dominios ISACA

ITIL Mapeo de la gestión de niveles de servicio de IT 9 procesos

OGC

ISO 27000 Marco de referencia de seguridad de la información 10 dominios ISO international Organization for Standardization

6

¿Para qué se implementa?

¿Quiénes lo evalúan?

Auditoria de sistemas de información

Gestión de niveles de servicio

Compañías de contabilidad compañías de consultoría en IT

Compañías de consultoría en IT

Cumplimiento del estándar de seguridad Compañías de consultoría en IT, empresas de seguridad consultores de seguridad en redes.

TABLA IV Comparativo COSO, MARGERIT[9] Factor MAGERIT COSO Tipos de Empresas o Empresas o Empresas Cooperativas Cooperativas donde es Financieras Financieras Aplicable A la Área donde Sistemas de Información se Aplica Información Financiera Financiera Consta de 5 Etapas Ambiente de Consta de 3 Fases Control Planificación del Evaluación de Estructura Proyecto Análisis de Riesgos Riesgos Gestión de Actividades de Riesgos Control Información y Comunicación Supervisión Generar conciencia a los responsables de Sistemas de Información existencias de riesgos y necesidades Eficacia y  para solucionarlos a Eficiencia de tiempo Ofrecer un las método sistemático para Operaciones. analizar riesgos. Ayudar Confiabilidad a descubrir y planificar de la Objetivos el tratamiento oportuno información  para mantener los Financiera. riesgos bajo control Cumplimiento Indirectos. Preparar a la de Normas y Organización para Leyes  procesos de evaluación, Aplicables. auditoría, certificación o acreditación, según corresponda en cada caso.

Ventajas

Desventajas

Software de Apoyo

Permite a la dirección de la empresa  poseer una visión global del riesgo y Ofrece un Método accionar los Sistematizado para  planes para su analizar los Riesgos. correcta Ayuda a Identificar y gestión. Planificar medidas Permite dar necesarias para reducir soporte a las los Riesgos. Brinda actividades de Herramientas que  planificación ayudan a facilitar el estratégica y Análisis de Riesgos. control interno. Fomenta que la gestión de riesgos pase a formar parte de la cultura del grupo. Crea una carga Por el contrario, el administrativa hecho de tener que adicional como traducir de forma  parte de los directa todas las  procedimientos valoraciones en valores de Auditoria económicos hace que la Interna. aplicación de esta Proceso es metodología sea algo realmente costosa. complicado. Meycor COSO Pilar 5.2.9 De fácil AG De manejo manejo complejo y complicado

F. CASO PRÁCTICO DE LA IMPLEMENTACIÓN DE LA  NORMA ISO 27000 EN UNA ORGANIZACIÓN A continuación, se presenta una experiencia general compartida por un asesor que ha participado del proceso de certificación de la norma ISO 27001 en una entidad pública. “En la organización empezamos a verificar que los contro les

de la norma se estuvieran efectuando, pero después de varias evaluaciones notamos que las personas involucradas no estaban cumpliendo muchos procesos que estaban ya definidos con anticipación, entonces el comité decidió para la implantación de la norma dirigirse al departamento de sistemas y se definió que era necesario implementar algunos controles desde el software que estaban utilizando, para obligar a los usuarios a cumplir con los mencionados procesos. En la entidad ya estaba establecido el sistema de gestión de calidad (ISO 9001) y lo que hicimos fue adherir los procesos de seguridad a este sistema, dado que es lo que comúnmente realizan las empresas, además la tendencia es tener un sistema integral de gestión llamado Human Security Enviroment Quality (HSEQ) el cual está

7

compuesto por un conjunto de normas ISO que se refieren a recursos humanos, seguridad, medio ambiente y calidad, no es necesario tenerlas todas implementadas, eso va a depender del tipo de organización ”

Con la información de la experiencia anterior se evidencia que es complicado cambiar la forma de trabajo de las personas de la organización y esto complica la implantación del sistema sino se realiza la gestión del cambio de forma adecuada. [10] En su investigación Ladino, Martha Isabel Villa, Paula Andrea María, Ana López E concluyen que dado que ahora la información es considerada como el activo más importante de la organización es imprescindible protegerlo contra las amenazas que se encuentran en el medio. Existen diversas herramientas tanto libres como privativas que apoyan el sistema de gestión de seguridad de la información, optimizando  procesos o actividades. La experiencia demuestra que se puede llevar a cabo la implementación e implantación del sistema de gestión de seguridad de la información en una organización si se realiza teniendo en cuenta la gestión del recurso humano. [10]

En su investigación Pérez, Torcoroma Velásquez Velásquez , Andrés Mauricio Puentes Pérez, Yesica María Pérez concluyen que se tiene un modelo para el establecimiento decriterios de gobernabilidad de TI que tiene cuatro niveles en la organización TIC’s, aplicativos de apoyo, arquitectura tecnológica y Modelo

de la empresa, se incorporan COBIT 4.1 con sus los objetivos de control, teniendo presente en cada uno de ellos la seguridad y con los conceptos de CMMI se evalúan los niveles de madurez por cada dominio y por cada nivel establecido en la empresa. Se empieza a validar el modelo aplicándolo en las zonas de Norte de Santander y Cesar, para lo cual se establecen los sectores más representativos y se crea una guía para implementar el modelo planteado que inicia desde el conocimiento del modelo, el reconocimiento incluido el modelado de procesos de la organización, el diseño y aplicación de instrumentos, su evaluación y se indica como escalar en los niveles de madurez propuestos. Con el aporte de los trabajos desarrollados en la especialización en auditoria de sistemas se evalúan diferentes tipos de empresas y se diseñan propuestas encaminadas al establecimiento de buenas prácticas en su gran G. Modelo para la implementación de gobierno corporativo de mayoría seguridad de la información, planes estratégicos de TI, TI (Tecnologías de información) lineamentos para la conformación de áreas de auditoría para las Se plantea un modelo para la implementación de gobierno empresas, manejo de residuos eléctricos y electrónicos, entre corporativo de TI, se incorpora una guía que tiene como otros. Se generan propuestas como modelos de gestión de objetivo apoyar a la institución en el uso eficiente, eficaz, y riesgos y la incorporación de estándares como COBIT 5.0, e aceptable de las TI, equilibrando riesgos inherentes a los ISO/IEC 38500 para el diseño de modelo de guía para la  procesos y promoviendo las oportunidades originadas del uso implementación de gobierno corporativo de TI, para la de las tecnologías de la información se muestran los resultados incorporación de los principios de responsabilidad, estrategia, desarrollados y los trabajos futuros planteados. se propone la adquisición, desempeño, conformidad y comportamiento incorporación de COBIT 5.0, planteando un modelo de guía humano, dentro de los cuales se encuentran las metas  para la implementación de gobierno corporativo de TI, en corporativas de la organización, las metas de TI y los objetivos donde se recomienda que se utilice la estrategia Top  –   Down, de control de COBIT 5.0, enmarcados bajo las tres tareas en la que se inicia con acciones formativas de la alta gerencia,  principales evaluar, dirigir y monitorear propuestas en ISO/IEC donde se promulgue las ventajas de un estándar de gobernanza 38500 del modelo de gobierno corporativo de TI. [11] de las TI en la empresa, proponiendo las acciones necesarias  para que la iniciativa trascienda en cascada por cada III. R EFERENCIAS dependencia de la empresa, facilitando la implementación del gobierno de TI. Para la creación del modelo para la implementación de gobierno corporativo de TI, se toma cada meta del negocio, identificando por cada una las metas de TI y [1] V. M. Orrego, "La gestión en la seguridad de la sus respectivos objetivos de control.[11] información según Cobit, Itil e Iso 27000,"  Revista  Pensamiento Americano, vol. 4, no. 6, 2013. [2] C. Toro, M. del Cisne, and L. M. Coronado Cabezas, "Auditoría de la gestión de las tic's en la empresa DIPAC utilizando COBIT," 2008. [3] H. D. Ortiz Collaguazo, "Auditoría informática aplicando la metodología cobit 4.1 en el departamento de sistemas perteneciente al GRUPO KFC," LATACUNGA/UTC/2016, 2016. [4] D. K. Romero Balboa, "Evaluación del sistema de Control Interno (COSO III) a la Cooperativa de Ahorro y Crédito “Unión Ferroviaria Ecuatoriana”

Fig. 6 Modelo de Guía para la implementación de Gobierno Corporativo de TI

[5]

Ltda., cantón Riobamba, provincia de Chimborazo,  período 2015," Escuela Superior Politécnica de Chimborazo, 2017. J. S. B. Sanabria, "Metodología ágil de establecimiento de sistemas de gestión de la seguridad

8

[6] [7]

[8] [9]

[10]

[11]

de la información basados en ISO/IEC27001,"  Puente, vol. 6, no. 1, pp. 25-30, 2017. D. F. Torres Montesdeoca, "Auditoría y diseño de  propuestas de mejoras para la gestión de servicio de ti de la FIEC-ESPOL en base a ITIL 2011," Espol, 2017. J. C. Varón Quiroga, "Estudio de análisis y gestión de riesgo al sistema de información de la empresa Agesagro SAS utilizando la metodología Magerit," 2017. A. Abril, J. Pulido, and J. A. Bohada,  Análisis de  Riesgos en Seguridad de la Información (2014). 2014. C. A. Simbaya Camacho, "Auditoría Informática y su incidencia en la funcionalidad del Sistema de Información Financiera de la Cooperativa de Ahorro y Crédito Universitaria Limitada (COPEU)," Universidad Técnica de Ambato. Facultad de Ingeniería en Sistemas, Electrónica e Industrial. Carrera de Ingeniería en Sistemas Computacionales e Informática, 2014. M. I. Ladino, P. A. Villa, and A. L. E. María, "Fundamentos de iso 27001 y su aplicación en las empresas," Scientia et technica, vol. 1, no. 47, pp. 334339, 2011. T. V. Pérez, A. M. P. Velásquez, and Y. M. P. Pérez, "Un enfoque de buenas prácticas de gobierno corporativo de TI,"  Revista Tecnura, vol. 19, pp. 159169, 2016.