Traducido del inglés al español - www.onlinedoctranslator.
com
(IJACSA) Revista Internacional de Informática Avanzada y Aplicaciones,
Auditoría de madurez de gestión de riesgos de TI simplificada
Sistema basado en “COBIT 5 for Risk”
Hasnaa Berrada, Jaouad Boutahar, Souhaïl El Ghazi El Houssaïni
Equipo de Sistemas, Arquitecturas y Redes, EHTP
Casablanca, Marruecos
Resumen—En los últimos años, el papel de la gestión de riesgos
se ha convertido en un factor clave de éxito para asegurar el
crecimiento por un lado y la supervivencia por otro de cualquier
organización. Además, la dependencia de TI se ha vuelto
sistemática dentro de cualquier organización. Esta dependencia,
por tanto, implica la importancia de la implementación de un
sistema de gestión de riesgos de TI para gestionar bien los riesgos
de TI. Existen varios estándares que se ocupan de la gestión de
riesgos empresariales en general o de la seguridad de la
información en particular. Sin embargo, pocos estándares se
ocupan de la gestión de riesgos de TI. Tomando nota, por ejemplo,
de COBIT 5 (Objetivos de control para la información y la tecnología
relacionada), que se ocupa de la gestión de riesgos de TI pero es
complicado de implementar. El propósito de este artículo es
describir un sistema simplificado de auditoría de madurez de
gestión de riesgos de TI en una organización basada en "COBIT 5
para riesgos".
Palabras clave: gestión de riesgos de TI; COBIT 5 para riesgo; sistema de auditoría de
madurez; habilitadores de COBIT 5; ejes de análisis; escala de madurez y puntuación;
informe de auditoria de vencimiento
yo yoNTRODUCCIÓN
Asumir riesgos es un requisito previo para la supervivencia y el
crecimiento de cualquier negocio. En consecuencia, es fundamental
gestionar y controlar adecuadamente los riesgos inherentes a la actividad,
de lo contrario, si estos riesgos se presentan, la empresa no podrá alcanzar
sus objetivos [1] [2].
Por otro lado, con el surgimiento de la Tecnología de la
Información, que se ha convertido en una parte integral de cualquier
ecosistema empresarial, la gestión de riesgos de TI se está volviendo
vital para el negocio [3].
“La gestión de riesgos es un proceso que tiene como objetivo
reducir los efectos nocivos de una actividad a través de una acción
consciente para anticipar eventos no deseados y planificar para
evitarlos. La gestión de riesgos puede considerarse un proceso de
medición o evaluación de riesgos y luego el diseño de estrategias para
la gestión de riesgos” [4] [5] [6] [7].
Por lo tanto, se han desarrollado estándares para tratar la gestión de
riesgos en general, la gestión de riesgos de TI y la seguridad de la
información en particular. Existen muchos estándares de gestión de riesgos
o estándares de seguridad de la información, pero pocos son los estándares
que tratan la cuestión de la gestión de riesgos de TI.
Tomando nota, por ejemplo, de COSO, un marco de referencia
de control interno desarrollado por el Comité de Organizaciones
Patrocinadoras de la Comisión Treadway y tiene como objetivo
www.ijacsa.thesai.org
vol. 12, N° 8, 2021
mejorar el rendimiento y la gobernanza de las empresas, así como reducir el
fraude dentro de las organizaciones [8].
Por otro lado, está el COBIT, un marco de referencia para la
auditoría de TI y el gobierno de TI, está destinado a la gestión
(que debe decidir sobre las inversiones a realizar, para
garantizar la seguridad y el control de TI, y ajustarlas de
acuerdo con la riesgos del entorno) y los usuarios (seguridad,
control de los servicios informáticos prestados) [9] [10].
El marco COBIT 5 incluye documentación específica para la gestión de
riesgos de TI llamada "COBIT 5 para riesgos [11]", pero este marco es
complicado de implementar con una gran biblioteca de publicaciones que
requieren la puesta en funcionamiento y la consolidación de conceptos
relacionados con la gestión de riesgos de TI.
Para responder a estas limitaciones, centramos nuestra
investigación en el desarrollo de un sistema simplificado de gestión de
riesgos de TI que se puede utilizar fácilmente dentro de una
organización. El primer paso en este desarrollo comienza con la
creación de un sistema de auditoría de madurez de gestión de riesgos
de TI. El objetivo principal de este sistema es evaluar la madurez de la
gestión de riesgos de TI, identificar las brechas y definir planes de
acción que permitan establecer o actualizar la gestión de riesgos de TI
dentro de una organización. En este artículo, describiremos un sistema
propuesto para la auditoría de madurez de la gestión de riesgos de TI
dentro de una organización basada en "COBIT 5 para riesgos".
Después de una introducción, presentaremos una revisión de la
literatura sobre gestión de riesgos de TI. La siguiente parte describirá el
enfoque metodológico a adoptar al configurar el sistema de auditoría
de madurez para la gestión de riesgos de TI de una organización.
Posteriormente, describiremos el sistema propuesto para la auditoría
de madurez de la gestión de riesgos de TI de una organización.
Terminaremos con una conclusión y perspectivas.
II. RREVISIÓN DE LALITERATURA SOBRETI RISKMETROGESTIÓN
Un riesgo se puede definir como el “efecto de la incertidumbre sobre los
objetivos. Un efecto es una desviación de lo esperado, ya sea positivo o
negativo. La incertidumbre es el estado, incluso parcial, de deficiencia de
información relacionada con, comprensión o conocimiento de un evento, su
consecuencia o probabilidad.” [12] [13].
“COBIT 5 para Riesgos define el riesgo de TI como riesgo comercial,
específicamente, el riesgo comercial asociado con el uso, propiedad,
operación, participación, influencia y adopción de TI dentro de una
empresa. El riesgo de TI consiste en eventos relacionados con TI que
podrían afectar potencialmente al negocio. El riesgo de TI puede ocurrir
con una frecuencia e impacto inciertos y crea desafíos para cumplir las
metas y objetivos estratégicos”. [11].
641 |Página
 (IJACSA) Revista Internacional de Informática Avanzada y Aplicaciones,
vol. 12, N° 8, 2021

La gestión de riesgos son las “actividades coordinadas para • ISO/IEC 27005 (proceso).
dirigir y controlar una organización con respecto al riesgo”.
Como consecuencia, el marco de gestión de riesgos es un • COSO (componentes, principios).
“conjunto de componentes que proporcionan los cimientos y En la literatura, hay artículos de investigación que discuten el
arreglos organizacionales para diseñar, implementar, despliegue de COBIT 5 para la gestión de riesgos de TI. Los autores
monitorear, revisar y mejorar continuamente la gestión de “Walid Al-Ahmad” y “Basil Mohammed” en su artículo [16] presentan los
riesgos en toda la organización”. [13]. procesos de negocio utilizados en la gestión de riesgos de seguridad de
En el marco de la gestión de riesgos existen varias normas. la información, así como las actividades correspondientes y las pautas
Destacando, por ejemplo, el COSO, un marco de referencia para el para implementarlos. Este artículo no tiene en cuenta los procesos de
control interno desarrollado por el Comité de Organizaciones gobierno de riesgos de TI (EDM03 Garantizar la optimización de
Patrocinadoras de la Comisión Treadway y destinado a mejorar el riesgos) y se centra en la gestión de riesgos de seguridad de la
desempeño y la gobernanza de las empresas, así como a reducir el información. Los autores “Hanim Maria Astuti et al.” en su artículo [17]
fraude dentro de las organizaciones. [8]. presentan un caso de estudio para el despliegue de COBIT 5 para la
identificación, evaluación y gestión de riesgos de TI de una unidad
Por otro lado, está el COBIT que constituye un marco de organizacional (Service Desk). Este artículo se limita a la
referencia para la auditoría de TI y el gobierno de SI y que está implementación de los dos procesos de COBIT 5: DSS02 Manage service
destinado tanto a la dirección como a los usuarios. Este marco y APO12 Manage Risks.
incluye documentación dedicada para la gestión de riesgos de TI:
La principal limitación observada de los dos artículos de investigación
"COBIT 5 para el riesgo" [11].
citados anteriormente es que cubren parcialmente la implementación de un
En cuanto a la ISO 31000, es una norma que brinda sistema de gestión de riesgos de TI y no detallan el proceso de gobierno de
principios y lineamientos para la gestión de riesgos así como riesgos de TI.
los procesos de implementación a nivel estratégico y operativo
[14]. De acuerdo con los diferentes elementos mencionados
anteriormente, se ha iniciado un trabajo de investigación para el
Para ISO/IEC 27005, es un estándar que describe las principales desarrollo de un sistema de gestión de riesgos de TI basado en COBIT
líneas de gestión de riesgos con miras a establecer un sistema de 5. Este artículo presenta la primera fase del desarrollo de este sistema y
gestión de seguridad de la información [15]. que consiste en la descripción de una auditoría de madurez. sistema de
gestión de riesgos de TI de una organización.
A continuación se presenta un cuadro comparativo de una selección de normas
existentes relacionadas con la gestión de riesgos (Cuadro I):
tercero DESCRITURA DE LAMETROETODOLÓGICOAENFOQUE A
SERADOPTADO
TABLA I. CCOMPARATIVOTCAPAZ DERISKMETROGESTIÓNFRAMEWORKS/
SNORMAS Para establecer un sistema de auditoría de madurez Gestión de
riesgos de TI dentro de una organización, sugerimos adoptar un
Empresa Seguridad de información
Riesgo de TI
enfoque basado en el análisis de la perspectiva de la Función de
Riesgo administración Gestión de riesgos
Estructura riesgo descrita por COBIT 5 para el riesgo (Fig. 1). La perspectiva de
administración Estructura / Marco / estándar
/ estándar la función de riesgo “describe lo que es necesario en una empresa
Estructura / estándar k Gestión
estándar Estructura Marco / estándar para construir y mantener de manera eficaz y eficiente las
actividades de gobierno y gestión de riesgos”. [11].
COSO - - -
Función de Riesgo Gestión de riesgos
ISO 31000 - - - Perspectiva Perspectiva

la gestion de riesgos
ISO/CEI
- - - La perspectiva de la función de riesgo
la perspectiva analiza el riesgo central

27005 describe cómo construir y

gobierno y riesgo
Cobit 5 procesos de gestión y
mantener una función de riesgo
COBIT 5 - - -
Habilitadores escenarios de riesgo. Este
en la empresa usando el COBIT
perspectiva describe cómo se puede
5 habilitadores.
mitigar el riesgo mediante el uso
Habilitadores de COBIT 5.
Excepto COBIT 5, todos los marcos/estándares son marcos
genéricos de gestión de riesgos o marcos específicos para la gestión de Fig. 1. Las Dos Perspectivas del Riesgo Propuestas por COBIT 5 [11].
riesgos de seguridad de la información y no tratan todos los
componentes de la gestión de riesgos de TI. El marco COBIT 5 incluye
documentación específica para la gestión de riesgos de TI llamada
"COBIT 5 para riesgos", pero este marco es complicado de implementar
con una gran biblioteca de publicaciones que requieren la puesta en
funcionamiento y la consolidación de conceptos relacionados con la
gestión de riesgos de TI.

Además, COBIT 5 es un marco que alinea e incorpora

los componentes clave de otros marcos de gestión de
riesgos [11] [10]:
• ISO 31000 (principios, marco de gestión de riesgos, proceso
para la gestión de riesgos). Fig. 2. Los Siete Habilitadores de COBIT 5 [9].

642 |Página
www.ijacsa.thesai.org
 (IJACSA) Revista Internacional de Informática Avanzada y Aplicaciones,
vol. 12, N° 8, 2021

De hecho, la perspectiva de la función de riesgo se basa en los siete
habilitadores de COBIT 5 (Fig. 2) [9] para detallar las diferentes funciones/
dimensiones de una organización que permiten el gobierno y la gestión de
riesgos de TI. Un habilitador puede considerarse como una dimensión o un
pilar para el establecimiento de la gobernanza de TI.
Para cada macrofase, se deben tomar todos los pasos descritos en
la Fig. 3 para auditar el nivel de madurez de cada habilitador (excepto el
habilitador de "Proceso" cuyos pasos de auditoría de madurez están
parcialmente descritos por COBIT 5 [9]) en términos de gestión de
riesgos de TI:

El enfoque metodológico propuesto se desglosa en siete Paso 1: Planificación de la auditoría de madurez del habilitador en términos de
macrofases en consonancia con los siete habilitadores gestión de riesgos de TI
definidos por COBIT 5 (Tabla II):
Sub-paso 1.1: Identificación de los diferentes valores de
TABLA II. TÉL7 millonesACRO-PAGSHAS DE LAMETROETODOLÓGICOAENFOQUE el facilitador auditado en relación con la gestión de riesgos de TI
SER - ESTARAADOPTADO PARA ELMETROATURIDADAUDITAR DETI RISKMETROGESTIÓN
DENTRO DE UNOORGANIZACIÓN Para cada habilitador, el objetivo es definir sus diferentes valores
en relación con la gestión de riesgos de TI para auditar cada valor de
Auditoría de madurez de principios, políticas y estándares
Macrofase 1 acuerdo con los ejes de análisis definidos.
relacionados con la gestión de riesgos de TI

Macrofase 2 Auditoría de madurez de los procesos de gestión de riesgos de TI

Entrega: Lista de valores del habilitador auditado.

Auditoría de madurez de estructuras organizativas relacionadas con la Sub-paso 1.2: Definición de ejes de análisis
Macrofase 3
gestión de riesgos de TI
Para cada habilitador se especifica un conjunto de buenas prácticas
Macrofase 4
Auditoría de madurez de cultura, ética y comportamiento relacionados con la a observar por COBIT 5, en base a estas buenas prácticas se definen los
gestión de riesgos de TI
diferentes ejes de análisis.
Auditoría de madurez de la información relacionada con la gestión de
Macrofase 5
riesgos de TI
Entrega: Lista de ejes de análisis.

Auditoría de madurez de servicios, infraestructuras y

Sub-paso 1.3: Definición de una escala de madurez general
Macrofase 6
aplicaciones relacionadas con la gestión de riesgos de TI
La escala de madurez varía entre 1 y 5. La definición de
Auditoría de madurez de personas, habilidades y competencias relacionadas los rangos de valores incluidos en cada nivel se define
Macrofase 7
con la gestión de riesgos de TI según el puntaje mínimo y el puntaje máximo del
habilitador auditado.
1 Planificación de la auditoría de madurez del habilitador en términos de riesgo de TI
Entrega: Escala de madurez global.
administración

Identificación de los diferentes valores del habilitador auditado

Sub-paso 1.4: Identificación de las partes interesadas
1.1 en relación con la gestión de riesgos de TI
Determinamos las diversas partes interesadas necesarias para la
1.2 Definición de ejes de análisis realización de la auditoría de madurez del habilitador en términos de
gestión de riesgos de TI. Para cada valor del habilitador auditado,
1.3 Definición de una escala global de madurez
definimos el gerente comercial que colaborará con el auditor de TI para
1.4 Identificación de las partes interesadas realizar la auditoría.

1.5 Recogida y guardado de documentos a analizar Entrega:Lista de partes interesadas.

Sub-paso 1.5: Recopilación y almacenamiento de documentos a

2 analizar
Ejecución de la auditoría de madurez del habilitador en términos de riesgo de TI

administración
Recopilamos y guardamos los distintos documentos a
analizar para auditar la madurez de la gestión de riesgos de TI
Análisis y atribución de puntuaciones a cada valor de la del facilitador auditado.
2.1 habilitador auditado

Cálculo de la nota global y valoración de la

Entrega:Documentos a analizar
2.2 nivel de madurez

Paso 2: Ejecución de la auditoría de madurez del habilitador en términos de

3 Gestión de riesgos de TI

Resumen de la auditoría de madurez del habilitador en términos de riesgo de TI Sub-paso 2.1: Análisis y atribución de puntajes a cada valor
administración
del habilitador auditado
Descripción de las debilidades / fortalezas identificadas también
3.1 como el plan de acción a implementar Analizamos cada valor del habilitador auditado y asignamos un
puntaje por eje de análisis.
Elaboración del informe final de auditoría sobre la madurez del habilitador
3.2 en términos de gestión de riesgos de TI Entrega: Análisis y tabla de puntuación del habilitador auditado.

Sub-paso 2.2: Cálculo de la puntuación global y

Fig. 3. Enfoque Metodológico a adoptar para la Auditoría de Riesgos TI evaluación del nivel de madurez
Madurez gerencial.

643 |Página
www.ijacsa.thesai.org
 (IJACSA) Revista Internacional de Informática Avanzada y Aplicaciones,
vol. 12, N° 8, 2021

Calculamos el número y el porcentaje de las diferentes
puntuaciones asignadas por eje de análisis y por valor del
habilitador auditado (el número y el porcentaje de 0, 1 y 2). La
puntuación global se calcula sumando todas las puntuaciones. En
función de la puntuación global obtenida, se obtiene un nivel de
madurez de acuerdo con la escala de madurez previamente
definida.
Entrega: Desglose en porcentaje de puntuaciones 0, 1 y 2,
Nivel de madurez general del habilitador auditado.
Paso 3: Resumen de la auditoría de madurez del habilitador en términos de gestión
de riesgos de TI
Sub-paso 3.1: Descripción de las debilidades/fortalezas
Este paso consiste en identificar los principios y políticas que
permitan construir e implementar la gestión de riesgos de TI en
una organización.
COBIT 5 define siete principios en relación con la gestión de
riesgos de TI (Fig. 4) [18].
En cuanto a las políticas, COBIT 5 enumera 18 políticas con la
descripción de cada política. A continuación se encuentran las 18
políticas mencionadas por COBIT 5 (Fig. 5) [11].
b) Definición de ejes de análisis:Este paso consiste en
determinando los ejes de análisis con base en las buenas prácticas
de COBIT 5 [11]. Se describen los diferentes ejes de análisis y el
correspondiente sistema de calificación (Tabla III).
1 Conéctese a los objetivos de la empresa

identificadas así como el plan de acción a implementar

7 2
A partir del análisis de cada valor del habilitador según Enfoque consistente Alinearse con ERM

los ejes de análisis predefinidos, se identifican las fortalezas

y debilidades así como el plan de acción a implementar Riesgo
para remediar las debilidades observadas.
principios
6 3 Balance costo/beneficio del riesgo de TI
Entrega: Resumen de fortalezas y debilidades y plan de
Funcionar como parte de las actividades diarias.

acción correspondiente.
Sub-paso 3.2: Preparación del informe de auditoría final sobre la 5 Establecer el tono en la parte superior y la responsabilidad 4 Promover una comunicación justa y abierta.

madurez del habilitador en términos de gestión de riesgos de TI

Fig. 4. Principios de la Gestión de Riesgos.
Elaborar el informe de auditoría de madurez para el habilitador en materia de
gestión de riesgos de TI, incluyendo una descripción de las distintas etapas
Recursos humanos Cambio
realizadas y los resultados de la auditoría obtenidos. Política básica de riesgos de TI
(Políticas de Recursos Humanos Política de gerencia

Entrega: Informe de auditoría de madurez del habilitador en términos de gestión

de riesgos de TI. Seguridad de información delegación de
Política de riesgo de fraude
política política de autoridad

IV. DESCRITURA DE LAPAGSROPUESTOSIMPLÍCITOTI RISK

METROGESTIÓNMETROATURIDADAUDITARSYSTEM Gestión de crisis denunciante
Política de cumplimiento
política política
En esta parte, describiremos el sistema simplificado de
auditoría de madurez de gestión de riesgos de TI en una TI de terceros
Control interno
organización mediante la revisión de las diferentes macrofases. Las prestación de servicios Política de ética
política
Política de gerencia
dos primeras macrofases (Tabla II) se describirán en detalle; las
demás son similares a la primera macrofase excepto por ciertos Continuidad del negocio Calidad Propiedad intelectual
pasos que se describirán a continuación. política Política de gerencia (PI) política

A. Auditoría de madurez de los Principios, Políticas y Marcos

programa/proyecto Gestión De Servicios
Relacionados con la Gestión de Riesgos TI Política de privacidad de datos
Política de gerencia política

1)Planificación de la auditoría de madurez de los “Principios,

habilitador de políticas y marcos en términos de gestión de Fig. 5. Las 18 Políticas Definidas por COBIT 5.
riesgos de TI
a) Identificación de los diferentes valores del habilitador
auditado relacionado con la gestión de riesgos de TI

644 |Página
www.ijacsa.thesai.org
 (IJACSA) Revista Internacional de Informática Avanzada y Aplicaciones,
vol. 12, N° 8, 2021

CUADRO III. AANÁLISISAXES ELmiNABLER"PAGSPRINCIPIOS, PAGSPOLÍTICAS YFRAMEWORKS”

Sistema de valoración
Hacha de análisis Descripción
0 1 2

Existencia La existencia de la póliza auditada Inexistente parcialmente existente Totalmente existente

La política a auditar
Sin principio La política a auditar
Correspondencia entre cada política y los 7 corresponde
Principios correspondientes corresponde a la corresponde a 1 o 2 o 3
principios retenidos por COBIT 5 a 4 o más
política a ser auditada principios
principios
Descripción del ámbito de aplicación de la
Alcance Inexistente parcialmente existente Totalmente existente
política auditada
Funciones y responsabilidades de las partes Descripción de las funciones y responsabilidades de
Inexistente parcialmente existente Totalmente existente
interesadas las partes interesadas de la política auditada

Consecuencias del incumplimiento de la Descripción de las consecuencias del

Inexistente parcialmente existente Totalmente existente
política incumplimiento de la política auditada
Descripción de los medios a desplegar para
gestionar las excepciones a la política auditada
Medios para gestionar las excepciones Inexistente parcialmente existente Totalmente existente
(por ejemplo: medidas disciplinarias,
amonestación, etc.)
Enfoque adoptado para garantizar Descripción del enfoque adoptado para
Inexistente parcialmente existente Totalmente existente
el cumplimiento de la política asegurar el cumplimiento de la política auditada
El uso de un marco de gobierno y
Uso de un marco de gobierno y
gestión reconocido para la definición de No Parcialmente Sí
gestión reconocido
la política auditada
Alineación de la política auditada con el apetito de
Alineación con el apetito de riesgo No Parcialmente Sí
riesgo determinado por la organización

La regularidad de la actualización de la política

Actualización regular No Parcialmente Sí
auditada

c) Definición de una escala de madurez global 2)Ejecución de la auditoría de madurez de los “Principios,
políticas y marcos” habilitador en términos de gestión de
En este paso definimos una escala de madurez que varía
entre 0 y 5 y se divide entre la puntuación mínima y la riesgos de TI.
puntuación máxima (Fig. 6): a) Análisis y atribución de puntuaciones a cada valor de
el facilitador auditado

0Nivel de madurez 0 Calificación 0

En este paso, analizamos cada política según los ejes de
análisis predefinidos y le atribuimos una puntuación por eje según
1Nivel de madurez 1 Calificación entre 1 y 72 el sistema de calificación predefinido (Tabla IV):

2Nivel de madurez 2 Calificación entre 73 y 144 CUADRO IV. AANÁLISIS YAATRIBUCIÓN DESNÚCLEOS PARA CADA UNOPAGSOLICÍA
ASEGÚNPAGSREDEFINIDOAANÁLISISAXES YRcomerSYSTEM
3Nivel de madurez 3 Calificación entre 145 y 216
TI de terceros
4Nivel de madurez 4 Calificación entre 217 y 288 Riesgo de TI central prestación de servicios
Política
política administración
5Nivel de madurez 5 Calificación entre 289 y 360
política

Existencia 1 1
Fig. 6. Escala de Madurez Global del Facilitador “Principios, Políticas y
Marcos”. Principios correspondientes 2 2
Alcance 1 0
d) Identificación de las partes interesadas
Funciones y responsabilidades 1 1
En este paso, determinamos las diversas partes interesadas
Consecuencias del incumplimiento 1 0
necesarias para la realización del proceso de auditoría de madurez
de la macrofase "auditoría de madurez de principios, políticas y Medios para gestionar las excepciones 1 1
marcos relacionados con la gestión de riesgos de TI". Para cada Enfoque adoptado para garantizar
1 1
política, definimos el gerente comercial que se coordinará con el el cumplimiento de la política

auditor de TI para realizar la auditoría. Uso de un marco de gobierno y

1 0
gestión reconocido
e) Recopilación y almacenamiento de documentos a analizar
Alineación con el apetito de riesgo 1 1
En este paso, recopilamos y guardamos las diversas
políticas existentes para analizarlas y auditar la madurez de Actualización regular 1 0
la gestión de riesgos de TI del habilitador “Principios,
Políticas y Marcos”.

645 |Página
www.ijacsa.thesai.org
 (IJACSA) Revista Internacional de Informática Avanzada y Aplicaciones,
vol. 12, N° 8, 2021

b) Cálculo de la nota global y valoración de • APO12 Gestionar el riesgo

el nivel de madurez COBIT 5 define 12 procesos de apoyo para el gobierno y la

Este paso consiste en calcular el número y el porcentaje gestión de riesgos de TI (Fig. 8) [11] [19]:
de las diferentes puntuaciones posibles (0, 1 y 2). Luego,
calculando el puntaje general sumando todos los puntajes EDM01 Garantizar la Gobernanza
APO06 Administrar BAI08 Administrar
otorgados por valor del habilitador y por eje de análisis. La Configuración del marco y
Presupuesto y Costos Conocimiento
puntuación global permite evaluar el nivel de madurez de Mantenimiento

las políticas, principios y marcos según el posicionamiento EDM02 Asegurar APO07 Administrar MEA01 Monitorear, Evaluar y
Evaluar el desempeño y
en la escala global de madurez. Beneficios Humano
Entrega Recursos conformidad
3)Resumen de la auditoría de madurez de los “Principios, EDM05 Asegurar MEA02 Monitorear, Evaluar y Evaluar el
APO08 Administrar
políticas y marcos” habilitador en términos de gestión de Interesado Sistema de Control Interno
Relaciones
Transparencia Control
riesgos de TI.
APO02 MEA03 Monitorear, Evaluar y Evaluar el
a) Descripción de las debilidades/fortalezas identificadas Administrar
APO11 Administrar
Cumplimiento de Normas Externas
Calidad
así como el plan de acción a implementar. Estrategia Requisitos
Este paso consiste en posicionar para cada política auditada los puntajes
Fig. 8. Procesos de soporte para el gobierno y la gestión de riesgos de TI.
asignados por el hacha de análisis en un radar para identificar mejor las
fortalezas y debilidades (Fig. 7).
El resto de los 23 procesos definidos por COBIT 5 [19] también
ayudan en el gobierno y la gestión de riesgos de TI, pero la
Calificación de cada eje de análisis de la política 1 contribución es baja. Por lo tanto, estos procesos no estarán
sujetos a una auditoría de madurez.

El segundo paso consiste en determinar los ejes de análisis,

Existencia retenemos el nivel de madurez del proceso de acuerdo a la
2 Correspondiente escala de madurez definida por COBIT 5. El nivel de madurez
Actualización regular
1.5 principios permite auditar la madurez de un proceso, se definen 6 niveles
1 de madurez en COBIT 5 (figura 9) [9]:
Alineación con
Alcance
Apetito por el riesgo 0.5
El proceso no se implementa o no logra su propósito de proceso. En
Incompleto
0 0
proceso
este nivel, hay poca o ninguna evidencia de algún logro sistemático del
uso de un Roles y propósito del proceso.
Reconocido responsabilidades de
Realizado
gobernabilidad y… las partes interesadas 1 El proceso implementado logra su propósito de proceso.
proceso
Enfoque adoptado
Consecuencias de
para asegurar El proceso realizado descrito anteriormente ahora se implementa de manera
incumplimiento 2
Administrado
administrada (planificada, monitoreada y ajustada) y sus productos de trabajo
cumplimiento proceso
Medios para se establecen, controlan y mantienen adecuadamente.
gerente
El proceso gestionado descrito anteriormente ahora se implementa
excepciones Establecido
3 utilizando un proceso definido que es capaz de lograr los resultados de su
proceso
proceso.
Fig. 7. Representación Gráfica de Calificaciones Asignadas a la Póliza 1.
Previsible El proceso establecido previamente descrito ahora opera dentro de límites
4
proceso definidos para lograr los resultados del proceso.
Luego, se procede a la descripción de las fortalezas/
debilidades identificadas de cada política y se proponen los optimizando El proceso predecible descrito anteriormente se mejora continuamente para
5
planes de acción a implementar para mejorar el nivel de proceso cumplir con los objetivos comerciales actuales y proyectados relevantes.

madurez del habilitador “Principios, Políticas y Marcos”.

b) Elaboración del informe final del habilitador
auditoría de madurez en términos de gestión de riesgos de TI.
En este paso se elabora el informe de auditoría de madurez del
habilitador “Principios, políticas y marcos” en materia de gestión de
riesgos de TI, con una descripción de las distintas etapas realizadas
y los resultados de la auditoría obtenidos.
B. Auditoría de madurez de los procesos de gestión de riesgos de TI
El primer paso es identificar los procesos necesarios para
construir e implementar la gestión de riesgos de TI en una
organización.
Figura 9. Escala de Madurez de Procesos Definida por COBIT 5.
En el tercer paso, determinamos las diferentes partes interesadas
necesarias para la realización de la auditoría de madurez del proceso.
Para cada proceso, definimos el gerente comercial que se coordinará
con el auditor de TI para realizar la auditoría.
En el cuarto paso, recopilamos y guardamos la documentación
relacionada con los procesos existentes para analizar y auditar la
madurez de la gestión de riesgos de TI del habilitador "Proceso".
En el quinto paso, evaluamos el nivel de madurez de cada
proceso definido en el primer paso.

COBIT 5 define 2 procesos centrales dedicados solo para el En el sexto paso, la puntuación global se calcula aplicando
gobierno y la gestión de riesgos de TI [11] [19]: la siguiente fórmula (1):

• EDM03 Asegurar la Optimización de Riesgos nortegramo= [60%*(Ncp1+ nortecp2)+40%*Σ (Nspx)]/14 (1)

646 |Página
www.ijacsa.thesai.org
 (IJACSA) Revista Internacional de Informática Avanzada y Aplicaciones,
vol. 12, N° 8, 2021

• nortegramo: representa la puntuación global, la C. Auditoría de Madurez de Estructuras Organizacionales relacionadas con la
puntuación global permite evaluar el nivel de Gestión de Riesgos TI
madurez de los procesos según la escala que varía 1) Definición de ejes de análisis: Este paso consiste en
entre 0 y 5.
determinando los ejes de análisis con base en las buenas prácticas de
• nortecp1: representa la madurez del primer proceso central para COBIT 5 [11]. Los diferentes ejes de análisis y el correspondiente
el gobierno y la gestión de riesgos de TI (EDM03). sistema de calificación se describen a continuación (Tabla V).
2) Definición de una escala global de madurez: En este paso,
• nortecp2: representa la madurez del segundo proceso central
para el gobierno y la gestión de riesgos de TI (APO12). definen una escala de madurez que varía de 0 a 5 y se
divide entre la puntuación mínima y la puntuación máxima
• nortespx: representa la madurez de los 12 procesos de soporte (Fig. 10).
para el gobierno y la gestión de riesgos de TI (lista mencionada
anteriormente).
0Nivel de madurez 0 Calificación 0
En el séptimo paso, se procede a la descripción de las
fortalezas/debilidades identificadas de cada proceso y se 1Nivel de madurez 1 Calificación entre 1 y 70
proponen los planes de acción a implementar para mejorar el
nivel de madurez del “proceso” habilitador. 2Nivel de madurez 2 Calificación entre 71 y 140

En el último paso, se procede a la elaboración del informe de 3Nivel de madurez 3 Calificación entre 141 y 210
auditoría de madurez de procesos en materia de gestión de riesgos TI
4Nivel de madurez 4 Calificación entre 211 y 280
resumiendo las distintas etapas realizadas y los resultados de auditoría
obtenidos. Calificación entre 281 y 352
5Nivel de madurez 5
En las macrofases restantes que van de la 3 a la 7, solo describimos
los dos subpasos “Definición de los ejes de análisis” y “Definición de una Fig. 10. Escala de Madurez Global del Facilitador “Estructuras Organizacionales”.
escala global de madurez” del paso de planificación de la auditoría de
madurez. El resto permanece similar al de la macrofase 1.

CUADRO V. AXES DEAANÁLISIS DE LAmiNABLER“OORGANIZACIONALSESTRUCTURAS”

Sistema de valoración
Hacha de análisis Descripción
0 1 2

Existencia de la estructura organizativa a

Existencia inexistente Parcialmente existente Totalmente existente
auditar

Nivel de importancia de la estructura

Nivel de importancia organizativa a auditar: Estructura central o de inexistente Estructura de soporte Estructura central
soporte para la gestión de riesgos de TI

Descripción de los principios de funcionamiento de

Principios de operacion inexistente Parcialmente existente Totalmente existente
la estructura organizativa a auditar

Tener en cuenta los riesgos en la toma de decisiones

Decisiones basadas en el riesgo No Parcialmente Sí
de la estructura organizativa auditada

Definición del tramo de control de la

Ámbito de control No Parcialmente Sí
estructura organizativa auditada

Determinación de las decisiones que la estructura

Nivel de autoridad organizacional auditada está autorizada a tomar No Parcialmente Sí

Determinación de las facultades que la

Delegación de autoridad estructura organizativa auditada está No Parcialmente Sí
autorizada a delegar

Existencia de un procedimiento de comunicación

Procedimientos de escalamiento de incidencias o problemas encontrados por la inexistente Parcialmente existente Totalmente existente
estructura organizativa auditada

647 |Página
www.ijacsa.thesai.org
 (IJACSA) Revista Internacional de Informática Avanzada y Aplicaciones,
vol. 12, N° 8, 2021

D. Auditoría de Madurez de Cultura, Ética y Comportamiento en relación con la

Gestión de Riesgos de TI 0Nivel de madurez 0 Calificación 0

1) Definición de ejes de análisis: Este paso consiste en

1Nivel de madurez 1 Calificación entre 1 y 46
determinando los ejes de análisis con base en las buenas prácticas
de COBIT 5 [11]. Se describen los diferentes ejes de análisis y el 2Nivel de madurez 2 Calificación entre 47 y 92
correspondiente sistema de calificación (Tabla VI).
2) Definición de una escala global de madurez: En este paso, 3Nivel de madurez 3 Calificación entre 93 y 138
definen una escala de madurez que varía entre 0 y 5 y se
divide entre la puntuación mínima y la puntuación máxima 4Nivel de madurez 4 Calificación entre 139 y 184
(Fig. 11).
5Nivel de madurez 5 Calificación entre 185 y 230
CUADRO VI. AANÁLISISAXES DE LAmiNABLER"CULTURA, miCOSAS Y
BCOMPORTAMIENTO”

Fig. 11. Escala de Madurez Global del Facilitador “Cultura, Ética y

Sistema de valoración
Comportamiento".
Hacha de análisis Descripción
0 1 2
E. Auditoría de Madurez de la Información relacionada con la Gestión de
Comunicación
dentro de Riesgos TI
Comunicación No Parcialmente Sí
organización en el
1) Definición de ejes de análisis: Este paso consiste en
comportamiento deseado
determinando los ejes de análisis con base en las buenas prácticas
conciencia interior
de COBIT 5 [11]. Se describen los diferentes ejes de análisis y el
la organisacion de
Conciencia No Parcialmente Sí correspondiente sistema de calificación (Tabla VII).
el deseado
comportamiento 2) Definición de una escala global de madurez: En este paso,
La existencia de definen una escala de madurez que varía entre 0 y 5 y se
Incentivos / bonificaciones/penalizaciones No Parcialmente Totalmente divide entre la puntuación mínima y la puntuación máxima
disuasivos en relación con el existente existente existente
(Fig. 12):
comportamiento deseado

La existencia de una
reevaluación de 0Nivel de madurez 0 Calificación 0

de la gerencia
expectativas en 1Nivel de madurez 1 Calificación entre 1 y 72
Reevaluación relación con el No Parcialmente Totalmente

de expectativas comportamiento auditado existente existente existente 2Nivel de madurez 2 Calificación entre 73 y 144
sobre la base de un análisis
de brechas entre los 3Nivel de madurez 3 Calificación entre 145 y 216
comportamiento existente

y eso deseado 4Nivel de madurez 4 Calificación entre 217 y 288

Definición clara de
Reglas y reglas y normas 5Nivel de madurez 5 Calificación entre 289 y 360
No Parcialmente Sí
normas con respecto a
comportamiento deseado
Fig. 12. Escala de Madurez Global del Facilitador “Información”.

648 |Página
www.ijacsa.thesai.org

Hacha de análisis
Existencia
Soporte de información / medios
Canal de acceso a la información
Código / idioma
tipo de información
Moneda de información
Nivel de información
Periodo de retención
Estado de la información
Novedad
Contingencia
Contexto
(IJACSA) Revista Internacional de Informática Avanzada y Aplicaciones,
vol. 12, N° 8, 2021
TABLA VII. AANÁLISISAXES DE LAmiNABLER"YOINFORMACION”
Sistema de valoración
Descripción
0 1 2
Existencia de la información auditada inexistente Parcialmente existente Totalmente existente
“El atributo que identifica el soporte físico de la
información, por ejemplo, papel, señales eléctricas, ondas
Malo Medio Bueno
sonoras”.
La auditoría se centra en la calidad de este atributo.
“El atributo que identifica el canal de acceso de la información,
por ejemplo, las interfaces de usuario”. Malo Medio Bueno
La auditoría se centra en la calidad de este atributo.
“Atributo que identifica el lenguaje/formato de
representación utilizado para codificar la información y las
reglas para combinar los símbolos del lenguaje para Malo Medio Bueno
formar estructuras sintácticas”.
La auditoría se centra en la calidad de este atributo.
“El atributo que identifica el tipo de información, por ejemplo,
información financiera frente a no financiera, origen interno
frente a externo de la información, valores pronosticados/
Malo Medio Bueno
predichos frente a valores observados, valores planificados
frente a valores realizados”.
La auditoría se centra en la calidad de este atributo.
“El atributo que identifica el horizonte temporal al que se
refiere la información, es decir, información sobre el
una sola vez
pasado, el presente o el futuro.” Dos horizontes de tiempo Tres horizontes de tiempo
horizonte
La auditoría se centra en el número de horizontes temporales
en cuestión.
“El atributo que identifica el grado de detalle de la
información, por ejemplo, ventas por año, trimestre,
Malo Medio Bueno
mes.”
La auditoría se centra en la calidad de este atributo.
“El atributo que identifica cuánto tiempo se puede retener
la información antes de que se destruya”.
Malo Medio Bueno
La auditoría se centra en la calidad de este atributo (en
términos de tiempo y forma de conservación)
“El atributo que identifica si la información es
operativa o histórica.” La auditoría se centra en Malo Medio Bueno
la calidad de este atributo.
“El atributo que identifica si la información crea
nuevo conocimiento o confirma el conocimiento
existente, es decir, información vs. Confirmación”. Malo Medio Bueno
La auditoría se centra en la calidad de este atributo.
“El atributo que identifica la información que se requiere
para preceder a esta información (para que sea
considerada como información).”
Malo Medio Bueno
La auditoría se centra en la calidad y disponibilidad de los
requisitos previos de la información sujeta a auditoría.
“El atributo que identifica el contexto en el que la
información tiene sentido, se usa, tiene valor, etc., por
Malo Medio Bueno
ejemplo, contexto cultural”.
La auditoría se centra en la calidad de este atributo.
649 |Página
www.ijacsa.thesai.org
 (IJACSA) Revista Internacional de Informática Avanzada y Aplicaciones,
vol. 12, N° 8, 2021

F. Auditoría de Madurez de Servicios, Infraestructuras y

Aplicaciones relacionadas con la Gestión de Riesgos TI 0Nivel de madurez 0 Calificación 0

1) Definición de ejes de análisis: Este paso consiste en

1Nivel de madurez 1 Calificación entre 1 y 34
determinando los ejes de análisis con base en las buenas prácticas de
COBIT 5 [11]. Los diferentes ejes de análisis y el correspondiente
2Nivel de madurez 2 Calificación entre 35 y 68
sistema de calificación se describen a continuación (Tabla VIII):

TABLA VIII. AANÁLISISAXES DE LAmiNABLER"SSERVICIOS, 3Nivel de madurez 3 Calificación entre 69 y 102

yoNFRAESTRUCTURAS YAAPLICACIONES”
4Nivel de madurez 4 Calificación entre 103 y 136
Sistema de valoración
Hacha de análisis Descripción
0 1 2 5Nivel de madurez 5 Calificación entre 137 y 168

Existencia del servicio /

No Parcialmente Totalmente
Existencia infraestructura / Fig. 13. Escala de Madurez Global del Habilitador “Servicios, Infraestructuras y
existente existente existente
aplicación auditada Aplicaciones”.

El servicio/infraestructura/
G. Auditoría de Madurez de Personas, Habilidades y Competencias relacionadas
Funcional aplicación auditada es No Parcialmente Sí
funcional con la Gestión de Riesgos TI

1) Definición de ejes de análisis:Este paso consiste en

Definicion de
determinando los ejes de análisis con base en las buenas prácticas de
Arquitectura principios arquitectónicos (por
No Parcialmente Sí COBIT 5 [11]. Los diferentes ejes de análisis y el correspondiente
principios ejemplo: reutilización,
sencillez, agilidad) sistema de calificación se describen a continuación (Tabla IX):
2) Definición de una escala global de madurez: En este paso,
Definicion de
definen una escala de madurez que varía entre 0 y 5 y se
puntos de vista
Arquitectura divide entre la puntuación mínima y la puntuación máxima
arquitectónicos (por ejemplo: No Parcialmente Sí
puntos de vista
modelo, catálogo, (Fig. 14):
matriz)

0Nivel de madurez 0 Calificación 0

Arquitectura Existencia de la
No Parcialmente Sí 1Nivel de madurez 1 Calificación entre 1 y 66
repositorio repositorio de arquitectura

2Nivel de madurez 2 Calificación entre 67 y 132

Nivel de servicio Definición de servicio
por servicio niveles que deben alcanzar los No Parcialmente Sí 3Nivel de madurez 3 Calificación entre 133 y 198
proveedor proveedores de servicios
4Nivel de madurez 4 Calificación entre 199 y 264

2) Definición de una escala global de madurez: En este paso, 5Nivel de madurez 5 Calificación entre 265 y 330

definen una escala de madurez que varía entre 0 y 5 y se

Fig. 14. Escala de Madurez Global del Facilitador “Personas, Habilidades y
divide entre la puntuación mínima y la puntuación máxima Competencias”.
(Fig. 13):

650 |Página
www.ijacsa.thesai.org
 (IJACSA) Revista Internacional de Informática Avanzada y Aplicaciones,
vol. 12, N° 8, 2021

TABLA IX. AEJES DE ANÁLISIS DE LAmiNABLER"PAGSGENTE, SMATA YCCOMPETENCIAS”

Sistema de valoración
Ejes de análisis Descripción
0 1 2
“Las habilidades de liderazgo incluyen un liderazgo proactivo que
establece una dirección clara que está alineada con los resultados
Habilidades de liderazgo Malo Medio Bueno
comerciales y la determinación para garantizar que las políticas
implementadas brinden una disposición efectiva del riesgo”.

“Capacidades para descomponer el riesgo en factores de riesgo que

Capacidad analítica pueden impedir el logro de las metas y para evaluar esos factores de Malo Medio Bueno
riesgo”.

“Capacidad para hacer juicios profesionales sobre el valor

Pensamiento crítico de la información adicional y determinar si se ha Malo Medio Bueno
producido un nivel de análisis suficiente”.

“Habilidad para obtener información oportuna y precisa y para

Capacidades interpersonales comunicarse con las partes interesadas que tienen diferentes Malo Medio Bueno
antecedentes y objetivos”.

“Capacidad para comunicar el riesgo, los factores de riesgo y la

Comunicación exposición a pérdidas asociada en el contexto, el idioma y la Malo Medio Bueno
prioridad de la parte interesada relevante”.

“habilidades de persuasión bien desarrolladas para ayudar con la

influenciando adopción de prácticas de riesgo en toda la empresa y demostrar valor a las Malo Medio Bueno
partes interesadas”.

“El riesgo debe abordarse de manera diferente según el tipo

Pensamiento lateral Malo Medio Bueno
de riesgo”.

“Comprensión básica de los componentes que componen los

Comprensión técnica sistemas de TI y cómo estos componentes están conectados entre Malo Medio Bueno
sí física y lógicamente”.

“Para permitir que la empresa planifique, comunique y ejecute de manera

efectiva sus procesos de gestión de riesgos, los puntos de contacto de la
Conciencia organizacional y empresarial. organización, las unidades comerciales, los objetivos, las funciones y Malo Medio Bueno
responsabilidades de los empleados y las rutas de escalamiento deben
documentarse y mantenerse actualizados”.

“Esta habilidad se refiere a la comprensión de la naturaleza básica y la

composición del riesgo, así como la mejora continua para mantenerse al
Experiencia en riesgos Malo Medio Bueno
día con la naturaleza dinámica de las amenazas, las vulnerabilidades y los
impactos en el entorno empresarial moderno”.

“La capacidad de ofrecer programas de capacitación específicos es

Formación y entrenamiento esencial para la actualización exitosa y la sostenibilidad de las prácticas Malo Medio Bueno
de riesgo”.

organización. La entrega final es un informe de auditoría de madurez

VCONCLUSIÓN YPAGSERSPECTIVO
Para responder a las limitaciones de los estándares existentes
relacionados con la gestión de riesgos de TI, hemos definido en este artículo
un enfoque metodológico que se adoptará para realizar una auditoría de
madurez de la gestión de riesgos de TI y hemos presentado un sistema
simplificado de auditoría de madurez de gestión de riesgos de TI dentro de
un organización. Este último se construyó sobre la base de las mejores
prácticas de "COBIT 5 para el riesgo" y dividiendo los siete habilitadores de
COBIT 5 en siete macrofases. El objetivo principal del sistema propuesto es
evaluar la madurez de la gestión de riesgos de TI en una organización,
identificar las brechas y definir los planes de acción a implementar para
implementar o actualizar la gestión de riesgos de TI dentro de la
organización. El sistema simplificado de auditoría de madurez de gestión de
riesgos de TI propuesto se divide en siete componentes para cubrir las
diferentes actividades de un
en términos de gestión de riesgos de TI que cubre los siete
habilitadores definidos por COBIT 5 (Fig. 2).
Este trabajo es parte de la investigación en curso para el desarrollo de
un sistema simplificado de gestión de riesgos de TI. Entonces, siguiendo la
descripción del sistema de auditoría de madurez de gestión de riesgos de TI
dentro de una organización, planeamos en un trabajo futuro diseñar el
sistema y desarrollar la solución de TI que respaldará la ejecución de los
pasos de auditoría.
RFERENCIAS
[1] AMF (Autorité des Marchés Financiers), Cadre de référence sur les
dispositifs de gestion des risques et de contrôle interne, Francia: AMF
Publication, 2010.
[2] SPFerris, D. Javakhadze y T. Rajkovic, "CEO capital social, asunción de riesgos y
políticas corporativas", CEO capital social, asunción de riesgos y políticas
corporativas, págs. 46-71, 2017.

651 |Página
www.ijacsa.thesai.org
 (IJACSA) Revista Internacional de Informática Avanzada y Aplicaciones,
[3] JS Suroso y B. Rahadi, "Desarrollo del marco de gestión de riesgos de TI
mediante COBIT 4.1, implementación en el gobierno de TI para la estrategia
comercial de soporte", en ICEMT, Singapur, 2017.
[4] A. Samimi, "Gestión de riesgos en refinerías de petróleo y gas", Progreso en la
investigación química y bioquímica, págs. 140-146, 2020.
[5] M. Gazeev y N. Volynskaya, "Limitaciones y desarrollo contemporáneos",
Boletín de Instituciones de Educación Superior, págs. 37-41, 2012.
[6] A. Samimi, S. Zarinabadi y M. Setoudeh, "Seguridad e inspección para prevenir el
ensuciamiento en intercambiadores de aceite", Revista internacional de ciencias
básicas y aplicadas, págs. 429-434, 2012.
[7] I. Osinovskaya y P. urvu riska, "Toma de decisiones gerenciales bajo
riesgo", Economía y Emprendimiento, pp. 767-770, 2015.
[8] COSO, Control Interno - Marco Integrado, Publicación COSO, 2013.
[9] ISACA, COBIT 5: Un marco empresarial para el gobierno y la gestión
de TI empresarial, EE. UU.: Publicación de ISACA, 2012.
[10] ISACA, "RELACIÓN CON EL CONTROL INTERNO DE COSO - MARCO
INTEGRADO Y COBIT", Publicación de ISACA, EE. UU., 2014.
[11] ISACA, COBIT 5 for Risk, EE. UU.: Publicación de ISACA, 2013.
www.ijacsa.thesai.org
vol. 12, N° 8, 2021
[12] ISO, ISO/IEC 27000: Tecnología de la información. Técnicas de seguridad. Sistemas de
gestión de la seguridad de la información. Visión general y vocabulario.
Publicación ISO, 2018.
[13] ISO, Guía ISO 73: Gestión de riesgos — Vocabulario, Publicación ISO,
2009.
[14] ISO, ISO 31000 - Management du risque, Publicación ISO, 2018.
[15] ISO, ISO/IEC 27005:2018 Technologies de l'information — Techniques de
sécurité — Gestion des risques liés à la sécurité de l'information, Publicación
de ISO, 2018.
[16] A.-A. Walid y M. Basil, "Un código de práctica para la gestión eficaz de riesgos
de seguridad de la información mediante COBIT 5", en la 2.ª Conferencia
internacional sobre ciberforense de seguridad de la información, Ciudad del
Cabo, Sudáfrica, 2015.
[17] HM Astuti, FA Muqtadiroh, EWT Darmaningrat* y CU Putri, "Evaluación de
riesgos de los procesos de tecnología de la información basados en el
marco COBIT 5: un estudio de caso de ITS Service Desk", en la 4.ª
Conferencia internacional de sistemas de información, Bali, Indonesia, 2017 .
[18] ISACA, Risk IT Framework - 2.ª edición, EE. UU.: Publicación de ISACA,
2020.
[19] ISACA, Procesos habilitadores, EE. UU.: Publicación de ISACA, 2012.
652 |Página