UNIVERSIDAD LAICA “ELOY ALFARO” DE MANABÍ

EXTENSIÓN CHONE

CARRERA:
INGENIERÍA EN SISTEMAS

CURSO/PARALELO:
9 NO “A”

TEMA:
Marco Integral de Control Interno COSO
COBIT5
ISO 27001
ISO 17799

MATERIA:
EVALUACION Y AUDITORIA DE SISTEMAS

DOCENTE:
ING. FABRICIO RIVADENEIRA

ESTUDIANTE:
PALMA LOOR TANIA YADIRA

PERIODO LECTIVO:
2022-2023 (P2)
 INTRODUCCION
Hoy en día las empresa u organizaciones sin importar su categoría, buscan la
competitividad, mediante el fortalecimiento en la gestión de sus procesos administrativos,
con el fin de manejar de la forma más eficaz los recursos que posee; alcanzando los
objetivos propuestos mediante una toma de decisión acertada, que satisfaga las
necesidades de los clientes con los productos o servicios que oferta.

Por estos motivos y con el fin de llevar un mejor control de la información y mitigar las
vulnerabilidades que pueden suscitar, desde muchos años atrás existen diferentes
metodologías como las normas ISO que continuamente se encuentran desarrollando,
mejorando e innovando; permitiendo una mejor gestión de los riesgos. Para el área de
tecnologías de la información, por ejemplo, existe la norma ISO 270001; esta normativa
proporciona las directrices para establecer un proceso de gestión de seguridad de la
información (SGSI), mediante el establecimiento de las mejores prácticas para gestionar,
prevenir y mitigar vulnerabilidades internas y externas. Es por ello que la presente
investigación tiene como objetivo realizar un estudio comparativo de las metodologías
COBIT 5 y COSO, teniendo en cuenta que estas parten de las normas ISO que
generalmente está dividida en múltiples documentos de control, cada uno enfocado a un
área o escenario de análisis especifico; por ello se pretende identificar los aspectos más
importantes de las ISO 27001, ISO 17799, los cuales han sido considerados al momento
de desarrollar las metodologías COBIT 5 y COSO y finalmente se realizará una
comparación de estas dos las metodologías en el ámbito de la gestión de riesgo de
información y riesgo informático.

MARCO INTEGRAL DE CONTROL INTERNO COSO

Según (Montoya, 2016) El control interno es un proceso llevado a cabo por el consejo
de administración la dirección y el resto del personal de una entidad, diseñado
con el objeto de proporcionar un grado de seguridad razonable en cuanto a la
consecución de objetivos relacionados con las operaciones, la información y el
cumplimiento.

Según Global Survey on Risk Management and Internal Control IFAC (2016): El control
interno es una parte integrada del sistema de gobierno y de la gestión de riesgos de una
organización, que se entiende efectuada y activamente supervisada por el órgano de
gobierno de la organización, la dirección y otro personal para aprovechar las
oportunidades y contrarrestar las amenazas de acuerdo con la estrategia de gestión de
riesgos y las políticas de Control Interno establecidas por el órgano de gobierno
para alcanzar los objetivos de una organización.

Objetivos del control interno

Dentro de estos objetivos están los de lograr la eficiencia y eficacia en las

operaciones, generar un grado de alta confiabilidad en la generación de la
información, en especial la financiera y finalmente lograr el objetivo de
cumplimiento de todo tipo de normatividad que está asociada a la naturaleza de
las operaciones que realiza la empresa en un periodo.

La eficiencia y la eficacia se refieren a lo que hacemos y a como lo hacemos. Eficiencia

significa hacer una tarea correctamente y se refiere a la relación que existe entre
los insumos y los productos. La eficacia se refiere a hacer lo correcto, alcanzar la
meta.

El Control Interno dentro de las organizaciones deberá velar en forma permanente

por el cumplimiento de este objetivo, de tal forma que la información que
se genere sirva de base para la toma de decisiones en forma oportuna por parte de
los usuarios de la contabilidad de las empresas.

Componentes del control interno

Tal como lo establece el COSO, el control interno está basado en cinco

componentes esenciales que son los que permiten darle una estructura adecuada:
ambiente de control, evaluación de los riesgos, actividades de control, información y
comunicación y por último las actividades de monitoreo y seguimiento. En la norma
internacional de auditoria 315, el control interno está integrado por los siguientes
componentes: entorno del control, el
proceso de valoración del riesgo por la
entidad, el sistema de información
incluidos los procesos de negocio
relacionados, relevante a la información
financiera y la comunicación, actividades
de control relevantes para la auditoria y finalmente el componente relacionado con el
seguimiento de los controles.

COBIT5

COBIT representa una guía de mejores prácticas para garantizar un gobierno y una
administración efectivos de TI en una organización; permite alinear los objetivos de TI
con los objetivos institucionales. En su versión COBIT 2019, provee un modelo práctico
para crear un programa de gobierno que se adapte a las necesidades de cada organización,
así como un modelo de madurez, e introduce nuevos conceptos para garantizar una
implementación más sencilla y personalizada. COBIT 2019 garantiza el uso optimizado
de recursos y mejor eficiencia en la administración de la información y de la tecnología
(ISACA, 2019).

¿Quién utiliza COBIT?

COBIT es empleado en todo el mundo por quienes tienen como responsabilidad primaria
los procesos de negocio y la tecnología, aquellos de quien depende la tecnología y la
información confiable, y los que proveen calidad, confiabilidad y control de TI.

principios de COBIT 5

Satisfacer las necesidades del accionista

Considerar la empresa de punta a punta
Aplicar un único modelo de referencia integrado
Posibilitar un enfoque holístico
Separar gobierno de la gestión.

ISO 27001
Según (Aguilera, 2015)ISO 27001 es una norma internacional emitida por la
Organización Internacional de Normalización (ISO) y describe cómo gestionar la
seguridad de la información en una empresa. La revisión mas reciente de esta norma fue
publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera
revisión se publico en 2005 y fue desarrollada en base a la norma británica BS 7799-2.
¿Qué Busca Esta Norma?

Investigar los potenciales riesgos o problemas que podrían afectar la integridad de la

información en organización donde se implemente, puede ser pequeña grande o mediana
para este modo resguardar la información, y dejarla a disposición del personal con el nivel
de usuario requerido para acceder a ella, y hacer uso de la misma. De manera que se
eliminé el riesgo, perder la información para siempre o que caiga en manos equivocadas
que pueden hacer un mal uso de ellas.

Importancia de la norma

La norma ISO 27001 es importante, ya que está describe Cómo gestionar la seguridad de
la información en una organización, también permite que una empresa sea certificada;
esto significa que una entidad de certificación Independiente confirma que la seguridad
de la información ha sido implementada en esa organización en cumplimiento con la
norma ISO 27001. Así pues, otorga múltiples ventajas, tales como cumplir con los
requerimientos legales, así como obtener una ventaja comercial, reducir costos y una
mejor organización. Además, puede ser implementada en cualquier organización del
mundo, mostrando así su superioridad ante cualquier otra Norma.

¿En qué se enfoca está Norma?

Está se enfoca en establecer, cementar, seguir, revisar, mantener y mejorar un sistema de

gestión de la seguridad de la información de la organización. Siguiendo un proceso
detallado que le permite identificar eliminar los riesgos presentes en cualquier
organización, ya que están redactada por los mejores especialistas del mundo en el tema
y proporciona una metodología para implementar la gestión de la seguridad de la
información en una organización.

ISO 17799

La norma ISO 27001 facilita los requisitos que se deben adoptar para poder implementar
un Sistema de Gestión de Seguridad de la Información, con lo que se podrá mantener la
información de la organización de una forma segura ante cualquier posible amenaza. La
norma NTP-ISO/IEC 17799 es una norma técnica peruana que ayuda a implementar
también medidas de seguridad en las organizaciones, mejorando el rendimiento de la
organización y aumenta su valor añadido ante las demás organizaciones del mismo sector.
El objetivo de la norma NTP-ISO/IEC 17799 es dirigir y dar soporte a la gestión de la
seguridad de la información en concordancia con los requisitos de la organización, la
legislación y las regulaciones.

La gerencia tiene que establecer de forma clara las líneas que va a seguir la política de
seguridad y manifestar el apoyo y compromiso a la Seguridad de la Información,
publicando y manteniendo una política de seguridad en toda la empresa.

Según (Marín, 2019)La norma define la seguridad como la preservación de la

confidencialidad, integridad y disponibilidad de la información, siendo necesario para
ello no solo medidas técnicas sino también políticas y organizativas. Para alcanzarla
define diez áreas de control:

Políticas de seguridad
Organización de la seguridad
Clasificación y control de activos
Seguridad del personal
Seguridad física y del entorno
Gestión de comunicaciones y operaciones
Control de accesos
Desarrollo y mantenimiento de sistemas
Gestión de la continuidad
Conformidad

Que cubren todo el ámbito de gestión de la seguridad planteando sobre ellas 36 objetivos
de control y un total de 127 controles que nos pueden servir para validar el grado de
adecuación a la norma. En cualquier caso, es importante darse cuenta que será una labor
prioritaria adaptar la ISO17799, y más concretamente el peso que se da a cada una de las
áreas de la norma, a las características concretas del ámbito de aplicación del Plan director
que se quiere elaborar. Más detallado, se definen las siguientes áreas de control.
CONCLUSIONES
En tiempos donde las organizaciones están expuestas a diferentes tipos de riesgos,
el Control Interno servirá como base para realizar una gestión integral de los mismos, así
se podrá minimizar el impacto que pueden generar dentro de una organización en un
periodo de tiempo determinado.

El modelo de evaluación de procesos de COBIT 5 priorizados para la DTIC se basó en

CMMI (Integración del modelo de madurez de capacidades) y se pudo identificar que la
mayoría se encuentran en nivel 0, es decir con estrategias incompletas para lograr el
propósito de gobierno y gestión; es así que se evidenció una brecha significativa en cuanto
a la información que se tiene disponible para la toma acertada y efectiva de decisiones.

En el Plan Director de Seguridad se ha de plasmar la visión estratégica de la seguridad

que tiene la organización. La norma ISO 17799 es un estándar internacional comúnmente
aceptado que ha de servir de guía exhaustiva de todas las necesidades de seguridad que
una organización puede tener, permitiendo verificar el estado actual de la seguridad del
sistema e identificar claramente unos objetivos a alcanzar a corto, medio y largo plazo,
que posteriormente serán verificados con la misma norma.

Bibliografía
Aguilera, E. (2015). Norma iso 27001. Obtenido de
https://es.slideshare.net/edicksonaguilera/norma-iso-27001-49377536

Marín, G. B. (2019). Directrices del Plan Director de Seguridad:. Obtenido de

file:///C:/Users/USUARIO/Downloads/directrices_del_plan.pdf

Montoya, O. P. (2016). Visión integral del control interno. Obtenido de

https://revistas.udea.edu.co/index.php/cont/article/view/328434/20785274