Instituto Tecnológico de San Juan del Rio

Instituto Tecnológico de San Juan del Río

Tecnologías de la Información y Comunicación

Normas de calidad para auditoria de tocologías de la

Información

P R E S E N T A N:

Yunuen Guerrero Cortés

17590544

San Juan del Río, Querétaro a 12 de febrero 2021.

 Instituto Tecnológico de San Juan del Rio

Normas de calidad para auditoria de tocologías de la Información

ISO
Las normas ISO contribuyen a que el desarrollo, la producción y el suministro de bienes y servicios sean
más eficaces, seguros y transparentes. Gracias a estas normas, los intercambios comerciales entre países
son más fáciles y justos. Proporcionan a los gobiernos un fundamento técnico para la legislación en
materia de salud, seguridad y medio ambiente. También contribuyen a la transferencia de tecnología a
los países en vías de desarrollo y, además, sirven para proteger a los consumidores y usuarios en general,
ante cualquier problema surgido de un producto o servicio, haciéndoles la vida más sencilla.

Las empresas de TI pueden beneficiarse de las siguientes normas ISO en seguridad de la información:

• Sistemas de gestión de la seguridad de la información ISO 27001: La norma ISO 27001 establece
normas concretas de seguridad de la información para uso de los centros de datos y otras
organizaciones. Actualizado recientemente en 2013, las últimas revisiones reflejan la creciente
importancia del almacenamiento en la nube y el software como servicio. Uno de los componentes
clave de la norma ISO 27001 son los controles y objetivos de control establecidos, una parte
esencial de cualquier plan de gestión de riesgos. Estos controles incluyen desde la política de
recursos humanos hasta los estándares de cifrado. Reflejan un conjunto de prácticas óptimas para
la gestión de la seguridad de la información a nivel organizativo.
• Sistemas de gestión de servicios de tecnología de la información ISO IEC 20000-1: ISO IEC 20000-
1 es un conjunto de estándares para proveedores de servicios de TI que describe las mejores
prácticas para mantener la seguridad, ofrecer un servicio consistente y adoptar nuevas
tecnologías a medida que estén disponibles. La norma establece los requisitos del sistema,
códigos de prácticas, relación, resolución y procesos de control, etc. La revisión más reciente fue
publicada en 2011.

Además de la gestión de TI, la gestión de calidad también desempeña un papel clave en la seguridad. Este
sector es altamente competitivo y las empresas que se esfuerzan por mejorar continuamente sus
operaciones ganan una ventaja importante sobre sus competidores. Al obtener la certificación ISO 27001
o ISO IEC 20000-1, obtiene un marco completo para mejorar su eficiencia y rentabilidad.

La certificación de la gestión de la calidad implica la implementación de procesos probados y medibles, lo

que se traduce en un ahorro de costes continuo, una mayor satisfacción del cliente y un crecimiento
responsable.

Incluso los propios consumidores son cada vez más conscientes de estos beneficios. Muchos de ellos
 Instituto Tecnológico de San Juan del Rio

insisten en hacer negocios con un proveedor que pueda demostrar su compromiso con el aseguramiento
de la calidad y la entrega ininterrumpida de servicios. Al ser certificados, las organizaciones de TI obtienen
un importante punto de venta que les ayudará a aportar valor añadido y destacarse en un mercado de
por sí saturado.

Todo sector de TI puede beneficiarse del aseguramiento de la calidad. Entre los beneficios del sistema de
gestión centrado en la seguridad de la información se encuentran:

• Cumplimiento con los requisitos. Existe una amplia variedad de requisitos legales, contractuales
y regulatorios aplicables a los sistemas de gestión de seguridad de la información. La certificación
ISO es relativamente fácil de conseguir y no supone un gran coste y le permitirá conseguir y
mantener el cumplimiento con los requisitos.
• Reducción de la probabilidad de filtraciones de información. No proteger sus activos de
información puede provocar una filtración de información, que se traducirá en una multa por
incumplimiento legal. El daño ocasionado a la imagen y reputación de su empresa puede tener
consecuencias financieras irreversibles. Implementar un sistema de gestión de seguridad de la
información le ayudará a reducir la probabilidad de sufrir filtraciones.
• Cumplimiento de los requisitos de seguridad de la auditoría. Las empresas certificadas en
normas ISO demuestran cumplimiento con prácticas de aseguramiento de la calidad
universalmente aceptadas. Esto reduce el número de peticiones de auditorías de seguridad por
parte de clientes y partes interesadas, ahorrando tiempo y gestiones administrativas.
• Crecimiento de su presencia global. Estas normas de seguridad de la información son conocidas
mundialmente y son implementadas por empresas de todo el mundo. Adherirse a estas normas
puede ayudarle a conseguir nuevos clientes y socios internacionales.
• Mejora de la confianza de los clientes y partes interesadas. El cumplimiento de las normas ISO
mejora la confianza de sus clientes y proporciona credibilidad a su empresa. Sus clientes estarán
tranquilos sabiendo que su empresa hace de la seguridad de la información una prioridad.
• Toma de decisiones sobre seguridad de la información más inteligente. La gestión efectiva del
riesgo es un componente esencial de los sistemas de seguridad de las tecnologías de la
información. Implementar una norma ISO asegura controles técnicos, administrativos y
operativos, haciendo más fácil la evaluación de los sistemas TI y la toma de decisiones.

ISO 27001
Sistemas de Gestión la Seguridad de la Información

ISO 27001 es una norma internacional que permite el aseguramiento, la confidencialidad e integridad de
los datos y de la información, así como de los sistemas que la procesan.
 Instituto Tecnológico de San Juan del Rio

El estándar ISO 27001:2013 para los Sistemas Gestión de la Seguridad de la Información permite a las
organizaciones la evaluación del riesgo y la aplicación de los controles necesarios para mitigarlos o
eliminarlos.

La aplicación de ISO-27001 significa una diferenciación respecto al resto, que mejora la competitividad y
la imagen de una organización.

La Gestión de la Seguridad de la Información se complementa con las buenas prácticas o controles

establecidos en la norma ISO 27002.

Estructura de la norma ISO 27001

1. Objeto y campo de aplicación: La norma comienza aportando unas orientaciones sobre el uso,
finalidad y modo de aplicación de este estándar.
2. Referencias Normativas: Recomienda la consulta de ciertos documentos indispensables para la
aplicación de ISO27001.
3. Términos y Definiciones: Describe la terminología aplicable a este estándar.
4. Contexto de la Organización: Este es el primer requisito de la norma, el cual recoge indicaciones
sobre el conocimiento de la organización y su contexto, la comprensión de las necesidades y
expectativas de las partes interesadas y la determinación del alcance del SGSI.
5. Liderazgo: Este apartado destaca la necesidad de que todos los empleados de la organización han
de contribuir al establecimiento de la norma. Para ello la alta dirección ha de demostrar su
liderazgo y compromiso, ha de elaborar una política de seguridad que conozca toda la
organización y ha de asignar roles, responsabilidades y autoridades dentro de la misma.
6. Planificación: Esta es una sección que pone de manifiesto la importancia de la determinación de
riesgos y oportunidades a la hora de planificar un Sistema de Gestión de Seguridad de la
Información, así como de establecer objetivos de Seguridad de la Información y el modo de
lograrlos.
7. Soporte: En esta cláusula la norma señala que para el buen funcionamiento del SGSI la
organización debe contar con los recursos, competencias, conciencia, comunicación e
información documentada pertinente en cada caso.
8. Operación: Para cumplir con los requisitos de Seguridad de la Información, esta parte de la norma
indica que se debe planificar, implementar y controlar los procesos de la organización, hacer una
valoración de los riesgos de la Seguridad de la Información y un tratamiento de ellos.
9. Evaluación del Desempeño: En este punto se establece la necesidad y forma de llevar a cabo el
seguimiento, la medición, el análisis, la evaluación, la auditoría interna y la revisión por la
dirección del Sistema de Gestión de Seguridad de la Información, para asegurar que funciona
según lo planificado.
 Instituto Tecnológico de San Juan del Rio

10. Mejora: Por último, en la sección décima vamos a encontrar las obligaciones que tendrá una
organización cuando encuentre una no conformidad y la importancia de mejorar continuamente
la conveniencia, adecuación y eficacia del SGSI.

Novedades de la ISO 27001:2013

Esta norma fue publicada recientemente, aportó una serie de cambios con respecto a su antecesora que
los usuarios de los SGSI tienen que asimilar para continuar gestionando de forma eficaz la Seguridad de la
Información. Las novedades que manifiesta son:

• No aparece la sección “Enfoque a procesos” con su respectiva metodología basada en el ciclo

PHVA, ahora ofrece mayor flexibilidad.
• Se elimina la obligatoriedad de algunos documentos, conservando únicamente la declaración de
aplicabilidad.
• Se han revisado los requisitos y controles.
• Se apuesta por un enfoque del análisis del riesgo en la fase de planificación y operación.

Software para ISO 27001

La Plataforma ISOTools facilita la automatización de la ISO 27001

La ISO27001 para los SGSI es sencilla de implantar, automatizar y mantener con la Plataforma Tecnológica
ISOTools.

Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar –
Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad en la
Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles
establecidos en ISO 27002.

ISOTools también permite aplicar los requisitos de otras normas de Seguridad de la Información como
PMG SSI de los Servicios Públicos de Chile, entre otros.

Este software, permite integrar la ISO 27001 con otras normas, como ISO 9001, ISO 14001 y OHSAS 18001
de una forma sencilla gracias a su estructura modular.

COBIT
La metodología COBIT, Control Objectives by Information and Technology u Objetivos de Control para
Tecnología de la Información Relaciona, es un modelo creado por ISACA en 1996, para la Gestión de
tecnología de la información (TI) y Gobierno de TI. Es un marco de Negocio para el Gobierno y la Gestión
de las TI de la Empresa. Permite el desarrollo de las políticas y buenas prácticas para el control de las
 Instituto Tecnológico de San Juan del Rio

tecnologías en toda la organización. Enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a

incrementar su valor a través de las TI, y permite su alineamiento con los objetivos del negocio.

ISACA, es el acrónimo de Information Systems Audit and Control Association (Asociación de Auditoría y
Control de Sistemas de Información), una asociación internacional que apoya y patrocina el desarrollo de
metodologías y certificaciones para la realización de actividades auditoría y control en sistemas de
información.

COBIT 5
COBIT 5, es resultado de la mejora estratégica de ISACA impulsando en la generación de
documentos/guías sobre el Gobierno y la Administración de la información y los Activos tecnológicos de
las Organizaciones Construido sobre más de 15 años de aplicación práctica, ISACA desarrolló COBIT 5 para
cubrir las necesidades de los interesados, y alinearse a las actuales tendencias sobre técnicas de gobierno
y administración relacionadas con la TI. La iniciativa del Consejo de Dirección de ISACA ha sido “unir y
reforzar todos los activos intelectuales – su base de conocimiento – en COBIT”.

El COBIT 5 Task Force:

• Incluye expertos de los distintos grupos profesionales y comités que componen ISACA.
• Esta co-dirigida por John Lainhart (Ex Presidente Internacional) y Derek Oliver (Ex Director del
Comité de Desarrollo del BMIS).
• Reporta al Comité de marcos referenciales y luego al Consejo sobre “Base de Conocimientos”.

COBIT 5 – Un Marco de Negocio para el Gobierno y la Gestión de las TI de la Empresa

La familia de productos de COBIT 5 incluye los siguientes productos:

Guías de catalizadores de COBIT 5, en las que se discuten en detalle los catalizadores para el gobierno y
gestión, estas incluyen:

• COBIT 5: Procesos Catalizadores

• Implementación de COBIT 5
• COBIT 5 para Seguridad de la Información
• COBIT 5 para Aseguramiento
• COBIT 5 para Riesgos

Un entorno colaborativo online, que estará disponible para dar soporte al uso de COBIT 5.
 Instituto Tecnológico de San Juan del Rio

COBIT 5 permite a las TI ser gobernadas y gestionadas de un modo holístico para toda la empresa,
abarcando al negocio completo de principio a fin y las áreas funcionales de responsabilidad de TI,
considerando los intereses relacionados con TI de las partes interesadas internas y externas.

COBIT 5 es genérico y útil para empresas de todos los tamaños, tanto comerciales, como sin ánimo de
lucro o del sector público.

COBIT 5 - Sus principios

COBIT 5 se basa en cinco principios claves para el gobierno y la gestión de las TI empresariales:

Principio 1: Satisfacer las Necesidades de las Partes Interesadas — Las empresas existen para crear valor
para sus partes interesadas manteniendo el equilibrio entre la realización de beneficios y la optimización
de los riesgos y el uso de recursos.

COBIT 5 provee todos los procesos necesarios para permitir la creación de valor del negocio mediante el
uso de TI.

Principio 2: Cubrir la Empresa Extremo-a-Extremo — COBIT 5 integra el gobierno y la gestión de TI en el

gobierno corporativo:

– Cubre todas las funciones y procesos dentro de la empresa; COBIT 5 no se enfoca sólo en la “función de
TI”, sino que trata la información y las tecnologías

– Considera que los catalizadores relacionados con TI para el gobierno y la gestión deben ser a nivel de
toda la empresa y de principio a fin, es decir, incluyendo a todo y todos – internos y externos – los que
sean relevantes para el gobierno y la gestión de la información de la empresa y TI relacionadas.

Principio 3: Aplicar un Marco de Referencia único integrado — Hay muchos estándares y buenas prácticas
relativos a TI. COBIT 5 se alinea a alto nivel con otros estándares y marcos de trabajo relevantes, y de este
modo puede hacer la función de marco de trabajo principal para el gobierno y la gestión de las TI de la
empresa.

Principio 4: Hacer Posible un Enfoque Holístico — COBIT 5 define un conjunto de catalizadores (enablers)
para apoyar la implementación de un sistema de gobierno y gestión global para las TI de la empresa. Los
catalizadores se definen en líneas generales como cualquier cosa que puede ayudar a conseguir las metas
de la empresa. El marco de trabajo COBIT 5 define siete categorías de catalizadores:

• Principios, Políticas y Marcos de Trabajo

• Procesos
• Estructuras Organizativas
• Cultura, Ética y Comportamiento
 Instituto Tecnológico de San Juan del Rio

• Información
• Servicios, Infraestructuras y Aplicaciones
• Personas, Habilidades y Competencias

Principio 5: Separar el Gobierno de la Gestión — El marco de trabajo COBIT 5 establece una clara distinción
entre gobierno y gestión. La visión de COBIT 5 en esta distinción clave entre gobierno y gestión es:

• Gobierno
• Gestión

Estos cinco principios habilitan a la empresa a construir un marco de gestión de gobierno y gestión efectiva
que optimiza la inversión y el uso de información y tecnología para el beneficio de las partes interesadas:

Principio 1. Satisfacer las Necesidades de las Partes Interesadas

Principio 2: Cubrir la Empresa Extremo-a-Extremo

Principio 3: Aplicar un Marco de Referencia único integrado

Principio 4: Hacer Posible un Enfoque Holístico

Principio 5: Separar el Gobierno de la Gestión

ITILI
La metodología ITIL, Information Technology Infrastructure Library o Librería de Infraestructura de
Tecnologías de Información, fue desarrollada a finales de los 80‘s por iniciativa del gobierno del Reino
Unido, por la Oficina Gubernamental de Comercio Británica (Office of Goverment Comerce).

Esta metodología, mundialmente es la más aceptada para la gestión sistemas Informáticos, es una
recopilación de las mejores prácticas tanto del sector público y privado, basadas en toda la experiencia
adquirida con el tiempo en determinada actividad, y soporta bajo esquemas organizacionales, y que se
apoyan en herramientas de evaluación e implementación.

ITIL como metodología propone el establecimiento de estándares que nos ayuden en el control, operación
y administración de los recursos (ya sean propios o de Clientes).

IITL, Es una colección de documentos públicos que contienen las mejores prácticas de la industria basadas
en procesos y un modelo de referencia que facilita la Administración de Servicios de TI en una organización
con calidad y a un costo adecuado.
 Instituto Tecnológico de San Juan del Rio

ITIL, Es independiente de la infraestructura tecnología utilizada, sector del negocio y la estructura

organizacional. El ciclo de vida de los servicios está descrito en 5 publicaciones: Estrategia, Diseño de
Servicios, Transición de Servicios, Operación de Servicios, Mejora Continua del Servicio.

Propone para cada actividad desarrollar documentación pertinente, ya que esta puede ser de gran utilidad
para otros miembros del Área/Unidad.

La documentación tiene registrada la fecha de creación, la fecha de los cambios, una breve descripción de
los cambios que se hicieron, quien fue la persona que hizo el cambio, quien autorizo el cambio. Esto es un
método con el que se puede establecer cierto control en el sistema de cambios, y siempre va a haber un
responsable del cambio efectuado.

Operación de Servicios

• Gestión de Incidentes (Incident Management)

• Gestión de Problemas (Problem Management)

• Gestión de Configuraciones (Configuration Management)

• Gestión de Cambios (Change Management)

• Gestión de Entregas (Release Management)

Gestión de Incidentes

Su objetivo primordial es restablecer el servicio lo más rápido posible para evitar que el Cliente/Usuario
se vea afectado, con la finalidad de que se minimicen los efectos de la operación. El Cliente/Usuario no
debe percibir todas aquellas pequeñas o grandes fallas que se presenten en los sistemas Informáticos.

El incidente es detectado, es gestionado y documentado en una base de datos llamada base de datos del
conocimiento o Knowledge Error Data Base (KEDB), para que al momento de volverse a presentar el
incidente ya va a estar documentado y esto hace que sea más fácil, rápida y eficiente su resolución.

Gestión de Problemas

El objetivo de este proceso es prevenir y reducir al máximo los incidentes, nos ayuda a proporcionar
soluciones rápidas y efectivas para asegurar el uso estructurado de recursos

Se identificar el problema, la investigación y diagnóstico del problema, con el diagnóstico tenemos que
hacer una Solicitud de Cambio o Change Request For Change (CR). El CR implica que se va a tener que
implementar una solución tecnológica, posterior se realiza una evaluación para validar que el problema
se resolvió de raíz.
 Instituto Tecnológico de San Juan del Rio

Gestión de Configuraciones

Su objetivo es proveer información real y actualizada de lo que se tiene configurado e instalado en cada
Sistema Informático.

El nivel de complejidad de este modelo es alto, ya que influyen muchas variables y muchas de ellas son
dinámicas, al cambiar una o varias variables se podrían afectar al sistema en general, lo que hace que sea
muy difícil de manipular. Aunque es lo más parecido a la realidad, porque nuestro entorno es dinámico y
las decisiones de unos afectan a otros.

Gestión de Cambios

El objetivo de este proceso es reducir los riesgos tanto técnicos, económicos y de tiempo al momento de
la realización de los cambios.

Este diagrama al parecer es muy fácil de seguir, pero en realidad no lo es, entre etapa y etapa se da una
fase de monitoreo para validar que el cambio no haya sufrido desviaciones, si el rendimiento es
satisfactorio se da la aprobación del cambio, en caso de que el rendimiento sea malo se pasa a la fase de
reingeniería, con el cambio se hacen las pruebas para observar las capacidades del sistema, se autoriza la
implementación; una vez implementado se valida que no existan desviaciones, esta validación se
denomina post-implementación.

Gestión de Entregas

Su objetivo es planear y controlar exitosamente la instalación de Software y Hardware bajo tres

ambientes: ambiente de desarrollo, ambiente de pruebas controladas y ambiente de producción.

Este proceso es en el que más cuidado debemos de poner, ya que en caso de haber fallas en producción,
el primero en detectarlas o en percibirlas es el Cliente/Usuario, y eso nos genera que el Cliente este
insatisfecho o molesto.

ITIL - El ciclo de vida

El ciclo de Vida de ITIL:

• Estrategia de Servicios
• Diseño de Servicios
• Transición de Servicios
• Operación de Servicios
• Mejora Continua del Servicio
 Instituto Tecnológico de San Juan del Rio

COSO
La metodología COSO mejora de Control Interno dentro de las organizaciones. COSO es un
informe/documento que contiene las principales directivas para la implantación, gestión y control de un
sistema de control. Su publicación fue en 1992, el informe COSO se ha convertido en el estándar de
referencia.

Existen en la actualidad dos versiones del informe. La versión del 1992 relacionado a COSO I y la versión
del 2004 relacionado a COSO II, que incorpora las exigencias de Ley Sarbanes Oxley a su modelo. Es una
cadena de acciones extendida a todas las actividades inherentes a la gestión e integradas a todos los
procesos organizacionales: Planificación, Ejecución y Supervisión.

COSO I
De acuerdo a COSO I, el control interno consta de cinco componentes relacionados entre sí; éstos
derivarán de la manera en que la Coordinación dirija el Área/Unidad y estarán integrados en el proceso
de dirección. Los componentes serán los mismos para todas las organizaciones (públicas o privadas) y
dependerá del tamaño. Los componentes son:

• Ambiente de Control
• Evaluación de Riesgos
• Actividades de Control
• Información y Comunicación
• Supervisión y Monitoreo

Ambiente de Control

El ambiente o entorno de control es la base de la pirámide de Control Interno, aportando disciplina a la

estructura. En él se apoyarán los restantes componentes. Los factores a considerar dentro del entorno de
control serán: La integridad & los valores éicos, la capacidad de los funcionarios de la Unidad, el estilo de
la Gestión, la asignación de autoridad & Responsabilidad, la estructura organizacional y las Políticas &
Prácticas de personal.

Evaluación de Riesgos

Cada Área/Unidad se enfrenta a diversos riesgos internos y externos que deben ser evaluados. La
evaluación de riesgos consiste en: La identificación y la gestión de los riesgos.

Actividades de Control

Son las políticas, procedimientos, técnicas, prácticas y mecanismos que permiten a la Coordinación
gestionar (mitigar) los riesgos identificados durante el proceso de Evaluación de Riesgos.
 Instituto Tecnológico de San Juan del Rio

Las actividades de Control se ejecutan en todos los niveles del Área/Unidad y en cada una de las etapas
de la gestión, partiendo de la elaboración de un Mapa de Riesgos. La exposición al riesgo es igual a la
Probabilidad por el Impacto.

Información y Comunicación

Se debe identificar, recopilar y propagar la información pertinente en tiempo y forma que permitan
cumplir a cada asociado con sus responsabilidades a cargo. Debe existir una comunicación eficaz -en un
sentido amplio- que fluya en todas direcciones a través de todos los ámbitos del Área/Unidad, de forma
descendente como ascendente.

Supervisión y Monitoreo

Los Sistemas de Control Interno requieren principalmente de Supervisión, es decir, un proceso que
verifique la vigencia del Sistema de Control a lo largo del tiempo. Esto se logra mediante actividades de
supervisión continua, evaluaciones periódicas o una combinación de ambas.

COSO II
En septiembre 2004, como respuesta a una serie de escándalos, e irregularidades que provocaron
pérdidas importantes a inversionistas, empleados y otros grupos de interés. El Committee of Sponsoring
Organizations, publicó el estudio ERM (Enterprice Risk Management) como una ampliación de COSO I, de
acuerdo a las conclusiones y recomendaciones de firma Pricewaterhouse que se integró al Comité,
además incorpora las exigencias de Ley Sarbanes Oxley.

COSO II, amplía el concepto de control interno, proporcionando un foco más robusto y extenso sobre la
identificación, evaluación y gestión del riesgo. Para COSO, el Control Interno debe estar integrado con el
negocio, de tal manera que ayude a conseguir los resultados esperados en materia de rentabilidad y
rendimiento. Recomienda trasmitir el concepto de que el esfuerzo involucra a toda la organización desde
la Alta Dirección hasta el último empleado.

Ventajas de implementación:

• Permite a la Coordinación de la empresa poseer una visión global del riesgo y accionar los planes
para su gestión.
• Posibilita la priorización de los objetivos y gestionar los riesgos clave del negocio & de los controles
implantados.
• Alinea los objetivos del grupo con los objetivos de las diferentes Aéreas/Unidades de negocio, así
como los riesgos asumidos y los controles implementados.
• Permite dar soporte a las actividades de planificación estratégica y control interno.
 Instituto Tecnológico de San Juan del Rio

• Permite cumplir con los nuevos marcos regulatorios y demanda de nuevas prácticas de gobierno
corporativo.
• Fomenta que la gestión de riesgos pase a formar parte de la cultura del grupo.
• Comprendiendo la Metodología: Los componentes interactúan entre sí y están integradas al
proceso de Coordinación.
• El sistema de control debe incorporarse de manera armónica con las actividades operativas de la
Organización.
• La integración ayuda a que se fomente la calidad de la delegación de poderes, se eviten pérdidas
y exista una respuesta rápida entre los cambios.

Referencias
Asociación Española para la Calidad. (2019a). AEC - COBIT. AEC. https://www.aec.es/web/guest/centro-
conocimiento/cobit

Asociación Española para la Calidad. (2019b). AEC - COSO. AEC. https://www.aec.es/web/guest/centro-

conocimiento/coso

editorE. (2015, 10 abril). ISO 9001:2015, COSO como metodología de gestión de riesgo. Software ISO.
https://www.isotools.org/2015/01/12/iso-90012015-coso-como-metodologia-gestion-riesgo/

ESAN Graduate School of Business. (2019). COSO II: los sistemas para el control interno. Gestión de
Proyectos | Apuntes empresariales | ESAN. https://www.esan.edu.pe/apuntes-
empresariales/2019/01/coso-ii-los-sistemas-para-el-control-interno/

Gonzalez, P. (2020, 16 noviembre). COBIT 2019 — EL NUEVO MODELO DE GOBIERNO EMPRESARIAL

PARA INFORMACIÓN Y TECNOLOGÍA. Medium. https://medium.com/@ppglzr/cobit-2019-el-nuevo-
modelo-de-gobierno-empresarial-para-informaci%C3%B3n-y-tecnolog%C3%ADa-a7bf92b7288b

ISACA. (2021). COBIT | Control Objectives for Information Technologies.

https://www.isaca.org/resources/cobit

ISO 27001 - Software ISO 27001 de Sistemas de Gestión. (2019, 8 febrero). Software ISO.
https://www.isotools.org/normas/riesgos-y-seguridad/iso-27001/

ITIL 4: Las mejores prácticas en Gestión de Servicios de TI. (2020, 12 agosto). Itil Mx.
https://www.itil.com.mx/

Montoro, M. (2020, 27 enero). ITIL: qué es y para qué sirve /. ATS. https://www.ats.edu.uy/itil-que-es-y-
para-que-sirve/
 Instituto Tecnológico de San Juan del Rio

NQA. (2021). ¿Qué normas son aplicables a las tecnologías de la información? NQA Certification Body.
https://www.nqa.com/es-mx/certification/sectors/information-technology