Trabajo Final GobiernoTI Grupo3

Facultad de Ingeniería de Sistemas y Electrónica
Tema:
“Análisis de Riesgos Informáticos en las
Cooperativas de Ahorro y Crédito de los
Segmentos 2 y 3 en la ciudad de Ambato
utilizando COBIT 5”
Participantes:
 Concha Flores, Alexander Ricardo (1511218)

 Gaspar Juárez, Jesús Alejandro (U17213470)
 Ravello Aguado, Angelo Raphael (1330537)
 Terrazas Yanovich, Nathan Manuel (1212670)
 Torres Rivas, Pablo Jesus (1531486)
Profesor:
Arias Caycho, Jesus
Lima, diciembre del 2020

INDICE
INFORMACION DE LA TESIS............................................................................................4
1. ASPECTOS BASICOS DEL PROLEMA DE INVESTIGACION...................................7
1.1. FUNDAMENTACION DEL PROBLEMA DE INVESTIGACION..........................7
1.2. JUSTIFICACION DE LA INVESTIGACION............................................................7
1.2.1. TEORICA..............................................................................................................7
1.2.2. METODOLOGIA..................................................................................................7
1.2.3. PRACTICA............................................................................................................7
1.2.4. ECONOMICA.......................................................................................................7
1.3. IMPORTANCIA O PROPOSITO................................................................................7
1.4. LIMITACIONES..........................................................................................................7
1.5. FORMULACION DEL PROBLEMA.........................................................................8
1.5.1. PROBLEMA GENERAL......................................................................................8
1.5.2. PROBLEMA ESPECIFICOS................................................................................8
1.6. FORMULACION DE LOS OBJETIVOS...................................................................8
1.6.1. OBJETIVO GENERAL.........................................................................................8
1.6.2. OBJETIVOS ESPECIFICOS................................................................................8
2. ASPECTOS OPERACIONALES.......................................................................................8
2.1 Formulación de la hipótesis...........................................................................................8
2.1.1 Hipótesis general....................................................................................................8
2.1.2 Hipótesis especificas..................................................................................................9
2.2 Variables........................................................................................................................9
2.3 Operacionalización de Variables...................................................................................9
2.4 Definición de términos operacionales.........................................................................11
3. MARCO TEORICO..........................................................................................................11
3.1. ANTECEDENTES DEL PROBLEMA.....................................................................11
3.1.1. Antecedentes internacionales...............................................................................11
3.1.2. Antecedentes nacionales......................................................................................11
3.2. BASES TEORICAS...................................................................................................11
Metodología basada en COBIT 5..................................................................................11
3.3. BASES CONCEPTUALES.......................................................................................11
Riesgo............................................................................................................................11
Cooperativa de ahorro y crédito....................................................................................12
Cooperativa de ahorro y crédito del segmento 2 y 3.....................................................12
Gobierno de TI...............................................................................................................13
4. ASPECTOS METODOLÓGICOS...................................................................................16
4.1 Ámbito.........................................................................................................................16
4.2 Población.....................................................................................................................16
4.3 Muestra........................................................................................................................16
4.4 Nivel y tipo de estudio.................................................................................................17
4.4.1 Nivel de estudio....................................................................................................17
4.4.2 Tipo de estudio.....................................................................................................17
4.5 Diseño de la investigación...........................................................................................17
4.6 Técnicas e instrumentos..............................................................................................17
4.6.1 Técnicas................................................................................................................17
4.6.2 Instrumentos.........................................................................................................18
5. IMPLEMENTACION.......................................................................................................18
6. RESULTADOS.................................................................................................................18
7. CONCLUSIONES............................................................................................................18
8. CONCLUSIONES DEL GRUPO SOBRE LA TESIS.....................................................18
INFORMACION DE LA TESIS
TITULO DE LA TESIS
Análisis de Riesgos Informáticos en las Cooperativas de Ahorro y Crédito de los
Segmentos 2 y 3 en la ciudad de Ambato utilizando COBIT 5.
URL:
https://repositorio.uta.edu.ec/jspui/bitstream/123456789/29847/1/Tesis_t1586msi.pdf
AUTOR:
Ing. Christian Giovanny Barrera Barragán
RESUMEN DE LA TESIS
El manejo de riesgos en las instituciones financieras generalmente se centraban en
aspectos netamente financieros, sin embargo aspectos como robo de información,
pérdida de datos, destrucción de infraestructura, manipulación de bases de datos, etc., ha
dado lugar a que se emitan nuevas normativas por parte de las entidades de control que
regulen el ambiente tecnológico, así como a la necesidad y obligatoriedad de las
instituciones financieras de estar mejor preparados para afrontar una serie de eventos
generadores de tensión como los descritos anteriormente, siendo de esta manera las
instituciones financieras las responsables de una adecuada gestión de riesgos entre ellos
el riesgo tecnológico. Entre las expectativas que tienen las áreas ejecutivas de las
empresas actuales sobre el departamento de TI se encuentran las de incrementar el
crecimiento de la institución financiera, reducir los costos, multiplicar las ganancias, y
desarrollar un equipo de trabajo talentoso y capaz.

El alcance de las expectativas mencionadas provoca que las empresas estén bajo
constante presión para lograr beneficios a través del uso efectivo de las TI. En este
sentido, resulta fundamental mantener el riesgo vinculado a TI en un nivel aceptable,
reduciendo costos y cumpliendo con las leyes, regulaciones y políticas pertinentes que
cada vez son mayores. COBIT es un marco de referencia y un juego de herramientas de
soporte que permiten a la gerencia cerrar la brecha con respecto a los requerimientos de
control, temas técnicos y riesgos de negocio, y comunicar ese nivel de control a los
participantes. Uno de los Principios de COBIT es el de satisfacer las necesidades de las
partes interesadas, entre las cuales se encuentran la optimización de recursos y la
disminución de riesgos tecnológicos. Se entiende como partes interesadas a las partes: -
Externas: sociedad en general, clientes, proveedores. - Internas: administración gobierno
de la empresa, responsables de los procesos de negocios, responsables de la TI,
responsables de cumplimiento, etc.
En las Cooperativas de Ahorro y Crédito de la ciudad de Ambato, específicamente las
ubicadas dentro de los segmentos 2 y 3 según la calificación de la Superintendencia de
Economía Popular y Solidaria, se han enfocado en su mayoría en analizar los riesgos
financieros dejando en segundo plano los riesgos tecnológicos (ver tabla 1).
Tabla 1: Catastro de Cooperativas Segmentos 2 y 3 de la ciudad de Ambato Fuente:
SEPS – Investigador Elaborado por: El autor
RAZÓN SOCIAL SEGMENTO TIENE PROCESOS DE TI

DEFINIDOS
COOPERATIVA DE AHORRO Y SEGMENTO 2 NO
CREDITO INDIGENA SAC LTDA
COOPERATIVA DE AHORRO Y SEGMENTO 2 SI
CREDITO AMBATO LTDA
CREDITO KULLKI WASI LTDA
CREDITO CHIBULEO LTDA
CREDITO EDUCADORES DE
TUNGURAHUA LTDA
CREDITO MAQUITA CUSHUN
LTDA
CREDITO CREDIAMBATO
LTDA
CREDITO CAMPESINA
COOPAC
CREDITO SEMBRANDO UN
NUEVO PAIS
CREDITO CRECER WIÑARI
LTDA
Por lo antes indicado surge la necesidad del presente trabajo de investigación, a través
del cual se propone la implementación del Marco de Referencia COBIT 5 para
identificar, mitigar, minimizar y monitorear los riesgos tecnológicos presentes en las
Cooperativas de Ahorro y Crédito de los Segmentos 2 y 3 de la ciudad de Ambato, a fin
de evitar problemas de pérdidas o fugas de información, pérdidas de servicio, etc.
El CAPÍTULO I, EL PROBLEMA: contiene el tema de investigación, el
planteamiento del problema, su contexto, análisis crítico, prognosis, formulación del
problema, interrogantes, delimitación, justificación y objetivos.

El CAPÍTULO II MARCO TEÓRICO: establece antecedentes de la investigación,
fundamentación filosófica, fundamentación legal, categorías fundamentales, hipótesis y
señalamiento de variables.
El CAPÍTULO III METODOLOGÍA: menciona el enfoque de investigación,
modalidad básica de la investigación, nivel o tipo de investigación, población y muestra,
operacionalización de variables, plan de recolección de información y plan de
procesamiento de la información.
El CAPÍTULO IV, ANÁLISIS E INTERPRETACIÓN DE RESULTADOS: abarca
la tabulación y sus respectivos gráficos estadísticos de la encuesta aplicada al personal
de las instituciones financieras, así como la comprobación de hipótesis.
El CAPÍTULO V CONCLUSIONES Y RECOMENDACIONES: constituye, la
comprobación de cada objetivo específico y sus respectivas soluciones.
El CAPÍTULO VI PROPUESTA: comprende la solución a la problemática de
estudio planteada.
1. ASPECTOS BASICOS DEL PROLEMA DE INVESTIGACION

1.1. FUNDAMENTACION DEL PROBLEMA DE INVESTIGACION
Hoy en día, es imposible concebir una empresa exitosa sin el soporte de las tecnologías
de información (TI) que faciliten las tareas de la compañía. Las crecientes demandas de
datos dentro del proceso de toma de decisiones han aumentado la necesidad de una
estructura integral de gobierno de TI para lograr resultados efectivos. El uso de
metodologías integradas y ágiles para gestionar riesgos y en especial el tecnológico es
importante con el fin de minimizar el impacto que pueda causar algún posible daño de
la seguridad de la información.
1.2. JUSTIFICACION DE LA INVESTIGACION
1.2.1. TEORICA
Esta investigación se realiza con el propósito de aportar al conocimiento existente sobre
el uso de la metodología COBIT 5 , como marco de trabajo para el análisis de riesgos de
evaluación del logro de competencias de indagación científica en la educación
secundaria, cuyos resultados podrán sistematizarse en una propuesta, para ser
incorporado como conocimiento a las ciencias de la educación, ya que se estaría
demostrando que el uso de las rúbricas mejoran el nivel de desempeño de los
estudiantes
1.2.2. METODOLOGIA
Todos los gastos económicos correrán por el autor de la investigación por lo cual es
factible económicamente
1.3. IMPORTANCIA O PROPOSITO
Apoyar a la alta gerencia a saber si con la información administrada es posible
garantizar el logro de objetivos, ser flexible, tener un buen manejo de riesgos y
reconocer apropiadamente sus oportunidades actuando acorde a ellas Asimismo, definir
la alineación de las estrategias de TI con la estrategia de la organización, asegurará la
disminución del apetito de riesgo, proporcionará estructuras organizacionales que
faciliten la implementación de estrategias y metas, así como que fluyan de forma
gradual en la empresa
1.4. LIMITACIONES
Disponibilidad de la información: Debido a que la empresa cuenta con políticas
de información, es probable que no se pueda extraer toda la información requerida
para el proyecto.
Disposición de los colaboradores de la empresa: La participación de la alta
gerencia es primordial pues ellos dan la dirección y objetivos, y verifican que el
proyecto este alineado a los objetivos del negocio. Por otro lado, dueños de los
procesos también son importantes, debido a que es necesario conocer como es el
proceso que está entrando dentro del alcance.
Regulaciones y marcos: La empresa se encuentra sujeta a regulaciones locales las
cuales pueden ser actualizadas o se puedan crear nuevas regulaciones que
implicarían las cuales se tendrían que tomar en cuenta para el proyecto, así mismo
el marco de COBIT 5 o ISO 27000 puede ser actualizado.
1.5. FORMULACION DEL PROBLEMA
1.5.1. PROBLEMA GENERAL
¿Cuál sería el impacto de los riesgos informáticos en las Cooperativas de Ahorro y
Crédito de los Segmentos 2 y 3 de la ciudad de Ambato implementando la metodología
COBIT 5?
1.5.2. PROBLEMA ESPECIFICOS
¿Cuáles son los niveles de riesgo informático en las Cooperativas de Ahorro y Crédito
de la ciudad de Ambato?
1.6. FORMULACION DE LOS OBJETIVOS
1.6.1. OBJETIVO GENERAL
Realizar un análisis del impacto de los riesgos informáticos en las Cooperativas de
Ahorro y Crédito de los Segmentos 2 y 3 de la ciudad de Ambato implementando la
metodología COBIT 5.
1.6.2. OBJETIVOS ESPECIFICOS

 Identificar los niveles de riesgo informático en las Cooperativas de Ahorro y
Crédito de la ciudad de Ambato.
 Analizar la situación actual de los procesos y beneficios de las TI actualmente
empleadas en las Cooperativas de Ahorro y Crédito de la ciudad de Ambato.
 Definir los procesos más adecuados para disminuir los niveles de riesgos
informáticos utilizando la metodología Cobit 5.
 Aplicar la metodología COBIT 5 para reducir el impacto de los riesgos
informáticos en las Cooperativas de Ahorro y Crédito de los segmentos 2 y 3 de
la ciudad de Ambato
2. ASPECTOS OPERACIONALES
2.1 Formulación de la hipótesis
2.1.1 Hipótesis general
La hipótesis general de este proyecto se basa en que la metodología COBIT 5 buscará
reducir aquellas exposiciones o vulnerabilidades que se pueden presentar en los
sistemas de información del objeto indicado (Cooperativas de Ahorro y Crédito de los
Segmentos 2 y 3 de la ciudad de Ambato).
2.1.2 Hipótesis especificas
H1: Se reducirá las exposiciones o vulnerabilidades al Identificar los niveles de
riesgo informático en las Cooperativas de Ahorro y Crédito de la ciudad de Ambato.
H2: Se reducirá las exposiciones o vulnerabilidades al analizar la situación actual de
los procesos y beneficios de las TI actualmente empleadas en las Cooperativas de
Ahorro y Crédito de la ciudad de Ambato.

H3: Se reducirá las exposiciones o vulnerabilidades al definir los procesos más
adecuados para disminuir los niveles de riesgos informáticos utilizando la
metodología Cobit 5.
H4: Se reducirá las exposiciones o vulnerabilidades al aplicar la metodología
COBIT 5 para reducir el impacto de los riesgos informáticos en las Cooperativas de
Ahorro y Crédito de los segmentos 2 y 3 de la ciudad de Ambato
2.2 Variables
Tipo Variable Especificación

Independiente Metodología COBIT 5 Concepto y procesos para
la gestión de TI en las
organizaciones
Dependiente Análisis de Riesgos Eventos o sucesos
Informáticos identificados que atentan
contra las bienes o
servicios informáticos
2.3 Operacionalización de Variables
Variable Independiente: Metodología COBIT 5

Descripción Dimensi Indicadores Ítems Técnicas e
ones instrumentos
COBIT 5 une Cinco  Segurid  Manual  Encuesta/Cu
5 principios principio ad es estionario
que sirven de s  Gestión  Procedi
modelo a la de mientos
empresa para Riesgo de
un progreso s funcion
seguro del  Gobier es
marco de no TI  Herrami
gobierno y  Cumpli entas
gestión, miento tecnológ
alineado a 7 legislat icas
principios ivo  Diseño
relacionados:  Proces de
 Segurid o proceso
ad financi s
 Gestión ero  La
de  Toma aplicaci
Riesgo de ón de
s decisio una
 Gobier nes metodol
no TI ogía
 Cumpli reducirá
miento el nivel
legislat de
ivo riesgos
 Proces en
o organiza
financi ciones
ero financie
 Toma ras.
de
decisio
nes
Variable Dependiente: Análisis de riesgos informáticos
Descripción Dimensiones Indicadores Ítems Técnicas e

instrumentos
Cuando existen  Amenazas  Riesgo de  Nivel Encuesta/Cuestionario
amenazas y  Vulnerabilidade operaciones aceptable de
vulnerabilidades s  Estructuras riesgo actual
existen riesgos. actuales  Actual
Los procesos y  Estructuras Estructuras
tecnología futuras y riesgos TI
tienen puntos  Medición reportados
sensibles que del control  Medidas de
los hacen  Información control
vulnerables en disponible  Plan de
cuanto a contingencia
información. Ya
sea en los
sistemas propios
o la
infraestructura.
Por otro lado
una amenaza
hace referencia
a un evento que
perjudica el
flujo normal de
las actividades,
afectando así
los activos
informáticos.
3. MARCO TEORICO
3.1. ANTECEDENTES DEL PROBLEMA
3.1.1. Antecedentes internacionales
TITULO:
DISEÑO DE UNA GUÍA PARA LA IMPLEMENTACIÓN DE GOBIERNO DE
TI EN LA CÁMARA DE COMERCIO DE OCAÑA
País: COLOMBIA
Año: 2015
Resumen:
Es una organización sin ánimos de lucro y de servicio al Estado en sus distintos niveles,
sirve a la comunidad y a sus afiliados; su objetivo principal es la de inscribir y
administrar el Registro Mercantil, y de impulsar el desarrollo económico y comercial.
Esta tesis realiza una guía de implementación de gobierno de TI en la CAMARA DE
COMERCIO DE OCAÑA bajo la metodología basado en COBIT.
Metodología:
- COBIT 5: es un marco de gestión de TI desarrollado por ISACA para ayudar a las
empresas a desarrollar, organizar e implementar estrategias en torno a la gestión de la
información y la gobernanza.
- ISO/IEC 38500: es un estándar internacional para el Gobierno de TI. Provee un marco
para gobernar las TI al interior de las organizaciones, brindando un conjunto de
principios que son de interés de la alta dirección en los procesos de evaluación,
dirección y seguimiento al uso de las tecnologías de la información
Resultados:
En el Componente TIC, el estado del nivel de madurez se encuentra en la etapa Inicial a
Repetible, para lo cual se proponen los siguientes lineamientos con el fin de escalar en
la Madurez de las Tecnologías de Información y Comunicación:
 Llevar de forma preventiva el proceso de adquirir y mantener infraestructura
tecnológica, alineándose con las aplicaciones críticas del negocio.
 Manejar estratégicamente los estándares, políticas y procedimientos de TI para
la adquisición de recursos TI.
 Integrar el plan de continuidad de los servicios de TI con los planes del negocio
y dar continuamente mantenimiento.

En el Componente Modelo de Negocio, el estado del Nivel de Madurez se encuentra en
la etapa Inicial, para lo cual se proponen los siguientes lineamientos con el fin de escalar
en la Madurez del Mismo.
 Documentar la planeación estratégica de TI, que cada vez se toma en cuenta en
el establecimiento de metas del negocio.
 Poner en funcionamiento las mejores prácticas, la infraestructura organizacional
de TI debe ser flexible y adaptable.
 La tecnología debe usarse para mantener bases de conocimientos de políticas y
de concientización para optimizar la comunicación. Usando herramientas de
automatización de oficina y de entrenamiento basado en computadora.
TITULO
PROPUESTA DE IMPLEMENTACIÓN Y ADOPCIÓN DEL MODELO DE
OBJETIVOS DE CONTROL PARA TECNOLOGÍA DE INFORMACIÓN Y
TECNOLOGÍAS RELACIONADAS (COBIT), EN UNA EMPRESA
ASEGURADORA, POR PARTE DE LA AUDITORÍA INTERNA, PARA LA
EVALUACIÓN DE CONTROLES DE ADQUISICIÓN Y MANTENIMIENTO DE
APLICACIONES INFORMÁTICA
País: GUATEMALA
Año: 2016
UNIVERSIDAD DE SAN CARLOS DE GUATEMALA FACULTAD DE CIENCIAS
ECONÓMICAS
Resumen:
Una empresa aseguradora es una entidad financiera regulada por la Superintendencia de
Bancos, el contrato de seguro por ser un servicio puede comercializarse por canales
electrónicos, es decir mediante los sistemas de información, actualmente la entidad
evaluada realiza transacciones como captura de datos en línea, emisión de pólizas de
seguros en línea, pagos en línea, envío de facturas electrónicas y otros servicios más;
todas estas transacciones quedan registradas en la base de datos de la organización, es
por ello que la evaluación de los sistemas de información por parte de la auditoría
interna ha tomado mayor participación en respuesta a la necesidad de la administración
de conocer el estado actual de la dirección de Tecnologías de Información.
La auditoría de sistemas tradicional hace uso de un experto en área de tecnologías de
información, sin embargo, hoy en día existen modelos de control que pueden ser
adoptados por los Auditores, dichos modelos pueden convertirse en herramientas de
mucho beneficio al ser adoptadas por la organización.
En este caso COBIT es un modelo de control con aceptación a nivel internacional en
materia de control informático y aseguramiento de información, ya que permite evaluar
a la medida los controles de la gestión informática, verificando si los objetivos del área
de TI son congruentes con los objetivos generales del negocio, para garantizar
razonablemente a usuarios internos y externos, el suministro oportuno y confiable de la
información necesaria para la toma de decisiones.
Habiendo dicho esto, el presente trabajo tiene como objetivo aportar a los Contadores
Públicos y Auditores que desarrollan su actividad como Auditores Internos en una
empresa de este tipo, los lineamientos para desarrollar una auditoría de sistemas,
evaluando los actuales controles del departamento de informática con base en el modelo
de los Objetivos de Control de Información y Tecnología Relacionada (COBIT) en su
versión 5.0, con la finalidad de tener un soporte para la opinión del auditor, en base a
criterios internacionales de aceptación general que agreguen valor a las conclusiones y
recomendaciones. El presente trabajo está desarrollado de tal manera que el lector tenga
una secuencia lógica que permita adentrarse de manera adecuada al contenido del
mismo.
Posterior a la aplicación práctica se concluyó que es necesario que la empresa adopte
un modelo de trabajo para la revisión del proceso seleccionado ya que los niveles de
capacidad se encuentran funcionando, pero pueden mejorarse y llegar a un estado
óptimo.
Se recomienda la adopción del modelo COBIT ya que con este podrán controlar y
mejorar los aspectos en los que ahora tienen deficiencias, además de la capacitación en
el uso de este tipo de herramientas.
Hallazgo 1:
Para el proceso de gestionar los programas y proyectos, se determinó que los controles
se encuentran a un 66.12% de confiabilidad de acuerdo a los objetivos de control, la
calificación fue de 3.306 siendo 5 la mejor.
Recomendación:
Capacitación en gestión de proyectos y uso efectivo del tiempo a los administradores
del área de informática.
Hallazgo 2:
Para el proceso de gestionar la definición de requisitos, se determinó que los controles
se encuentran a un 72.24% de confiabilidad de acuerdo a los objetivos de control, la
calificación fue de 3.612 siendo 5 la mejor.
Recomendación:
Definición de plantillas con la suficiente información para cumplir a cabalidad con las
necesidades del negocio.
Hallazgo 3:
Para el proceso de adquirir e implementar infraestructura tecnológica, se determinó que
los controles están a un 73% de confiabilidad, teniendo una calificación de 3.65 siendo
5 la mejor.
Recomendación:
Aplicación de estándares y controles para la evaluación de proveedores y
requerimientos de equipo.
Hallazgo 4:
Para el proceso de administración de cambios, se determinó que los controles están a un
78.37% de confiabilidad, teniendo una calificación de 3.918 siendo 5 la mejor.
Recomendación:
Creación de política y flujo para la gestión de cambios y despliegues a producción.
Conclusiones:
1- La alta dependencia de tecnologías de información que tiene la empresa aseguradora,
hace que la inversión en sus recursos informáticos se vuelva indispensable para poder
soportar todas las transacciones electrónicas que ofrece a sus clientes, por lo que debe
normarse la gestión en la implementación de software.
2- La falta de conocimiento y aplicación de metodologías de control informático
aceptadas internacionalmente, por parte del departamento de Auditoría Interna en una
empresa aseguradora, que permita tener un mejor gobierno de la información que
necesita la administración para la toma de decisiones, incide de forma negativa en el
plan de alcanzar los objetivos estratégicos empresariales, ya que no se tendrá el retorno
de inversión esperado.
3- La aseguradora no cuenta con un marco de trabajo con base a los Objetivos de
Control para Información y Tecnología Relacionada (COBIT 5.0) que le permita
implantar un gobierno de tecnología informática que proporcione las herramientas de
control y monitoreo necesarias para minimizar los riesgos sobre la información.
3.1.2. Antecedentes nacionales
"Desarrollo de un Modelo de Gobierno y Gestión de TI para empresas con los
servicios de TI Tercerizados Caso de estudio: empresa de la industria financiera”.
(Núñez, N.,2015).
Resumen:
Durante los últimos años, la tendencia hacia la tercerización de servicios de TI ha
registrado un crecimiento significativo, pues, inicialmente las grandes y medianas
empresas tan solo consideraban esta posibilidad con el objetivo de disminuir costos
operacionales, mientras que, en la actualidad, buscan los servicios de outsourcing o
tercerización como un apoyo para innovar. Por ello este trabajo de tesis presenta un
Modelo de Gobierno y Gestión de TI que reúne diferentes aspectos relacionados con el
esquema de tercerización de servicios de TI; con este objetivo, se realizó una
investigación acerca de estándares internacionales y marcos de trabajo enfocados al
Gobierno y Gestión de TI, así como metodologías y buenas prácticas que proporcionan
las herramientas necesarias para mejorar, madurar y estandarizar la relación con los
proveedores de servicios de TI, asegurando y validando que éstos generen los resultados
requeridos y los productos con la calidad esperada.
Metodología:
La información es un recurso clave para todas las empresas y desde el momento en que
la información se crea hasta que es destruida, la tecnología tiene un papel importante.
Por lo que COBIT 5 permite a las TI ser gobernadas y gestionadas de un modo holístico
para toda la empresa, abarcando al negocio completo de principio a fin y las áreas
funcionales de responsabilidad de TI. COBIT 5 es genérico y útil para empresas de
todos los tamaños, tanto comerciales, como sin ánimo de lucro o del sector público.
También se usará ITIL, ya que, es una biblioteca de cinco libros de consulta basada en
las mejores prácticas de organizaciones de éxito actuales. ITIL describe el modo de
dirigir TI como un negocio: desde la creación de una estrategia de servicios hasta el
diseño de los servicios de negocio; la planificación, creación, comprobación, validación
y evaluación de cambios en las operaciones y la mejora continua de los servicios de
forma constante.
Resultados:
Se elaboraron los cuadros de mapeo entre las metas corporativas de COBIT 5, las metas
corporativas de la empresa, las metas relacionadas con las TI y los procesos del COBIT
5 entre las metas. De forma que se seleccionaron 5 dominios y 15 procesos del
COBIT5:
 Evaluar, orientar y supervisar
 EDM03 Asegurar la Optimización del Riesgo
 Alinear, Planificar y Organizar
 APO09 Gestionar los acuerdos de servicio
 APO10 Gestionar los Proveedores
 APO12 Gestionar el Riesgo
 APO13 Gestionar la seguridad

 Construir, Adquirir e Implementar
 BAI01 Gestionar los Programas y Proyectos
 BAI02 Gestionar la Definición de Requisitos
 BAI03 Gestionar la Identificación y la construcción de Soluciones
 BAI09 Gestionar los Activos
 Entregar, dar Servicio y Soporte
 DSS01 Gestionar las Operaciones
 DSS02 Gestionar las Peticiones y los incidentes del Servicio
 DSS03 Gestionar los Problemas
 DSS04 Gestionar la Continuidad
 DSS05 Gestionar los Servicios de Seguridad
 Supervisar, Evaluar y Valorar
 MEA03 Supervisar, Evaluar y Valorar la conformidad con los Requerimientos
Externos
Obteniendo como resultado una vez realizados los procesos:
CÓDI NOMBRE NIVEL DE PUNTUACI PUNTUACI

NIVEL DE
GO DEL CAPACID ÓN ÓN
CAPACID
PROCESO
AD ALCANZAD AD DESEADA
OBTENID A DESEADO
O
EDM03 Asegurar la Gestionado L F
Gestionad
optimizació
o
n del riesgo
APO09 Gestionar Ejecutado L F
los
Ejecutado
Acuerdos
de Servicio
APO10 Gestionar Ejecutado L Ejecutado F
los
Proveedore
s
APO12 Gestionar el Establecido F Predecibl L
Riesgo e
APO13 Gestionar la Gestionado L Gestionad F
Seguridad o
BAI02 Gestionar la Gestionado L F
definición Gestionad
de o
requisitos
BAI03 Identificar Ejecutado L F
y Construir Ejecutado
Soluciones
BAI09 Gestionar Gestionado L Gestionad F
los activos o
DSS01 Gestionar Gestionado L F
Gestionad
Operacione
o
s
DSS02 Gestionar Ejecutado L F
Peticiones e
Ejecutado
Incidentes
de Servicio
DSS03 Gestionar Gestionado L Gestionad F
Problemas o
DSS04 Gestionar la Ejecutado L F
Continuida Ejecutado
d
DSS05 Gestionar Gestionado L F
Servicios Gestionad
de o
Seguridad
Supervisar, L F
MEA03 evaluar y Gestionado
valorar la
conformida
Gestionad
d con los o
requerimien
tos
externos.
Siendo:
F: en gran parte conseguido
L: Totalmente Logrado
Esto logro:
· Establecer la necesidad de identificar formatos estándar y las cláusulas que al
menos deben contener los Contratos a firmarse con proveedores, especificando
además un esquema de trabajo y facturación, el cual se tomará como base para la
facturación del trabajo realizado, el control y desempeño de los servicios.
· Especificar las funciones que la Gerencia de Tecnología deberá ejecutar para
dirigir, controlar y monitorear los diferentes servicios contratados con los
proveedores.
· Identificar totalmente al personal que es responsable de definir, validar y aprobar
los lineamientos con respecto a las características de los servicios asociados a un
proceso de negocio, en caso de existir modificaciones, la información debe ser
actualizada con la mayor brevedad posible.
· El Proveedor debe asegurar que los servicios que proporciona deben poseer
controles internos con el fin de que la entrega garantice el nivel de calidad
requerido por el Banco.
· Instituir que el Banco tiene la facultad de realizar evaluaciones o auditorias
conforme a mejores prácticas, o bien solicitarlo a un tercero. Estas evaluaciones
y auditorias tendrán como finalidad principal revisar que el Proveedor entrega
los servicios con la calidad adecuada, conforme a lo pactado en los acuerdos.
“Modelo de Gestión de las Tecnologías de Información para Entidades Financieras
de la Ciudad de Riobamba”. (Ebla, C.,2016).
Resumen:
Se realizó un estudio comparativo de los dos modelos de gestión COBIT 5 e ITIL v3,
para identificar sus características principales, y seleccionar los procesos que permitan
crear el modelo de gestión híbrido, que se aplicará en el control de las TIC en las
Cooperativas de Ahorro y Crédito, y de esta manera cumplir con lo requerido por las
entidades de control financiero, referente a la Gestión del Riesgo Operativo de las
Tecnologías de Información.
Metodología:
La estructura del modelo COBIT propone un marco de acción donde se evalúan los
criterios de información, como por ejemplo la seguridad y calidad, se auditan los
recursos que comprenden la tecnología de información, como por ejemplo el recurso
humano, instalaciones, sistemas, entre otros, y finalmente se realiza una evaluación
sobre los procesos involucrados en la organización.
ITIL v3 define cinco fases en el ciclo de vida del servicio: estrategia, diseño, transición,
operación y mejora continua del servicio. El modelo contiene los procesos necesarios
para gestionar los servicios en el marco de esta estructura del ciclo de vida. El objetivo
de cada fase es generar valor para el negocio.
Resultados:
Se hizo un mapeo de los procesos de COBIT5, ITIL V3 y su aplicación en la empresa

dando 5 dominios y 21 procesos
 Evaluar, Supervisar y Estrategia (ESE)
 ESE01.Asegurar el establecimiento y mantenimiento del marco de referencia
 ESE02. Asegurar la optimización del riesgo
 ESE03. Gestión de la Demanda
 Alinear, Planificar y Diseño (APD)
 APD01.Mejora continua de los servicios
 APD02 Gestionar la innovación
 APD03.Gestión Financiera
 APD04.Gestionar los Recursos Humanos
 APD05.Gestionar los acuerdos de servicio
 Construir, Implementar, Transición (CIT)
 CIT01.Gestionar la definición de requisitos
 CIT02.Gestionar la identificación y construcción de soluciones
 CIT03.Gestionar la facilitación del cambio organizativo
 CIT04.Gestión de Cambios
 Servicio, Soporte y Explotación (SSE)
 SSE01.Gestión de Eventos
 SSE02.Gestión de Incidencias
 SSE03.Gestión de Problemas
 SSE04.Gestión de Continuidad de Servicios Informáticos
 SSE05. Gestión de Seguridad de la Información
 SSE06.Gestión de Accesos
 Supervisar, Evaluar y Mejorar (SEM)
 SEM01 Supervisar, evaluar y valorar el rendimiento y la conformidad
 SEM02. Supervisar, evaluar y valorar la conformidad con los requerimientos
externos.
 SEM03.Mejora Continua de los servicios en siete etapas
Obteniendo como resultado:
· Las entidades financieras de la ciudad de Riobamba en su mayoría no llevan una
metodología definida en el manejo de las TIC, esto puede suceder por la falta de
capacitación y aplicación de sus reglamentos.
· Se evidencio que las COAC no invierten en los departamentos de TI, porque en
su mayoría son entidades que recién se están creando, y en las que están ya
posesionadas si invierten, pero les falta aplicar políticas y reglamentos.
· El estudio de los dos modelos de gestión de TI COBIT5 E ITILV3, permitió
identificar sus fortalezas y debilidades al realizar su estudio comparativo en la
aplicación de sus procesos en las entidades financieras, en donde la seguridad de
la información es importante.
“Propuesta de rediseño del sistema de pagos interbancarios aplicando arquitectura

empresarial en el Banco Central del Ecuador”. (Dávila, T.,2017).
Resumen:
El Banco Central del Ecuador con el fin de brindar mejores servicios a la Instituciones
Financieras tanto Privadas como Públicas, y Entidades de la Economía Popular y
Solidaria. Por ello se realiza el presente estudio, que permitirá mejorar sus procesos y
servicios en el Sistema Nacional de Pagos – SPI, y reducirá el tiempo en la liquidación
de las operaciones interbancarias ya que se ejecutarán en tiempo real, logrando así que
exista una mayor circulación de dinero en la economía del País. Para desarrollar esta
propuesta de rediseño del Sistema de Pagos Interbancarios, se aplicará el método de
ADM de TOGAF. El enfoque fundamental de este rediseño del SPI es reconstruir su
funcionalidad actual, sobre nuevas tecnologías y estándares de interoperabilidad.
Metodología:
El método ADM efectúa el análisis arquitectónico con alto nivel de abstracción para
visualizar, detectar y documentar oportunidades y riesgos durante el desarrollo de la
nueva arquitectura; esta ventaja cambia al momento de seleccionar el método de
desarrollo puesto que el marco TOGAF es agnóstico a esas metodologías y permite total
discrecionalidad al arquitecto empresarial y al arquitecto de software en la selección del
método.
TOGAF encamina el desarrollo a partir de cuatro niveles: arquitectura de negocio,
arquitectura de sistemas de información, arquitectura de datos y arquitectura
tecnológica. ADM detalla estos niveles de abstracción en varias fases que determinan la
línea base (AS - IS) y final de un nivel de abstracción (TO - BE) junto con un análisis
de brecha (gap analysis) que permite saber el estado final de la arquitectura.
Resultados:
Fases del ADM para el SPI
Fases ADM Actividades

Preliminar Prepara al BCE y al área de Servicios
Bancarios Nacionales para llevar a cabo el
proyecto de rediseño del SPI, se realizará
las siguientes actividades:
-Entender el ambiente del negocio.
-Comprender los requerimientos
estratégicos.
-Alcanzar un acuerdo respecto al alcance.
-Establecer Principios.
-Definir una estructura de gobernanza.
-Definir el método a ser adoptado
Gestión de Requerimientos Cada fase del proyecto de rediseño del
Sistema de Pagos Interbancarios tendrá sus
propios requerimientos que serán entradas
para otras fases
A. Visión Arquitectónica Se define los alcances y las limitaciones
del proyecto de rediseño del Sistema de
Pagos Interbancarios, para ello se
identifican a los interesados.
A. Arquitectura de Negocio Se desarrolla bajo los cuatro dominios
B. Arquitectura Sistemas de desde el AS-IS y llegar al TO-BE.
Información Negocio
C. Arquitectura de Tecnología
Sistemas de Información – Aplicaciones
Sistemas de Información – Datos
Tecnología
E. Oportunidades y Soluciones Se realizará la planificación de la
implementación
- Seleccionar las opciones de

implementación más adecuadas.
- Identificar los parámetros
estratégicos de cambio en todos los
niveles, y los proyectos que serán
afectados.
- Evaluar las dependencias entre los
diversos proyectos.
- Realizar análisis de costos y
beneficios para cada uno de los
proyectos.
- Crear una estrategia de
implementación y migración
general.
- Crear un plan detallado de
implementación
F. Planificación de la Migración Definir el plan de implementación y

migración como se va traspasar de la
Arquitectura origen AS- IS o Línea Base a
la Arquitectura de Deseada TO- BE
G. Gobierno de la Implementación Se realizará una supervisión para la
implementación y asegurar que la
implementación del proyecto de rediseño
del Sistema Nacional de Pagos este de
conformidad con la arquitectura
establecida.
H. Gestión de Cambios de la Arquitectura Se ejecutará controles continuos para
asegurar que la arquitectura responda de
acuerdo a las necesidades que tiene el área
de servicios bancarios nacionales con
respecto al proyecto de rediseño del
Sistema de Pagos Interbancarios.
- Proveer monitoreo continuo.
- Verificar que los cambios en la
arquitectura se ejecuten de una
manera efectiva e inteligente.
- Brindar soporte a la arquitectura
empresarial para proveer
flexibilidad en los cambios que se
presentan debido a cambios
tecnológicos o en los negocios.
Monitorear la capacidad administrativa del
negocio.
Una vez se realice el cuadro de las actividades del ADM, se usará como marco de
gobierno TI el COBIT 5, esto permite informar las decisiones y las opciones de diseño
sean consistentes con la estrategia del BCE.
Aplica Procesos Lineamiento Detalle Acción
Existe un
modelo
estratégico de
toma de
decisiones para
Analiza y que
articula los las TI sean Definir el plan
requerimientos efectivas y
estratégico de
EDM01 para estén alienadas
con TI
Asegurar el el gobierno de los objetivos
establecimiento TI de del BCE
SI y la empresa y y a su vez con
pone los
mantenimiento
en marcha y requerimientos
del marco de de
mantiene
referencia de negocio y sus
efectivas las
gobierno: partes
estructuras, Definir el
procesos y interesadas.
modelo de
prácticas El sistema de
Gobierno de TI
facilitadores, gobierno de TI
con claridad de del BCE debe
las mejorar.
responsabilidad El rediseño del
es y la SPI está
autoridad para alineado a los
alcanzar la objetivos del
misión, Plan
las metas y Estratégico del
objetivos BCE,
de la empresa. desde el
negocio como
desde TI.
Brinda
beneficios a los
usuarios del
BCE y
externos como
son las
entidades
financieras.
Los servicios
del negocio son Definir el plan
Optimizar la monitoreados. estratégico de
contribución al Los TI
valor del presupuestos de
EDM02 negocio desde
Asegurar la proyectos
los procesos de gestionados.
SI Entrega de
negocio de los Los beneficios
Beneficios.
servicios TI y deben
activos de TI gestionarse de
resultado de la Definir el
las inversiones
inversión hecha modelo de
en TI.
por TI a costes Gobierno de TI
Los servicios
aceptables.
que brinda el
rediseño del
sistema de
pagos
interbancarios
deben ser
monitoreados
para mitigar
riesgos y
ofrecer un buen
servicio.
Obteniendo
Entradas Salidas
Prácticas de Gobierno
Descripción Descripción
EDM01.01 Directrices del gobierno del
Evaluar el sistema de BCE EDM02
gobierno
- Tendencias en el entorno Modelo de toma de
del negocio decisiones EDM02
Identificar, comprometerse -Regulaciones
continuamente con las -Estatutos del BCE Niveles Autoridad
partes interesadas del BCE, -Modelo de toma de EDM02
documentar la comprensión decisiones
de los requerimientos del
negocio y realizar una
estimación del actual y
futuro diseño del gobierno
de TI del BCE
Prácticas de Gobierno Entradas Salidas

Descripción Descripción
EDM01.02 Comunicación del gobierno

Orientar el sistema de del BCE EDM02
Gobierno
Informar a los líderes y -Directrices del gobierno

obtener su apoyo, su del BCE
Enfoque de sistema
aceptación y su -Modelo de toma de
compromiso. Guiar las decisiones APO07.03
estructuras, procesos y -Niveles Autoridad APO07.04
prácticas para el gobierno
de TI en línea con los
principios, modelos para la
toma de decisiones y
niveles de autoridad
diseñados para el gobierno
3.2. BASES TEORICAS
TOGAF
TOGAF son las siglas de The Open Group Architecture Framework. Es un marco que
permite a las empresas diseñar, planificar, desarrollar e implementar su infraestructura
con menos errores y sin salirse del presupuesto.
El Open Group desarrolló el marco en 1995, y lo ofrece a las organizaciones para que lo
utilicen internamente de forma gratuita. Las organizaciones no pueden utilizarlo con
fines comerciales. Este consorcio global también proporciona herramientas y cursos
certificados que las empresas pueden utilizar para implementar TOGAF.

Metodología basada en COBIT 5
COBIT 5 acopla 5 principios que guían a la Empresa el desarrollo de forma segura el
marco de Gobierno y Administración enfocado en una sucesión de 7 habilitadores que
tienen relación, que perfeccionan en financiamiento, en información, así como también

en tecnología mediante lo cual la utilización va en beneficio de los interesados Isaca
(2013)
Para Isaca (2013) COBIT 5 es adaptable a todas las dimensiones de organizaciones
incluidas a las pequeñas empresas, entornos de tecnología. Se lo puede utilizar en:
Seguridad de la información, gestión de riesgo, Gobierno y administración de TI en la
empresa, Cumplimiento legislativo y regulador, Procesamiento financiero, Toma de
decisiones sobre el manejo de tendencias actuales.

1) Satisfacer las Necesidades de las partes interesadas:
Las necesidades de los interesados deben traducirse a una estrategia de acción de la
empresa.
2) Cubrir la empresa de Extremo a Extremo:

Las compañías deben cambiar de visión, con el objetivo de considerar el área de TI
como un activo y no un costo. Los directivos deben tomar la responsabilidad de
gobernar y gestionar los activos relacionados con TI dentro de sus propias funciones.
3) Aplicar un marco de Referencia único integrado:

Usar un solo marco de gobierno integrado puede ayudar a las organizaciones a brindar
valor óptimo de sus activos y recursos de TI.
4) Hacer posible un enfoque holístico:
El gobierno de TI empresarial (GEIT) requiere de un enfoque holístico que tome en
cuenta muchos componentes, también conocidos como habilitadores. Los habilitadores
influyen en si algo va a funcionar o no. COBIT 5 incluye siete habilitadores para
mejorar el GEIT, como los principios, las políticas y marcos; los procesos; la cultura; la
información y la gente.
Principios, políticas y marcos de referencia: son el medio para traducir el
comportamiento deseado en guías prácticas para la gestión del día a día en la empresa.
Los procesos: describen un conjunto organizado de prácticas y actividades para
alcanzar objetivos y producir un conjunto de resultados que soporten las metas
generales relacionadas con TI.
Las estructuras organizativas serían las entidades de toma de decisiones clave en una
organización.
Cultura, ética y comportamiento: Tienen que también tenerse en cuenta xq son un
factor de éxito en las actividades de gobierno y gestión
La información: esta incluye toda la información producida y utilizada por la empresa,
siendo necesaria para mantener la organización funcionando y bien gobernada
Los servicios, infraestructuras y aplicaciones Son la infraestructura y herramientas
que proporcionan a la empresa, servicios y tecnologías de procesamiento de la
información.
Las personas, habilidades y competencias Se relacionan con las personas que son
necesarias para poder completar de manera satisfactoria todas las actividades y para la
toma de decisiones.
Dimensiones de los catalizadores
Partes Interesadas—Cada catalizador dispone de partes interesadas, es decir,
participantes que juegan un papel activo y/o tienen un interés en el mismo
Metas—Cada catalizador cuenta con una serie de metas y los catalizadores
proporcionan valor mediante la consecución de dichas metas
Calidad Intrínseca—Medida en la que los catalizadores trabajan de forma precisa,
objetiva y proporcionan unos resultados precisos, objetivos y de confianza.
Calidad Contextual—Medida en la que los catalizadores y sus resultados, en el contexto
en el que operan, se ajustan a un propósito.
Accesibilidad y Seguridad—Medida en la que los catalizadores y sus resultados son
accesibles y están protegidos

Ciclo de vida—Cada catalizador tiene un ciclo de vida, desde su comienzo pasando por
su operación/vida útil hasta su retirada
Buenas prácticas soportan la consecución de las metas de los catalizadores
5) Separar el gobierno de la Gestión:
Los procesos de gobierno aseguran que los objetivos se alcancen mediante la evaluación
de las necesidades de los interesados, el establecimiento de la dirección a través de la
priorización y la toma de decisiones; y el monitoreo del desempeño, el cumplimiento y
el progreso. De acuerdo con los resultados de las actividades de gobierno, la
administración de la empresa y de TI entonces debe planear, crear, realizar y monitorear
las actividades para asegurar el alineamiento con la dirección que estableció.
Procesos Catalizadores
Procesos de Gobierno y Gestión
Según COBIT 5 Uno de los principios es la distinción hecha entre gobierno y gestión.
En línea con este principio, se espera que todas las empresas implementen varios
procesos de gobierno y varios procesos de gestión para proporcionar un gobierno y una
gestión del entorno IT exhaustivos.

Procesos de Gobierno: Los procesos de gobierno tratan de los objetivos de gobierno de
las partes interesadas – entrega de valor, optimización del riesgo y de recursos – e
incluye prácticas y actividades orientadas a evaluar opciones estratégicas,
proporcionando la dirección de TI y supervisando la salida (Evaluar, orientar y
supervisar [EDM] – en línea con los conceptos del estándar ISO/IEC 38500).
Procesos de Gestión: Son las prácticas y actividades de los procesos de gestión cubren
las áreas de responsabilidad de PBRM de TI de la empresa y tienen que proporcionar
cobertura de TI extremo a extremo.
Procesos de COBIT 5
Proceso de gobierno
Los procesos de gobierno tratan los objetivos de gobierno de las partes interesadas,
entregando valor, optimizando el riesgo y los recursos.
Evaluar Orientar y supervisar 5
Dominio EDM: Asegura que los objetivos de la empresa sean logrados, evaluando las
necesidades de los interesados

Proceso de gestión
Apoyada por la definición de gestión estos serían las prácticas y actividades que cubren
las áreas de responsabilidad de PBRM (plan build run monitor) de TI de la empresa
COBIT 5 incluye un modelo de referencia de procesos que define y describe en detalle
varios procesos de gobierno y de gestión. Este modelo subdivide los procesos de
gobierno y de gestión de TI de la empresa en dos principales áreas de actividad –
gobierno y gestión – divididas en dominios de procesos:
 Gobierno: Este dominio contiene cinco procesos de gobierno; dentro de cada
proceso, se han definido las prácticas EDM.
 Gestión: Estos cuatro dominios están en línea con las áreas de responsabilidad
de PBRM
Procesos de Gobierno de TI Empresarial
Dominio EDM: Asegura que los objetivos de la empresa sean logrados, evaluando las
necesidades de los interesados
Procesos:
EDM01. Asegurar el establecimiento y mantenimiento del marco de referencia de
gobierno: Analizar y articular los requerimientos para el gobierno de las TI de la
empresa y pone en marcha y mantiene efectivas las estructuras, procesos y prácticas
facilitadoras, con claridad de las responsabilidades y la autoridad para alcanzar la
misión, las metas y objetivos de la empresa.
EDM02. Asegurar la entrega de beneficios: Optimizar la contribución al valor del
negocio desde los procesos de negocios, los de servicios TI y activos de las TI resultado
de la inversión hecha por TI a unos costos aceptables.
EDM03. Asegurar la optimización del riesgo: Asegurar que el apetito y la tolerancia
al riesgo de la empresa son entendidos, articulados y comunicados y que el riesgo para
el valor de la empresa relacionado con el uso de las TI es identificado y gestionado.
EDM04. Asegurar la optimización de recursos: Asegurar que las adecuadas y
suficientes capacidades relacionadas con las TI (personas, procesos y tecnologías) están
disponibles para soportar eficazmente los objetivos de la empresa a un coste óptimo.
EDM05. Asegurar la transparencia hacia las partes interesadas: Asegurar que la
medición y la elaboración de informes en cuanto a conformidad y desempeño de las TI
de la empresa son transparentes, con aprobación por las partes interesadas de las metas,
las métricas y las acciones correctivas necesarias.

Procesos de Gestión de TI Empresarial
Dominio APO: Este dominio cubre las estrategias y las tácticas, y tiene que ver con
identificar la manera en que TI puede contribuir mejor con los objetivos del negocio. Es
importante mencionar que la realización de la visión estratégica requiere ser planeada,
comunicada y administrada desde diferentes perspectivas; y finalmente, la
implementación de una estructura organizacional y tecnológica apropiada.
Procesos:
APO01. Gestionar el Marco de Gestión de TI: Proporcionar un enfoque de gestión
consistente que permita cumplir los requisitos de gobierno corporativo e incluya
procesos de gestión, estructuras, roles y responsabilidades organizativos, actividades
fiables y reproducibles y habilidades y competencias.
APO02. Gestionar la Estrategia: Alinear los planes estratégicos de TI con los
objetivos del negocio. Comunicar claramente los objetivos y las cuentas asociadas para
que sean comprendidos por todos, con la identificación de las opciones estratégicas de
TI, estructurados e integrados con los planes de negocio.
APO03. Gestionar la Arquitectura Empresarial: Representar a los diferentes
módulos que componen la empresa y sus interrelaciones, así como los principios
rectores de su diseño y evolución en el tiempo, permitiendo una entrega estándar,
sensible y eficiente de los objetivos operativos y estratégicos.
APO04. Gestionar la Innovación: Lograr ventaja competitiva, innovación empresarial
y eficacia y eficiencia operativa mejorada mediante la explotación de los desarrollos
tecnológicos para la explotación de la información.

APO05. Gestionar el Portafolio: Optimizar el rendimiento del portafolio global de
programas en respuesta al rendimiento de programas y servicios y a las cambiantes
prioridades y demandas corporativas.
APO06 Gestionar el Presupuesto y los Costes: Fomentar la colaboración entre TI y
las partes interesadas de la empresa para catalizar el uso eficaz y eficiente de los
recursos relacionados con las TI y brindar transparencia y responsabilidad sobre el coste
y valor de negocio de soluciones y servicios. Permitir a la empresa tomar decisiones
informadas con respecto a la utilización de soluciones y servicios de TI.
APO07. Gestionar los Recursos Humanos: Optimizar las capacidades de recursos
humanos para cumplir los objetivos de la empresa.
AP008. Gestionar las relaciones: Crear mejores resultados, mayor confianza en la
tecnología y conseguir un uso efectivo de los recursos.
AP009. Gestionar los acuerdos de servicio: Asegurar que los servicios TI y los
niveles de servicio cubren las necesidades presentes y futuras de la empresa.
APO10. Gestionar los Proveedores: Minimizar el riesgo de proveedores que no rindan
y asegurar precios competitivos.
APO11. Gestionar la Calidad: Asegurar la entrega consistente de soluciones y
servicios que cumplan con los requisitos de la organización y que satisfagan las
necesidades de las partes interesadas.
APO12 Gestionar el Riesgo: Identificar, evaluar y reducir los riesgos relacionados con
TI de forma continua, dentro de niveles de tolerancia establecidos por la dirección
ejecutiva de la empresa.
APO13. Gestionar la Seguridad: Mantener el impacto y ocurrencia de los incidentes
de la seguridad de la información dentro de los niveles de apetito de riesgo de la
empresa.
Dimensión BAI: La gerencia con este dominio pretende cubrir, que los nuevos
proyectos generen soluciones que satisfagan las necesidades del negocio, que sean
entregados en tiempo y dentro del presupuesto, que los nuevos sistemas una vez
implementados trabajen adecuadamente y que los cambios no afecten las operaciones
actuales del negocio. Con el fin de cumplir una estrategia de TI, las soluciones de TI
necesitan ser identificadas, desarrolladas o adquiridas, como también implementadas e
integradas en los procesos del negocio.
Procesos:
BAI01. Gestión de Programas y Proyectos: Gestionar todos los programas y
proyectos del portafolio de inversiones de forma coordinada y en línea con la estrategia
corporativa. Iniciar, planificar, controlar y ejecutar programas y proyectos y cerrarlos
con una revisión post-implementación.
BAI02. Gestionar la Definición de Requisitos: Identificar soluciones y analizar
requerimientos antes de la adquisición o creación para asegurar que estén en línea con
los requerimientos estratégicos de la organización y que cubren los procesos de
negocios, aplicaciones, información/datos, infraestructura y servicios.
BAI03. Gestionar la Identificación y Construcción de Soluciones: Establecer y
mantener soluciones identificadas en línea con los requerimientos de la empresa que
abarcan el diseño, desarrollo, compras/contratación y asociación con
proveedores/fabricantes. Gestionar la configuración, preparación de pruebas, realización

de pruebas, gestión de requerimientos y mantenimiento de procesos de negocio,
aplicaciones, datos/información, infraestructura y servicios.
BAI04. Gestionar la Disponibilidad y la Capacidad: Mantener la disponibilidad del
servicio, la gestión eficiente de recursos y la optimización del rendimiento de los
sistemas mediante la predicción del rendimiento futuro y de los requerimientos de
capacidad.
BAI05. Gestionar la Facilitación del Cambio Organizativo: Maximizar la
probabilidad de la implementación exitosa en toda la empresa del cambio organizativo
de forma rápida y con riesgo reducido, cubriendo el ciclo de vida completo del cambio y
todas las partes interesadas del negocio y de TI.
BAI06. Gestionar los Cambios: Gestiona todos los cambios de una forma controlada,
incluyendo cambios estándar y de mantenimiento de emergencia en relación con los
procesos de negocio, aplicaciones e infraestructura. Esto incluye normas y
procedimientos de cambio, análisis de impacto, priorización y autorización, cambios de
emergencia, seguimiento, reporte, cierre y documentación.
BAI07. Gestionar la Aceptación del Cambio y la Transición: Aceptar formalmente y
hacer operativas las nuevas soluciones, incluyendo la planificación de la
implementación, la conversión de los datos y los sistemas, las pruebas de aceptación, la
comunicación, la preparación del lanzamiento, el paso a producción de procesos de
negocio o servicios TI nuevos o modificados, el soporte temprano en producción y una
revisión post-implementación.
BAI08. Gestionar el Conocimiento: Proporcionar el conocimiento necesario para dar
soporte a todo el personal en sus actividades laborales, para la toma de decisiones.

BAI09. Gestionar los Activos: Gestionar los activos de TI a través de su ciclo de vida
para asegurar que su uso aporta valor a un coste óptimo, que se mantendrán en
funcionamiento, que están justificados y protegidos físicamente, y que los activos que
son fundamentales para apoyar la capacidad del servicio son fiables y están disponibles.
Administrar las licencias de software para asegurar que se adquiere el número óptimo,
se mantienen y despliegan en relación con el uso necesario para le negocio y que el
software instalado cumple con los acuerdos de licencia.
BAI10. Gestionar la Configuración: Definir y mantener las definiciones y relaciones
entre los principales recursos y capacidades necesarios para la prestación de los
servicios proporcionados por TI, incluyendo la recopilación de información de
configuración, el establecimiento de líneas de referencia, la verificación y auditoría de
la información de configuración y la actualización del repositorio de configuración.
Dominio DSS: Involucra la entrega en sí de los servicios requeridos, incluyendo la
prestación del servicio, la administración de la seguridad y de la continuidad, el soporte
a los usuarios del servicio, la administración de los datos y de las instalaciones
operativas.
Procesos:
DSS01. Gestionar Operaciones: Coordinar y ejecutar las actividades y los
procedimientos operativos requeridos para entregar servicios de TI tanto internos como
externalizados, incluyendo la ejecución de procedimientos operativos estándar
predefinidos y las actividades de monitorización requeridas.
DSS02. Gestionar Peticiones e Incidentes de Servicio: Proveer una respuesta
oportuna y efectiva a las peticiones de usuario y la resolución de todo tipo de incidentes.

Recuperar el servicio normal; registrar y completar las peticiones de usuario; y registrar,
investigar, diagnosticar, escalar y resolver incidentes.
DSS03. Gestionar Problemas: Identificar y clasificar problemas y sus causas raíz y
proporcionar resolución en tiempo para prevenir incidentes recurrentes. Proporcionar
recomendaciones de mejora.
DSS04. Gestionar la Continuidad: Establecer y mantener un plan para permitir al
negocio y a TI responder a incidentes e interrupciones de servicio para la operación
continua de los procesos críticos para el negocio y los servicios TI requeridos y
mantener la disponibilidad de la información a un nivel aceptable para la empresa.
DSS05. Gestionar Servicios de Seguridad: Proteger la información de la empresa para
mantener aceptable el nivel de riesgo de seguridad de la información de acuerdo con la
política de seguridad. Establecer y mantener los roles de seguridad y privilegios de
acceso de la información y realizar la supervisión de la seguridad.
DSS06. Gestionar Controles de Proceso de Negocio: Definir y mantener controles
apropiados de proceso de negocio para asegurar que la información relacionada y
procesada dentro de la organización o de forma externa satisface todos los
requerimientos relevantes para el control de la información.
Dominio MEA: La totalidad de los procesos de TI deben de ser evaluados regularmente
en el tiempo, para conocer su calidad y cumplimiento de los requerimientos de control.
Este dominio incluye la administración del desempeño, el monitoreo del control interno,
el cumplimiento regulatorio y la aplicación del gobierno.
Procesos:
MEA01. Supervisar, Evaluar y Valorar el Rendimiento y la Conformidad:
Recolectar, validar y evaluar métricas y objetivos de negocio, de TI y de procesos.
Supervisar que los procesos se están realizando acorde al rendimiento acordado y
conforme a los objetivos y métricas y se proporcionan informes de forma sistemática y
planificada.
MEA02. Supervisar, Evaluar y Valorar el Sistema de Control Interno: Facilitar a la
Dirección la identificación de deficiencias e ineficiencias en el control y el inicio de
acciones de mejora. Planificar, organizar y mantener normas para la evaluación del
control interno y las actividades de aseguramiento.
MEA03. Supervisar, Evaluar y Valorar la Conformidad con los Requerimientos
Externos: Evaluar el cumplimiento de requisitos regulatorios y contractuales tanto en
los procesos de TI como en los procesos de negocio dependientes de las tecnologías de
la información. Obtener garantías de que se han identificado, se cumple con los
requisitos y se ha integrado el cumplimiento de TI en el cumplimiento de la empresa
general.
Nivel de capacidad de los procesos
Nivel 0 Proceso incompleto—El proceso no está implementado o no alcanza su
propósito. A este nivel, hay muy poca o ninguna evidencia de ningún logro sistemático
del propósito del proceso.
Nivel 1 Proceso ejecutado (un atributo) – El proceso implementado alcanza su
propósito.
Nivel 2 Proceso gestionado (dos atributos) – El proceso ejecutado descrito
anteriormente está ya implementado de forma gestionada (planificado, supervisado y

ajustado) y los resultados de su ejecución están establecidos, controlados y mantenidos
apropiadamente.
Nivel 3 Proceso establecido (dos atributos) – El proceso gestionado descrito
anteriormente está ahora implementado usando un proceso definido que es capaz de
alcanzar sus resultados de proceso.
Nivel 4 Proceso predecible (dos atributos) – El proceso establecido descrito
anteriormente ahora se ejecuta dentro de límites definidos para alcanzar sus resultados
de proceso.
Nivel 5 Proceso optimizado (dos atributos) – El proceso predecible descrito
anteriormente es mejorado de forma continua para cumplir con los metas empresariales
presentes y futuros.
Implementación del ciclo de vida COBIT 5
¿Cuáles son los motivos?
La fase 1 comienza con el reconocimiento y aceptación de la necesidad de una iniciativa
de implementación o mejora. Identifica los puntos débiles actuales y crea el ánimo de
cambio a un nivel de dirección ejecutiva.
¿Dónde estamos ahora?
La fase 2 se concentra en definir el alcance de la iniciativa de implementación o mejora
empleando el mapeo de COBIT de metas empresariales con metas de TI a los procesos
de TI asociados, y considerando cómo los escenarios de riesgos podrían destacar los
procesos clave en los que focalizarse.
¿Dónde queremos ir?

En la fase 3, se establece un objetivo de mejora, seguido de un análisis más detallado
aprovechando las directrices de COBIT para identificar diferencias y posibles
soluciones.
¿Que es preciso hacer?
La fase 4 planifica soluciones prácticas mediante la definición de proyectos apoyados
por casos de negocios justificados. Además, se desarrolla un plan de cambios para la
implementación.
¿Como conseguimos llegar?
En la fase 5 las soluciones propuestas son implementadas en prácticas día a día. Se
pueden definir las mediciones y establecer la supervisión empleando las metas y
métricas de COBIT para asegurar que mantienen la alineación con el negocio y que el
rendimiento puede ser medido.
¿Hemos conseguido llegar?
la fase 6 se focaliza en la operación sostenible de los nuevos o mejorados catalizadores
y de la supervisión de la consecución de los beneficios esperados.
¿Como mantenemos vivo el impulso?
Durante la fase 7, se revisa el éxito global de la iniciativa, se identifican requisitos
adicionales para el gobierno o la gestión de la TI empresarial y se refuerza la necesidad
de mejora continua.
Análisis de Riesgos Informáticos
Vulnerabilidad Amenaza Riesgo

Es una debilidad o fallo en Es toda acción que Es la probabilidad de que
un sistema de información aprovecha una se produzca un incidente
que pone en riesgo la vulnerabilidad para atentar de seguridad,
seguridad de la contra la seguridad de un materializándose una
información pudiendo sistema de información. Es amenaza y causando
permitir que un atacante decir, que podría tener un pérdidas o daños. Se mide
pueda comprometer la potencial efecto negativo asumiendo que existe una
integridad, disponibilidad sobre algún elemento de cierta vulnerabilidad frente
o confidencialidad de la nuestros sistemas. Las a una determinada
misma. amenazas pueden proceder amenaza.
de ataques (fraude, robo,
virus), sucesos físicos
(incendios, inundaciones)
o negligencia y decisiones
institucionales (mal
manejo de contraseñas, no
usar cifrado).
Fuentes de Amenazas
Botnets: conjunto de equipos infectados que

Malware o código malicioso: permite
ejecutan programas de manera automática y
realizar diferentes acciones a un atacante.
autónoma, que permite al creador del botnet
Desde ataques genéricos mediante la
controlar los equipos infectados y
utilización de troyanos, a ataques de
utilizarlos para ataques más sofisticados
precisión dirigidos.
como ataques DDoS.
Servicios en la nube: una empresa que

contrate este tipo de servicios tiene que
tener en cuenta que ha de exigir los mismos
Ingeniería social: Utilizan técnicas de
criterios de seguridad que tiene en sus
persuasión que aprovechan la buena
sistemas a su proveedor de servicios. Se ha
voluntad y falta de precaución de la víctima
de asegurar de contratarlos con empresas
para obtener información sensible o
cuya seguridad este demostrada, y firmar
confidencial.
SLA o ANS (Acuerdos de Nivel de
Servicio) en los que quede definida la
seguridad que necesita la empresa.
Redes sociales: el uso no controlado de este

tipo de redes puede poner en riesgo la
reputación de la empresa.
Amenaza Riesgo negativo; un evento adverso
incierto o condición que, de llegar a ocurrir
resultaría en efectos desfavorables tales
como daños al ambiente, comunidades,
accionistas, reputación, retrasos o pérdidas
económicas.
Control Políticas, procedimientos, prácticas y
estructuras organizacionales diseñadas para
brindar una seguridad razonable de que los
objetivos de negocio se alcanzarán y los
eventos no deseados serán prevenidos o
detectados y corregidos.
Evaluación de riesgos Actividades para determinar el nivel de
exposición de un proceso frente a sus
riesgos, con el propósito de desarrollar
estrategias de mitigación, a través de la
instauración y fortalecimiento de controles.
Gestión de riesgos Cultura, procesos y estructuras que están
dirigidas hacia la administración efectiva
de oportunidades potenciales y efectos
adversos con el ambiente de la
organización.
Riesgo La posibilidad de que, si algo sucede, tenga
un impacto en el cumplimiento de los
objetivos de la organización. El riesgo es
medido en términos de consecuencias y
probabilidad.
Riesgo materializado Es la ocurrencia del evento que fue
identificado en un inicio, es decir, cuando
la probabilidad del riesgo se concreta, se
hace real y hace que el riesgo se cumpla.
Riesgo de tecnología de información El riesgo de TI es la posibilidad de
( TI)
pérdidas económicas derivadas de un
evento relacionado con el acceso o uso de
la tecnología, que afecta el desarrollo de
los procesos del negocio y la gestión de
riesgos de la entidad, y que puede atentar
contra la confidencialidad, integridad,
disponibilidad, eficiencia, confiabilidad y
oportunidad de la información.
Riesgo Inherente El riesgo originalmente identificado antes
de que alguna acción de control haya sido
implementada.
Riesgo Residual Nivel resultante del riesgo, después de
tomar las medidas con pertinencia y
eficacia combinadas con todos los
controles asociados al riesgo.
Tolerancia al riesgo Tolerancia al riesgo es el nivel aceptable de
variación en el rendimiento en relación con
el logro de los objetivos. Operar dentro de
la tolerancia al riesgo proporciona una
gestión con mayor confianza en que la
entidad alcance sus objetivos.
Pasos del Análisis de Riesgos
Fase 1 Definir el alcance
Fase 2 Identificar los activos
Fase 3 Identificar las amenazas
Identificar
Fase 4 vulnerabilidades
Evaluar
Fase 5 el riesgo
Tratar el
Fase 6 riesgo
3.3. BASES CONCEPTUALES
Riesgo
Según RAE:
Contingencia o proximidad de un daño.
Según ISACA:
Es la combinación de la probabilidad de un evento y su consecuencia.
Según ISO:
Es el efecto de la incertidumbre sobre los objetivos
Nota 1 a la entrada: Un efecto es una desviación respecto a lo previsto. Puede ser
positivo, negativo o ambos, y puede abordar, crear o resultar en oportunidades y
amenazas.
Nota 2 a la entrada: Los objetivos pueden tener diferentes aspectos y categorías, y se
pueden aplicar a diferentes niveles.
Nota 3 a la entrada: Con frecuencia, el riesgo se expresa en términos de fuentes de
riesgo (3.4), eventos (3.5) potenciales, sus consecuencias (3.6) y sus probabilidades
(3.7).
Según PMI:
Evento o condición incierta que, si se produce, tiene un efecto positivo o negativo en
uno o más de los objetivos de un proyecto.
Cooperativa de ahorro y crédito
Según el Consejo Mundial de Cooperativas de Crédito:
La “cooperativa de ahorro y crédito” es una organización cooperativa financiera cuyos
asociados son a la vez propietarios y administradores de la misma sobre una base sin
fines de lucro, de acuerdo con principios democráticos. Su propósito es promover el
ahorro, usar los fondos obtenidos para hacer préstamos y proveer otros servicios
relacionados con los miembros y sus familias. Una cooperativa de ahorro y crédito es
parte de un sistema cooperativo financiero y se adhiere a los principios operativos de
cooperativas de ahorro y crédito establecidos por el WOCCU.
http://www.woccu.org/documents/ESTATUTOS_de_WOCCU_2008
Según al grupo Mancheco, una empresa el cual se basa en asesoría de seguros, publica
en su portal web la siguiente definición:
Las cooperativas de ahorro y crédito son aquellas organizaciones conformadas por
personas naturales o jurídicas que voluntariamente se congregan para realizar
actividades de intermediación financiera y de responsabilidad social con sus socios,
clientes o terceros, bajo los principios de la Ley Orgánica de la Economía Popular y
Solidaria.
https://grupomancheno.com/las-12-cooperativas-de-ahorro-y-credito-mas-prestigiosas-
de-ecuador-segun-datos-seps-2017/
Cooperativa de ahorro y crédito del segmento 2 y 3
Para la Superintendencia de Economía Popular y Solidaria (2015) La Junta de Política
y Regulación Monetaria y Financiera mediante la resolución No. 038-2015-F el 13 de
febrero de 2015 establece la “NORMA PARA LA SEGMENTACIÓN DE LAS
ENTIDADES DEL SECTOR FINANCIERO POPULAR Y SOLIDARIO”, y en su
artículo 1 menciona:
Como menciona la Superintendencia de Economía Popular y Solidaria (2015) En el
“Artículo 1.- Las entidades del sector financiero popular y solidario de acuerdo al tipo y
al saldo de sus activos se ubicarán en los siguientes segmentos:
Segmento Activos (USD)

1 Mayor a 80'000.000,00
2 Mayor a 20'000.000,00 hasta 80'000.000,00
3 Mayor a 5'000.000,00 hasta 20'000.000,00
4 Mayor a 1'000.000,00 hasta 5'000.000,00
Hasta 1'000.000,00
5
Cajas de Ahorro, bancos comunales y cajas comunales
Artículo 2.- Las entidades de los segmentos 3, 4 y 5 definidas en el artículo anterior se
segmentarán adicionalmente al vínculo con sus territorios. Se entenderá que las
entidades referidas tienen vínculo territorial cuando coloquen al menos el 50% de los
recursos en los territorios donde estos fueron captados." Superintendencia de Economía
Popular y Solidaria (2015)
En el artículo 447 del Código Orgánico Monetario y Financiero se indica que las
cooperativas se ubicarán en los segmentos que la Junta determine. Superintendencia de
Economía Popular y Solidaria (2015)
La Superintendencia de Economía Popular y Solidaria se acoge a lo dispuesto por el
Código Monetario Financiero y precautelando los intereses del Sector de la Economía
Popular y Solidaria. Superintendencia de Economía Popular y Solidaria (2015)
http://www.seps.gob.ec/noticia?nueva-segmentacion-sector-financiero-popular-y-
solidario
Gobierno de TI
El Gobierno de TI consiste en un completo marco de estructuras, procesos y
mecanismos relacionales. Las estructuras implican la existencia de funciones de
responsabilidad, como los ejecutivos y responsables de las cuentas de TI, así como
diversos comités de TI. Los procesos se refieren a la monitorización y a la toma de

decisiones estratégicas de TI. Los mecanismos relacionales incluyen las alianzas y la
participación de la empresa/organización de TI, el diálogo en la estrategia y el
aprendizaje compartido. (Jan van Bon, 2010)
El gobierno de las Tecnologías de la Información (TI) se ha desarrollado enormemente
desde la aparición del estándar ISO/IEC -38500. Sin embargo, las organizaciones suelen
experimentar dificultades a la hora de la implementación del estándar, ya que los
principales interesados pueden llegar a ser excluidos del marco de gobierno, provocando
la ausencia de su necesaria implicación. (Ángel Cobo Ortega)
Se entiende por Gobierno TI, el conjunto de acciones que realiza el área de TI en
coordinación con la alta dirección para movilizar sus recursos de la forma más eficiente
en respuesta a requisitos regulatorios, operativos o del negocio. (TCP, 2014)
Constituye una parte esencial del gobierno de la empresa en su conjunto y aglutina la
estructura organizativa y directiva necesaria para asegurar que TI soporta y facilita el
desarrollo de los objetivos estratégicos definidos.
Garantiza que: • TI está alineada con la estrategia del negocio. • Los servicios y
funciones de TI se proporcionan con el máximo valor posible o de la forma más
eficiente. • Todos los riesgos relacionados con TI son conocidos y administrados y los
recursos de TI están seguros.
4. ASPECTOS METODOLÓGICOS
4.1 Ámbito
Campo: Financiero Cooperativo
Área: Tecnología de la Información
Aspecto: Análisis de procesos de análisis de riesgos tecnológicos.

4.2 Población
La tesis trabaja con una población total que consta del grupo de profesionales
encargados de la administración y manejo de riesgos y del departamento de Sistemas de
las instituciones financieras.
En el momento que se realizó la búsqueda de información en la ciudad de Ambato se
encontraron 10 Cooperativas de ahorro y crédito las cuales estaban en el segmento dos y
tres. Cuando se realizó la investigación al personal administrativo de estas instituciones
financieras, dicho personal tenía acceso o conocimiento acerca de las TI obteniendo un
total de 130 personas.
4.3 Muestra
La muestra se hizo según Vallejo P. (2012) por medio de la siguiente formula:
Donde:
e = Margen de error; para el caso de estudio se trabajará con un margen de error del 3%.
ac = Valor del nivel de confianza (varianza).
N = Población
Dando como resultado una muestra de 116.

4.4 Nivel y tipo de estudio
4.4.1 Nivel de estudio
Investigación Descriptiva
La investigación será descriptiva por que se realizará un análisis para llegar a
determinar la incidencia que tienen la falta de procesos y su incidencia en la detección
de riesgos de TI.
Investigación Explicativa
La investigación es explicativa porque se va a poder sustentar la importancia que tienen
la elaboración de procesos para la disminución de los riesgos de TI utilizando la
metodología COBIT 5.
4.4.2 Tipo de estudio
El presente trabajo de investigación tiene un enfoque cuali- cuantitativo, es cuantitativa
porque se va a utilizar parámetros de medición; también es cualitativa porque se va he
emitir juicios de valor respecto al riesgo operativo en la institución.
4.5 Diseño de la investigación
El diseño de la investigación es transversal, porque se selecciona un periodo corto de
tiempo en una situación de trabajo. Siendo su propósito describir las variables y analizar
su incidencia e interrelación en un momento dado.
4.6 Técnicas e instrumentos
4.6.1 Técnicas
-Encuestas
-Entrevista
4.6.2 Instrumentos
-Cuestionario de preguntas cerradas
-Inspecciones
5. IMPLEMENTACION
Aspectos generales
Visión
En el año 2020, llegar al segmento 1 con los mejores indicadores financieros
Misión
Promover el desarrollo socioeconómico de la comunidad, brindando productos y
servicios financieros de calidad.
Objetivos estratégicos del negocio
 Lograr un crecimiento sostenido de la cooperativa
 Capitalizar los microempresarios
 Aumentar el impacto social
 Optimizar las operaciones de forma sostenible
 Adoptar la cultura de aprendizaje
OBJETIVO UNID
OBJETIVO
ESTRATÉGI INDICADOR AD DE META
ESPECÍFIC
CO MEDI
O
GENERAL DA
1.- Incrementar la Rentabilidad patrimonial ROA Porcent 1,30%
1.- LOGRAR UN rentabilidad aje
CRECIMIENTO Margen de ingresos financieros Porcent 73%
SOSTENIDO DE aje
LA 2.- Apalancar en Líneas de financiamiento Millones $
COOPERATIVA forma sostenida
4.000.000,00
ROE Porcent 10,10%
aje
3.- Mantener niveles Cartera atrasada
controlados de mora Porcent 5,00%
aje
1.- Incrementar Cartera total Millones $
el acceso al
crédito y el 7.467.000,00
ahorro
Implementación de canales de
2.- CAPITALIZAR A
distribución Porcent 95%
LOS aje
MICROEMPRESARI
OS 2.- Complementar Número de clientes atendidos
las acciones del en microcréditos Número 6000,00
sistema financiero
3.- Participar en Desarrollar el proceso de

fusiones voluntarias fusión de acuerdo a los Porcent 100%
con otras lineamientos de la SEPS aje
Cooperativas
Implementación del programa

Porcent 100%
de responsabilidad social
3.- AUMENTAR 1.- Generar un aje
EL IMPACTO impacto positivo en Nivel de satisfacción de los
SOCIAL los clientes clientes de los productos y Porcent 95%
servicios aje
Implementación del Código de

Buen Gobierno Corporativo Porcent 95%
1.- Implementar aje
4.- OPTIMIZAR
una cultura de Implementación del Sistema
riesgo y Porcent 95%
LAS de Control Interno
OPERACIONES DE
transparencia aje
FORMA Implementación de Gestión
SOSTENIBLE Integral de Riesgos Porcent 95%
aje
2.- Optimizar el Duración del proceso crediticio
tiempo de Días 4
realización del
proceso crediticio
5.- ADOPTAR LA Modelo de desarrollo del

1.- Contar con
CULTURA DE
personal calificado y
Talento Porcent 100%
APRENDIZAJE Humano (Plan de Carrera aje
motivado
Profesional)
Actividad principal
 Saldos Diarios
 Spread
 Stock de clientes
 Estados financieros
Principales Clientes
Personas naturales y jurídicas.
Principales Productos
 Ahorro a la Vista
 Ahorro Programado
 Ahorro Juvenil
 Ahorro Infantil
 Ahorro Corporativo
 Depósito a Plazo fijo
Principales Servicios
 Tarjetas de Débito
 Remesas Internacionales
 Transferencias Interbancarias
 Educación Financiera
 Bolsa de Empleo
1. Diagnostico Situacional
 FODA
FORTALEZAS OPORTUNIDADES
 Adecuada cobertura geográfica Ayuda de ONG’S.
 Alianzas institucionales Competitividad en el mercado.
 Amabilidad y cortesía con el cliente. Convenios con otras instituciones.
 Buena atención al cliente. Desarrollo tecnológico y lanzamiento de
 Buena relación directivos gerentes nuevos servicios bancarios y de crédito.
colaboradores. La apertura de nuevos mercados.
 Buenos servicios financieros. Tasas de interés bajas, en relación a la
 Intereses bajos. competencia.
 Lealtad y satisfacción de los socios.
 Personal capacitado y comprometido.
 Positiva imagen organizacional
 Recursos propios.
 Responsabilidad social
DEBILIDADES AMENAZAS
 Dependencia de incrementar los socios sin  Cambios de estilos de vida y valores del
publicidad. consumidor que puedan tener una
 Falta de un mix de comunicación. repercusión en los mercados pretendidos y
 Gustos y Preferencias ya que algunas métodos de marketing de la cooperativa.
personas optan por los bancos.  El Impacto Político, en las decisiones
 Inexistencia de Normas de calidad y mejora económicas, sociales, financieras del país.
de procesos. Llegada de competidores.
 Inexistencia de una cultura de servicio al  Situación volcánica en la provincia
cliente.
 Porter
Amenaza de
los nuevos
entrantes
Poder de
Poder de
negociacion Rivalidad de
competidores negociación
de los
del cliente
proveedores
Amenaza de
productos
substitutos
Rivalidad de Competidores
 Cooperativa de ahorro y crédito Ambato LTDA
 Cooperativa de ahorro y crédito Kullkiwasil LTDA
 Cooperativa de ahorro y crédito Chibuleo LTDA
 Cooperativa de ahorro y crédito Educadores de Tungurahua LTDA
 Cooperativa de ahorro y crédito Maquita Cushun LTDA
 Cooperativa de ahorro y crédito Crediambato LTDA
 Cooperativa de ahorro y crédito Campesina LTDA
 Cooperativa de ahorro y crédito Sembrando LTDA

 Cooperativa de ahorro y crédito Crecer Wiñaril LTDA
La rivalidad de sus competidores es alta ya que sus competidores siempre van a desear
liderar el mercado financiero local y estarán en todo momento en la vanguardia de
ofrecer los mejores productos y servicios.
Amenaza de los nuevos entrantes
Debido al crecimiento económico en Ambato se están presentando nuevos competidores
en el mercado financiero, cubriendo necesidades más específicas o de presupuestos
ajustados a un público que comenzó a ganar valor y dinamismo en los últimos años,
entre ellos se tiene:
 Bancos
 Financiera
 Cajas
 Nuevas cooperativas
Las barreras de ingreso que se deben crear serían:
 Economía de Escala
 Requisitos de capital
 Posicionamiento de marca
 Diferenciación del producto
Amenaza del ingreso de producto Sustituto
Debido al crecimiento de las pequeñas empresas más personas necesitan prestamos
rápidos y con tasas bajas es por ello por lo que las cajas Municipales y rurales tienen
una gran ventaja con sus préstamos fáciles y rápidos a personas naturales y empresas
Poder de negociación de los proveedores
Proveedores de materias de infraestructura y sistema de información:
 Proveedores de equipos
 Servicios de intermediación laboral
 Auditores Externos
 Servicios tercerizados
Proveedores de liquidez:
Vienen a ser los clientes del sector financiero y del rubro quienes a través de su depósito
en cada entidad financiera proveen de liquidez dichas instituciones
Poder de negociación del cliente
Clientes minoristas: Personas naturales y pequeños empresarios
Clientes mayoristas: Medianos empresarios e instituciones
Identificación del problema
Inadecuada administración de la información y tecnología.
2. Aplicación
Análisis GAP General
ACTUAL PROPUESTO
N ITE
o M Casi A Casi A
Siempr Nunc Siempr Nunca
e Siempr Veces a e Siempr Veces
e e
Las herramientas informáticas que utiliza en la
institución, ya sean estas para el manejo de la
3 información financiera y contable, información X X
administrativa, u otra información sirven de
apoyo para la toma de decisiones.
La institución cuenta con un diseño de procesos
4 que recoja las necesidades de las partes X X
interesadas tanto internas como externas
La información que se obtiene de los clientes o
5 socios de la institución financiera es la X X
necesaria para un real conocimiento de los
socios
El personal de la institución conoce y aplica las
6 X X
políticas elaboradas por TI
La administración realiza un tratamiento
7 adecuado para mitigar los riesgos X X
informáticos en la institución
La institución cuenta actualmente con reportes
8 X X
de riesgo de TI
9 X X
Se aplican medidas de control de riesgo dentro
de la institución
ACTUAL PROPUEST
No. ITE O
M
SI N SI NO
O
1 La Cooperativa cuenta con un manual de funciones para el personal de la misma X X
La información de los procedimientos para el desarrollo de sus funciones es entendible y de
2 X X
su conocimiento
Existe en la institución la planificación, diseño, desarrollo, despliegue, operación, gestión y
12 X X
aplicación de las TI
13 Existe dentro de la institución un Modelo que esté basado en tareas corporativas de TI X X
14 Se encuentra el departamento de TI en el organigrama general de la cooperativa X X
15 La institución tiene un presupuesto destinado al desarrollo y control de TI X X
Riesgo Actual
NIVEL DE RIESGO
ALTO 27,00%
MODERADO 60,00%
ACEPTABLE 13,00%
Riesgo posterior a la aplicación de las recomendaciones
NIVEL DE RIESGO
ALTO 0,00%
MODERADO 40,00%
ACEPTABLE 60,00%
TOGAF
 Arquitectura de datos
 Arquitectura actual
Entidad Descripción
Cliente Tabla que almacena la información de los clientes y exclientes de las cooperativas
Agencia Contiene la información de las agencias de las cooperativas
Canal Contiene los tipos de atención que usa la cooperativa
Contiene los registros donde se anotan cronológicamente todas las operaciones de la cooperativa, siendo este
Transacción
el periodo actual y cierre de años anteriores
HistorialCrediticio Contiene la calificación e información a nivel de saldos de la cooperativa
Interés Contiene las tasas de interés de la cooperativa
Saldo Contiene los montos de los productos que usan clientes en su moneda seleccionada
Vendedor Contiene la información del trabajador que gestiona la transacción
Línea de crédito Contiene la descripción de la línea de crédito
Moneda Contiene las monedas con las que trabaja la cooperativa
Producto Tabla que almacena la información de los productos y servicios de la cooperativa
Proveedor Contiene la información de los proveedores de la cooperativa
Tipo Cambio Contiene los tipos de cambio de las monedas
Reporte Contiene los códigos de los reportes
Solicitud Contiene las solicitudes de información del área comercial
Solicitud de actualización Estados Financieros Tablero comercial

Solicitar actualización C R
Descarga de estados financieros R
Migrar a servidor local CRUD
Actualizar Datos U
Aplicar reglas de negocio R R
Actualizar de tablero comercial R UD
Notificar actualización completada U R
 Arquitectura propuesta
Entidad Descripción
Cliente Tabla que almacena la información de los clientes y exclientes de las cooperativas
Agencia Contiene la información de las agencias de las cooperativas
Canal Contiene los tipos de atención que usa la cooperativa
Cuenta Contable Contiene los códigos de operaciones regulados por la SIB
Operación Contiene los registros donde se identifican y anotan cronológicamente todas las operaciones de la cooperativa
Convenio Contiene la información de los partes de la cooperativa
RCC posición Contiene la calificación e información a nivel de saldos de todo el sistema financiero
Interés Contiene las tasas de interés de la cooperativa
Saldo Contiene los montos de los productos que usan clientes en su moneda seleccionada
Funcionario Contiene la información del trabajador que gestiona la transacción con el cliente
Línea Crédito Contiene la descripción de la línea de crédito y la máxima línea de crédito
Moneda Contiene las monedas con las que trabaja la cooperativa
Producto Tabla que almacena la información de los productos de la cooperativa
Tipo Cambio Contiene los tipos de cambio de las monedas
Servicio Tabla que almacena la información de los servicios de la cooperativa
Reporte Contiene los códigos e información básica del reporte
Solicitud Contiene las solicitudes de información del área comercial
Solicitud de actualización Estados Financieros Tablero comercial

Solicitar actualización C
Procesamiento de datos en la nube CRUD
Aplicar reglas de negocio R R
Actualizar de tablero comercial R UD
Notificar actualización completada U R
 Análisis GAP de Arquitectura de datos

 Arquitectura de procesos
Arquitectura propuesta
 Análisis GAP de Arquitectura de Negocio
 Arquitectura de sistemas
 Análisis GAP de Arquitectura de Aplicaciones

 Arquitectura de comunicaciones
 Análisis GAP de Arquitectura tecnológica
COBIT
Problemáticas de la empresa: A continuación, se muestra las principales problemáticas de las cooperativas que implican la aplicación de
una metodología, en este caso COBIT 5
Mapeo de Preguntas de las Partes Interesadas

Se identificaron las siguientes 6 preguntas de acuerdo a COBIT 5 enfocadas en las problemáticas de la entidad
PREGUNTAS DE LAS PARTES INTERESADAS
¿Como consigo valor del uso de TI? ¿Están los usuarios finales satisfechos con la calidad del servicio de TI
¿Cómo gestiono el rendimiento de TI
¿Cómo puedo explotar mejor las nuevas tecnologías para nuevas oportunidades de negocio
¿Cuáles son los requisitos (de control) de información?
¿Considero todos los riesgos relativos de TI
¿Como controlo el coste de TI? Como utilizo los recursos de TI de la manera más efectiva y eficiente
Mapeo de Metas Corporativas de COBIT 5 y las Preguntas de Gobierno y Gestión
Luego de la elección de las preguntas de las partes interesadas se procede a relacionarlas con las metas corporativas propias de COBIT 5
Metas Corporativas Resultantes:

En base a las metas corporativas de COBIT 5 y las preguntas de los interesados seleccionadas, se tomarán en consideración las siguientes
metas resultantes.
Metas Propias de TI
Mapeo entre Metas Corporativas de COBIT 5 y las metas relacionadas con TI
Se realiza un cruce entre las metas corporativas de COBIT 5 y las metas relacionadas con las TI. Luego se realiza una ponderación entre el
puntaje obtenido de cruce. Se considera P a los procesos primarios y S a los secundarios con una puntación de 2 y 1 punto respectivamente.
Metas Relacionadas con TI de COBIT 5 Resultantes
Se consideran las metas de TI con mayor ponderación
Mapeo entre las Metas Relacionadas con las TI de COBIT 5 y los Procesos
Se realiza el cruce de ponderación entre los procesos de COBIT 5 y las metas relacionadas de TI seleccionadas
Selección de Procesos Catalizadores Prioritarios
Finalmente, se considerarán en la implementación los procesos catalizadores con mayor ponderación
6. RESULTADOS
Matriz de determinación de riesgo
Con los procesos de COBIT seleccionados y con la revisión de la situación actual en la institución, se propone las actividades a realizar
para mitigar el riesgo identificado, así como el área o persona responsable de elaborar la tarea dentro de cada proceso.
Matriz operativa de la propuesta
Domini Proceso Descripción Situación actual Actividad Responsable

o
No se tiene una visión Definir un plan
Pretender la aceptación clara de riesgo estratégico de TI en el
y la tolerancia al riesgo informático por parte de que se identifiquen los
Asegurar la optimización Encargado de la
EDM03 de la institución para la institución, no se han posibles riesgos de TI y
del riesgo gestión de las TI en
que estos sean evaluado todos los su tratamiento.
la institución
entendidos, riesgos a los que los
comunicados y recursos de TI de la Definir un
gestionados. institución están modelo de
expuestos. gobierno de TI
No existe una
planificación detallada Definir un plan
Asegurar que las
para los recursos de TI. estratégico de TI.
Asegurar la capacidades Encargado de la
EDM04 Las aprobaciones de
optimización de relacionadas con las TI gestión de las TI en
inversión se realizan Definir el POA y
recursos están disponibles para la institución
desde la Alta Gerencia presupuesto de TI
lograr los objetivos a un
sin que tenga una
costo óptimo
planificación de dicha
inversión.
No se tiene un plan
estratégico de tecnología Definir un plan
Identificar la misión y la
alineado con el plan estratégico de TI.
visión corporativa de
estratégico de la
TI. Implementar y
Gestionar el marco de institución. Existe la Definir un Encargado de la
APO01 mantener mecanismos
gestión de TI predisposición de modelo de gestión de las TI en
para la gestión de la
establecer políticas, gobierno de TI la institución
información y el uso de
procedimientos y
TI para apoyar los
procesos de Definir políticas
objetivos de gobierno
cumplimiento, sin y
embargo, no se procedimientos
encuentran totalmente de TI
definidos ni
documentados
No se tiene una
Identificar, evaluar y
evaluación de riesgos ni Definir el
reducir los riesgos
los procesos definidos modelo de Encargado de la
relacionados con TI de
APO12 Gestionar los riesgos para las decisiones de Gobierno de TI gestión de las TI en
forma continua, dentro
negocio. La institución no la institución
de niveles de
toma en cuenta los Implementar la Jefe de Riesgos.
tolerancia establecidos
impactos en el negocio gestión de riesgos
por la alta gerencia de
asociados a las de TI
la institución.
vulnerabilidades de
seguridad. El área de
riesgos no ha establecido
como relevante la
adquisición de soluciones
de TI.
Se tiene establecido una Definir el
política de seguridad de modelo de
la información, sin Gobierno de TI.
embargo, la misma se
Encargado de la
Definir, implementar y encuentra desactualizada Definir políticas y
gestión de las TI en
APO13 Gestionar la seguridad supervisar un sistema y no se ha comunicado a procedimientos de TI.
la institución
para la gestión de la todo el personal de la
seguridad de la institución. Implementar la
Jefe de Riesgos.
información. gestión de riesgos
de TI.
Actualizar y sociabilizar las

políticas actuales.
El proceso y la
Gestionar todos los
metodología de
programas y proyectos
administración de
del portafolio de
proyectos de TI no han
inversiones de forma
sido establecidos y
coordinada y en línea
comunicados. Los
Gestionar programas y con la estrategia Difundir el enfoque de Encargado de la gestión
BAI01 proyectos de TI no se
proyectos corporativa. administración de de las TI en la institución
monitorean, con
proyectos
cronogramas y
mediciones de
presupuesto y
desempeño definidos y
actualizados. La
estrategia general de TI
aún no incluye una
definición consistente de
los riesgos, calidad y
aseguramiento.
Las operaciones de Definir y Aplicar
Coordinar y ejecutar
soporte de TI son SLA’s y OLA’s.
las actividades y los
informales e intuitivas y
procedimientos
no son documentadas. Definir políticas y
operativos requeridos Encargado de la
procedimientos de TI.
para entregar servicios gestión de las TI en
DSS01 Gestionar las operaciones
de TI tanto internos la institución
Implementar la
como externos,
gestión de riesgos
incluyendo la ejecución Jefe de Riesgos.
de TI.
de procedimientos
operativos estándar
Implementar la gestión de
predefinidos y las
continuidad del negocio
actividades de
monitorización
requeridas.
Gestionar los servicios de Proteger la información Los servicios de terceros Definir el modelo de Encargado de la gestión
DSS05 seguridad de la pueden no cumplir con los Gobierno de TI. de las TI en la institución
institución para mantener requerimientos específicos
aceptable el nivel de de seguridad de la Definir políticas y
riesgo empresa. Existe una procedimientos de TI.
de seguridad de la política de TI definida
información de donde existen aspectos Implementar la gestión de
acuerdo con la política limitados de seguridad de riesgos de TI.
de seguridad. información. La seguridad
de TI es vista
Establecer y mantener primordialmente como
los roles de seguridad responsabilidad y
y privilegios de acceso disciplina de TI, y el
de la información y negocio no ve la seguridad
realizar la supervisión de TI como parte de su
de la seguridad. propia disciplina.
Definir y mantener No se tienen definidos y
controles apropiados de levantados procesos
proceso de negocio tecnológicos para la
para asegurar que la determinación de controles
información relacionada de la información. Estos
procesos deben estar Definir el plan estratégico
y procesada dentro de
mapeados con los de TI.
la organización o de
Gestionar los controles de procesos de negocio de la Encargado de la
forma externa satisface
procesos de la institución institución. Definir políticas y gestión de las TI en
DSS06 todos los procedimientos de TI 7. la institución
requerimientos
relevantes para el
Implementar la gestión de Jefe de Riesgos.
control de la
riesgos de TI.
información. Identificar
los requisitos de control
de la información y
gestionar y operar los
controles adecuados
para asegurar que la
información y su
procesamiento satisfacen
estos requerimientos.
Recolectar, validar y El jefe de TI reconoce
evaluar métricas y una necesidad de
objetivos de negocio, de recolectar y evaluar Definir y Aplicar SLA’s
TI y de procesos. información sobre los y OLA’s. Encargado de la
Supervisar que los procesos de monitoreo, gestión de las TI en
Monitorear, evaluar y procesos se están sin embargo, no se han Definir políticas y la institución
MEA01 realizando acorde al
valorar el desempeño y realizado procesos de procedimientos de TI.
conformidad rendimiento acordado y auditoría y control. El Gerencia. Auditoría
conforme a los objetivos monitoreo por lo general Planificar procesos de
y métricas y se se realiza de forma auditoría interna/externa.
proporcionan informes de consecuente en algún
forma sistemática y incidente que ha
planificada. ocasionado pérdida o
irregularidades dentro de
la institución.
Análisis de Costos y Beneficios

Análisis de Costos
Costos Directos
Service Custom Region Description Estimated monthly Estimated upfront

type name cost cost
Virtual West US 1 D8 v3 (8 vCPU, 32 GB de RAM) x $610.33 $0.00
Machines 730 Horas; Windows – (solo SO);
Pago por uso; 0 discos de sistema
operativo administrados: S4,
100 unidades de transacción; Tipo
de transferencia interregional, 5 GB
de transferencia de datos de salida
de West US a East Asia
Azure Data Central US Pago por uso: 500 TB Storage, 0 $19,558.40 $0.00
Lake transacciones de lectura, 0
transacciones de escritura
Storage
Gen1
Azure SQL East US 2 Base de datos única, Núcleo $1,943.79 $0.00
Database virtual, Almacenamiento de copia
de seguridad RA-GRS, Uso
general, Aprovisionado, Gen 5,
Redundancia local, 1, instancias 8
vCore x 730 Horas, 4096 GB de
almacenamiento, 0 GB de
almacenamiento de copia de
seguridad
Azure East US 1.002.000 llamadas API estándar, 1 $1.62 $0.00
Monitor máquinas virtuales supervisadas y
1 métricas supervisadas por
máquina virtual, 1 alertas de
registros con una frecuencia de 5
minutos, 1000 correos
electrónicos, 1000 notificaciones
push, 100.000 webhooks, NaN
SMS en Estados Unidos (+1)
Azure West US Carga de trabajo Proceso multiuso, $504.80 $0.00
Databricks nivel Premium, 1 D3V2 (4 vCPU, 14
GB DE RAM) x 730 Horas, Pago
por uso, 0.75 DBU x 730 Horas
Support Support $0.00 $0.00
Licensing Program Microsoft Online Services Agreement
Total $22,618.93 $0.00
Elaboración del manual de buenas practicas $50
Costos Indirectos
Capacitación al personal $1,000

Auditoria $150
Análisis de Beneficios
1 Mejora en el tiempo de respuesta de los servicios brindados
2 Disminución el riesgo de pérdida de información por falta de memoria

3 Aumentar los beneficios en las acciones comerciales, a través de la mejora en la consulta de estados financieros.
4 Disminuir los riesgos de la data sensible por medio de un manual de buenas prácticas para la trata de esta.
5 Optimizar los recursos utilizados por medio de una arquitectura tecnológica hibrida.
6 Optimizar las operaciones de TI por medio de una correcta documentación

Optimizar el presupuesto de TI por medio de un plan de inversión o desarrollo entre el departamento de TI y la alta
7
gerencia
7. CONCLUSIONES
 Al plantear la propuesta, el personal administrativo de la Cooperativa
Indígena SAC no consideraba el riesgo informático como parte fundamental
en la gestión de riesgos debido a que analizaban únicamente indicadores y
reportes financieros. No se consideraban los riesgos y pérdidas que puede
ocasionar la no adecuada gestión de los recursos de TI. Al determinar los
principales procesos utilizando la metodología COBIT 5 para el tratamiento
de dichos riesgos se pudo proponer distintos planes de acción o actividades
que, al ser comunicados, entendidos, ejecutados y monitoreados por cada
persona dentro de la institución, se obtendría como resultado la disminución
del impacto que pudieran provocar si no se llegase a tratar el riesgo analizado.
 La aplicación de la propuesta basada en la metodología COBIT 5 permitió

determinar los principales procesos de TI para el tratamiento de los riesgos
informáticos en la institución, los cuales son: Asegurar la optimización de
riesgo (EDM03), asegurar la optimización de recursos ( EDM04), gestionar el
marco de gestión de TI (APO01), gestionar los riesgos (APO12), gestionar la
seguridad (APO13), gestionar programas y proyectos (BAI01), gestionar las
operaciones (DSS01), Gestionar los servicios de seguridad (DSS05),
gestionar los controles y procesos de la institución (DSS06), y; monitorear,
evaluar y valorar el desempeño y conformidad (MEA01).
 Se determina de forma teórica y práctica que la aplicación de la metodología

COBIT 5 permitió, en primera instancia establecer los riesgos informáticos
presentes, y posteriormente crear alternativas de solución para minimizar el
impacto de dichos riesgos.
 Al basarse la propuesta en una metodología aceptada internacionalmente y

que abarca varios estándares normativos, permitirá a la institución brindar
mayor confianza a sus clientes manejando de una forma ordenada y
responsable los principios de seguridad de la información: confidencialidad,
integridad y disponibilidad.
8. CONCLUSIONES DEL GRUPO SOBRE LA TESIS
 Se concluye que este trabajo nos mostró un panorama de cómo funciona el marco de
COBIT5 aplicado en una organización, cuáles son los pasos a seguir, desde conocer
el estado actual en el que se encuentra hasta como esta añade valor a la misma.
 Se concluye que el trabajo de investigación propuesto por el autor da las medidas
para poder mitigar los riesgos que se establecen por medio de los procesos
catalizadores de COBIT5 en la perspectiva actual de la empresa y un manual de
buenas prácticas para reforzar la seguridad informática en esta.
 El objetivo de la implementación de COBIT5 es poder contar con una organización
apoyada en TI que apoye a la seguridad de la información y utilización de ese
conocimiento de TI dentro de la organización, de una forma útil, a través de la
utilización del mismo por todos los integrantes de la organización, para así agilizar
y optimizar sus procesos.
 En conclusión, se busca disminuir los riesgos operativos para agilizar los procesos
de TI y las acciones comerciales.

REFERENCIAS
Núñez, N. (2015). Desarrollo de un Modelo de Gobierno y Gestión de TI para empresas
con los servicios de TI Tercerizados Caso de estudio: empresa de la industria
financiera. [Trabajo de maestría, Universidad de las Américas]. Repositorio Digital
http://dspace.udla.edu.ec/bitstream/33000/5120/1/UDLA-EC-TMGSTI-2015-29.pdf
Ebla, C. (2016). Modelo de Gestión de las Tecnologías de Información para Entidades
Financieras de la Ciudad de Riobamba. [Proyecto de investigación de Maestría,
Universidad Regional Autónoma de los Andes]. Repositorio Digital
http://45.238.216.28/bitstream/123456789/5331/1/PIUAMIE007-2016.pdf
Dávila, T. (2017) Propuesta de rediseño del sistema de pagos interbancarios aplicando
arquitectura empresarial en el Banco Central del Ecuador [Trabajo de maestría,
Universidad de las Américas]. Repositorio Digital
http://dspace.udla.edu.ec/bitstream/33000/8278/1/UDLA-EC-TMGSTI-2017-20.pdf
Barrera Barragán, C. G. (2019). Análisis de Riesgos Informáticos en las Cooperativas de
Ahorro y Crédito de los Segmentos 2 y 3 en la ciudad de Ambato utilizando COBIT
5 (Master's thesis, Universidad Técnica de Ambato. Facultad de Ingeniería en
Sistemas, Electrónica e Industrial. Maestría en Gerencia de Sistemas de
Información).
https://repositorio.uta.edu.ec/bitstream/123456789/29847/1/Tesis_t1586msi.pdf
Isaca, C. (2012). 5: Un Marco de Negocio para el Gobierno y la Gestión de las TI de la
Empresa. Rolling Meadows. https://articulosit.files.wordpress.com/2013/07/cobit5-
framework-spanish.pdf
Cooperativa de ahorro y crédito indígena. https://coopsac.fin.ec/

Trabajo Final GobiernoTI Grupo3

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Trabajo Final GobiernoTI Grupo3

Cargado por

Copyright:

Formatos disponibles

Facultad de Ingeniería de Sistemas y Electrónica

“Análisis de Riesgos Informáticos en las

Cooperativas de Ahorro y Crédito de los

Segmentos 2 y 3 en la ciudad de Ambato

 Concha Flores, Alexander Ricardo (1511218)

Arias Caycho, Jesus

Lima, diciembre del 2020

Análisis de Riesgos Informáticos en las Cooperativas de Ahorro y Crédito de los

Segmentos 2 y 3 en la ciudad de Ambato utilizando COBIT 5.

Ing. Christian Giovanny Barrera Barragán

El manejo de riesgos en las instituciones financieras generalmente se centraban en

aspectos netamente financieros, sin embargo aspectos como robo de información,

pérdida de datos, destrucción de infraestructura, manipulación de bases de datos, etc., ha

regulen el ambiente tecnológico, así como a la necesidad y obligatoriedad de las

empresas actuales sobre el departamento de TI se encuentran las de incrementar el

crecimiento de la institución financiera, reducir los costos, multiplicar las ganancias, y

desarrollar un equipo de trabajo talentoso y capaz.

sentido, resulta fundamental mantener el riesgo vinculado a TI en un nivel aceptable,

cada vez son mayores. COBIT es un marco de referencia y un juego de herramientas de

participantes. Uno de los Principios de COBIT es el de satisfacer las necesidades de las

partes interesadas, entre las cuales se encuentran la optimización de recursos y la

disminución de riesgos tecnológicos. Se entiende como partes interesadas a las partes: -

Externas: sociedad en general, clientes, proveedores. - Internas: administración gobierno

de la empresa, responsables de los procesos de negocios, responsables de la TI,

responsables de cumplimiento, etc.

En las Cooperativas de Ahorro y Crédito de la ciudad de Ambato, específicamente las

ubicadas dentro de los segmentos 2 y 3 según la calificación de la Superintendencia de

Economía Popular y Solidaria, se han enfocado en su mayoría en analizar los riesgos

Tabla 1: Catastro de Cooperativas Segmentos 2 y 3 de la ciudad de Ambato Fuente:

SEPS – Investigador Elaborado por: El autor

RAZÓN SOCIAL SEGMENTO TIENE PROCESOS DE TI

del cual se propone la implementación del Marco de Referencia COBIT 5 para

identificar, mitigar, minimizar y monitorear los riesgos tecnológicos presentes en las

Cooperativas de Ahorro y Crédito de los Segmentos 2 y 3 de la ciudad de Ambato, a fin

de evitar problemas de pérdidas o fugas de información, pérdidas de servicio, etc.

El CAPÍTULO I, EL PROBLEMA: contiene el tema de investigación, el

planteamiento del problema, su contexto, análisis crítico, prognosis, formulación del

problema, interrogantes, delimitación, justificación y objetivos.

fundamentación filosófica, fundamentación legal, categorías fundamentales, hipótesis y

El CAPÍTULO III METODOLOGÍA: menciona el enfoque de investigación,

modalidad básica de la investigación, nivel o tipo de investigación, población y muestra,

operacionalización de variables, plan de recolección de información y plan de

El CAPÍTULO IV, ANÁLISIS E INTERPRETACIÓN DE RESULTADOS: abarca

la tabulación y sus respectivos gráficos estadísticos de la encuesta aplicada al personal

de las instituciones financieras, así como la comprobación de hipótesis.

El CAPÍTULO V CONCLUSIONES Y RECOMENDACIONES: constituye, la

comprobación de cada objetivo específico y sus respectivas soluciones.

El CAPÍTULO VI PROPUESTA: comprende la solución a la problemática de

1. ASPECTOS BASICOS DEL PROLEMA DE INVESTIGACION

estructura integral de gobierno de TI para lograr resultados efectivos. El uso de

metodologías integradas y ágiles para gestionar riesgos y en especial el tecnológico es

Esta investigación se realiza con el propósito de aportar al conocimiento existente sobre

el uso de la metodología COBIT 5 , como marco de trabajo para el análisis de riesgos de

evaluación del logro de competencias de indagación científica en la educación

secundaria, cuyos resultados podrán sistematizarse en una propuesta, para ser

incorporado como conocimiento a las ciencias de la educación, ya que se estaría

demostrando que el uso de las rúbricas mejoran el nivel de desempeño de los

1.3. IMPORTANCIA O PROPOSITO

Apoyar a la alta gerencia a saber si con la información administrada es posible

garantizar el logro de objetivos, ser flexible, tener un buen manejo de riesgos y

reconocer apropiadamente sus oportunidades actuando acorde a ellas Asimismo, definir

la alineación de las estrategias de TI con la estrategia de la organización, asegurará la

disminución del apetito de riesgo, proporcionará estructuras organizacionales que