FASE 5 DOCUMENTACIÓN DE ESTRATEGIAS

AUGUSTO GIOVANNI CONDE

CHRISTIAN CAMILO MONTANEZ RAMIREZ
JOHN ALEJANDRO ACOSTA CHACON
MIGUEL IGNACIO URBANO BARRIOS
OSCAR DAVID VELASQUEZ

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
BOGOTÁ
2022
 FASE 5 DOCUMENTACIÓN DE ESTRATEGIAS

AUGUSTO GIOVANNI CONDE

CHRISTIAN CAMILO MONTANEZ RAMIREZ
JOHN ALEJANDRO ACOSTA CHACON
MIGUEL IGNACIO URBANO BARRIOS
OSCAR DAVID VELASQUEZ

CÓDIGO: 219016

TUTOR
Ing. YOLIMA ESTHER MERCADO

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
BOGOTÁ
2022
 CONTENIDO

pág.

INTRODUCCIÓN ............................................................................................................. 6
1 JUSTIFICACIÓN ....................................................................................................... 7
2 OBJETIVOS ............................................................................................................. 8
2.1 OBJETIVO GENERAL ................................................................................................................... 8
2.2 OBJETIVO ESPECÍFICO ................................................................................................................ 8

3 DESARROLLO DEL TRABAJO .................................................................................... 9

3.1 Definición de proyectos. .......................................................................................................... 10
3.2 El marco de referencia COBIT 5 define siete categorías de catalizadores. ................................ 13
3.2.1 Catalizador 1 - Principios, Políticas y Frameworks .................................................................... 14
3.2.2 Catalizador 2 - Procesos ............................................................................................................ 15
3.2.3 Catalizador 3 - Estructuras Organizacionales ............................................................................ 15
3.2.4 Catalizador 4 - Cultura, Ética y Comportamiento ...................................................................... 15
3.2.5 Catalizador 5 - Información ....................................................................................................... 15
3.2.6 Catalizador 6 - Servicios, Infraestructura y aplicaciones ........................................................... 15
3.2.7 Catalizador 7 - Personas, Habilidades y Competencias ............................................................. 15
3.3 Definición de las metricas. ....................................................................................................... 16

4 CONCLUSIONES .................................................................................................... 18
BIBLIOGRAFÍA .............................................................................................................. 19

3
 LISTA DE TABLAS

pág.

Tabla 1 Procesos de Gobierno de TI ___________________________________________________________ 9

Tabla 2 Procesos de Gestión de TI ____________________________________________________________ 9
Tabla 3. Aseguramiento y gestión de Gobierno de TI ____________________________________________ 10
Tabla 4. Alineamiento de COBIT e ISO 38500. __________________________________________________ 15
Tabla 5. METRICAS _______________________________________________________________________ 16

4
 LISTA DE ILUSTRACIONES

pág.

Ilustración 1. Los Siete Catalizadores COBIT versión 5 ___________________________________________ 14

5
 INTRODUCCIÓN

El buen funcionamiento de la entidad financiera Banco Americano con grandes

esfuerzos por sobresalir en el campo de la prestación de servicios de venta y alquiler
de vehículos y con el objetivo de ser eficientes para todos sus clientes e incluso a
su interior , debe plantear estrategias que le permitan asegurar el cumplimiento de
las metas y objetivos por ello, usaran estándares y marcos de gobernanza de TI
para evaluar, monitorear e incluso dirigir y así conseguir buenos estándares de
seguridad Se utilizaran para tal fin las normas ISO 38500 y COBIT 5 pues son los
más reconocidos y darán gestión a las estrategias del ejercicio en curso.

6
 1 JUSTIFICACIÓN

Dado que para proponer unas buenas estrategias para cualquier entidad, existen
normas como por ejemplo la ISO 38500 que nos ayuda a tener un buen Gobierno
de TI brindando una serie de lineamientos que promueven la evaluación objetiva y
su gestión para que los procesos sean controlados y el COBIT en su versión número
5 que nos brinda una ayuda para la obtención de un alto valor de TI que se puede
usar para cualquier entidad de pequeña o grande bien sea del sector público o
privado por ello es funcional para Banco Americano , estas normas benefician a
todo tipo de organizaciones empresas a fin de facilitar su evaluación objetiva.

7
 2 OBJETIVOS

2.1 OBJETIVO GENERAL

Proponer con esta actividad colaborativa, estrategias de Gobernanza TI en

seguridad informática para el entorno de aprendizaje del caso de estudio 2022 (16-
1) Banco Americano empresa dedicada a la prestación de servicios de venta y
alquiler de vehículos.

2.2 OBJETIVO ESPECÍFICO

• Examinar y evaluar los procesos de gobernanza de TI asociados a la

seguridad informática bajo los modelos de gestión y seguridad TI.

• Elaborar indicadores para medir la consecución de los objetivos estratégicos

de TI.

8
 3 DESARROLLO DEL TRABAJO

Teniendo en cuenta la situación que se ha venido trabajando en las fases anteriores

el equipo debe documentar las estrategias que propone para Gobernanza TI en la
entidad financiera, basándose en la norma ISO 38500 y su alineación con COBIT 5.

ISO/IEC 38500:2015 el objetivo de esta norma es entregar principios y definiciones

guion modelo organizacional a la hora de utilizar, evaluar, dirigir y monitorear el uso
de las tecnologías de la información dentro de las organizaciones. esta norma
entrega principios y definiciones y adicionalmente un modelo para el buen gobierno
de las TI. ya a los más altos niveles de las organizaciones a entender y cumplir las
organizaciones legales regulatorias y éticas relativas a la utilización de las ti en sus
organizaciones.

su propósito es promover el uso eficaz y eficiente y aceptable las TI en toda la

organización asegurando que las partes involucradas siguen los principios y
prácticas propuestas por la norma. da la orientación a los órganos de gobierno en
el uso de la estrella en la organización y el establecimiento de un vocabulario de
gobernanza de TI. 1

Tabla 1 Procesos de Gobierno de TI

Procesos de Gobierno de TI
Evaluar, Orientar Y Supervisar
EDM01 Asegurar el establecimiento y mantenimiento de Marco de Gobierno
EDM02 Asegurar la entrega de beneficios
EDM03 Asegurar la Optimización del Riesgo
Fuente: Elaboración propia.

Tabla 2 Procesos de Gestión de TI

Alinear, Planificar Y Organizar

AP001 Gestionar el Marco de Gestión de TI
AP002 Gestionar la estrategia
AP003 Gestionar la arquitectura empresarial

1 Darío Javier Robayo Jácome y Verónica De Las Mercedes Villarreal Morales, «Convergencia de
COBIT e ISO 38500 en el Gobierno de Tecnologías de la Información», INNOVA Research Journal
5, n.o 2 (7 de mayo de 2020): 1-25, https://doi.org/10.33890/innova.v5.n2.2020.1163.

9
 AP007 Gestionar los recursos humanos
AP008 Gestionar las relaciones
Construcción, Adquisición E Implementación
BAI02 Gestionar la definición de requisitos
BAI06 Gestionar los Cambios
Entregar, Dar Servicio Y Soporte
DSS04 Gestionar la Continuidad
DSS05 Gestionar los Servicios de Seguridad
Supervisión, Evaluación Y Verificación
MEA01 Supervisar, Evaluar y Valorar Rendimiento y Conformidad
Fuente: Elaboración propia.

Se debe identificar las entradas y salidas entradas y salidas de información que

permiten la implementación del modelo lo que permite aplicación de los cambios en
las áreas que sean requeridas se deben definir los procesos que conducen a la
valoración actual que cómo se lleva el gobierno TI usando los parámetros
establecidos por COBIT 5. Estos resultados determinan y mejoran la capacidad de
la organización con el uso del nivel de madurez. 2

3.1 DEFINICIÓN DE PROYECTOS.

una vez que se identifican los procesos de gobierno y gestión de TI identifican las
prácticas recomendadas y se asegura que los procesos estén alineados y
complementados con los principios de la norma ISO 38500.

Tabla 3. Aseguramiento y gestión de Gobierno de TI

Numeral Proceso Practica

EDM01
Asegurar el
EDM01.01 Evaluar el sistema de gobierno.
establecimiento y
1 EDM01.02 Orientar el sistema de gobierno.
mantenimiento del
EDM01.03 Supervisar el sistema de gobierno
marco de referencia
de gobierno

2 «articles-51982_recurso_3.pdf», accedido 6 de julio de 2022,

https://gobiernodigital.mintic.gov.co/692/articles-51982_recurso_3.pdf.

10
Numeral Proceso Practica
EDM02
EDM02.01 Evaluar la optimización del valor.
Asegurar la
2 EDM02.02 Orientar la optimización del valor.
Entrega de
EDM02.03 Supervisar la optimización del valor.
Beneficios
EDM03
EDM03.01 Evaluar la gestión de riesgos.
Asegurar la
3 EDM03.02 Orientar la EDM03.03 Supervisar la
Optimización del
gestión de riesgos.
Riesgo
APO01.01 Definir la estructura organizativa.
APO01.02 Establecer roles y responsabilidades.
APO01.03 Mantener los elementos catalizadores del
sistema de gestión.
APO01.04 Comunicar los objetivos y la dirección de
gestión.
APO01
APO01.05 Optimizar la ubicación de la función de
4 Gestionar el Marco
TI.
de Gestión de TI
APO01.06 Definir la propiedad de la información
(datos) y del sistema.
APO01.07 Gestionar la mejora continua de los
procesos.
APO01.08 Mantener el cumplimiento con las
políticas y procedimientos.
APO02.01 Comprender la dirección de la empresa.
APO02.02 Evaluar el entorno, capacidades y
rendimiento actuales.
APO02.03 Definir el objetivo de las capacidades de
APO02
TI.
5 Gestionar la
APO02.04 Realizar un análisis de diferencias.
estrategia
APO02.05 Definir el plan estratégico y la hoja de
ruta.
APO02.06 Comunicar la estrategia y la dirección de
TI.
APO03.01 Desarrollar la visión de la arquitectura de
empresa.
APO03 APO03.02 Definir la arquitectura de referencia.
Gestionar la APO03.03 Seleccionar las oportunidades y las
6
arquitectura soluciones.
empresarial APO03.04 Definir la implantación de la arquitectura.
APO03.05 Proveer los servicios de arquitectura
empresarial.

11
Numeral Proceso Practica

APO08.01 Entender las expectativas del negocio.

APO08.02 Identificar oportunidades, riesgos y
APO08 limitaciones de TI para mejorar el negocio.
7 Gestionar las APO08.03 Gestionar las relaciones con el negocio.
relaciones APO08.04 Coordinar y comunicar.
APO08.05 Proveer datos de entrada para la mejora
continua de los servicios.

BAI02.01 Definir y mantener los requerimientos

técnicos y funcionales de negocio.
BAI02 BAI02.02 Realizar un estudio de viabilidad y
Gestionar la proponer soluciones alternativas.
8
definición de BAI02.03 Gestionar los riesgos de los
requisitos requerimientos.
BAI02.04 Obtener la aprobación de los
requerimientos y soluciones.

BAI06.01 Evaluar, priorizar y autorizar peticiones de

cambio.
BAI06
BAI06.02 Gestionar cambios de emergencia.
9 Gestionar los
BAI06.03 Hacer seguimiento e informar de cambios
Cambios
de estado.
BAI06.04 Cerrar y documentar los cambios.

DSS04.01 Definir la política de continuidad del

negocio, objetivos y alcance.
DSS04.02 Mantener una estrategia de continuidad.
DSS04.03 Desarrollar e implementar una respuesta a
la continuidad del negocio.
DSS04 DSS04.04 Ejercitar, probar y revisar el plan de
10 Gestionar la continuidad.
Continuidad DSS04.05 Revisar, mantener y mejorar el plan de
continuidad.
DSS04.06 Proporcionar formación en el plan de
continuidad.
DSS04.07 Gestionar acuerdos de respaldo.
DSS04.08 Ejecutar revisiones post-reanudación.

12
 Numeral Proceso Practica
DSS05.01 Proteger contra software malicioso
(malware).
DSS05.02 Gestionar la seguridad de la red y las
conexiones.
DSS05.03 Gestionar la seguridad de los puestos de
DSS05 usuario final.
Gestionar los DSS05.04 Gestionar la identidad del usuario y el
11
Servicios de acceso lógico.
Seguridad DSS05.05 Gestionar el acceso físico a los activos de
TI.
DSS05.06 Gestionar documentos sensibles y
dispositivos de salida.
DSS05.07 Supervisar la infraestructura para detectar
eventos relacionados con la seguridad.
MEA01.01 Establecer un enfoque de la supervisión.
MEA01.02 Establecer los objetivos de cumplimiento
MEA01
y rendimiento.
Supervisar, Evaluar
MEA01.03 Recopilar y procesar los datos de
12 y Valorar
cumplimiento y rendimiento.
Rendimiento y
MEA01.04 Analizar e informar sobre el rendimiento.
Conformidad
MEA01.05 Asegurar la implantación de medidas
correctivas.
Fuente: Elaboración propia.

3.2 EL MARCO DE REFERENCIA COBIT 5 DEFINE SIETE CATEGORÍAS DE

CATALIZADORES.

Estos factores que de forma individual o grupalmente, llegan a influir en el gobierno

de TI y la gestión de TI de una organización. Estos se guían por una cascada de
metas, es decir los objetivos de alto nivel definen los catalizadores que se deben
seguir. 3

3 Jorge Suárez, «Cobit 5», 5, accedido 6 de julio de 2022,

https://www.academia.edu/9782016/Cobit_5.

13
 Ilustración 1. Los Siete Catalizadores COBIT versión 5

Fuente: Elaboración propia.

Catalizador 1 - Principios, Políticas y Frameworks

Catalizador 2 - Procesos
Catalizador 3 - Estructuras Organizacionales
Catalizador 4 - Cultura, Ética y Comportamiento
Catalizador 5 - Información
Catalizador 6 - Servicios, Infraestructura y aplicaciones
Catalizador 7 - Personas, Habilidades y Competencias 4

3.2.1 Catalizador 1 - Principios, Políticas y Frameworks

Son la manera en la que se traduce el comportamiento objetivo en guías y prácticas

para la gestión de los recursos de TI en el día a día.

4 «Mejorando el proceso de seguimiento de Auditoría usando COBIT 5 | ISACA Journal», ISACA, accedido 6 de
julio de 2022, https://www.isaca.org/resources/isaca-journal/issues/2016/volume-6/enhancing-the-audit-
follow-up-process-using-cobit-5.

14
3.2.2 Catalizador 2 - Procesos

Corresponden a un grupo de actividades que alcanzan algunos objetivos que deben

producir resultados que puedan soportar las metas generales relacionadas con los
recursos de TI.

3.2.3 Catalizador 3 - Estructuras Organizacionales

Son los entes encargados de tomar las decisiones que son claves dentro de una
organización.

3.2.4 Catalizador 4 - Cultura, Ética y Comportamiento

Son el comportamiento endógeno, los principio y valores de cada uno de los

miembros que hacen parte de una organización y que son un factor de éxito para
las actividades desarrolladas dentro de la organización.

3.2.5 Catalizador 5 - Información

Corresponde a toda la información generada por una organización, así como la

utilizada o resguardada. La información es un pilar fundamental y activo más crítico
e importante dentro de la organización.

3.2.6 Catalizador 6 - Servicios, Infraestructura y aplicaciones

Hace referencia a la infraestructura de soporta la información

3.2.7 Catalizador 7 - Personas, Habilidades y Competencias

Son el recurso necesario e importante para la toma correcta de decisiones y de

acciones y adicionalmente son el recurso con las habilidades para la ejecución de
actividades.

Teniendo en cuenta lo anterior se muestran el alineamiento de COBIT e ISO 38500.

Tabla 4. Alineamiento de COBIT e ISO 38500.

Principios ISO 38500 Proceso Catalizadores COBIT

EDM01 Asegurar el establecimiento y

mantenimiento del marco de referencia de
Estructuras
Responsabilidad gobierno
organizativas;
APO01.- Gestionar el Marco de Gestión de TI
APO03.- Gestionar la arquitectura empresarial

15
Principios ISO 38500 Proceso Catalizadores COBIT

EDM02.- Asegurar la entrega de beneficios

EDM03.- Asegurar la Optimización del Riesgo
APO02.- Gestionar la estrategia
APO08.- Gestionar las relaciones
Estrategia Proceso; Información
BAI02.- Gestionar la definición de requisitos
Estrategia Proceso
BAI06.- Gestionar los Cambios
DSS04.- Gestionar la Continuidad
Proceso; información;
APO02.- Gestionar la estrategia servicios,
Adquisición
EDM03.- Asegurar la Optimización del Riesgo infraestructura y
aplicaciones.
Estructura
APO03.- Gestionar la arquitectura empresarial
Organizativas;
Desempeño APO09.- Gestionar los acuerdos de servicios
Procesos; estructuras
DSS05.- Gestionar los Servicios de Seguridad organizativas.
Información;
estructuras
APO02.- Gestionar la estrategia
organizativas;
Cumplimiento MEA01.- Supervisar, Evaluar y Valorar
procesos; servicios,
Rendimiento y Conformidad infraestructura y
aplicaciones.
Personas, habilidades
APO07.- Gestionar los recursos humanos y competencias;
Comportamiento
BAI02.- Gestionar la definición de requisitos cultura, ética y
comportamiento.
Fuente: Elaboración propia.

3.3 DEFINICIÓN DE LAS METRICAS.

Tabla 5. METRICAS

NOMBRE
TIPO DE
DEL LA DESCRIPCIÓN MEDIDA CÁLCULO
INDICADOR
INDICADOR

En este tipo de indicador se debe

tener en cuenta ya que está
Disponibilidad relacionado con los recursos Disponibilidad de sistemas y Recursos Utilizados /
de disponibles, por lo que se debe Actuación dispositivos por encima del Total de Recursos
infraestructura realizar un monitoreo constante de 99% Disponibles
los equipos para evitar fallas
repentinas de alguno de ellos.

16
 NOMBRE
TIPO DE
DEL LA DESCRIPCIÓN MEDIDA CÁLCULO
INDICADOR
INDICADOR

Este indicador, relacionado con el

El gerente de TI es Tiempo dedicado a
soporte, mide el tiempo que
Tiempo de responsable de probar el buscar una solución /
dedican los equipos de TI a
medición de Actuación desempeño de cada TI y Tiempo promedio para
ayudar a los clientes a resolver
la atención proponer mejoras o resolver problemas
sus problemas, sin afectar el flujo
cambios en los procesos. específicos
de trabajo.

El gerente de TI sigue el
Métrica relacionada con el
indicador y está listo para
Convocatoria soporte, este indicador permite Tiempo utilizado para
verificar la necesidad de
de soluciones verificar si el equipo está listo para rastrear el origen de los
Actuación mejora, para eso capacita a
de primer volver al origen de los problemas y problemas / Tiempo
los equipos y crea
contacto brindar una solución lo antes promedio de referencia
documentación para los
posible.
problemas más frecuentes.

Porcentaje de
Es un indicador para el dominio de
Número de Se utiliza para estimar los problemas resueltos en
apoyo, contribuye a la
soluciones en Actuación costos de los parámetros de un tiempo definido /
comprensión del desempeño del
el término ROI. Total de problemas
equipo.
identificados

Porcentaje de
Un alto número de fallas
El indicador ayuda a identificar problemas identificados
indicará que la entidad
Número de problemas en el proceso, ya sea en el proceso /
Actuación necesita mejorar sus
errores en desarrollo o en código de Problemas similares
políticas de desarrollo
prueba. tomados como línea de
tecnológico
base

Es necesario tener un canal Clientes atendidos y

Satisfacción Indicador importante, ayuda a de comunicación con los satisfechos / Número
Actuación
del cliente orientar la toma de decisiones clientes objetivo, para total de clientes de la
analizar el feedback. empresa

Se debe mapear el recurso Mapeo de los recursos

Aprobación Este indicador está relacionado
Calidad del sector y cruzar los datos de cada sector / Cruce
de costos con la singularidad de la entidad.
para obtener resultados. de datos

Porcentaje de
Índice Total de
índice de
Mapea las amenazas y fallas del Seguridad Informática
seguridad Factor de importancia para
sistema para determinar el nivel Calidad Registrados /
informática y comprobar todo el sistema
de seguridad del sistema Porcentaje Total de
porcentaje de
Incidentes
incidencias

Fuente: Elaboración propia.

17
 4 CONCLUSIONES

El establecimiento de los indicadores para la medición de los objetivos estratégicos

de TI para el Banco Americano, promueven la eficiencia de toda la entidad.

Se deben seguir los principios establecidos dentro de la organización a fin de que

se establezca una buena gobernanza de TI para en Banco.

Se deben seguir los parámetros que se establecen desde el COBIT 5, ya que los
procesos de valoración para el Banco Americano si llegan a un buen término de
aplicabilidad se pueden gestionar cambios mejoras.

18
 BIBLIOGRAFÍA

«articles-51982_recurso_3.pdf». Accedido 6 de julio de 2022.

https://gobiernodigital.mintic.gov.co/692/articles-51982_recurso_3.pdf.

Jácome, Darío Javier Robayo, y Verónica De Las Mercedes Villarreal Morales.

«Convergencia de COBIT e ISO 38500 en el Gobierno de Tecnologías de la
Información». INNOVA Research Journal 5, n.o 2 (7 de mayo de 2020): 1-25.
https://doi.org/10.33890/innova.v5.n2.2020.1163.

ISACA. «Mejorando el proceso de seguimiento de Auditoría usando COBIT 5 |

ISACA Journal». Accedido 6 de julio de 2022.
https://www.isaca.org/resources/isaca-journal/issues/2016/volume-
6/enhancing-the-audit-follow-up-process-using-cobit-5.

Suárez, Jorge. «Cobit 5». Accedido 6 de julio de 2022.

https://www.academia.edu/9782016/Cobit_5.

19