1
INTEGRACION COBIT, COSO, ISO27001,
ITIL Y MAGERIT
Pablo Andrs Snchez Zambrano
Universidad de Guayaquil, Facultad de Ciencias Matemticas y Fsicas, Guayaquil, Ecuador.
E-mail: pablosanchez.pf@gmail.com
AbstractoEn este documento se describen las principales
metodologas para implementacin de la auditoria informtica en
las organizaciones relacionadas con el uso de las TI (Tecnologas
de la informacin) para la creacin de sistemas de informacin con
el fin de obtener la mayor productividad y calidad posibles.
ndice de trminosCOBIT, COSO, ISO27001, ITIL,
MAGERIT
I. INTRODUCCIN
E N la actualidad los temas referentes a la auditoria
informtica recogen cada vez ms relevancia tanto a nivel
nacional como internacional, ya que el activo ms importante
para las empresas es la informacin por lo que invertir grandes
cantidades de dinero para la creacin de sistemas de
informacin y SGSI (Sistema de Gestin de Seguridad de la
Informacin) es fundamental para obtener la mayor
productividad y calidad posible.
Un SGSI se puede mejorar mediante la inclusin de reas
de aplicacin ISO 27000, o midiendo el estado de maduracin
de su SGSI a travs de COBIT (Control Objectives for
Information and related Technology) o ITIL (La Biblioteca de
Infraestructura de Tecnologas de la Informacin).[1]
La informacin se ha convertido en un activo vital para el
xito y la continuidad en el mercado de cualquier organizacin.
Por ende, el aseguramiento de dicha informacin y de los
sistemas que la procesan es un objetivo de primer nivel para la
organizacin. Para la correcta gestin de la seguridad de la
informacin, es necesario implantar un sistema que aborde esta
tarea de una forma metodolgica, documentada y basada en
unos objetivos claros de seguridad y una acertada evaluacin de
los riesgos a los que est sometida la informacin de la
organizacin. [1] En este documento se realiza una
investigacin descriptiva cualitativa de las siguientes
metodologas COBIT, COSO, ISO27001, ITIL, MAGERIT.
II. METODOLOGAS
A. COBIT
COBIT (control de objetivos para la tecnologa y la
informacin), es un modelo de referencia, empleado en la
administracin y control de las tecnologas de la informacin
permite analizar cada uno de los procesos del rea de tecnologa
de
de informacin y comunicacin, siendo estos 34 procesos,
divididos en 4 dominios: Planeacin y organizacin,
adquisicin e implementacin, entrega y soporte, y
monitoreo.[2]
Planear y Organizar (PO) Estrategias y tcticas. Identificar la
manera en que TI pueda contribuir de la mejor manera al logro
de los objetivos del negocio. Proporciona direccin para la
entrega de soluciones (AI) y la entrega de servicio (DS).
Adquirir e Implementar (AI) Identificacin de soluciones,
desarrollo o adquisicin, cambios y/o mantenimiento de
sistemas existentes. Proporciona las soluciones y las pasa para
convertirlas en servicios.
Entregar y Dar Soporte (DS) Cubre la entrega de los servicios
requeridos. Incluye la prestacin del servicio, la administracin
de la seguridad y de la continuidad, el soporte del servicio a los
usuarios, la administracin de los datos y de las instalaciones
operacionales. Recibe las soluciones y las hace utilizables por
los usuarios finales.
Monitorear y Evaluar (ME) Todos los procesos de TI deben
evaluarse de forma regular en el tiempo en cuanto a su calidad
y cumplimiento de los requerimientos de control. Este dominio
abarca la administracin del desempeo, el monitoreo del
control interno, el cumplimiento regulatorio y la aplicacin del
gobierno. Monitorear todos los procesos para asegurar que se
sigue la direccin provista.
Para satisfacer los objetivos del negocio, la informacin
necesita concordar con ciertos criterios a los que COBIT hace
referencia como requerimientos de negocio para la
informacin. Al establecer la lista de requerimientos, COBIT
combina principios contenidos en modelos referenciales
existentes y conocidos:[3]
Requerimiento de Calidad:
Calidad.
Costo.
Entrega de servicio.
2. Requerimientos de Seguridad:
Confidencialidad.
 2

Integridad. TABLA I Proceso COBIT 4.1[3]

Disponibilidad. Procesos y Objetivos de Control COBIT 4.1
PLANIFICACION Y ORGANIZACIN
PO1 Definen un Plan de TI Estratgico
PO2 Definen la Informacin Arquitectura
PO3 Determinan Direccin Tecnolgica
PO4 Definen los Procesos de TI, Organizacin y Relaciones
PO5 Manejan la Inversin TI
PO6 Comunican Objetivos de Direccin y Direccin
PO7 Manejan Recursos TI Humanos
PO8 Manejan Calidad
PO9 Evalan y Manejan Riesgos de TI
P10 Manejan Proyectos
ADQUISICION
Fig. 1 Criterios de informacin [3]
AI1 Identifican Soluciones Automatizadas
AI2 Adquieren y Mantienen Software De aplicacin
AI3 Adquieren y Mantienen Infraestructura de Tecnologa
AI4 Permiten Operacin y Usan AI5 Procuran Recursos TI
AI6 Manejan Cambios
AI7 Instalan y Acreditan Soluciones y Cambios
ENTREGAR Y DAR SOPORTE
DS1 Definicin y administracin de los niveles de servicio
DS2 Administracin de los servicios de terceros.
DS3 Administracin del desempeo y capacidad de TI
DS4 Garantas en la continuidad del servicio
Fig. 2 Estructura de COBIT[3] DS5 Garantas en la seguridad de los sistemas.
DS6 Identificacin y asignacin de costos de TI.
DS7 Educacin y entrenamiento a los usuarios
DS8 Administracin de la mesa de servicios de TI y los incidentes.
DS9 Administracin de la configuracin de TI.
DS10 Administracin de los problemas con TI.
DS11 Administracin de los datos.
DS12 Administracin del ambiente fsico
DS13 Administracin de las operaciones de TI.
MONITOREAR Y EVALUAR
ME1 Monitoreo y evaluacin del desempeo de TI.
ME2 Monitoreo y evaluacin el control interno.
ME3 Garantas en el cumplimiento regulatorio
ME4 Proporciona gobierno de TI

Fig. 3 COBIT 4.1 TABLA II genrica acerca del Modelo de Madurez [3]
los procesos en COBIT satisfacen uno o varios criterios de
la informacin de la siguiente manera:
(P) Primario. - es el grado al cual el objetivo de control
definido impacta directamente el requerimiento de informacin
de inters.
(S) Secundario es el grado al cual el objetivo de control
definido satisface nicamente de forma indirecta o en menor
medida el requerimiento de informacin de inters.
Blanco (vaco) podra aplicarse; sin embargo, los
requerimientos son satisfechos ms apropiadamente por otro
criterio en este proceso y/o por otro proceso. [3]
Procesos COBIT 4.1

En su investigacin Ortiz Collaguazo concluye La auditora
informtica realizada en el Departamento de Sistemas
aplicando la metodologa COBIT 4.1 permiti analizar los
resultados obtenidos mediante los procesos de los cuatro
dominios aplicados, al igual que se pudo determinar en qu
grado de madurez se encuentra la empresa. Despus de haber
determinado los KPIS (indicadores claves de desempeo)
correspondientes a cada rea, se pudo analizar las principales
funciones que cumplen cada rea generando u obteniendo
resultados tales como, la satisfaccin del cliente-usuario, en
base al porcentaje de cumplimiento de cada funcin principal,
de tal manera que se cumpla a cabalidad los objetivos del
Departamento de Sistemas (IT). Para determinar los KPI en el
Departamento de Sistemas se debe tomar en consideracin el
nivel de cumplimiento y las principales actividades que se
realiza en cada rea, para poder establecer y aplicar la estructura
critica del semforo que califica el nivel de cumplimiento
existente. [3]
B. COSO
Segn la pgina web(AEC, 2016)COSO define: (Committee of
Sponsoring Organizations of the Treadway) que en espaol
significa Comit de Organizaciones Patrocinadoras de la
Comisin Treadway, es una Comisin 30 voluntaria constituida
por representantes de cinco organizaciones del sector privado
en EEUU, para proporcionar liderazgo intelectual frente a tres
temas interrelacionados: la gestin del riesgo empresarial
(ERM), el control interno, y la disuasin del fraude.[4]
En su investigacin Romero Balboa detalla el proceso evolutivo
de la metodologia COSO siendo asi la version I, II, III las cuales
se fueron mejorando a medida que las empresas tenian cambios
evolutivos.
Evolucin del COSO I, II, III
COSO I
Fig. 4 COSO I (1992) Fuente: COSO, Auditores Externos, 2013
Segn documento web (Auditool, 2016) manifiesta: Segn
el COSO el sistema de control interno es: Proceso realizado por
el consejo de directores, administradores y otro personal de una
entidad, diseado para proporcionar seguridad razonable
mirando el cumplimiento de los objetivos en las siguientes
categoras:
Efectividad y eficiencia de las operaciones.
Confiabilidad de la informacin financiera.
Cumplimiento de las leyes y regulaciones aplicables.
La estructura del estndar se divida en cinco componentes:
3
Ambiente de control
Evaluacin de riesgos
Actividades de control
Informacin y comunicacin
Supervisin
De la definicin anterior se concluye, que el COSO I, se
divide en cinco componentes, que han sido diseados para
facilitar a las empresas la evaluacin y mejora de sus sistemas,
proporcionando seguridad razonable en la aplicacin de su
control interno.
COSO II
Fig. 5 COSO II Administracin de riesgo de la empresa ERM
En el 2004, se public COSO II, Marco Integrado de Gestin
de Riesgos que ampla el concepto del sistema de control
interno a la gestin de riesgos, implicando necesariamente a
todo el personal, incluidos los directivos y administradores.
Aspectos importantes:
Administracin del riesgo en la determinacin de la
estrategia
Eventos y riesgo
Apetito de riesgo
Tolerancia al riesgo
Visin de portafolio de riesgo
No sustituye el modelo coso de 1992 sino que incorpora
como parte de l, permitiendo a las compaas mejorar sus
prcticas de control interno o decidir encaminarse hacia un
proceso ms completo de gestin de riesgo.
En conclusin, el COSO II, fue creado para incorporar al
marco del control interno como parte de l, proporcionando las
bases necesarias para su evaluacin y gestin integral del
riesgo, en esta etapa se trata de ampliar el estudio del riesgo,
estableciendo un control interno que permita cubrir los peligros
existentes en las empresas.
COSO III
Fig. 5 Modelo COSO III Fuente: COSO, Auditores Externos, 2013

En mayo de 2013 el Comit COSO publica la actualizacin
del Marco Integrado de Control Interno cuyos objetivos son:
Aclarar los requerimientos del control interno.
Actualizar el contexto de la aplicacin del control interno
Ampliar su aplicacin al expandir los objetivos operativos
Este nuevo Marco Integrado permite una mayor cobertura de
los riesgos a los que se enfrentan actualmente las
organizaciones.
El modelo de control interno COSO 2013 actualizado est
compuesto por los cinco componentes establecidos en el marco
anterior, y 17 principios y puntos de enfoque que presentan las
caractersticas fundamentales de cada componente. Se
caracteriza por tener en cuenta los siguientes aspectos y generar
diferentes beneficios:
Mayores expectativas del gobierno corporativo.
Globalizacin de mercados operacionales.
Cambio continuo en mayor complejidad en los negocios.
Mayor demanda y complejidad en normativas.
Expectativas de competencias con responsabilidades.
Uso y mayor nivel de confianza en tecnologas.
Expectativas relacionadas con prevenir el fraude.
De acuerdo con lo mencionado anteriormente, el COSO III fue
creado para presentar en forma actualizada los componentes
y principios del COSO I, ajustando a los cambios evolutivos
de las empresas, ayudando a tener una mayor cobertura de los
riesgos existentes actualmente, ampliando el concepto de
control interno, los objetivos de cada componente e incluyendo
una gua orientadora para facilitar la supervisin del Sistema de
Control sobre las operaciones, el cumplimiento y los objetivos
de reporte.
C. ISO 270001
La metodologa diseada cuenta con una estructura creada a
partir de la experiencia en procesos de auditoras a
organizaciones. Estas auditoras han sido orientadas a normas
tales como ITIL y la misma ISO/IEC 27001 en conjunto con un
proceso de auditora desarrollado con la Red de datos de la
Universidad Distrital Francisco Jos de Caldas entre el ao
2008 y 2009. Las dificultades de la implementacin de un SGSI
se ven representadas en la falta de profundidad o
recomendacin de actividades a realizar dentro de cada control,
haciendo referencia al numeral A del estndar ISO/IEC
27001.[5]
la metodologa se aborda a travs de la aplicacin del ciclo
Deming o tambin conocido como PHVA (Planificar, Hacer,
Verificar, Actuar) el cual es aplicado de la siguiente forma:
PLANEAR: Disear o revisar procesos que soportan servicios
de tecnologas de la informacin.
HACER: Implementacin del plan y gestin de los procesos.
VERIFICAR: Medicin de los procesos y de los servicios de
tecnologas de la informacin, comparacin con los objetivos
marcados y generacin de informes.
ACTUAR: Planificacin e implementacin de cambios para la
mejora de los procesos.[5]
La poltica de seguridad de la informacin es el marco que
establece los alcances y objetivos del SGSI. Por su parte, los
planes de seguridad son documentos de tipo ejecutivo que
4
aplican controles, acciones preventivas y correctivas
establecidas a travs del tratamiento del riesgo y
complementado con buenas prcticas para el cumplimiento por
parte del personal de la organizacin y terceras partes. Una vez
finalizados estos documentos, deben contar con el aval de la
direccin de la organizacin y deben establecer el inicio del
SGSI. Sigue a este proceso la educacin en seguridad de la
informacin a todo el personal y el establecimiento de
auditoras y mejoramiento continuo. Cada cierto tiempo, como
lo establece el estndar ISO/IEC 27001, deben realizarse
actualizaciones y mejoras a los planes, adecundolos segn la
introduccin de nuevos procesos y tecnologas. [5]
En su investigacin Sanabria concluye que La eficacia y
eficiencia de la construccin del SGSI, las polticas y planes de
seguridad de la informacin a travs del uso de la metodologa
sugerida comprueban la agilidad del proceso y los beneficios
para la organizacin. En promedio este proceso de
establecimiento de un SGSI toma para una organizacin entre
un ao y dos aos debido a la dificultad de la limitacin de
procesos, aseguramiento de plataformas tecnolgicas y
educacin del personal. La metodologa desarrollada permite
realizar el procedimiento de una manera gil y segura, tomando
de otros dominios y puntos de vista, elementos que permiten el
establecimiento de planes de seguridad ms robustos y que
adems de evaluar procesos, tengan presente la importancia del
aspecto tcnico al interior del SGSI. [5]
D. ITIL
En su investigacin Torres Montesdeoca indican que la
metodologia ITIL es la abreviacin de Information Technology
Infrastructure Library, fue desarrollado en 1980 por Central
Computer and Telecommunication Agency (CCTA) del
gobierno del Reino Unido para garantizar una entrega eficaz y
eficiente de los servicios de TI, hoy se encuentra regulado por
el Ministerio de Comercio del reino unido. ITIL fue
desarrollada al darse cuenta de que las empresas u
organizaciones cada vez son ms dependientes de la
Informtica para alcanzar sus objetivos empresariales. A pesar
de que se desarroll en la dcada de los aos 80, no fue hasta el
ao 1990 que fue considerablemente adaptada. A lo largo de la
historia de ITIL se han desarrollado varias publicaciones de la
misma que son las siguientes:
ITIL V1 conformada por 31 libros.
ITIL V2 conformada por 7 libros.
ITIL V3 conformado por 5 libros
ITIL 2011 que es una mejora a ITIL V3
Los objetivos que ITIL nos brindan son los siguientes:
Servir de gua en base a buenas prcticas que garantizan la
calidad de los servicios de TI.
Proporcionar una descripcin detallada de los procesos con
mayor relevancia de una organizacin de TI.
Alinear los servicios de TI con las necesidades de la empresa
u organizacin.
Optimizar la calidad de los servicios TI ofrecidos.
Llevar un control y gestin eficiente de los recursos.
Satisfacer los requisitos y expectativas de los clientes.

Llevar una documentacin de cada actividad que se realice.
Ventajas y desventajas:
Ventajas:
Mejora la comunicacin con los clientes y usuarios finales
Los servicios se especifican con ms detalle y en un lenguaje
comprensible para el cliente
Mejora la calidad de los servicios TI
Se desarrolla una estructura clara de la organizacin.
Desventajas:
El tiempo y esfuerzo para su correcta implementacin puede
ser muy alto.
No se vea reflejado una mejora por falta de entendimiento de
los procesos involucrados.
Ciclo de vida:
El ciclo de vida del servicio tiene como principal objetivo de
brindarnos una visin general de la vida de un servicio desde su
etapa de desarrollo hasta el momento en que se deje de prestar
el servicio.
El ciclo de vida del servicio es un modelo de organizacin que
nos brinda informacin sobre:
Como se encuentra estructurada la gestin del servicio.
Como los diferentes elementos del ciclo de vida estn
relacionados entre s.
El efecto que los cambios en un elemento provocaran sobre
otros elementos y sobre el ciclo de vida.
El ciclo de vida de un servicio est conformado por cinco fases:
Estrategia del servicio.
Diseo del servicio.
Transicin del servicio.
Operacin del servicio
Mejora continua del servicio.[6]
Versiones
ITIL v1 fue desarrollada entre los aos 80 y 90, est
conformada por 30 libros y se centraba en estandarizar los
diversos procedimientos y 23 formas de trabajo en las diferentes
reas de TI que posea el gobierno britnico.
ITIL v2 fue desarrollada entre los aos 2000 y 2001 y a
diferencia de ITIL v1 que contaba con 30 libros ITIL v2
constaba tan solo de 7 libros para hacer a ITIL ms accesible a
las personas interesadas. En esta versin de ITIL se agruparon
los libros segn los procesos de administracin que cubran, con
este cambio ITIL v2 comenz a considerarse como un modelo
de referencia para el soporte tcnico y calidad de TI.
ITIL v3 entro en escena en el ao 2007 y contaba con solo 5
libros en vez de los 7 libros de la versin anterior. En esta
versin se introdujo el concepto de ciclo de vida del servicio
que nos brinda una visin general de la vida de un servicio
desde el desarrollo del servicio hasta que se deje de prestar el
servicio. ITIL 2011 mantiene los 5 libros de ITIL v3 con la
diferencia de que se le aumentaron procesos y se realizaron
modificaciones para un mejor entendimiento de los conceptos.
E. MAGERIT
En su investigacin Varn Quiroga indica que MARGERIT
es la metodologa de anlisis y gestin de riesgos elaborada por
el Consejo Superior de Administracin Electrnica, como
respuesta a la percepcin de que la Administracin, y, en
5
general, toda la sociedad, dependen de forma creciente de las
tecnologas de la informacin para el cumplimiento de su
misin[7]
Esta metodologa es importante porque el crecimiento de la
tecnologa dentro de las organizaciones se est dando de manera
exponencial y, por lo tanto, es necesario minimizar los riesgos
asociados al uso de los sistemas garantizando la autenticidad,
confidencialidad, integridad, disponibilidad y trazabilidad de
los mismos, con la finalidad de generar confianza en los clientes
tanto internos como externos de la organizacin; de igual
manera, presenta una gua de cmo llevar a cabo el anlisis de
riesgos y se divide en 3 libros, el primero describe la estructura
del modelo de gestin de riesgos, el segundo presenta el
inventario para enfocar el anlisis de riesgos y el ltimo compila
una gua de tcnicas de trabajo para dicho fin[8]
MAGERIT fue creada con el fin de cumplir con objetivos
como conocer el estado de seguridad de los sistemas de
informacin y la implementacin de medidas de seguridad,
garantizar que no posea elementos que queden fuera del anlisis
para que tenga una profundidad adecuada en el mismo, mitigar
las vulnerabilidades y asegurar el desarrollo del sistema en
todas las fases de desarrollo. Estos objetivos han posicionado a
MAGERIT como una de las metodologas ms utilizadas en el
mbito empresarial ya que les permite prepararse para procesos
de auditoras, certificaciones y acreditaciones[8]
En su investigacin concluyen que la metodologa
MAGERIT es una buena opcin que permite a las
organizaciones un mayor asertividad en la toma de decisiones,
permite encontrar inconsistencias dentro del sistema que no han
sido identificadas y no se sospechaba de su existencia, debido a
que su anlisis de riesgos es ms completo y tiene en cuenta
elementos empresariales que otras metodologas no
contemplan. [8]
En el cuadro que se muestra a continuacin se muestra un
comparativo de los modelos COBIT, ITIL e ISO 27000 basado
en las funciones, las reas de cobertura, la organizacin que
cre el modelo, para qu se implementa y quienes los orientan
(evalan). Es importante concluir que un modelo no ser mejor
que otro, debido a que inicialmente hay que evaluar la
pertinencia, la cobertura (reas) y ante todo que cada
organizacin, cada empresa tiene su particularidad, por ende, lo
importante ser adoptar un modelo pertinente, tomar los
elementos que sean aplicables y adaptar el modelo de referencia
para generar un modelo propio para la empresa. [1]
TABLA III Comparativo COBIT, ITIL, ISO 27000
REA COBIT ITIL ISO 27000
Mapeo de la Marco de
Mapeo de gestin de referencia de
Funciones
procesos IT niveles de seguridad de la
servicio de IT informacin
reas 4 procesos y 34 9 procesos 10 dominios
Dominios
ISO international
Organization for
Creador ISACA OGC
Standardization
 6

Para qu se Auditoria de Gestin de Cumplimiento Permite a la

implementa? sistemas de niveles de del estndar de
direccin de la
informacin servicio seguridad
Compaas de empresa
Compaas de consultora en IT, poseer una
contabilidad Compaas de empresas de visin global
Quines lo
compaas de consultora en seguridad del riesgo y
evalan?
consultora en IT consultores de
IT seguridad en Ofrece un Mtodo accionar los
redes. Sistematizado para planes para su
analizar los Riesgos. correcta
TABLA IV Comparativo COSO, MARGERIT[9] Ayuda a Identificar y gestin.
Factor MAGERIT COSO Planificar medidas Permite dar
Ventajas
Tipos de necesarias para reducir soporte a las
Empresas o Empresas o los Riesgos. Brinda actividades de
Empresas
Cooperativas Cooperativas Herramientas que planificacin
donde es
Financieras Financieras ayudan a facilitar el estratgica y
Aplicable
A la Anlisis de Riesgos. control interno.
rea donde Sistemas de Fomenta que la
Informacin
se Aplica Informacin Financiera gestin de
Financiera
Consta de 5 riesgos pase a
Etapas formar parte de
Ambiente de la cultura del
Consta de 3 Fases Control grupo.
Planificacin del Evaluacin de Crea una carga
Por el contrario, el
Estructura Proyecto Anlisis de Riesgos administrativa
hecho de tener que
Riesgos Gestin de Actividades de adicional como
traducir de forma
Riesgos Control parte de los
directa todas las
Informacin y procedimientos
Desventajas valoraciones en valores
Comunicacin de Auditoria
econmicos hace que la
Supervisin Interna.
aplicacin de esta
Generar conciencia a Proceso es
metodologa sea
los responsables de algo
realmente costosa.
Sistemas de complicado.
Informacin existencias Meycor COSO
de riesgos y necesidades Eficacia y Software de Pilar 5.2.9 De fcil AG De manejo
para solucionarlos a Eficiencia de Apoyo manejo complejo y
tiempo Ofrecer un las complicado
mtodo sistemtico para Operaciones.
analizar riesgos. Ayudar Confiabilidad F. CASO PRCTICO DE LA IMPLEMENTACIN DE LA
a descubrir y planificar de la NORMA ISO 27000 EN UNA ORGANIZACIN
Objetivos A continuacin, se presenta una experiencia general
el tratamiento oportuno informacin
para mantener los Financiera. compartida por un asesor que ha participado del proceso de
riesgos bajo control Cumplimiento certificacin de la norma ISO 27001 en una entidad pblica.
Indirectos. Preparar a la de Normas y En la organizacin empezamos a verificar que los controles
Organizacin para Leyes de la norma se estuvieran efectuando, pero despus de varias
procesos de evaluacin, Aplicables. evaluaciones notamos que las personas involucradas no estaban
auditora, certificacin o cumpliendo muchos procesos que estaban ya definidos con
acreditacin, segn anticipacin, entonces el comit decidi para la implantacin de
corresponda en cada la norma dirigirse al departamento de sistemas y se defini que
caso. era necesario implementar algunos controles desde el software
que estaban utilizando, para obligar a los usuarios a cumplir con
los mencionados procesos. En la entidad ya estaba establecido
el sistema de gestin de calidad (ISO 9001) y lo que hicimos
fue adherir los procesos de seguridad a este sistema, dado que
es lo que comnmente realizan las empresas, adems la
tendencia es tener un sistema integral de gestin llamado
Human Security Enviroment Quality (HSEQ) el cual est

compuesto por un conjunto de normas ISO que se refieren a
recursos humanos, seguridad, medio ambiente y calidad, no es
necesario tenerlas todas implementadas, eso va a depender del
tipo de organizacin
Con la informacin de la experiencia anterior se evidencia que
es complicado cambiar la forma de trabajo de las personas de la
organizacin y esto complica la implantacin del sistema sino
se realiza la gestin del cambio de forma adecuada.[10]
En su investigacin Ladino, Martha Isabel Villa, Paula
Andrea Mara, Ana Lpez E concluyen que dado que ahora la
informacin es considerada como el activo ms importante de
la organizacin es imprescindible protegerlo contra las
amenazas que se encuentran en el medio. Existen diversas
herramientas tanto libres como privativas que apoyan el sistema
de gestin de seguridad de la informacin, optimizando
procesos o actividades.
La experiencia demuestra que se puede llevar a cabo la
implementacin e implantacin del sistema de gestin de
seguridad de la informacin en una organizacin si se realiza
teniendo en cuenta la gestin del recurso humano.[10]
G. Modelo para la implementacin de gobierno corporativo de
TI (Tecnologas de informacin)
Se plantea un modelo para la implementacin de gobierno
corporativo de TI, se incorpora una gua que tiene como
objetivo apoyar a la institucin en el uso eficiente, eficaz, y
aceptable de las TI, equilibrando riesgos inherentes a los
procesos y promoviendo las oportunidades originadas del uso
de las tecnologas de la informacin se muestran los resultados
desarrollados y los trabajos futuros planteados. se propone la
incorporacin de COBIT 5.0, planteando un modelo de gua
para la implementacin de gobierno corporativo de TI, en
donde se recomienda que se utilice la estrategia Top Down,
en la que se inicia con acciones formativas de la alta gerencia,
donde se promulgue las ventajas de un estndar de gobernanza
de las TI en la empresa, proponiendo las acciones necesarias
para que la iniciativa trascienda en cascada por cada
dependencia de la empresa, facilitando la implementacin del
gobierno de TI. Para la creacin del modelo para la
implementacin de gobierno corporativo de TI, se toma cada
meta del negocio, identificando por cada una las metas de TI y
sus respectivos objetivos de control.[11]
Fig. 6 Modelo de Gua para la implementacin de Gobierno Corporativo de TI
7
En su investigacin Prez, Torcoroma Velsquez Velsquez ,
Andrs Mauricio Puentes Prez, Yesica Mara Prez concluyen
que se tiene un modelo para el establecimiento decriterios de
gobernabilidad de TI que tiene cuatro niveles en la organizacin
TICs, aplicativos de apoyo, arquitectura tecnolgica y Modelo
de la empresa, se incorporan COBIT 4.1 con sus los objetivos
de control, teniendo presente en cada uno de ellos la seguridad
y con los conceptos de CMMI se evalan los niveles de
madurez por cada dominio y por cada nivel establecido en la
empresa. Se empieza a validar el modelo aplicndolo en las
zonas de Norte de Santander y Cesar, para lo cual se establecen
los sectores ms representativos y se crea una gua para
implementar el modelo planteado que inicia desde el
conocimiento del modelo, el reconocimiento incluido el
modelado de procesos de la organizacin, el diseo y aplicacin
de instrumentos, su evaluacin y se indica como escalar en los
niveles de madurez propuestos. Con el aporte de los trabajos
desarrollados en la especializacin en auditoria de sistemas se
evalan diferentes tipos de empresas y se disean propuestas
encaminadas al establecimiento de buenas prcticas en su gran
mayora seguridad de la informacin, planes estratgicos de TI,
lineamentos para la conformacin de reas de auditora para las
empresas, manejo de residuos elctricos y electrnicos, entre
otros. Se generan propuestas como modelos de gestin de
riesgos y la incorporacin de estndares como COBIT 5.0, e
ISO/IEC 38500 para el diseo de modelo de gua para la
implementacin de gobierno corporativo de TI, para la
incorporacin de los principios de responsabilidad, estrategia,
adquisicin, desempeo, conformidad y comportamiento
humano, dentro de los cuales se encuentran las metas
corporativas de la organizacin, las metas de TI y los objetivos
de control de COBIT 5.0, enmarcados bajo las tres tareas
principales evaluar, dirigir y monitorear propuestas en ISO/IEC
38500 del modelo de gobierno corporativo de TI. [11]
III. REFERENCIAS
[1] V. M. Orrego, "La gestin en la seguridad de la
informacin segn Cobit, Itil e Iso 27000," Revista
Pensamiento Americano, vol. 4, no. 6, 2013.
[2] C. Toro, M. del Cisne, and L. M. Coronado Cabezas,
"Auditora de la gestin de las tic's en la empresa
DIPAC utilizando COBIT," 2008.
[3] H. D. Ortiz Collaguazo, "Auditora informtica
aplicando la metodologa cobit 4.1 en el departamento
de sistemas perteneciente al GRUPO KFC,"
LATACUNGA/UTC/2016, 2016.
[4] D. K. Romero Balboa, "Evaluacin del sistema de
Control Interno (COSO III) a la Cooperativa de
Ahorro y Crdito Unin Ferroviaria Ecuatoriana
Ltda., cantn Riobamba, provincia de Chimborazo,
perodo 2015," Escuela Superior Politcnica de
Chimborazo, 2017.
[5] J. S. B. Sanabria, "Metodologa gil de
establecimiento de sistemas de gestin de la seguridad
 8

de la informacin basados en ISO/IEC27001," Puente,

vol. 6, no. 1, pp. 25-30, 2017.
[6] D. F. Torres Montesdeoca, "Auditora y diseo de
propuestas de mejoras para la gestin de servicio de ti
de la FIEC-ESPOL en base a ITIL 2011," Espol, 2017.
[7] J. C. Varn Quiroga, "Estudio de anlisis y gestin de
riesgo al sistema de informacin de la empresa
Agesagro SAS utilizando la metodologa Magerit,"
2017.
[8] A. Abril, J. Pulido, and J. A. Bohada, Anlisis de
Riesgos en Seguridad de la Informacin (2014). 2014.
[9] C. A. Simbaya Camacho, "Auditora Informtica y su
incidencia en la funcionalidad del Sistema de
Informacin Financiera de la Cooperativa de Ahorro y
Crdito Universitaria Limitada (COPEU),"
Universidad Tcnica de Ambato. Facultad de
Ingeniera en Sistemas, Electrnica e Industrial.
Carrera de Ingeniera en Sistemas Computacionales e
Informtica, 2014.
[10] M. I. Ladino, P. A. Villa, and A. L. E. Mara,
"Fundamentos de iso 27001 y su aplicacin en las
empresas," Scientia et technica, vol. 1, no. 47, pp. 334-
339, 2011.
[11] T. V. Prez, A. M. P. Velsquez, and Y. M. P. Prez,
"Un enfoque de buenas prcticas de gobierno
corporativo de TI," Revista Tecnura, vol. 19, pp. 159-
169, 2016.