Beruflich Dokumente
Kultur Dokumente
Requerimiento de Calidad:
Calidad.
II. METODOLOGAS
Costo.
A. COBIT
Entrega de servicio.
COBIT (control de objetivos para la tecnologa y la
2. Requerimientos de Seguridad:
informacin), es un modelo de referencia, empleado en la
Confidencialidad.
2
Fig. 3 COBIT 4.1 TABLA II genrica acerca del Modelo de Madurez [3]
los procesos en COBIT satisfacen uno o varios criterios de
la informacin de la siguiente manera:
(P) Primario. - es el grado al cual el objetivo de control
definido impacta directamente el requerimiento de informacin
de inters.
(S) Secundario es el grado al cual el objetivo de control
definido satisface nicamente de forma indirecta o en menor
medida el requerimiento de informacin de inters.
Blanco (vaco) podra aplicarse; sin embargo, los
requerimientos son satisfechos ms apropiadamente por otro
criterio en este proceso y/o por otro proceso. [3]
Procesos COBIT 4.1
3
B. COSO
Segn la pgina web(AEC, 2016)COSO define: (Committee of
Sponsoring Organizations of the Treadway) que en espaol Fig. 5 COSO II Administracin de riesgo de la empresa ERM
significa Comit de Organizaciones Patrocinadoras de la
Comisin Treadway, es una Comisin 30 voluntaria constituida En el 2004, se public COSO II, Marco Integrado de Gestin
por representantes de cinco organizaciones del sector privado de Riesgos que ampla el concepto del sistema de control
en EEUU, para proporcionar liderazgo intelectual frente a tres interno a la gestin de riesgos, implicando necesariamente a
temas interrelacionados: la gestin del riesgo empresarial todo el personal, incluidos los directivos y administradores.
(ERM), el control interno, y la disuasin del fraude.[4] Aspectos importantes:
En su investigacin Romero Balboa detalla el proceso evolutivo Administracin del riesgo en la determinacin de la
de la metodologia COSO siendo asi la version I, II, III las cuales estrategia
se fueron mejorando a medida que las empresas tenian cambios Eventos y riesgo
evolutivos. Apetito de riesgo
Evolucin del COSO I, II, III Tolerancia al riesgo
COSO I Visin de portafolio de riesgo
No sustituye el modelo coso de 1992 sino que incorpora
como parte de l, permitiendo a las compaas mejorar sus
prcticas de control interno o decidir encaminarse hacia un
proceso ms completo de gestin de riesgo.
En conclusin, el COSO II, fue creado para incorporar al
marco del control interno como parte de l, proporcionando las
bases necesarias para su evaluacin y gestin integral del
riesgo, en esta etapa se trata de ampliar el estudio del riesgo,
estableciendo un control interno que permita cubrir los peligros
existentes en las empresas.
Fig. 4 COSO I (1992) Fuente: COSO, Auditores Externos, 2013 COSO III
En mayo de 2013 el Comit COSO publica la actualizacin aplican controles, acciones preventivas y correctivas
del Marco Integrado de Control Interno cuyos objetivos son: establecidas a travs del tratamiento del riesgo y
Aclarar los requerimientos del control interno. complementado con buenas prcticas para el cumplimiento por
Actualizar el contexto de la aplicacin del control interno parte del personal de la organizacin y terceras partes. Una vez
Ampliar su aplicacin al expandir los objetivos operativos finalizados estos documentos, deben contar con el aval de la
Este nuevo Marco Integrado permite una mayor cobertura de direccin de la organizacin y deben establecer el inicio del
los riesgos a los que se enfrentan actualmente las SGSI. Sigue a este proceso la educacin en seguridad de la
organizaciones. informacin a todo el personal y el establecimiento de
El modelo de control interno COSO 2013 actualizado est auditoras y mejoramiento continuo. Cada cierto tiempo, como
compuesto por los cinco componentes establecidos en el marco lo establece el estndar ISO/IEC 27001, deben realizarse
anterior, y 17 principios y puntos de enfoque que presentan las actualizaciones y mejoras a los planes, adecundolos segn la
caractersticas fundamentales de cada componente. Se introduccin de nuevos procesos y tecnologas. [5]
caracteriza por tener en cuenta los siguientes aspectos y generar En su investigacin Sanabria concluye que La eficacia y
diferentes beneficios: eficiencia de la construccin del SGSI, las polticas y planes de
Mayores expectativas del gobierno corporativo. seguridad de la informacin a travs del uso de la metodologa
Globalizacin de mercados operacionales. sugerida comprueban la agilidad del proceso y los beneficios
Cambio continuo en mayor complejidad en los negocios. para la organizacin. En promedio este proceso de
Mayor demanda y complejidad en normativas. establecimiento de un SGSI toma para una organizacin entre
Expectativas de competencias con responsabilidades. un ao y dos aos debido a la dificultad de la limitacin de
Uso y mayor nivel de confianza en tecnologas. procesos, aseguramiento de plataformas tecnolgicas y
Expectativas relacionadas con prevenir el fraude. educacin del personal. La metodologa desarrollada permite
De acuerdo con lo mencionado anteriormente, el COSO III fue realizar el procedimiento de una manera gil y segura, tomando
creado para presentar en forma actualizada los componentes de otros dominios y puntos de vista, elementos que permiten el
y principios del COSO I, ajustando a los cambios evolutivos establecimiento de planes de seguridad ms robustos y que
de las empresas, ayudando a tener una mayor cobertura de los adems de evaluar procesos, tengan presente la importancia del
riesgos existentes actualmente, ampliando el concepto de aspecto tcnico al interior del SGSI. [5]
control interno, los objetivos de cada componente e incluyendo
una gua orientadora para facilitar la supervisin del Sistema de D. ITIL
Control sobre las operaciones, el cumplimiento y los objetivos En su investigacin Torres Montesdeoca indican que la
de reporte. metodologia ITIL es la abreviacin de Information Technology
C. ISO 270001 Infrastructure Library, fue desarrollado en 1980 por Central
La metodologa diseada cuenta con una estructura creada a Computer and Telecommunication Agency (CCTA) del
partir de la experiencia en procesos de auditoras a gobierno del Reino Unido para garantizar una entrega eficaz y
organizaciones. Estas auditoras han sido orientadas a normas eficiente de los servicios de TI, hoy se encuentra regulado por
tales como ITIL y la misma ISO/IEC 27001 en conjunto con un el Ministerio de Comercio del reino unido. ITIL fue
proceso de auditora desarrollado con la Red de datos de la desarrollada al darse cuenta de que las empresas u
Universidad Distrital Francisco Jos de Caldas entre el ao organizaciones cada vez son ms dependientes de la
2008 y 2009. Las dificultades de la implementacin de un SGSI Informtica para alcanzar sus objetivos empresariales. A pesar
se ven representadas en la falta de profundidad o de que se desarroll en la dcada de los aos 80, no fue hasta el
recomendacin de actividades a realizar dentro de cada control, ao 1990 que fue considerablemente adaptada. A lo largo de la
haciendo referencia al numeral A del estndar ISO/IEC historia de ITIL se han desarrollado varias publicaciones de la
27001.[5] misma que son las siguientes:
la metodologa se aborda a travs de la aplicacin del ciclo ITIL V1 conformada por 31 libros.
Deming o tambin conocido como PHVA (Planificar, Hacer, ITIL V2 conformada por 7 libros.
Verificar, Actuar) el cual es aplicado de la siguiente forma: ITIL V3 conformado por 5 libros
PLANEAR: Disear o revisar procesos que soportan servicios ITIL 2011 que es una mejora a ITIL V3
de tecnologas de la informacin. Los objetivos que ITIL nos brindan son los siguientes:
HACER: Implementacin del plan y gestin de los procesos. Servir de gua en base a buenas prcticas que garantizan la
VERIFICAR: Medicin de los procesos y de los servicios de calidad de los servicios de TI.
tecnologas de la informacin, comparacin con los objetivos Proporcionar una descripcin detallada de los procesos con
marcados y generacin de informes. mayor relevancia de una organizacin de TI.
ACTUAR: Planificacin e implementacin de cambios para la Alinear los servicios de TI con las necesidades de la empresa
mejora de los procesos.[5] u organizacin.
La poltica de seguridad de la informacin es el marco que Optimizar la calidad de los servicios TI ofrecidos.
establece los alcances y objetivos del SGSI. Por su parte, los Llevar un control y gestin eficiente de los recursos.
planes de seguridad son documentos de tipo ejecutivo que Satisfacer los requisitos y expectativas de los clientes.
5
Llevar una documentacin de cada actividad que se realice. general, toda la sociedad, dependen de forma creciente de las
Ventajas y desventajas: tecnologas de la informacin para el cumplimiento de su
Ventajas: misin[7]
Mejora la comunicacin con los clientes y usuarios finales Esta metodologa es importante porque el crecimiento de la
Los servicios se especifican con ms detalle y en un lenguaje tecnologa dentro de las organizaciones se est dando de manera
comprensible para el cliente exponencial y, por lo tanto, es necesario minimizar los riesgos
Mejora la calidad de los servicios TI asociados al uso de los sistemas garantizando la autenticidad,
Se desarrolla una estructura clara de la organizacin. confidencialidad, integridad, disponibilidad y trazabilidad de
Desventajas: los mismos, con la finalidad de generar confianza en los clientes
El tiempo y esfuerzo para su correcta implementacin puede tanto internos como externos de la organizacin; de igual
ser muy alto. manera, presenta una gua de cmo llevar a cabo el anlisis de
No se vea reflejado una mejora por falta de entendimiento de riesgos y se divide en 3 libros, el primero describe la estructura
los procesos involucrados. del modelo de gestin de riesgos, el segundo presenta el
Ciclo de vida: inventario para enfocar el anlisis de riesgos y el ltimo compila
El ciclo de vida del servicio tiene como principal objetivo de una gua de tcnicas de trabajo para dicho fin[8]
brindarnos una visin general de la vida de un servicio desde su MAGERIT fue creada con el fin de cumplir con objetivos
etapa de desarrollo hasta el momento en que se deje de prestar como conocer el estado de seguridad de los sistemas de
el servicio. informacin y la implementacin de medidas de seguridad,
El ciclo de vida del servicio es un modelo de organizacin que garantizar que no posea elementos que queden fuera del anlisis
nos brinda informacin sobre: para que tenga una profundidad adecuada en el mismo, mitigar
Como se encuentra estructurada la gestin del servicio. las vulnerabilidades y asegurar el desarrollo del sistema en
Como los diferentes elementos del ciclo de vida estn todas las fases de desarrollo. Estos objetivos han posicionado a
relacionados entre s. MAGERIT como una de las metodologas ms utilizadas en el
El efecto que los cambios en un elemento provocaran sobre mbito empresarial ya que les permite prepararse para procesos
otros elementos y sobre el ciclo de vida. de auditoras, certificaciones y acreditaciones[8]
El ciclo de vida de un servicio est conformado por cinco fases: En su investigacin concluyen que la metodologa
Estrategia del servicio. MAGERIT es una buena opcin que permite a las
Diseo del servicio. organizaciones un mayor asertividad en la toma de decisiones,
Transicin del servicio. permite encontrar inconsistencias dentro del sistema que no han
Operacin del servicio sido identificadas y no se sospechaba de su existencia, debido a
Mejora continua del servicio.[6] que su anlisis de riesgos es ms completo y tiene en cuenta
Versiones elementos empresariales que otras metodologas no
ITIL v1 fue desarrollada entre los aos 80 y 90, est contemplan. [8]
conformada por 30 libros y se centraba en estandarizar los En el cuadro que se muestra a continuacin se muestra un
diversos procedimientos y 23 formas de trabajo en las diferentes comparativo de los modelos COBIT, ITIL e ISO 27000 basado
reas de TI que posea el gobierno britnico. en las funciones, las reas de cobertura, la organizacin que
ITIL v2 fue desarrollada entre los aos 2000 y 2001 y a cre el modelo, para qu se implementa y quienes los orientan
diferencia de ITIL v1 que contaba con 30 libros ITIL v2 (evalan). Es importante concluir que un modelo no ser mejor
constaba tan solo de 7 libros para hacer a ITIL ms accesible a que otro, debido a que inicialmente hay que evaluar la
las personas interesadas. En esta versin de ITIL se agruparon pertinencia, la cobertura (reas) y ante todo que cada
los libros segn los procesos de administracin que cubran, con organizacin, cada empresa tiene su particularidad, por ende, lo
este cambio ITIL v2 comenz a considerarse como un modelo importante ser adoptar un modelo pertinente, tomar los
de referencia para el soporte tcnico y calidad de TI. elementos que sean aplicables y adaptar el modelo de referencia
ITIL v3 entro en escena en el ao 2007 y contaba con solo 5 para generar un modelo propio para la empresa. [1]
libros en vez de los 7 libros de la versin anterior. En esta
versin se introdujo el concepto de ciclo de vida del servicio
que nos brinda una visin general de la vida de un servicio TABLA III Comparativo COBIT, ITIL, ISO 27000
REA COBIT ITIL ISO 27000
desde el desarrollo del servicio hasta que se deje de prestar el
Mapeo de la Marco de
servicio. ITIL 2011 mantiene los 5 libros de ITIL v3 con la Mapeo de gestin de referencia de
Funciones
diferencia de que se le aumentaron procesos y se realizaron procesos IT niveles de seguridad de la
modificaciones para un mejor entendimiento de los conceptos. servicio de IT informacin
reas 4 procesos y 34 9 procesos 10 dominios
E. MAGERIT
Dominios
En su investigacin Varn Quiroga indica que MARGERIT ISO international
es la metodologa de anlisis y gestin de riesgos elaborada por Organization for
Creador ISACA OGC
el Consejo Superior de Administracin Electrnica, como Standardization
respuesta a la percepcin de que la Administracin, y, en
6
compuesto por un conjunto de normas ISO que se refieren a En su investigacin Prez, Torcoroma Velsquez Velsquez ,
recursos humanos, seguridad, medio ambiente y calidad, no es Andrs Mauricio Puentes Prez, Yesica Mara Prez concluyen
necesario tenerlas todas implementadas, eso va a depender del que se tiene un modelo para el establecimiento decriterios de
tipo de organizacin gobernabilidad de TI que tiene cuatro niveles en la organizacin
Con la informacin de la experiencia anterior se evidencia que TICs, aplicativos de apoyo, arquitectura tecnolgica y Modelo
es complicado cambiar la forma de trabajo de las personas de la de la empresa, se incorporan COBIT 4.1 con sus los objetivos
organizacin y esto complica la implantacin del sistema sino de control, teniendo presente en cada uno de ellos la seguridad
se realiza la gestin del cambio de forma adecuada.[10] y con los conceptos de CMMI se evalan los niveles de
En su investigacin Ladino, Martha Isabel Villa, Paula madurez por cada dominio y por cada nivel establecido en la
Andrea Mara, Ana Lpez E concluyen que dado que ahora la empresa. Se empieza a validar el modelo aplicndolo en las
informacin es considerada como el activo ms importante de zonas de Norte de Santander y Cesar, para lo cual se establecen
la organizacin es imprescindible protegerlo contra las los sectores ms representativos y se crea una gua para
amenazas que se encuentran en el medio. Existen diversas implementar el modelo planteado que inicia desde el
herramientas tanto libres como privativas que apoyan el sistema conocimiento del modelo, el reconocimiento incluido el
de gestin de seguridad de la informacin, optimizando modelado de procesos de la organizacin, el diseo y aplicacin
procesos o actividades. de instrumentos, su evaluacin y se indica como escalar en los
La experiencia demuestra que se puede llevar a cabo la niveles de madurez propuestos. Con el aporte de los trabajos
implementacin e implantacin del sistema de gestin de desarrollados en la especializacin en auditoria de sistemas se
seguridad de la informacin en una organizacin si se realiza evalan diferentes tipos de empresas y se disean propuestas
teniendo en cuenta la gestin del recurso humano.[10] encaminadas al establecimiento de buenas prcticas en su gran
G. Modelo para la implementacin de gobierno corporativo de mayora seguridad de la informacin, planes estratgicos de TI,
TI (Tecnologas de informacin) lineamentos para la conformacin de reas de auditora para las
Se plantea un modelo para la implementacin de gobierno empresas, manejo de residuos elctricos y electrnicos, entre
corporativo de TI, se incorpora una gua que tiene como otros. Se generan propuestas como modelos de gestin de
objetivo apoyar a la institucin en el uso eficiente, eficaz, y riesgos y la incorporacin de estndares como COBIT 5.0, e
aceptable de las TI, equilibrando riesgos inherentes a los ISO/IEC 38500 para el diseo de modelo de gua para la
procesos y promoviendo las oportunidades originadas del uso implementacin de gobierno corporativo de TI, para la
de las tecnologas de la informacin se muestran los resultados incorporacin de los principios de responsabilidad, estrategia,
desarrollados y los trabajos futuros planteados. se propone la adquisicin, desempeo, conformidad y comportamiento
incorporacin de COBIT 5.0, planteando un modelo de gua humano, dentro de los cuales se encuentran las metas
para la implementacin de gobierno corporativo de TI, en corporativas de la organizacin, las metas de TI y los objetivos
donde se recomienda que se utilice la estrategia Top Down, de control de COBIT 5.0, enmarcados bajo las tres tareas
en la que se inicia con acciones formativas de la alta gerencia, principales evaluar, dirigir y monitorear propuestas en ISO/IEC
donde se promulgue las ventajas de un estndar de gobernanza 38500 del modelo de gobierno corporativo de TI. [11]
de las TI en la empresa, proponiendo las acciones necesarias
para que la iniciativa trascienda en cascada por cada
dependencia de la empresa, facilitando la implementacin del III. REFERENCIAS
gobierno de TI. Para la creacin del modelo para la
implementacin de gobierno corporativo de TI, se toma cada
meta del negocio, identificando por cada una las metas de TI y [1] V. M. Orrego, "La gestin en la seguridad de la
sus respectivos objetivos de control.[11] informacin segn Cobit, Itil e Iso 27000," Revista
Pensamiento Americano, vol. 4, no. 6, 2013.
[2] C. Toro, M. del Cisne, and L. M. Coronado Cabezas,
"Auditora de la gestin de las tic's en la empresa
DIPAC utilizando COBIT," 2008.
[3] H. D. Ortiz Collaguazo, "Auditora informtica
aplicando la metodologa cobit 4.1 en el departamento
de sistemas perteneciente al GRUPO KFC,"
LATACUNGA/UTC/2016, 2016.
[4] D. K. Romero Balboa, "Evaluacin del sistema de
Control Interno (COSO III) a la Cooperativa de
Ahorro y Crdito Unin Ferroviaria Ecuatoriana
Ltda., cantn Riobamba, provincia de Chimborazo,
perodo 2015," Escuela Superior Politcnica de
Chimborazo, 2017.
[5] J. S. B. Sanabria, "Metodologa gil de
Fig. 6 Modelo de Gua para la implementacin de Gobierno Corporativo de TI establecimiento de sistemas de gestin de la seguridad
8