Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Paper 75-Simplified IT Risk Management Maturity Audit System - En.es
Paper 75-Simplified IT Risk Management Maturity Audit System - En.es
com
Resumen—En los últimos años, el papel de la gestión de riesgos mejorar el rendimiento y la gobernanza de las empresas, así como reducir el
se ha convertido en un factor clave de éxito para asegurar el fraude dentro de las organizaciones [8].
crecimiento por un lado y la supervivencia por otro de cualquier
organización. Además, la dependencia de TI se ha vuelto Por otro lado, está el COBIT, un marco de referencia para la
sistemática dentro de cualquier organización. Esta dependencia, auditoría de TI y el gobierno de TI, está destinado a la gestión
por tanto, implica la importancia de la implementación de un (que debe decidir sobre las inversiones a realizar, para
sistema de gestión de riesgos de TI para gestionar bien los riesgos garantizar la seguridad y el control de TI, y ajustarlas de
de TI. Existen varios estándares que se ocupan de la gestión de acuerdo con la riesgos del entorno) y los usuarios (seguridad,
riesgos empresariales en general o de la seguridad de la control de los servicios informáticos prestados) [9] [10].
información en particular. Sin embargo, pocos estándares se
El marco COBIT 5 incluye documentación específica para la gestión de
ocupan de la gestión de riesgos de TI. Tomando nota, por ejemplo,
de COBIT 5 (Objetivos de control para la información y la tecnología riesgos de TI llamada "COBIT 5 para riesgos [11]", pero este marco es
relacionada), que se ocupa de la gestión de riesgos de TI pero es complicado de implementar con una gran biblioteca de publicaciones que
complicado de implementar. El propósito de este artículo es requieren la puesta en funcionamiento y la consolidación de conceptos
describir un sistema simplificado de auditoría de madurez de relacionados con la gestión de riesgos de TI.
gestión de riesgos de TI en una organización basada en "COBIT 5
Para responder a estas limitaciones, centramos nuestra
para riesgos".
investigación en el desarrollo de un sistema simplificado de gestión de
riesgos de TI que se puede utilizar fácilmente dentro de una
Palabras clave: gestión de riesgos de TI; COBIT 5 para riesgo; sistema de auditoría de
madurez; habilitadores de COBIT 5; ejes de análisis; escala de madurez y puntuación;
organización. El primer paso en este desarrollo comienza con la
informe de auditoria de vencimiento creación de un sistema de auditoría de madurez de gestión de riesgos
de TI. El objetivo principal de este sistema es evaluar la madurez de la
yo yoNTRODUCCIÓN gestión de riesgos de TI, identificar las brechas y definir planes de
acción que permitan establecer o actualizar la gestión de riesgos de TI
Asumir riesgos es un requisito previo para la supervivencia y el
dentro de una organización. En este artículo, describiremos un sistema
crecimiento de cualquier negocio. En consecuencia, es fundamental
propuesto para la auditoría de madurez de la gestión de riesgos de TI
gestionar y controlar adecuadamente los riesgos inherentes a la actividad,
dentro de una organización basada en "COBIT 5 para riesgos".
de lo contrario, si estos riesgos se presentan, la empresa no podrá alcanzar
sus objetivos [1] [2]. Después de una introducción, presentaremos una revisión de la
literatura sobre gestión de riesgos de TI. La siguiente parte describirá el
Por otro lado, con el surgimiento de la Tecnología de la
enfoque metodológico a adoptar al configurar el sistema de auditoría
Información, que se ha convertido en una parte integral de cualquier
de madurez para la gestión de riesgos de TI de una organización.
ecosistema empresarial, la gestión de riesgos de TI se está volviendo
Posteriormente, describiremos el sistema propuesto para la auditoría
vital para el negocio [3].
de madurez de la gestión de riesgos de TI de una organización.
“La gestión de riesgos es un proceso que tiene como objetivo Terminaremos con una conclusión y perspectivas.
reducir los efectos nocivos de una actividad a través de una acción
consciente para anticipar eventos no deseados y planificar para II. RREVISIÓN DE LALITERATURA SOBRETI RISKMETROGESTIÓN
evitarlos. La gestión de riesgos puede considerarse un proceso de Un riesgo se puede definir como el “efecto de la incertidumbre sobre los
medición o evaluación de riesgos y luego el diseño de estrategias para objetivos. Un efecto es una desviación de lo esperado, ya sea positivo o
la gestión de riesgos” [4] [5] [6] [7]. negativo. La incertidumbre es el estado, incluso parcial, de deficiencia de
Por lo tanto, se han desarrollado estándares para tratar la gestión de información relacionada con, comprensión o conocimiento de un evento, su
información en particular. Existen muchos estándares de gestión de riesgos “COBIT 5 para Riesgos define el riesgo de TI como riesgo comercial,
o estándares de seguridad de la información, pero pocos son los estándares específicamente, el riesgo comercial asociado con el uso, propiedad,
que tratan la cuestión de la gestión de riesgos de TI. operación, participación, influencia y adopción de TI dentro de una
Tomando nota, por ejemplo, de COSO, un marco de referencia empresa. El riesgo de TI consiste en eventos relacionados con TI que
de control interno desarrollado por el Comité de Organizaciones podrían afectar potencialmente al negocio. El riesgo de TI puede ocurrir
Patrocinadoras de la Comisión Treadway y tiene como objetivo con una frecuencia e impacto inciertos y crea desafíos para cumplir las
metas y objetivos estratégicos”. [11].
641 |Página
www.ijacsa.thesai.org
(IJACSA) Revista Internacional de Informática Avanzada y Aplicaciones,
vol. 12, N° 8, 2021
La gestión de riesgos son las “actividades coordinadas para • ISO/IEC 27005 (proceso).
dirigir y controlar una organización con respecto al riesgo”.
Como consecuencia, el marco de gestión de riesgos es un • COSO (componentes, principios).
“conjunto de componentes que proporcionan los cimientos y En la literatura, hay artículos de investigación que discuten el
arreglos organizacionales para diseñar, implementar, despliegue de COBIT 5 para la gestión de riesgos de TI. Los autores
monitorear, revisar y mejorar continuamente la gestión de “Walid Al-Ahmad” y “Basil Mohammed” en su artículo [16] presentan los
riesgos en toda la organización”. [13]. procesos de negocio utilizados en la gestión de riesgos de seguridad de
En el marco de la gestión de riesgos existen varias normas. la información, así como las actividades correspondientes y las pautas
Destacando, por ejemplo, el COSO, un marco de referencia para el para implementarlos. Este artículo no tiene en cuenta los procesos de
control interno desarrollado por el Comité de Organizaciones gobierno de riesgos de TI (EDM03 Garantizar la optimización de
Patrocinadoras de la Comisión Treadway y destinado a mejorar el riesgos) y se centra en la gestión de riesgos de seguridad de la
desempeño y la gobernanza de las empresas, así como a reducir el información. Los autores “Hanim Maria Astuti et al.” en su artículo [17]
fraude dentro de las organizaciones. [8]. presentan un caso de estudio para el despliegue de COBIT 5 para la
identificación, evaluación y gestión de riesgos de TI de una unidad
Por otro lado, está el COBIT que constituye un marco de organizacional (Service Desk). Este artículo se limita a la
referencia para la auditoría de TI y el gobierno de SI y que está implementación de los dos procesos de COBIT 5: DSS02 Manage service
destinado tanto a la dirección como a los usuarios. Este marco y APO12 Manage Risks.
incluye documentación dedicada para la gestión de riesgos de TI:
La principal limitación observada de los dos artículos de investigación
"COBIT 5 para el riesgo" [11].
citados anteriormente es que cubren parcialmente la implementación de un
En cuanto a la ISO 31000, es una norma que brinda sistema de gestión de riesgos de TI y no detallan el proceso de gobierno de
principios y lineamientos para la gestión de riesgos así como riesgos de TI.
los procesos de implementación a nivel estratégico y operativo
[14]. De acuerdo con los diferentes elementos mencionados
anteriormente, se ha iniciado un trabajo de investigación para el
Para ISO/IEC 27005, es un estándar que describe las principales desarrollo de un sistema de gestión de riesgos de TI basado en COBIT
líneas de gestión de riesgos con miras a establecer un sistema de 5. Este artículo presenta la primera fase del desarrollo de este sistema y
gestión de seguridad de la información [15]. que consiste en la descripción de una auditoría de madurez. sistema de
gestión de riesgos de TI de una organización.
A continuación se presenta un cuadro comparativo de una selección de normas
existentes relacionadas con la gestión de riesgos (Cuadro I):
tercero DESCRITURA DE LAMETROETODOLÓGICOAENFOQUE A
SERADOPTADO
TABLA I. CCOMPARATIVOTCAPAZ DERISKMETROGESTIÓNFRAMEWORKS/
SNORMAS Para establecer un sistema de auditoría de madurez Gestión de
riesgos de TI dentro de una organización, sugerimos adoptar un
Empresa Seguridad de información
Riesgo de TI
enfoque basado en el análisis de la perspectiva de la Función de
Riesgo administración Gestión de riesgos
Estructura riesgo descrita por COBIT 5 para el riesgo (Fig. 1). La perspectiva de
administración Estructura / Marco / estándar
/ estándar la función de riesgo “describe lo que es necesario en una empresa
Estructura / estándar k Gestión
estándar Estructura Marco / estándar para construir y mantener de manera eficaz y eficiente las
actividades de gobierno y gestión de riesgos”. [11].
COSO - - -
Función de Riesgo Gestión de riesgos
ISO 31000 - - - Perspectiva Perspectiva
la gestion de riesgos
ISO/CEI
- - - La perspectiva de la función de riesgo
la perspectiva analiza el riesgo central
642 |Página
www.ijacsa.thesai.org
(IJACSA) Revista Internacional de Informática Avanzada y Aplicaciones,
vol. 12, N° 8, 2021
De hecho, la perspectiva de la función de riesgo se basa en los siete Para cada macrofase, se deben tomar todos los pasos descritos en
habilitadores de COBIT 5 (Fig. 2) [9] para detallar las diferentes funciones/ la Fig. 3 para auditar el nivel de madurez de cada habilitador (excepto el
dimensiones de una organización que permiten el gobierno y la gestión de habilitador de "Proceso" cuyos pasos de auditoría de madurez están
riesgos de TI. Un habilitador puede considerarse como una dimensión o un parcialmente descritos por COBIT 5 [9]) en términos de gestión de
pilar para el establecimiento de la gobernanza de TI. riesgos de TI:
El enfoque metodológico propuesto se desglosa en siete Paso 1: Planificación de la auditoría de madurez del habilitador en términos de
macrofases en consonancia con los siete habilitadores gestión de riesgos de TI
definidos por COBIT 5 (Tabla II):
Sub-paso 1.1: Identificación de los diferentes valores de
TABLA II. TÉL7 millonesACRO-PAGSHAS DE LAMETROETODOLÓGICOAENFOQUE el facilitador auditado en relación con la gestión de riesgos de TI
SER - ESTARAADOPTADO PARA ELMETROATURIDADAUDITAR DETI RISKMETROGESTIÓN
DENTRO DE UNOORGANIZACIÓN Para cada habilitador, el objetivo es definir sus diferentes valores
en relación con la gestión de riesgos de TI para auditar cada valor de
Auditoría de madurez de principios, políticas y estándares
Macrofase 1 acuerdo con los ejes de análisis definidos.
relacionados con la gestión de riesgos de TI
Auditoría de madurez de estructuras organizativas relacionadas con la Sub-paso 1.2: Definición de ejes de análisis
Macrofase 3
gestión de riesgos de TI
Para cada habilitador se especifica un conjunto de buenas prácticas
Macrofase 4
Auditoría de madurez de cultura, ética y comportamiento relacionados con la a observar por COBIT 5, en base a estas buenas prácticas se definen los
gestión de riesgos de TI
diferentes ejes de análisis.
Auditoría de madurez de la información relacionada con la gestión de
Macrofase 5
riesgos de TI
Entrega: Lista de ejes de análisis.
administración
Recopilamos y guardamos los distintos documentos a
analizar para auditar la madurez de la gestión de riesgos de TI
Análisis y atribución de puntuaciones a cada valor de la del facilitador auditado.
2.1 habilitador auditado
3 Gestión de riesgos de TI
Resumen de la auditoría de madurez del habilitador en términos de riesgo de TI Sub-paso 2.1: Análisis y atribución de puntajes a cada valor
administración
del habilitador auditado
Descripción de las debilidades / fortalezas identificadas también
3.1 como el plan de acción a implementar Analizamos cada valor del habilitador auditado y asignamos un
puntaje por eje de análisis.
Elaboración del informe final de auditoría sobre la madurez del habilitador
3.2 en términos de gestión de riesgos de TI Entrega: Análisis y tabla de puntuación del habilitador auditado.
643 |Página
www.ijacsa.thesai.org
(IJACSA) Revista Internacional de Informática Avanzada y Aplicaciones,
vol. 12, N° 8, 2021
Calculamos el número y el porcentaje de las diferentes Este paso consiste en identificar los principios y políticas que
puntuaciones asignadas por eje de análisis y por valor del permitan construir e implementar la gestión de riesgos de TI en
habilitador auditado (el número y el porcentaje de 0, 1 y 2). La una organización.
puntuación global se calcula sumando todas las puntuaciones. En
COBIT 5 define siete principios en relación con la gestión de
función de la puntuación global obtenida, se obtiene un nivel de
riesgos de TI (Fig. 4) [18].
madurez de acuerdo con la escala de madurez previamente
definida. En cuanto a las políticas, COBIT 5 enumera 18 políticas con la
descripción de cada política. A continuación se encuentran las 18
Entrega: Desglose en porcentaje de puntuaciones 0, 1 y 2,
políticas mencionadas por COBIT 5 (Fig. 5) [11].
Nivel de madurez general del habilitador auditado.
b) Definición de ejes de análisis:Este paso consiste en
determinando los ejes de análisis con base en las buenas prácticas
Paso 3: Resumen de la auditoría de madurez del habilitador en términos de gestión
de COBIT 5 [11]. Se describen los diferentes ejes de análisis y el
de riesgos de TI
correspondiente sistema de calificación (Tabla III).
Sub-paso 3.1: Descripción de las debilidades/fortalezas 1 Conéctese a los objetivos de la empresa
acción correspondiente.
Sub-paso 3.2: Preparación del informe de auditoría final sobre la 5 Establecer el tono en la parte superior y la responsabilidad 4 Promover una comunicación justa y abierta.
644 |Página
www.ijacsa.thesai.org
(IJACSA) Revista Internacional de Informática Avanzada y Aplicaciones,
vol. 12, N° 8, 2021
Sistema de valoración
Hacha de análisis Descripción
0 1 2
La política a auditar
Sin principio La política a auditar
Correspondencia entre cada política y los 7 corresponde
Principios correspondientes corresponde a la corresponde a 1 o 2 o 3
principios retenidos por COBIT 5 a 4 o más
política a ser auditada principios
principios
Descripción del ámbito de aplicación de la
Alcance Inexistente parcialmente existente Totalmente existente
política auditada
Funciones y responsabilidades de las partes Descripción de las funciones y responsabilidades de
Inexistente parcialmente existente Totalmente existente
interesadas las partes interesadas de la política auditada
c) Definición de una escala de madurez global 2)Ejecución de la auditoría de madurez de los “Principios,
políticas y marcos” habilitador en términos de gestión de
En este paso definimos una escala de madurez que varía
entre 0 y 5 y se divide entre la puntuación mínima y la riesgos de TI.
puntuación máxima (Fig. 6): a) Análisis y atribución de puntuaciones a cada valor de
el facilitador auditado
2Nivel de madurez 2 Calificación entre 73 y 144 CUADRO IV. AANÁLISIS YAATRIBUCIÓN DESNÚCLEOS PARA CADA UNOPAGSOLICÍA
ASEGÚNPAGSREDEFINIDOAANÁLISISAXES YRcomerSYSTEM
3Nivel de madurez 3 Calificación entre 145 y 216
TI de terceros
4Nivel de madurez 4 Calificación entre 217 y 288 Riesgo de TI central prestación de servicios
Política
política administración
5Nivel de madurez 5 Calificación entre 289 y 360
política
Existencia 1 1
Fig. 6. Escala de Madurez Global del Facilitador “Principios, Políticas y
Marcos”. Principios correspondientes 2 2
Alcance 1 0
d) Identificación de las partes interesadas
Funciones y responsabilidades 1 1
En este paso, determinamos las diversas partes interesadas
Consecuencias del incumplimiento 1 0
necesarias para la realización del proceso de auditoría de madurez
de la macrofase "auditoría de madurez de principios, políticas y Medios para gestionar las excepciones 1 1
marcos relacionados con la gestión de riesgos de TI". Para cada Enfoque adoptado para garantizar
1 1
política, definimos el gerente comercial que se coordinará con el el cumplimiento de la política
645 |Página
www.ijacsa.thesai.org
(IJACSA) Revista Internacional de Informática Avanzada y Aplicaciones,
vol. 12, N° 8, 2021
las políticas, principios y marcos según el posicionamiento EDM02 Asegurar APO07 Administrar MEA01 Monitorear, Evaluar y
Evaluar el desempeño y
en la escala global de madurez. Beneficios Humano
Entrega Recursos conformidad
3)Resumen de la auditoría de madurez de los “Principios, EDM05 Asegurar MEA02 Monitorear, Evaluar y Evaluar el
APO08 Administrar
políticas y marcos” habilitador en términos de gestión de Interesado Sistema de Control Interno
Relaciones
Transparencia Control
riesgos de TI.
APO02 MEA03 Monitorear, Evaluar y Evaluar el
a) Descripción de las debilidades/fortalezas identificadas Administrar
APO11 Administrar
Cumplimiento de Normas Externas
Calidad
así como el plan de acción a implementar. Estrategia Requisitos
Este paso consiste en posicionar para cada política auditada los puntajes
Fig. 8. Procesos de soporte para el gobierno y la gestión de riesgos de TI.
asignados por el hacha de análisis en un radar para identificar mejor las
fortalezas y debilidades (Fig. 7).
El resto de los 23 procesos definidos por COBIT 5 [19] también
ayudan en el gobierno y la gestión de riesgos de TI, pero la
Calificación de cada eje de análisis de la política 1 contribución es baja. Por lo tanto, estos procesos no estarán
sujetos a una auditoría de madurez.
COBIT 5 define 2 procesos centrales dedicados solo para el En el sexto paso, la puntuación global se calcula aplicando
gobierno y la gestión de riesgos de TI [11] [19]: la siguiente fórmula (1):
646 |Página
www.ijacsa.thesai.org
(IJACSA) Revista Internacional de Informática Avanzada y Aplicaciones,
vol. 12, N° 8, 2021
• nortegramo: representa la puntuación global, la C. Auditoría de Madurez de Estructuras Organizacionales relacionadas con la
puntuación global permite evaluar el nivel de Gestión de Riesgos TI
madurez de los procesos según la escala que varía 1) Definición de ejes de análisis: Este paso consiste en
entre 0 y 5.
determinando los ejes de análisis con base en las buenas prácticas de
• nortecp1: representa la madurez del primer proceso central para COBIT 5 [11]. Los diferentes ejes de análisis y el correspondiente
el gobierno y la gestión de riesgos de TI (EDM03). sistema de calificación se describen a continuación (Tabla V).
2) Definición de una escala global de madurez: En este paso,
• nortecp2: representa la madurez del segundo proceso central
para el gobierno y la gestión de riesgos de TI (APO12). definen una escala de madurez que varía de 0 a 5 y se
divide entre la puntuación mínima y la puntuación máxima
• nortespx: representa la madurez de los 12 procesos de soporte (Fig. 10).
para el gobierno y la gestión de riesgos de TI (lista mencionada
anteriormente).
0Nivel de madurez 0 Calificación 0
En el séptimo paso, se procede a la descripción de las
fortalezas/debilidades identificadas de cada proceso y se 1Nivel de madurez 1 Calificación entre 1 y 70
proponen los planes de acción a implementar para mejorar el
nivel de madurez del “proceso” habilitador. 2Nivel de madurez 2 Calificación entre 71 y 140
En el último paso, se procede a la elaboración del informe de 3Nivel de madurez 3 Calificación entre 141 y 210
auditoría de madurez de procesos en materia de gestión de riesgos TI
4Nivel de madurez 4 Calificación entre 211 y 280
resumiendo las distintas etapas realizadas y los resultados de auditoría
obtenidos. Calificación entre 281 y 352
5Nivel de madurez 5
En las macrofases restantes que van de la 3 a la 7, solo describimos
los dos subpasos “Definición de los ejes de análisis” y “Definición de una Fig. 10. Escala de Madurez Global del Facilitador “Estructuras Organizacionales”.
escala global de madurez” del paso de planificación de la auditoría de
madurez. El resto permanece similar al de la macrofase 1.
Sistema de valoración
Hacha de análisis Descripción
0 1 2
647 |Página
www.ijacsa.thesai.org
(IJACSA) Revista Internacional de Informática Avanzada y Aplicaciones,
vol. 12, N° 8, 2021
La existencia de una
reevaluación de 0Nivel de madurez 0 Calificación 0
de la gerencia
expectativas en 1Nivel de madurez 1 Calificación entre 1 y 72
Reevaluación relación con el No Parcialmente Totalmente
de expectativas comportamiento auditado existente existente existente 2Nivel de madurez 2 Calificación entre 73 y 144
sobre la base de un análisis
de brechas entre los 3Nivel de madurez 3 Calificación entre 145 y 216
comportamiento existente
648 |Página
www.ijacsa.thesai.org
(IJACSA) Revista Internacional de Informática Avanzada y Aplicaciones,
vol. 12, N° 8, 2021
Sistema de valoración
649 |Página
www.ijacsa.thesai.org
(IJACSA) Revista Internacional de Informática Avanzada y Aplicaciones,
vol. 12, N° 8, 2021
El servicio/infraestructura/
G. Auditoría de Madurez de Personas, Habilidades y Competencias relacionadas
Funcional aplicación auditada es No Parcialmente Sí
funcional con la Gestión de Riesgos TI
2) Definición de una escala global de madurez: En este paso, 5Nivel de madurez 5 Calificación entre 265 y 330
650 |Página
www.ijacsa.thesai.org
(IJACSA) Revista Internacional de Informática Avanzada y Aplicaciones,
vol. 12, N° 8, 2021
Sistema de valoración
Ejes de análisis Descripción
0 1 2
“Las habilidades de liderazgo incluyen un liderazgo proactivo que
establece una dirección clara que está alineada con los resultados
Habilidades de liderazgo Malo Medio Bueno
comerciales y la determinación para garantizar que las políticas
implementadas brinden una disposición efectiva del riesgo”.
651 |Página
www.ijacsa.thesai.org
(IJACSA) Revista Internacional de Informática Avanzada y Aplicaciones,
vol. 12, N° 8, 2021
[3] JS Suroso y B. Rahadi, "Desarrollo del marco de gestión de riesgos de TI [12] ISO, ISO/IEC 27000: Tecnología de la información. Técnicas de seguridad. Sistemas de
mediante COBIT 4.1, implementación en el gobierno de TI para la estrategia gestión de la seguridad de la información. Visión general y vocabulario.
comercial de soporte", en ICEMT, Singapur, 2017. Publicación ISO, 2018.
[4] A. Samimi, "Gestión de riesgos en refinerías de petróleo y gas", Progreso en la [13] ISO, Guía ISO 73: Gestión de riesgos — Vocabulario, Publicación ISO,
investigación química y bioquímica, págs. 140-146, 2020. 2009.
[5] M. Gazeev y N. Volynskaya, "Limitaciones y desarrollo contemporáneos", [14] ISO, ISO 31000 - Management du risque, Publicación ISO, 2018.
Boletín de Instituciones de Educación Superior, págs. 37-41, 2012. [15] ISO, ISO/IEC 27005:2018 Technologies de l'information — Techniques de
sécurité — Gestion des risques liés à la sécurité de l'information, Publicación
[6] A. Samimi, S. Zarinabadi y M. Setoudeh, "Seguridad e inspección para prevenir el de ISO, 2018.
ensuciamiento en intercambiadores de aceite", Revista internacional de ciencias [16] A.-A. Walid y M. Basil, "Un código de práctica para la gestión eficaz de riesgos
básicas y aplicadas, págs. 429-434, 2012. de seguridad de la información mediante COBIT 5", en la 2.ª Conferencia
[7] I. Osinovskaya y P. urvu riska, "Toma de decisiones gerenciales bajo internacional sobre ciberforense de seguridad de la información, Ciudad del
riesgo", Economía y Emprendimiento, pp. 767-770, 2015. Cabo, Sudáfrica, 2015.
[8] COSO, Control Interno - Marco Integrado, Publicación COSO, 2013. [17] HM Astuti, FA Muqtadiroh, EWT Darmaningrat* y CU Putri, "Evaluación de
riesgos de los procesos de tecnología de la información basados en el
[9] ISACA, COBIT 5: Un marco empresarial para el gobierno y la gestión marco COBIT 5: un estudio de caso de ITS Service Desk", en la 4.ª
de TI empresarial, EE. UU.: Publicación de ISACA, 2012. Conferencia internacional de sistemas de información, Bali, Indonesia, 2017 .
[10] ISACA, "RELACIÓN CON EL CONTROL INTERNO DE COSO - MARCO [18] ISACA, Risk IT Framework - 2.ª edición, EE. UU.: Publicación de ISACA,
INTEGRADO Y COBIT", Publicación de ISACA, EE. UU., 2014. 2020.
[19] ISACA, Procesos habilitadores, EE. UU.: Publicación de ISACA, 2012.
[11] ISACA, COBIT 5 for Risk, EE. UU.: Publicación de ISACA, 2013.
652 |Página
www.ijacsa.thesai.org