Está en la página 1de 21

UNIVERSIDAD BICENTENARIA DE ARAGUA

VICERECTORADO ACADEMICO
FACULTAD DE INGENIERIA
ESCUELA DE INGENIERIA DE SISTEMAS
MARACAY, VENEZUELA

Metodologas de auditora
de sistemas

Facilitador:

Br.:

Ing. Jos Luis Ceballos

Morales, Luis C.I.: 19516118

San Joaqun de Turmero, Marzo de 2016

La auditora de sistemas de informacin es muy compleja y por tanto es


necesario contar con ciertas habilidades que te permitan a provechar al mximo este
tipo de auditoras y hacer que su uso sea el adecuado y obtener el beneficio de
adquirir con la prctica la habilidad necesaria para realizar una correcta auditora de
sistemas de informacin.
Actualmente la auditoria de los sistemas de informacin es definida como
cualquier auditoria que abarque la revisin y evaluacin de todos los aspectos de los
sistemas automticos de procesamiento de la informacin, incluyendo los
procedimientos

no

automticos

relacionados

con

ellos

las

interfaces

correspondientes.
Es indispensable tomar en cuenta que para hacer una adecuada planeacin de
la auditoria en sistemas de informacin, hay que seguir una serie de pasos previos que
permitirn dimensionar

el

tamao

caractersticas

de

rea

dentro

del

organismo a auditar, sus sistemas, organizacin y equipo.


1. Conceptualizacin
1.1 Auditora
Se define como un proceso sistemtico que consiste en obtener y evaluar
objetivamente evidencias sobre las afirmaciones relativas los actos y eventos de
carcter econmico; con el fin de determinar el grado de correspondencia entre esas
afirmaciones y los criterios establecidos, para luego comunicar los resultados a las
personas interesadas. (Ynfante, 2009).
La auditora es una funcin de direccin cuya finalidad es analizar y
apreciar, con vistas al as eventuales las acciones correctivas, el control interno de las
organizaciones para garantizar la integridad de su patrimonio, la veracidad de su
informacin y el mantenimiento de la eficacia de sus sistemas de gestin.

Otras posibles definiciones pueden ser:


Es un examen comprensivo de la estructura de una empresa, en cuanto a los
planes y objetivos, mtodos y controles, su forma de operacin y sus equipos
humanos y fsicos.
Una visin formal y sistemtica para determinar hasta qu punto una organizacin
est cumpliendo los objetivos establecidos por la gerencia, as como para identificar
los que requieren mejorarse. (Proyectos_fin_de_carrera, 2000)
1.2 Criterio de Auditora
Criterio de Auditoria: Polticas, practicas, procedimientos o requerimientos
contra los que el auditor compara la informacin recopilada sobre la gestin de
calidad. Los requerimientos pueden incluir estndares, normas, requerimientos
organizacionales especficos, y requerimientos legislativos o regulados. (Pastor,
2004).
1.3 Auditora en sistemas
Es la rama que se encarga de llevar a cabo la evaluacin de normas,
controles, tcnicas y procedimientos que se tienen establecidos en una empresa para
lograr confiabilidad, oportunidad, seguridad y confidencialidad de la informacin que
se procesa a travs de los sistemas de informacin. La auditora de sistemas es una
rama especializada de la auditora que promueve y aplica conceptos de auditora en el
rea de sistemas de informacin.
1.4 Auditora Informtica
La auditora en informtica es la revisin y la evaluacin de los controles,
sistemas, procedimientos de informtica; de los equipos de cmputo, su utilizacin,
eficiencia y seguridad, de la organizacin que participan en el procesamiento de la

informacin, a fin de que por medio del sealamiento de cursos alternativos se logre
una utilizacin ms eficiente y segura de la informacin que servir para una
adecuada toma de decisiones.
1.5 Auditora de Informacin
La auditora de la informacin es una rama especializada de la auditora que
promueve y aplica conceptos de auditora en el rea de sistemas de informacin. El
objetivo final que tiene el auditor es dar recomendaciones a la alta gerencia para
mejorar o lograr un adecuado control interno en ambientes de tecnologa informtica
con el fin de lograr mayor eficiencia operacional y administrativa. (Ynfante, 2009).
2. Auditora en sistemas de informacin
La auditora de los sistemas de informacin se define como cualquier
auditora que abarca la revisin y evaluacin de todos los aspectos (o de cualquier
porcin de ellos) de los sistemas automticos

de

procesamiento

de

la

informacin, incluidos los procedimientos no automticos relacionados con ellos


y las interfaces correspondientes. (Aguirre, 2007)
2.1 Objetivos
Participacin en el desarrollo de nuevos sistemas.
Evaluacin de controles
Cumplimiento de la metodologa.

Evaluacin de la seguridad en el rea informtica.

Evaluacin de suficiencia en los planes de contingencia.

Respaldos, proveer qu va a pasar si se presentan fallas

Opinin de la utilizacin de los recursos informticos.

Control de modificacin a las aplicaciones existentes.

Participacin en la negociacin de contratos con los proveedores.

Revisin de la utilizacin del sistema operativo y los programas

Auditora de la base de datos.

Auditora de la red de teleprocesos.

Desarrollo de software de auditora. (Ynfante, 2009)

2.2 Procedimientos
Se requieren varios pasos para realizar una auditora de sistemas de
informacin. El auditor de sistemas debe evaluar los riesgos globales y luego
desarrollar un programa de auditora que consta de objetivos de control y
procedimientos de auditora que deben satisfacer esos objetivos. El proceso de
auditora exige que el auditor de sistemas rena evidencia, evale fortalezas y
debilidades de los controles existentes basado en la evidencia recopilada, y que
prepare un informe de auditora que presente esos temas en forma objetiva a la
gerencia. Asimismo, la gerencia de auditora debe garantizar una disponibilidad y
asignacin adecuada de recursos para realizar el trabajo de auditora adems de las
revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia.
3. Tipos de auditora
Existen algunos tipos de auditora entre las que la Auditora de Sistemas
integra un mundo paralelo pero diferente y peculiar resaltando su enfoque a la
funcin informtica.
Entre los principales enfoques de Auditora tenemos los siguientes:

4. Metodologa de la auditora de sistemas de informacin


Existen algunas metodologas de Auditoras de Sistemas de informacin y
todas dependen de lo que se pretenda revisar o analizar:

Estudio preliminar

Revisin y evaluacin de controles y seguridades

Examen detallado de reas criticas

Comunicacin de resultados

4.1 Estudio preliminar


Incluye definir el grupo de trabajo, el programa de auditora, efectuar visitas
a la unidad informtica para conocer detalles de la misma, elaborar un cuestionario
para la obtencin de informacin para evaluar preliminarmente el control interno,
solicitud de plan de actividades, Manuales de polticas, reglamentos, Entrevistas con
los principales funcionarios.
4.2 Revisin y evaluacin de controles y seguridades
Consiste de la revisin de los diagramas de flujo de procesos, realizacin de
pruebas de cumplimiento de las seguridades, revisin de aplicaciones de las reas
crticas, Revisin de procesos histricos, Revisin de documentacin y archivos,
entre otras actividades.
4.3 Examen detallado de reas crticas
Con las fases anteriores el auditor descubre las reas crticas y sobre ellas
hace un estudio y anlisis profundo en los que definir concretamente su grupo de
trabajo y la distribucin de carga del mismo, establecer los motivos, objetivos,
alcance Recursos que usar, definir la metodologa de trabajo, la duracin de la
auditora, Presentar el plan de trabajo y analizar detalladamente cada problema
encontrado con todo lo anteriormente analizado.

4.4 Comunicacin de resultados


Se elaborar el borrador del informe a ser discutido con los ejecutivos de la
empresa hasta llegar al informe definitivo, el cual se presentar esquemticamente en
forma de matriz, cuadros o redaccin simple y concisa que destaque los problemas
encontrados, los efectos y las recomendaciones de la Auditora.
El informe debe contener lo siguiente:

Motivos de la Auditora

Objetivos

Alcance

Estructura Orgnico-Funcional del rea

Metodologa para la auditoria de sistemas


COBIT
COBIT y ISO/IEC 17799:2005
Las dos normas internacionales usadas hoy son COBIT Y ISO/IEC 17799:2005.
COBIT (Objetivos de Control para la Informacin y la Tecnologa relacionada) fue
liberado y usado principalmente por la comunidad TI. En 1998, las Directrices de
Direccin fueron aadidas, y COBIT se hizo el marco internacionalmente aceptado
para la gobernacin TI y el control. ISO/IEC 17799:2005 (el Cdigo de prctica para
la Seguridad de Informacin la Direccin) es tambin un estndar internacional y es
la mejor prctica para poner en prctica la direccin de seguridad. Las dos normas no
compiten el uno con el otro y en realidad complementan el uno al otro. COBIT
tpicamente cubre una ms amplia rea mientras ISO/IEC 17799 profundamente es

enfocado (concentrado) en el rea de seguridad. Abajo se describe la interrelacin de


las dos normas as como ISO/IEC 17799 puede ser integrado con COBIT.
Componentes
Resumen (Sumario) Ejecutivo
Las decisiones de negocio estn basadas en la informacin oportuna,
relevante y concisa. Expresamente diseado para directores ejecutivos embutidos de
tiempo y gerentes, el Resumen (Sumario) COBIT Ejecutivo, consiste en una
descripcin ejecutiva que proporciona una conciencia cuidadosa y el entendimiento
de los conceptos claves del COBIT y principios. Tambin incluido es un resumen del
Marco, que proporciona un entendimiento ms detallado de estos conceptos y
principios, identificando los cuatro dominios del COBIT (la Planificacin y la
Organizacin, la Adquisicin y la Puesta en prctica, la Entrega y el Apoyo, la
Supervisin) y 34 procesos de TI.Marco
Una organizacin acertada es construida sobre un marco slido de datos e
informacin. El Marco explica como los procesos de TI entregan la informacin que
el negocio tiene que alcanzar sus objetivos. Esta entrega es controlada por 34
objetivos de control de alto nivel, un para cada proceso de TI, contenida en los cuatro
dominios. El Marco se identifica cul de los siete criterios de la informacin (la
eficacia, la eficacia, la confidencialidad, la integridad, la disponibilidad, el
cumplimiento y la fiabilidad), as como que recursos TI (la gente, usos, tecnologa,
instalaciones y datos) son importantes para los procesos de TI para totalmente apoyar
el objetivo de negocio.Objetivos de Control

La llave al mantenimiento de la rentabilidad en un ambiente que se cambia


tecnolgicamente es como bien usted mantiene el control. Los Objetivos de Control
del COBIT proveen la perspicacia (idea) crtica tuvo que delinear una prctica clara
de poltica y buena para mandos de TI. Incluido son las declaraciones de resultados
deseados u objetivos para ser alcanzados por poniendo en prctica los 215 objetivos
de control especficos, detallados en todas partes de los 34 procesos de TI.Directrices De auditoria
Analice, evala, haga de intrprete, reaccione, el instrumento. Para alcanzar sus
objetivos deseados y objetivos usted y coherentemente constantemente debe revisar
sus procedimientos. Directrices de auditoria perfilan y aconsejan actividades reales
ser realizadas correspondiente a cada uno de los 34 objetivos de control de TI de alto
nivel, justificando el riesgo de objetivos de control no siendo encontrados. Directrices
de auditoria son un instrumento inestimable para interventores de sistemas de
informacin en el aseguramiento de direccin que provee y/o el consejo para la
mejora.
Instrumento de puesta en prctica
Un Instrumento de Puesta en prctica , que contiene la Conciencia de
Direccin y el Diagnstico de Control de TI, y la Gua de Puesta en prctica, FAQs,
estudios de caso de organizaciones actualmente que usan COBIT, y las presentaciones
de diapositiva que pueden ser usadas introducir COBIT en organizaciones. El nuevo
Juego de Instrumento es diseado para facilitar la puesta en prctica de COBIT,
relacionar lecciones cultas de organizaciones que rpidamente y satisfactoriamente
aplicado COBIT en sus ambientes de trabajo, y la direccin de plomo(ventajosa) para
preguntar sobre cada COBIT tratan: Este dominio es importante para nuestros
objetivos de negocio? Bien es realizado? Quin lo hace y quien es responsable?
Son formalizados los procesos y el control?

Directrices de Direccin
Para asegurar una empresa acertada, usted con eficacia debe manejar la
unin eficaz entre procesos de negocio y sistemas de informacin. Las nuevas
Directrices de Direccin son compuestas de Modelos de Madurez, ayudar determinar
las etapas y los niveles de expectativa de control y compararlos contra normas de
industria; Factores de xito Crticos, para identificar las acciones ms importantes
para alcanzar control de los procesos de TI; Indicadores de Objetivo Claves, para
definir los niveles objetivo de funcionamiento; e Indicadores de Funcionamiento
Claves, para medir si un proceso de control de TI encuentra su objetivo. Estas
Directrices de Direccin ayudarn a contestar las preguntas de preocupacin (inters)
inmediata a todo los que tienen una estaca (un inters) en el xito de la empresa.
ISO 27000
El estndar internacional ISO/IEC 27000:2005 ha sido desarrollado para
proporcionar un modelo para establecer, implementar, monitorear, revisar, mantener y
mejorar un Sistema de Administracin de Seguridad de Informacin (ISMS por sus
siglas en Ingls Information Security Management System).
La tecnologa ha sido percibida en la actualidad en forma global como
disparador de cambios permanentes del ambiente de negocios. Sin embargo, existe
una idea primordial que aparece inmvil contra esta fuerza tecnolgica que implica
que las organizaciones que sobreviven, son aquellas que entregan ms valor
verdadero a sus clientes.
La funcin de auditora contina proporcionando servicios de aseguramiento
tanto a clientes internos como externos. Dado que la tecnologa impacta la forma de
hacer negocios,

debe haber formas efectivas y sencillas para llevar a cabo la

evaluacin de los controles que deben existir para garantizar dicho servicio.

Bajo la premisa anterior, existe un gran inters en el medio por identificar los
estndares internacionales que son utilizados comnmente por empresas tanto
pblicas como privadas.
En ambos sectores, se hacen uso de una serie de estndares que guan el
desarrollo de proyectos de TI, entre ellos se pueden mencionar:
Directrices Gerenciales de COBIT, desarrollado por la Information Systems Audit
and Control Association (ISACA)
The Management of the Control of data Information Technology, desarrollado por
el Instituto Canadiense de Contadores Certificados (CICA).
Administracin de la inversin de tecnologa de Inversin: un marco para la
evaluacin y mejora del proceso de madurez, desarrollado por la Oficina de
Contabilidad General de los Estados Unidos (GAO).
Los estndares de administracin de calidad y aseguramiento de calidad ISO 9000,
desarrollados por la Organizacin Internacional de Estndares (ISO).
SysTrust Principios y criterios de confiabilidad de Sistemas, desarrollados por la
Asociacin de Contadores Pblicos (AICPA) y el CICA.
El Modelo de Evolucin de Capacidades de software (CMM), desarrollado por el
Instituto de Ingeniera de Software (SEI).
Administracin de sistemas de informacin: Una herramienta de evaluacin
prctica, desarrollado por la Directiva de Recursos de Tecnologa de Informacin.

Gua para el cuerpo de conocimientos de administracin de proyectos,

desarrollado por el comit de estndares del instituto de administracin de proyectos.

Ingeniera de seguridad de sistemas Modelo de madurez de capacidades (SSE

CMM), desarrollado por la agencia de seguridad nacional (NSA) con el apoyo de la


Universidad de Carnegie Mellon.
Administracin de seguridad de informacin: Aprendiendo de organizaciones
lderes, desarrollado por la Oficina de Contabilidad General de los Estados Unidos
(GAO).
Alcance de los Estndares.
Estndares de administracin de calidad y aseguramiento de calidad ISO
9000, desarrollados por la Organizacin Internacional de Estndares (ISO):
La coleccin ISO 9000 es un conjunto de estndares y directrices que apoyan a las
organizaciones a implementar sistemas de calidad efectivos, para el tipo de trabajo
que ellos realizan.
Modelo de Evolucin de Capacidades de software (CMM), desarrollado por
el Instituto de Ingeniera de Software (SEI):
Este modelo hace posible evaluar las capacidades o habilidades para ejecutar, de
una organizacin, con respecto al desarrollo y mantenimiento de sistemas de
informacin. Consiste en 18 sectores clave, agrupados alrededor de cinco niveles de
madurez. Se puede considerar que CMM es la base de los principios de evaluacin
recomendados por COBIT, as como para algunos de los procesos de administracin
de COBIT.
Ingeniera de seguridad de sistemas Modelo de madurez de capacidades
(SSE CMM), desarrollado por la agencia de seguridad nacional (NSA) con el apoyo
de la Universidad de Carnegie Mellon:

Este modelo describe las caractersticas esenciales de una arquitectura de


seguridad organizacional para tecnologa de informacin y comunicacin electrnica,
de acuerdo con las prcticas generalmente aceptadas observadas en las
organizaciones.
Normas.
El modelo CMMI y las normas ISO 27001
CMMI
CMMI (Capability Maturity Model Integration) es un modelo de mejora de
procesos de construccin de software que provee los elementos necesarios para
determinar su efectividad.
Este modelo puede ser utilizado como gua para mejorar las actividades de
un proyecto, rea u organizacin, ya que proporciona un marco de referencia para
evaluar la efectividad de los procesos actuales, facilitando con ello la definicin de
actividades, prioridades y metas para garantizar la mejora continua.
El modelo CMMI y las normas ISO 27001 (controles de la norma ISO/IEC
17799). 28 de Febrero de 2007.
La necesidad de una gestin eficiente y eficaz de la tecnologa de la
informacin (TI) ha puesto en marcha desde hace muchos aos el desarrollo, por
distintos organismos e instituciones, de normas o buenas prcticas para los distintos
aspectos de TI.
Ninguna de ellas debe ser aplicada de forma aislada dentro de TI. Todas
tienen que coexistir con el requisito de evitar redundancias y no incrementar la
burocracia, sin dejar de cumplir con su objetivo originario. La implantacin de
muchas de estas normas es certificable, por lo tanto, la planificacin de cualquiera

de ellas requiere tener en cuenta, simultneamente, a otras normas que afecten al


mismo conjunto de TI. Por esta razn, y dada la repercusin actual de las normas de
seguridad de TI, es importante conocer los requerimientos de estas normas, entre ellas
el conjunto de controles de la norma ISO 17799, para establecer acercamientos o
puntos de confluencia con la norma CMMI.
Seguridad de la informacin (segn ISO 27001): preservacin de su
confidencialidad, integridad y disponibilidad, as como la de los sistemas implicados
en su tratamiento

Confidencialidad: la informacin no se pone a disposicin ni se revela a


individuos, entidades o procesos no autorizados.

Integridad: mantenimiento de la exactitud y completitud de la informacin y


sus mtodos de proceso.

Disponibilidad: acceso y utilizacin de la informacin y los sistemas de


tratamiento de la misma por parte de los individuos, entidades o procesos
autorizados Cuando lo requieran.
ISO/IEC 27000: define el vocabulario estndar empleado en la familia

27000 (definicin de trminos y conceptos)


ISO/IEC 27001: especifica los requisitos a cumplir para implantar un SGSI
certificable conforme a las normas 27000
Define cmo es el SGSI, cmo se gestiona y cules son las responsabilidades
de los participantes. Sigue un modelo PDCA (Plan-Do-Check-Act) como puntos
clave tiene Gestin de riesgos + Mejora continua
ISO/IEC 27002: cdigo de buenas prcticas para la gestin de la seguridad.
Indica recomendaciones sobre qu medidas tomar para asegurar los sistemas de
informacin de una organizacin. A su vez, describe los objetivos de control

(aspectos a analizar para garantizar la seguridad de la informacin) y especifica los


controles recomendables a implantar (medidas a tomar)
Por otra parte, antes ISO 17799, basado en estndar BS 7799 (en Espaa
norma UNE-ISO 17799)
ISO/IEC 27003: gua de implementacin de SGSI e informacin acerca del
uso del modelo PDCA (Plan-Do-Check-Act) y de los requerimientos de sus diferentes
fases (en desarrollo, pendiente de publicacin)
ISO/IEC 27004: especifica las mtricas y las tcnicas de medida aplicables
para determinar la eficacia de un SGSI y de los controles relacionados (en desarrollo,
pendiente de publicacin). Medicin de los componentes de la fase Do
(Implementar y Utilizar) del ciclo PDCA.
ISO/IEC 27005: gestin de riesgos de seguridad de la informacin
(recomendaciones, mtodos y tcnicas para evaluacin de riesgos de seguridad)
ISO/IEC 27006: requisitos a cumplir por las organizaciones encargadas de
emitir certificaciones ISO/IEC 27001
Requisitos para la acreditacin de las entidades de auditoria y certificacin
ISO/IEC 27007: gua de actuacin para auditar los SGSI conforme a las normas
27000
ISO/IEC 27011: gua de gestin de seguridad de la informacin especfica para
telecomunicaciones (en desarrollo) elaborada conjuntamente con la ITU (Unin
Internacional de Telecomunicaciones)
ISO/IEC 27031: gua de continuidad de negocio en lo relativo a tecnologas de la
informacin y comunicaciones (en desarrollo)

ISO/IEC 27032: gua relativa a la ciberseguridad (en desarrollo)


ISO/IEC 27032: gua de seguridad en aplicaciones (en desarrollo)
ISO/IEC 27799: gua para implantar ISO/IEC 27002 especfica para entornos
mdicos
ISO27001
Fase Planificacin (Plan - establecer el SGSI): Establecer la poltica, objetivos,
procesos y procedimientos relativos a la gestin del riesgo y mejorar la seguridad de
la informacin de la organizacin para ofrecer resultados de acuerdo con las polticas
y objetivos generales de la organizacin.
Fase Ejecucin (Do - implementar y gestionar el SGSI): Implementar y gestionar el
SGSI de acuerdo a su poltica, controles, procesos y procedimientos.
Fase Seguimiento (Check - monitorizar y revisar el SGSI): Medir y revisar las
prestaciones de los procesos del SGSI.
Fase Mejora (Act - mantener y mejorar el SGSI): Adoptar acciones correctivas y
preventivas basadas en auditoras y revisiones internas o en otra informacin
relevante a fin de alcanzar la mejora continua del SGSI.
ITIL
La definicin ms convincente que se ha podido encontrar de ITIL, la define as:
ITIL puede ser definido como un conjunto de buenas prcticas destinadas a mejorar
la gestin y provisin de servicios TI. Su objetivo ltimo es mejorar la calidad de los
servicios TI ofrecidos, evitar los problemas asociados a los mismos y en caso de que
estos ocurran ofrecer un marco de actuacin para que estos sean solucionados con el
menor impacto y a la mayor brevedad posible. [CIV3]

La traduccin del prrafo anterior podra ser traducida en: ITIL es un


conjunto de prcticas que ayuda a gestionar mejor los servicios, con lo que se obtiene
una mejora de su calidad y se evitan problemas. Y en el caso de que existan
problemas, se tendrn controlados. ITIL se desarroll una vez reconocido el hecho de
que las empresas estaban llegando a ser cada vez ms dependientes de TI para
cumplir sus objetivos. Este incremento de la dependencia, ha generado el crecimiento
necesario de los servicios TI de calidad, hacindolos corresponder a los objetivos del
negocio, que deben corresponder a su vez con los requerimientos y expectativas del
cliente.
Durante el ciclo de vida de un producto de TI, la fase de operacin supone
cerca del 70-80 % de su coste y tiempo, gastndose el resto del tiempo y presupuesto
en su desarrollo u obtencin [BON05]. De este modo, unos procesos efectivos y
eficientes de la gestin del servicio, son esenciales para el xito de los productos de
TI.
Por su parte ITIL ofrece un marco comn para todas las actividades del departamento
de TI, como parte de la provisin de servicios, basados en la infraestructura de TI.
Estas actividades, se dividen en procesos que usados en conjunto, proveen un marco
efectivo para construir una gestin de servicios ms madura. Cada uno de estos
procesos, cubre una o ms tareas del departamento de TI, tales como el servicio de
desarrollo, gestin de infraestructuras y provisin y soporte de servicios [BON05].
A su vez, el Ciclo de Vida del Servicio consta de cinco fases que se
corresponden con los libros de ITIL versin 3. Estos libros describen como los
procesos, que ya han sido identificados, pueden ser optimizados y como la
coordinacin entre ellos puede ser mejorada [CIV31]:
Estrategia del Servicio: propone tratar la gestin de servicios no slo como una
capacidad sino como un activo estratgico.

Diseo del Servicio: cubre los principios y mtodos necesarios para transformar
los objetivos estratgicos en un catlogo de servicios y una cartera de activos.
Transicin del Servicio: cubre el proceso de transicin para la implementacin de
nuevos servicios o su mejora.
Operacin del Servicio: cubre las mejores prcticas para la gestin del da a da en
la operacin del servicio.
Mejora Continua del Servicio: proporciona una gua para la creacin y
mantenimiento del valor ofrecido a los clientes a travs de un diseo, transicin y
operacin del servicio optimizado.

Comparativa de los modelos

Relacin de los modelos


Cuadro resumen de metodologas
COBIT

ITIL

Es un conjunto de normas Provee


que

garantizan

una

ISO27000

metodologa Es la norma aplicada a las

la que permite obtener un tecnologa

eficiencia y eficacia del enfoque

sistemtico

de

la

del informacin utilizadas en

uso de la tecnologa de servicio TI centrado en los las

empresas

informacin ayudando en procesos y procedimientos, implementan

que
una

el cumplimiento de metas el establecimiento de las metodologa ara la gestin


y el nivel de madurez de estrategias para la gestin operativa
los

procesos

organizacin

de

la operativa

para

la

infraestructura TI.
Postula que el servicio de
soporte, la administracin y
la operacin se realiza a
travs de cinco procesos:
manejos

de

incidentes,

problemas,
configuraciones, cambios y
entregas.