Universidad Americana Facultad de Comunicación, Artes Y Ciencia de La Tecnología Carrera de Ingeniería Informática

UNIVERSIDAD AMERICANA
FACULTAD DE COMUNICACIÓN, ARTES Y CIENCIA DE LA

TECNOLOGÍA
CARRERA DE INGENIERÍA INFORMÁTICA
ANÁLISIS DE FACTIBILIDAD DE IMPLEMENTACIÓN DE UN

MODELO DE ADMINISTRACIÓN DE TI, PLASMADO EN UN
MANUAL DE CONTROL INTERNO INFORMÁTICO, BASADO EN
EL MARCO DE REFERENCIA COBIT 5 COMO HERRAMIENTA
DE MEJORAMIENTO DE LA GESTIÓN EMPRESARIAL
Minerva Soledad Caballero Sosa
Asunción – Paraguay
2015
Análisis de factibilidad de implementación de un Modelo de TI… ii
ANÁLISIS DE FACTIBILIDAD DE IMPLEMENTACIÓN DE UN

MODELO DE ADMINISTRACIÓN DE TI, PLASMADO EN UN
MANUAL DE CONTROL INTERNO INFORMÁTICO, BASADO EN
EL MARCO DE REFERENCIA COBIT 5 COMO HERRAMIENTA
DE MEJORAMIENTO DE LA GESTIÓN EMPRESARIAL
Tesis preparada a la Universidad

Americana como requisito parcial
para la obtención del título de
Ingeniero en Informática
Tutor: Mgs. Lic. Arnaldo José Medina Tumino
Asunción – Paraguay
2015
Tesis preparada a la Universidad Americana como requisito parcial para la

obtención del título de Ingeniero en Informática.
Total de páginas: …200…
Tutor: Mgs. Lic. Arnaldo José Medina Tumino
Tesis académica de Ingeniería en Informática

Universidad Americana, Paraguay, 2015
Áreas temáticas: TIC. Modelo de Administración de TI. Manual de Control Interno

Informático. COBIT 5. Gestión Empresarial. Metas del Negocio. Metas TI.
Certificación. Procesos.
Código de Biblioteca:……..…
Análisis de factibilidad de implementación de un Modelo de TI… iv
ANÁLISIS DE FACTIBILIDAD DE IMPLEMENTACIÓN DE UN MODELO

DE ADMINISTRACIÓN DE TI, PLASMADO EN UN MANUAL DE CONTROL
INTERNO INFORMÁTICO, BASADO EN EL MARCO DE REFERENCIA
COBIT 5 COMO HERRAMIENTA DE MEJORAMIENTO DE LA GESTIÓN
EMPRESARIAL
Esta tesis fue evaluada y aprobada en fecha __/__/__ para la obtención del título de
Ingeniero en Informática por la Universidad Americana
Miembros de la Mesa Examinadora:
Nombre Firma
Prof. ___________________________ ………...…………………………………
Prof. ___________________________ ………...…………………………………
Prof. ___________________________ ………...…………………………………

Análisis de factibilidad de implementación de un Modelo de TI… v
Dedico esta tesis a:

A mi esposo e hijo, quienes representan un pilar
fundamental en mi vida, acompañándome día a
día en el proceso de este proyecto; A quienes sin
saber me mostraron el camino para tener la
confianza y la voluntad necesaria de alcanzar
todas mis metas...
Análisis de factibilidad de implementación de un Modelo de TI… vi
Agradezco a:
Todos aquellos profesores que colaboraron en mi
formación, desde la gran C.T.N. institución que
marcó el rumbo que tomaría, hasta las diferentes
universidades en la cual hice carrera; gran parte
de quien soy, es debido a lo que absorbí de cada
uno de ellos.
A mí Tutor de Tesis el Lic. Mgs. Arnaldo Medina

Tumino, especialmente por aceptar ser Tutor de
esta tesis de grado, compartir sus conocimientos;
su tiempo y exigencias en el trabajo. Pero por
sobre todo por la paciencia para enseñarme y la
amistad para ayudarme, mi gratitud y afecto.
Particularmente en la persona del Lic. Mgs.

Sergio D. González como docente e investigador,
por la disponibilidad de tiempo, y
acompañamiento en el trabajo de campo.
A todos los profesionales del área que de alguna

forma participaron de este proyecto, ya sea
proveyendo de materiales que han constituido la
base y punto de partida para el mismo, o
respondiendo a los cuestionarios enviados,
también a quienes han mostrado su interés y me
han brindado su apoyo para que todo marche
bien… hasta el final.
Análisis de factibilidad de implementación de un Modelo de TI… vii
"El hombre se auto realiza en la

misma medida en que se
compromete al cumplimiento del
sentido de su vida".
FRANKL, VIKTOR.
Psiquiatra y neurólogo austriaco.
Análisis de factibilidad de implementación de un Modelo de TI… viii
Índice
Lista de Tablas ......................................................................................................... xviii
Lista de Diagramas .................................................................................................... xix
Lista de Figuras .......................................................................................................... xx
Lista de Abreviaturas.............................................................................................. xxiii
Resumen ................................................................................................................... xxvi
Abstract ................................................................................................................... xxvii
Introducción ................................................................................................................. 1
Capítulo I. Marco Introductorio .................................................................................. 4
Título de la investigación ........................................................................................ 4
Formulación del Problema ..................................................................................... 4
Objetivos................................................................................................................... 6
Objetivo General ................................................................................................... 6
Objetivos Específicos. ........................................................................................... 6
Justificación de la investigación ............................................................................. 7

Principio del Método Científico ............................................................................ 7
Conveniencia ......................................................................................................... 8
Relevancia social ................................................................................................... 8
Implicaciones prácticas ......................................................................................... 9
Valor teórico.......................................................................................................... 9
Propuesta de Implementación de la Investigación ............................................. 10

Desarrollar el Acta de Constitución del Proyecto .............................................. 10
Desarrollar la planificación del proyecto ........................................................... 10
Ambiente de Control ....................................................................................... 10
Evaluación de Riesgos..................................................................................... 10
Dirigir y Gestionar el proyecto ........................................................................... 11
Análisis de factibilidad de implementación de un Modelo de TI… ix
Actividades de Control .................................................................................... 11

Información y Comunicación .......................................................................... 11
Monitorear y Controlar el proyecto .................................................................... 11
Monitoreo ........................................................................................................ 11
Control Integrado de Cambios ............................................................................ 11
Cerrar el Proyecto o Fase ................................................................................... 11
Metodología aplicada.......................................................................................... 12
Método Descriptivo ......................................................................................... 12
Método Gráfico ............................................................................................... 13
Método de Cuestionarios ................................................................................. 13
La viabilidad del estudio ....................................................................................... 13
Evaluación de las deficiencias en el conocimiento del problema ...................... 14
Limitaciones y Plan de Contingencia................................................................... 14
Capítulo II. Marco Teórico ........................................................................................ 15
1. Antecedentes ...................................................................................................... 15
1.1. La Empresa................................................................................................... 15
1.1.1. El ambiente de Negocios ....................................................................... 16
1.1.2. Entorno de las Competencias ................................................................ 18
1.1.3. Los cambios y costos ............................................................................. 19
2. La evolución de las TICs ............................................................................... 20

2.1. Tendencias TIC............................................................................................. 21
2.2. Paraguay: Situación Actual TIC .................................................................. 24
2.2.1. Economía Digital / Industria e innovación TIC .................................... 25
2.2.2. Impulso de la tecnificación y conectividad ........................................... 26
2.3. Brecha Digital .............................................................................................. 27
2.4. Beneficios de una gestión tecnológica de la información ............................ 28
2.4.1. Inclusión Digital / Social ....................................................................... 28
2.4.2. Implantación de las TIC en los sectores productivos ............................ 28
Análisis de factibilidad de implementación de un Modelo de TI… x
2.4.3. Confiabilidad en el uso de las TIC ........................................................ 30

2.4.4. Impacto Ambiental ................................................................................ 30
2.5. La necesidad del Control en TI .................................................................... 31
2.6. Aparición del Gobierno Corporativo y el Gobierno de TI ........................... 33
2.6.1. Gobierno Corporativo............................................................................ 34
2.6.2. Gobierno de TI ...................................................................................... 35
2.6.3. Métricas ................................................................................................. 38
3. La Administración de Riesgos y Beneficios de TI ....................................... 39

3.1. Fundamentos del Riesgo .............................................................................. 39
3.2. Motivos del Análisis de Riesgo ..................................................................... 40
3.3. Riesgos.......................................................................................................... 40
3.3.1. Concepto ................................................................................................ 41
3.3.2. Clasificación de Riesgos ....................................................................... 41
3.3.3. Tipos de causas de Riesgos ................................................................... 42
3.4. Riesgos de TI ................................................................................................ 43
3.4.1. Concepto ................................................................................................ 44
3.4.2. Valoración del Riesgo de TI. ................................................................. 44
3.4.3. Identificación del Riesgo de TI. ............................................................ 45
3.4.4. Análisis del Riesgo. ............................................................................... 46
3.5. Procesos de Administración de TI................................................................ 47
3.5.1. Beneficios de procesos para la empresa ................................................ 50
3.5.2. Beneficios de procesos para la Auditoria .............................................. 51
4. COBIT. ............................................................................................................ 52
4.1. Introducción. ................................................................................................ 52
4.2. Historia, y evolución. ................................................................................... 52
4.3. Cobit 4.1 y Cobit 5. ...................................................................................... 53
4.4. Las diferencias y similitudes entre las versiones anteriores. ....................... 55
4.4.1. Principios y Conceptos. ......................................................................... 55
4.4.2. Estructuras y marcos de trabajo............................................................. 63
Análisis de factibilidad de implementación de un Modelo de TI… xi
4.4.3. Metas de Negocio y Metas de TI........................................................... 65

4.4.4. Modelo de Madurez............................................................................... 68
4.4.5. Beneficios de los cambios. .................................................................... 70
4.5. Marcos de trabajo que componen COBIT 5. ............................................... 70
4.5.1. BMIS. .................................................................................................... 70
4.5.2. ITAF. ..................................................................................................... 71
4.5.3. Risk IT. .................................................................................................. 71
4.5.4. Val IT. ................................................................................................... 72
5. Modelo de Administración de TI. ................................................................. 72

5.1. Procesos. ...................................................................................................... 73
5.1.1. Procesos del Dominio APO. .................................................................. 73
5.1.2. Procesos del Dominio BAI. ................................................................... 76
5.1.3. Procesos del Dominio DSS. .................................................................. 78
5.1.4. Procesos del Dominio MEA. ................................................................. 79
5.1.5. Procesos del Dominio EDM. ................................................................. 80
5.2. Principios y políticas. ................................................................................... 80
5.3. Marco de trabajo. ......................................................................................... 81
5.3.1. Las categorías de los dominios. ............................................................. 82
6. Elaboración y Diseño de Materiales de TI. .................................................. 82

6.1. Control Interno: Manual de Control Interno Informático. .......................... 84
6.1.1. Características del Control Interno. ....................................................... 85
6.2. Ambiente de Control. .................................................................................... 85
6.2.1. Principios según COSO para este componente. .................................... 85
6.2.2. COSO alineado a COBIT 5 en Ambiente de Control. .......................... 86
6.3. Evaluación de Riesgos.................................................................................. 87
6.3.2. COSO alineado con COBIT 5 en Evaluación de Riesgos. .................... 88
6.4. Actividades de Control. ................................................................................ 88
Análisis de factibilidad de implementación de un Modelo de TI… xii
6.4.2. COSO alineado con COBIT 5 en Actividades de Control .................... 89

6.5. Información y Comunicación. ...................................................................... 90
6.5.2. COSO alineado con COBIT 5 en Información y Comunicación. ......... 91
6.6. Monitoreo. .................................................................................................... 91
6.6.1. Reglas para monitoreo ........................................................................... 91
6.6.2. Principios según COSO para este componente ..................................... 92
6.6.3. COSO alineado con COBIT 5 en Monitoreo ........................................ 92
7. Estándares Internacionales y Buenas Prácticas de Procesos de Control en

TI 93
7.1. Algunos estándares internacionales, guías y manuales de buenas prácticas.
.................................................................................................................................. 94
7.1.1. COSO (Committee of Sponsoring Organizations). ............................... 94
7.1.2. ITIL (Information Technology Infrastructure Library). ........................ 95
7.1.3. PMBOK (Project Management Body of Knowledge). ......................... 97
7.1.4. Distintas Normas ISO (International Organization of Standards)......... 98
7.1.5. Val IT. ................................................................................................. 105
7.1.6. NIST SP 800-30 (National Institute of Standards and Technology) ... 106
7.1.7. TOGAF (The Open Group Architecture Forum). ............................... 106
7.1.8. CMMI para el Desarrollo (Capacity Madurity Model Integrated) ...... 107
7.1.9. BS 25999 ............................................................................................. 107
7.2. Analizando modelos. .................................................................................. 108
7.2.1. ITIL vs. CMMI .................................................................................... 108
7.2.2. CMMI vs. PMBOK ............................................................................. 108
7.2.3. ITIL vs. PMBOK ................................................................................. 108
7.2.4. CMMI vs. COBIT ............................................................................... 109
7.2.5. COBIT vs. ITIL ................................................................................... 109
7.2.6. Val IT vs. COBIT ................................................................................ 109
7.2.7. CMMI vs. PRINCE2 ........................................................................... 109
Análisis de factibilidad de implementación de un Modelo de TI… xiii
Capítulo III. Marco Metodológico ........................................................................... 110
Metodología de Investigación ............................................................................. 110

Tipo de Investigación ........................................................................................ 110
Diseño de Investigación .................................................................................... 110
Nivel de conocimiento esperado........................................................................ 110
Universo, población y muestra .......................................................................... 111
Instrumentos y Técnicas de Recolección de datos ............................................ 111
Procedimientos de Aplicación de Instrumento .................................................. 112
Hipótesis ............................................................................................................ 112
Metodología de Análisis ...................................................................................... 112

Estimaciones de Costos de Inversión del Proyecto ........................................... 112
Presupuesto Ideal ........................................................................................... 113
Cronograma de Actividades ............................................................................... 115
Capítulo IV. Marco Analítico................................................................................... 116
4.1. Breve presentación de la empresa ............................................................... 116

4.1.1. Breve biografía ........................................................................................ 116
4.1.2. Misión, Visión, Valores ........................................................................... 117
4.1.3. Servicios que ofrece................................................................................. 118
4.1.4. Cantidad de colaboradores en la empresa.............................................. 118
4.1.5. Estructura Organizativa .......................................................................... 118
4.2. Administración de las TICS de una empresa del sector importaciones. . 119
4.2.1. Infraestructura física A.M. Reguera........................................................ 120
4.2.1.1. Entorno de red................................................................................ 121
4.2.1.2. Comunicaciones ............................................................................... 122
4.2.2. Software A.M. Reguera. .......................................................................... 123
4.2.2.1. Sistema operativo, software de base................................................. 123
4.2.2.2. Utilitarios y aplicaciones. ................................................................. 124
4.3. Tabulación y Análisis de Datos ............................................................... 125

Análisis de factibilidad de implementación de un Modelo de TI… xiv
4.3.1. ¿La empresa promueve el compromiso con la integridad y valores éticos

de sus personales? ................................................................................................. 126
4.3.2. ¿El Directorio se muestra independiente de la Gerencia y realiza el
seguimiento de los controles? ................................................................................ 127
4.3.3. ¿La Gerencia establece una apropiada asignación de la responsabilidad y
la autoridad? .......................................................................................................... 128
4.3.4. ¿La empresa demuestra compromiso para identificar y retener a los más
competentes, posicionándolos en cargos estratégicos? ......................................... 129
4.3.5. ¿Se cuenta con manuales que proporcionen los lineamientos acerca de la
propiedad de datos y diccionario de datos del Sistema? ....................................... 130
4.3.6. ¿La Gerencia de TI asegura el establecimiento como políticas, normas y
procedimientos. Además del mantenimiento del marco de referencia de TI? ....... 131
4.3.7. ¿La empresa cuenta con Organigramas generales y del área TI,
manuales de funciones de las áreas de TI y Seguridad respectivamente? ............ 132
4.3.8. ¿La empresa cuenta con manuales de Control de Seguridad de los
Sistemas? ................................................................................................................ 133
4.3.9. ¿Existen procedimientos para garantizar un control satisfactorio de los
cambios en el hardware, software de base o registros que demuestren la
realización de las tareas asignadas? ..................................................................... 134
4.3.10. ¿Se cuenta con manuales de usuarios y técnicos de los aplicativos
utilizados en los distintos ciclos del negocio? ....................................................... 135
4.3.11. ¿La empresa cuenta con el plan de infraestructura y de contingencia
actualizado? ........................................................................................................... 136
4.3.12. ¿Se cuenta con un registro de control de los contratos con proveedores
de Sistemas y Tecnología? ..................................................................................... 137
4.3.13. ¿El área de TI, garantiza la entrega de beneficios en base a las
inversiones realizadas contribuyendo al valor del negocio? ................................. 138
4.3.14. ¿El área de TI, identifica el modo de evaluar y reducir el riesgo
relacionado con el área? ....................................................................................... 139
Análisis de factibilidad de implementación de un Modelo de TI… xv
4.3.15. ¿La empresa implementa y mantiene mecanismos y responsables para la

gestión de la información y el uso de las TI en la empresa? ................................. 140
4.3.16. ¿La empresa establece objetivos claros que permiten la identificación y
evaluación de los riesgos relacionados con los sectores adecuados? ................... 141
4.3.17. ¿La evaluación de riesgos realizada por la empresa a modo de alcanzar
los objetivos planificados, considera la posibilidad de fraudes? .......................... 142
4.3.18. ¿La empresa asegura que el riesgo relacionado al uso de las TI sean:
identificadas y gestionadas? .................................................................................. 143
4.3.19. ¿La empresa identifica y gestiona los cambios organizativos en relación
a los procesos del negocio, aplicaciones e infraestructura? ................................. 144
4.3.20. ¿La empresa facilita la implementación de los cambios realizados en la
organización, incluyendo la planificación, conversión de datos, pruebas de
aceptación y pases a producción entre otros? ....................................................... 145
4.3.21. ¿La empresa evalúa el cumplimiento de requisitos regulatorios y
contractuales tanto de los procesos de las TI como de los procesos del negocio
dependientes de las TI? .......................................................................................... 146
4.3.22. ¿La empresa proporciona un enfoque estructurado en cuanto a la
comunicación de las funciones, responsabilidades y desempeño esperado por parte
del personal? .......................................................................................................... 147
4.3.23. ¿La empresa realiza actividades de control que contribuyan a la
disminución del riesgo y al logro de objetivos (ya sea del negocio o de TI)? ....... 148
4.3.24 ¿La implementación de las actividades de control se realiza con políticas
y procedimientos que ejecutan dichas políticas? ................................................... 149
4.3.25. ¿La empresa identifica los requisitos de control de la información,
gestiona y opera los controles adecuados para satisfacer estos requerimientos? 150
4.3.26. ¿Se ejecutan y coordinan actividades y procedimientos operativos,
requeridos para entregar los servicios (interno como externo) de las TI? ........... 151
4.3.27. ¿El área de TI, gestiona y releva los requerimientos de usuarios para
identificar y clasificar los mismos a modo de dar una solución en tiempo y a modo
de evitar recurrencias? .......................................................................................... 152
Análisis de factibilidad de implementación de un Modelo de TI… xvi
4.3.28. ¿El área de seguridad protege la información de la empresa a modo de

mantener aceptable el nivel del riesgo de acuerdo con la política de seguridad? 153
4.3.29. ¿La empresa genera y utiliza información relevante y de calidad para
contener el funcionamiento del control interno? ................................................... 154
4.3.30. ¿Se comunica internamente la información necesaria para el
funcionamiento del Control Interno (objetivos y responsabilidades)? .................. 155
4.3.31. ¿La empresa comunica a terceros, mediante canales de comunicación
establecidos, con respecto a asuntos que afectan el funcionamiento de Control
Interno? .................................................................................................................. 156
4.3.32. ¿Se supervisan los procesos que se están realizando según lo acordado,
conforme a los objetivos, proporcionando informes planificados? ....................... 157
4.3.33. ¿Se evalúan en forma continua tanto por revisiones internas como
externas, el entorno de control de la empresa? ..................................................... 158
4.3.34. ¿La empresa evalúa y comunica las deficiencias de control interno, de
manera oportuna a los responsables de tomar una acción correctiva? ................ 159
4.3.35. ¿Los informes de medición y desempeño del área de TI son
transparentes para las partes interesadas? ........................................................... 160
4.3.36. ¿Se consideran adecuadas y suficientes las capacidades del área de TI
(personas, procesos, tecnologías)? ........................................................................ 161
4.4. Análisis FODA .......................................................................................... 162
4.5. Propuesta de manual. ................................................................................... 163
Capítulo V. Conclusiones y Recomendaciones ....................................................... 166
Conclusiones......................................................................................................... 166
Recomendaciones................................................................................................. 167
Bibliografía ............................................................................................................... 168
Anexos ....................................................................................................................... 178
Anexo 1 - Varios. ................................................................................................. 178

Análisis de factibilidad de implementación de un Modelo de TI… xvii
1. Tipos de arquitecturas informáticas son: ...................................................... 178

2. Beneficios de la gestión de riesgo en la Infraestructura Física. ................... 178
2.1. Prevenciones en la Infraestructura. ........................................................ 179
3. Sistema operativo .......................................................................................... 179
3.1. Conceptos ............................................................................................... 179
3.2. Software de sistemas y utilitarios ........................................................... 182
4. Lenguaje de Programación ........................................................................... 182
5. Sistemas de Aplicación .................................................................................. 184
5.1. Clasificación ........................................................................................... 185
Anexo 2 - Metas del Negocio. COBIT 5 ............................................................ 187
Anexo 3 - Metas relacionadas con TI. COBIT 5 ............................................... 188
Anexo 4 – Metas del Negocio alineadas a las Metas TI en COBIT 5 .............. 189
Anexo 5 – Metas de TI alineadas a los procesos de COBIT 5 ......................... 190
Anexo 6 – RACI - COBIT 4.1 para Proceso DS2 ............................................. 191
Anexo 7 – RACI - COBIT 5 Procesos para Centralizar TI ............................. 192
Anexo 8 - Guía de Procesos COBIT 4.1 y COBIT 5 ......................................... 193
Anexo 9 – Cronograma de Mantenimiento Data Center ................................. 194
Anexo 10 – Diagrama de Infraestructura TI .................................................... 195
Anexo 11 – Inventario de Servidores ................................................................. 196
Anexo 12 – Matriz de Tabulación de Datos ...................................................... 199
Anexo 13 – Matriz de Cuestionario realizado................................................... 205

Análisis de factibilidad de implementación de un Modelo de TI… xviii
Lista de Tablas
Tabla 1: Principales empresas del Holding ........................................................................ 4
Tabla 2: Identificación de Riesgos por Mega tendencias................................................. 46
Tabla 3: Ventajas e inconvenientes del riesgo cualitativo. .............................................. 47
Tabla 4: Interacciones: Gobierno y Gestión en COBIT 5. ............................................... 60
Tabla 5: Traspaso COBIT 4.1 al Dominio Evaluar/Dirigir & Monitorear (EDM) de
COBIT 5. .......................................................................................................................... 64
Tabla 6: Criterios de COBIT 4.1 a Modelo de Información de COBIT 5. ...................... 65
Tabla 7: Beneficios de COBIT5. ...................................................................................... 84
Tabla 8: Resumen del Presupuesto Ideal ....................................................................... 113
Tabla 9: Presupuesto Personal ....................................................................................... 113
Tabla 10: Presupuesto Equipamiento ............................................................................. 113
Tabla 11: Material Gastable ........................................................................................... 113
Tabla 12: Otros gastos directos ...................................................................................... 114
Tabla 13: Otros gastos indirectos ................................................................................... 114
Tabla 14: Cronograma de Actividades........................................................................... 115
Tabla 15: Metas del Negocio para la Empresa AM Reguera. ........................................ 164
Tabla 16: Metas De TI alineadas a las Metas del Negocio. Metas Catalizadoras para la
Empresa AM Reguera .................................................................................................... 164
Tabla 17: Procesos de COBIT 5 alineadas con las Metas catalizadoras para la Empresa
AM Reguera. .................................................................................................................. 165
Tabla 18: Lenguajes de Programación más utilizados 2014. ......................................... 184
Tabla 19: Aplicaciones estándar frente a Aplicaciones a medida .................................. 186
Tabla 20: Metas del Negocio COBIT 5 ......................................................................... 187
Tabla 21: Metas de TI COBIT 5 .................................................................................... 188
Tabla 22: Ejemplo de tabla RACI - COBIT 4.1 para Proceso DS2 ............................... 191
Tabla 23: Ejemplo de Matriz RACI - COBIT 5, procesos para centralizar TI .............. 192
Tabla 24: Cronograma de Mantenimiento Data Center ................................................. 194
Tabla 25: Inventario de Servidores ................................................................................ 198
Análisis de factibilidad de implementación de un Modelo de TI… xix
Lista de Diagramas
Diagrama 1. Diagrama de Infraestructura TI ................................................................. 195
Análisis de factibilidad de implementación de un Modelo de TI… xx
Lista de Figuras
Figura 1: Stakeholders (partes interesadas internas y externas)....................................... 35
Figura 2: Marco de Gobierno de TI. ................................................................................ 37
Figura 3: Procesos de Gobierno EDM COBIT 5 ............................................................. 48
Figura 4: Procesos de Gestión APO COBIT 5. ................................................................ 48
Figura 5: Proceso de Gestión BAI COBIT 5 ................................................................... 49
Figura 6: Procesos de Gestión DSS COBIT 5. ................................................................ 49
Figura 7: Procesos de Gestión MEA COBIT 5 ................................................................ 49
Figura 8: Evolución de COBIT. ....................................................................................... 53
Figura 9: Principio básico de COBIT .............................................................................. 56
Figura 10: Principios de COBIT 5. .................................................................................. 57
Figura 11: Catalizadores de COBIT 5. ............................................................................. 58
Figura 12: Dominios de COBIT 4.1 ................................................................................. 60
Figura 13: Áreas de Gobierno y Gestión de TI COBIT 5 ................................................ 61
Figura 14: Pentágono de COBIT 4.1 ............................................................................... 64
Figura 15: Metas de TI por perspectiva. COBIT 5. ......................................................... 66
Figura 16: Cascada de Metas de COBIT5........................................................................ 67
Figura 17: Modelo de Madurez de COBIT 4.1 ................................................................ 68
Figura 18: Modelo de Capacidad de Procesos de COBIT 5. ........................................... 69
Figura 19: Comparación entre ambos Modelos de Madurez. .......................................... 70
Figura 20: Cubo COSO 2013. .......................................................................................... 95
Figura 21: Ciclo de Vida del Servicio. ............................................................................. 96
Figura 22: Triangulo de ITIL. .......................................................................................... 96
Figura 23: Organización ISO 20000. ............................................................................... 99
Figura 24: Estructura ISO 27001. .................................................................................. 102
Figura 25: Organigrama Departamento de TI. ............................................................... 118
Figura 26: Organigrama Administración Del Negocio. ................................................. 119
Figura 27: Compromiso con la integridad y valores éticos del personal. ...................... 126
Figura 28: Independencia del Directorio y Seguimiento de los Controles. ................... 127
Figura 29: Asignación de la responsabilidad y autoridad por parte de la Gerencia. ...... 128
Análisis de factibilidad de implementación de un Modelo de TI… xxi
Figura 30: Identificación y retención de los más competentes. ..................................... 129

Figura 30: Lineamientos acerca de la propiedad de datos y diccionario de datos del
Sistema ........................................................................................................................... 130
Figura 31: Establecimiento de lineamientos y mantenimiento del marco de referencia de
TI .................................................................................................................................... 131
Figura 32: Organigramas, manuales de TI y Seguridad respectivamente. ..................... 132
Figura 33: Manuales de Control de Seguridad de los Sistemas. .................................... 133
Figura 34: Procedimientos para el control de cambios .................................................. 134
Figura 35: Manuales de los distintos ciclos del negocio ................................................ 135
Figura 36: Se cuenta con planes de infraestructura y contingencia actualizado. ........... 136
Figura 37: Registro de control de contratos con proveedores de TI. ............................. 137
Figura 38: Garantía de beneficios en base a las inversiones por parte de TI. ................ 138
Figura 39: TI evalúa y reduce el riesgo del área. ........................................................... 139
Figura 40: La empresa mantiene la gestión de la información y de las TI. ................... 140
Figura 41: Se establecen objetivos para la identificación y evaluación de riesgos. ....... 141
Figura 42: La evaluación de riesgos considera la posibilidad de fraudes. ..................... 142
Figura 43: El riesgo relacionado a TI son identificadas y gestionadas. ......................... 143
Figura 44: La empresa identifica y gestiona los cambios organizativos en base a
procesos e infraestructura............................................................................................... 144
Figura 45: La empresa facilita la implementación de los cambios en la organización .. 145
Figura 46: Se evalúan el cumplimiento de requisitos regulatorios y contractuales en Gral.
........................................................................................................................................ 146
Figura 47: La empresa posee un enfoque estructurado en cuanto a la asignación de
funciones y responsabilidades del personal. .................................................................. 147
Figura 48: Actividades de control para la disminución del riesgo y logro de los objetivos.
........................................................................................................................................ 148
Figura 49: Implementación de las actividades de control mediante políticas y
procedimientos. .............................................................................................................. 149
Figura 50: Se identifican los requisitos de control y opera para satisfacer los
requerimientos. ............................................................................................................... 150
Análisis de factibilidad de implementación de un Modelo de TI… xxii
Figura 51: Se ejecutan actividades y procedimientos para la entrega de servicios TI ... 151
Figura 52: El área TI releva los requerimientos en tiempo y forma. ............................. 152
Figura 53: Seguridad TI mantiene aceptable el nivel de riesgo de acuerdo a sus políticas.
........................................................................................................................................ 153
Figura 54: Se cuenta con información para el buen funcionamiento del Control Interno.
........................................................................................................................................ 154
Figura 55: Se maneja información necesaria para el Control Interno ............................ 155
Figura 56: Se comunica mediante los canales establecidos, asuntos que afectan el
Control Interno. .............................................................................................................. 156
Figura 57: Se supervisan los procesos mediante informes planificados. ....................... 157
Figura 58: Evaluación continua tanto de revisiones internas como externas................. 158
Figura 59: Se evalúan y comunican las deficiencias del Control Interno ...................... 159
Figura 60: Los informes del área TI son transparentes para las partes interesadas. ...... 160
Figura 61: Son adecuadas las capacidades que afectan al área TI. ................................ 161
Figura 62: Metas de Negocio de COBIT 5 alineadas a las Metas TI............................. 189
Figura 63: Metas de TI de COBIT 5 alineadas a los procesos ....................................... 190
Figura 64: Guía de Procesos COBIT 4.1 y 5 ................................................................. 193
Figura 65: Matriz de Tabulación de Datos ..................................................................... 204
Figura 66: Matriz de Cuestionario realizado.................................................................. 209
Análisis de factibilidad de implementación de un Modelo de TI… xxiii
Lista de Abreviaturas
AIP Acrónimo de “Agencia de información Paraguaya”.
APO Acrónimo de “Align, Plan and Organise” (Alinear, Planificar y
Organizar).
BAI Acrónimo de “Build, Acquire and Implement”, Construir, adquirir e
implementar.
BID Acrónimo de “Banco Interamericano de Desarrollo”.
BCP Acrónimo de “Banco Central del Paraguay”.
BI Acrónimo de “Bussiness Intelligence” (Inteligencia de negocios).
BMIS Acrónimo de “Business Management Information System” (Sistema de
Información de Gestión Empresarial).
BSC Acrónimo de “Balance Score Card” (Cuadro de mando integral)
CAD Acrónimo de “Computer Aided Design” (Diseño asistido por
computadora).
CEPAL Acrónimo de “Comisión Económica de las Naciones Unidas para
América Latina y el Caribe”.
CMM Acrónimo de “Capability Maturity Model” (Modelo de Capacidad de
Madurez).
CMMI Acrónimo de “Capability Maturity Model for Integration” (Modelo de
Madurez de la Capacidad Integrado).
CMR-12 Acrónimo de “Conferencia Mundial de Radiocomunicaciones”. Fue
celebrada en enero y febrero de 2012.
CMSI Acrónimo de “Cumbre mundial sobre la Sociedad de la Información”.
(CMSI).
COBIT Acrónimo de “Control Objectives for Information and related
Technology” (Objetivos de Control para la información y Tecnologías
relacionadas).
CONATEL Acrónimo de “Comisión Nacional de Telecomunicaciones”
COSO Acrónimo de “Committee of Sponsoring Organizations de la Treadway
Commission” (Comité de Organizaciones Patrocinadoras de la Comisión
de normas).
CPU Acrónimo de “ Central Processing Unit ” (Unidad Central de Procesos)
DoD Acrónimo de “Department of Defense” (Departamento de Defensa de
EEUU).
DoDAF Acrónimo de “Department of Defense Architecture Framework” (Marco
de arquitectura empresarial utilizado por el Departamento de Defensa).
DGEEC Acrónimo de “Direccion General de Estadistica, Encuesta y Censos”.
DSS Acrónimo de “Deliver, Service and Support” (Entregar, dar Servicio y
Soporte).
Análisis de factibilidad de implementación de un Modelo de TI… xxiv
EDM Acrónimo de “Evaluar, Dirigir y Monitorear (Dominio que se enfoca en

aspectos de Gobierno de TI).
EPH Acrónimo de “Encuesta Permanente de Hogares”
ERM Acrónimo de “Enterprise Risk Management” (Gestión de Riesgo
Empresarial).
ERP Acrónimo de “Enterprise resource planning” (Sistemas de información
gerenciales).
GEIT Acrónimo de “Governance of Enterprise IT” (Gobierno Empresarial TI).
GeSI Acrónimo de “Global e-Sustainability Initiative” (Grupo de Estudios
sobre Seguridad Internacional).
GRC Acrónimo de “Governance, Risk & Compliacen” (Riesgo y cumplimiento
del gobierno).
IDC Acrónimo de “International Data Corporation” (Es el principal proveedor
mundial de inteligencia de mercado, servicios de consultoría y eventos
para los mercados de tecnología de la información, telecomunicaciones y
tecnología de consumo). Consultora especializada en tecnologías de la
información y comunicaciones.
IFC Acrónimo de “International Finance Corporation” (Corporación
Financiera Internacional).
IoT Acrónimo de “Internet of things” (Internet de las cosas).
ISACA Acrónimo de Information Systems Audit and Control Association
(Asociación de Auditoría y Control de Sistemas de Información).
ISO Acrónimo de “International Organization for Standardization”
(Organización Internacional de Normalización).
ITAF Acrónimo de “Information Technology Assurance Framework” (Marco
de Garantía de la Tecnología de la Información).
ITGI Acrónimo de “IT Governance Institute” (Instituto de Gobierno TI).
I+D+I Acrónimo de “Investigación, desarrollo e innovación”. Concepto en el
contexto de los estudios de ciencia, tecnología y sociedad; como
superación del anterior concepto de investigación y desarrollo.
LAN Acrónimo de “ Local Area Network” (Red de Area Local)
MAN Acrónimo de “Metropolitan Area Network” (Red de Area Metropolitana)
MOF Acrónimo de Manual de Organización y Funciones.
OECD Acrónimo de “United Nations Economic Commission for Latin America
and the Caribbean” (Organización para la Cooperación y el Desarrollo
Económico).
PAM Acrónimo de “Personal Area Network” (Red de Area Personal)
PMI Acrónimo de “Project Management Institute” (Instituto de Gestión de
Proyectos).
PBRM Siglas de “Plan, build, run and monitor” (Planifica, construye, ejecuta y
monitorea).
Análisis de factibilidad de implementación de un Modelo de TI… xxv
PMBOK Del inglés, de “Project Management Body of Knowledge” (Compendio

del Saber de la Gestión del Proyecto).
PBI Acrónimo de “Producto Bruto Interno”.
PRINCE2 Acrónimo de “Projects IN Controlled Environments”, (Es una
metodología de Project Management relacionada a la organización,
gestión y control de proyectos).
RRHH Acrónimo de “Recursos Humanos”
RACI Acrónimo de “Role Accountable Consulted Informed” (Matriz de
asignación de responsabilidades)
SIMA Acrónimo de “Sistema de Información del Mercado Agrícola”
S.O. Acrónimo de “Sistema Operativo” (del inglés, Operating System).
STP Acrónimo de “Secretaría Técnica de Planificación”
TAFIM Acrónimo de “Technical Architecture Framework For Information
Management” (Marco de Arquitectura Técnica de Gestión de la
Información).
TI Acrónimo de “Information technology” (Tecnología de la Información).
TIC Acrónimo de “Tecnología de la Información y la Comunicación”.
TOGAF Acrónimo de “The Open Group Architecture Framework” (Método para
desarrollar y mantener una Arquitectura Empresarial).
UPS Acrónimo de “uninterruptible power supply” (Sistema de Alimentación
Ininterrumpida).
UIT Acrónimo de “Unión Internacional de Telecomunicaciones”, La UIT es
el organismo especializado de las Naciones Unidas para las Tecnologías
de la Información y la Comunicación – TIC.
Val IT Acrónimo de “Value of Information Technology” (Valor de la Tecnología
de la Información).
WAN Acrónimo de “Wide Area Network” (Red de Area Amplia)
WEF Acrónimo de “World Economic Forum” (Foro Económico Mundial).
Análisis de factibilidad de implementación de un Modelo de TI… xxvi
Resumen
Un gran porcentaje de las empresas NO esperan ser víctimas de un ataque cibernético,

sin embargo, más de una tercera parte de ellas cubren los puestos vacantes que las ayuden
a protegerse de esos ataques.
Las nuevas tecnologías crean mayores niveles de eficiencia, pero también exponen a
las empresas a nuevos riesgos, es ahí donde sufren la misma problemática; al no tener en
cuenta las buenas prácticas en seguridad, necesarias para obtener un retorno a la inversión,
como es lo esperado; ya que, así cómo se crean nuevos productos/servicios también se
ejecutan nuevos procesos, requiriendo inversiones tecnológicas que no siempre son
escalables o medibles; sino particulares a esos productos/servicios ofrecidos.
Todo esto se logrará, con la implementación de un Modelo de Administración de TI
plasmado en un Manual de Control Interno Informático, proyecto de tesis de grado del
tipo exploratoria descriptiva, en donde se exponen los hechos adecuados a la realidad.
Este manual es posible, al alinear las metas del negocio y las metas TI, con el Modelo
COBIT 5 como sustento teórico al Manual de Control Interno Informático, para
garantizar; la eficiencia de la gestión empresarial en base a una certificación internacional
de sus procesos.
Palabras Claves: TIC. Modelo de Administración de TI. Manual de Control Interno

Informático. COBIT 5. Gestión Empresarial. Metas del Negocio. Metas TI. Certificación.
Procesos.
Análisis de factibilidad de implementación de un Modelo de TI… xxvii
Abstract
A large percentage of companies expect not to be victims of a cyber-attack; however,
more than a third of them cover the vacancies that will protect them from such attacks.
New technologies create greater efficiency, but also expose companies to new risks,
that's where suffering the same problem; by not taking into account the best practices in
security, you need to obtain a return on investment, as expected; as well as new products
/ services are created new processes are also executed, requiring technological investments
that are not always scalable and measurable; but particular to those products / services
offered.
All this will be achieved with the implementation of an IT Management Model
reflected in Computer Internal Control Manual as a tool for business improvement; thesis
project of descriptive exploratory type, where appropriate to the facts actually are exposed.
This manual is possible to align business goals and IT goals to COBIT 5 Design; as
theoretical support Computer Manual Internal Control, to ensure, in this way; the
efficiency of business management based on international certification of its processes
Keywords: TIC. IT Management Model. Computer Internal Control Manual. COBIT

5. Management. Business goals. IT goals. Certification. Processes.
Análisis de factibilidad de implementación de un Modelo de TI… 1
Introducción
En este proyecto se proponen soluciones desde una óptica de TI a la problemática del
desconocimiento que tienen diferentes empresas, respecto a cómo mejorar el rendimiento
y la utilización de las TICs con las que disponen actualmente, ya con una visión de
crecimiento a futuro, y la valorización monetaria de las inversiones en TI; para alcanzar
las metas propuestas a mediano y largo plazo.
La falta de implementación y seguimiento de métodos de control sobre los procesos, a
modo de evidenciar el estado actual y las condiciones reales de la productividad laboral
dentro de la empresa, es tan solo uno de los problemas a ser paliados.
Se plantea la necesidad de mejorar la gestión de las empresas en el ámbito de la
administración de las TI, teniendo en cuenta que las exigencias ya no son las mismas de
antes, y considerando el crecimiento en perspectiva internacional que deben tener las
mismas hoy día, cubriendo requerimientos de los estándares internacionales.
Es decir, las empresas deben de garantizar la eficiencia de su gestión aplicando métodos
de control sobre los procesos, ya sea construyendo esquemas y dando seguimiento a los
mismos, mediante la aplicación de las buenas practicas; marcos de trabajo o estándares
internacionales del área.
Para una mejor utilización y generación de valor mediante las TICS en las empresas se
procede a: “analizar la factibilidad de implementación de un Modelo de Administración
de TI, mediante un Manual de Control Interno Informático, basado a su vez en el Marco
de Referencia COBIT 5” primeramente, se explican los cambios realizados en COBIT 5
ante las del COBIT 4.1; se analizan procesos, políticas, técnicas de gobierno y gestión
empresarial que propone COBIT 5; a modo de analizar la factibilidad de aplicación de un
Modelo de Administración de TI basado en este marco.
Se investiga la estructura jerárquica, organización y la administración de la
infraestructura de TI de la empresa, como base para el desarrollo del Manual de Control
Interno Informático. Para, una vez aplicada en su totalidad la misma obtenga una
perspectiva clara del crecimiento empresarial que presentará la empresa, en forma gradual
hasta pasado un lustro de su implementación.
Todo lo concerniente al mejoramiento de los procesos, servicios y la productividad

laboral dentro del marco de desarrollo del Gobierno de TI es el tema central investigado,
la misma se respalda tanto en los antecedentes, la revisión literaria y la profundización de
los conocimientos adquiridos para una mejor administración de las TIC.
Por ello, este trabajo busca fijar unos conocimientos mínimos acerca del gobierno y
gestión de TI en todas aquellas partes interesadas en lograr los objetivos del negocio
apoyándose en TI, como los dueños de procesos del negocio, investigadores de procesos
del negocio; ejecutivos del negocio, auditores, y gerentes de TI.
Factores como el tiempo y los recursos económicos necesarios para destinar al área de
TI, a modo de cubrir futuros cambios, como también la desconfianza del personal a la hora
de proporcionar información a su cargo; fueron algunas limitaciones paliadas para su
realización.
En el Capítulo I, se presenta una introducción general del tema a tratar, en donde se
detallan los motivos y justificaciones que impulsaron a su desarrollo, los objetivos
propuestos; la viabilidad del análisis de factibilidad y las limitaciones para el desarrollo
del proyecto.
En el Capítulo II, se desarrollan las bases teóricas que sustentan el desarrollo del
sistema, conforme a las funciones del marco teórico propuesto por Sampieri (Sampieri,
2003 P64, 65, 100, 101, 102).
Pasando por los antecedentes que abarca el proyecto, la fundamentación teórica de la
Administración de Riesgos y Beneficios de TI aplicadas a la empresa estudiada. Las
comparaciones de las últimas versiones de COBIT para proponerlo en un Modelo de
Administración de TI, según sus principios, políticas y marco de trabajo.
Un resumen de los componentes del control interno que conforman las variables de
estudio y a su vez el Manual de Control Interno Informático, como un recorrido por los
estándares internacionales de Procesos de Control de TI, forman parte de este capítulo.
En el Capítulo III se expone la metodología de investigación que sostiene a todo el
proyecto para su desarrollo y aplicación, además del cronograma de trabajo y de las
estimaciones de costos de inversión del proyecto.
El apartado correspondiente al Capítulo IV realiza una evaluación y estudio del estado

actual de los procesos de la gestión de TI que aplica la empresa estudiada, abarca desde
un recorrido de presentación de la empresa, servicios que ofrece y estructura organizativa.
Además de un análisis de los datos relevados mediante los instrumentos utilizados para
dicho caso.
En el Capítulo V correspondiente al último apartado del proyecto, presenta las
apreciaciones concluyentes de la investigación bibliográfica, dejando expuestos los
resultados logrados y las recomendaciones propuestas.
Capítulo I. Marco Introductorio

En el presente capitulo se hará una introducción general al proyecto en donde se
detallaran los motivos que impulsaron al análisis de factibilidad de implementación de un
Modelo de Administración de TI, además de los objetivos propuestos entre otros puntos.
Título de la investigación
Análisis de factibilidad de implementación de un Modelo de Administración de TI,
plasmado en un Manual de Control Interno Informático, basado en el marco de referencia
COBIT 5 como herramienta de mejoramiento de la gestión empresarial.
Formulación del Problema

Es un Holding conformado por una agrupación de empresas de diferentes rubros, con
38 años en el mercado paraguayo, varios puntos de atención al cliente dentro del país;
dirigida a los macro y micro clientes. Con más de 2000 funcionarios en forma directa que
trabajan para que los más de 200.000 clientes de todo el país hagan uso de los productos
y servicios que ofrecen.
Principales Empresas del Holding
Definición Descripción
A.M. Reguera Import: Importación y distribución de electrodomésticos.
Polifabril S.A.: Industria de tejidos de rafia de polipropileno.
Polipet S.A.: Industria de preformas de PET.
A.M. Reguera S.A.: Ensambladora de motocicletas con su propia marca YAMAZUKY
y la marca GIO, con licencia Italiana.
A.M. Reguera
Ensambladora de Camiones.
Motors:
AGREGSA: División minería - Fábrica de cal agrícola, fábrica de cal para la
construcción y cemento para albañilería.
Reguera Holding Construcciones Edilicias Edificios Espíritu Santo y Nuestra Señora
Emprendimientos del Magníficat.
Inmobiliarios:
AMR : Inversiones Ganaderas.
Proyecto Parque Industrial, Central de Logística, 4 Ruedas.
Tabla 1: Principales empresas del Holding
Fuente: Sitio Reguera Holding
Para este proyecto se tomará como modelo a una de las empresas (A.M. Reguera
Importaciones) que componen el Holding, pudiendo ampliar su implementación
secuencialmente.
En Paraguay la gran mayoría de las empresas no tienen los recursos necesarios para
implementar mecanismos productivos que les permitan ser más competitivos en un
mercado globalizado, y aquellas que los tienen no disponen de estos recursos de manera
adecuada, permitiendo a los países de primer mundo incursionar en los mercados
nacionales con productos de buena calidad a precios competitivos.
Esto, ocurre principalmente en las empresas en donde los métodos de trabajo y los
procedimientos que aplican son empíricos (desarrollados a través de la experiencia), por
lo mismo es común que no se implementen métodos de control sobre los procesos, que
evidencien el estado actual y las condiciones reales de la productividad laboral dentro de
este tipo de organizaciones.
Se da el caso en que el departamento de TI posee el papel de proveedor de servicios y
crea una corresponsabilidad lógica con las diversas áreas propietarias de los sistemas,
ocasionando la necesidad de asegurar la continuidad del negocio con la protección tanto
de datos cómo de sistemas de aplicaciones críticas.
Aunque los procesos se manejen en forma ordenada, en muchos casos se trabaja en
forma intuitiva, pasando por alto procedimientos, políticas o normas, ya sea por la
ausencia de lineamientos o por la falta de aplicación de los mismos; dando como resultado
una fiabilidad de datos baja.
A esto se suman falencias en la entrega de servicios, tardanzas en la solución de
requerimientos con el personal de TI sobrecargado de trabajo, lo que dificulta tanto el
soporte de los servicios actuales como la ejecución de los nuevos proyectos.
Sin embargo, la visualización de los beneficios esperados por las partes interesadas, y
la dimensión del valor agregado de los proyectos implementados, son necesarias para
evitar que los niveles de satisfacción disminuyan; trayendo consigo contrataciones de
personal para la ejecución y soporte de proyectos, incrementando costos y gastos al área
de TI.
Es imprescindible conocer hacia dónde van los cambios y se recomienda estar “bien
entrenados para que no se transforme la urgencia del cambio en úlceras sino en mentes
entrenadas y debidamente encauzadas hacia el manejo de los hechos, y por supuesto, cada
día más hábiles.
Sólo así podrán aportar al futuro. Las tres características (conocimiento, globalidad y
velocidad) se combinan con cuatro medios (TI, comunicaciones, multiculturalidad e
idioma extranjero) y dan base a la configuración de los escenarios futuros de los negocios
(Foro: La Gerencia en el Perú en el siglo XXI).
Por ende, ¿Cómo es posible mejorar los procesos y lineamientos vigentes en la empresa
en cuanto a una mejor administración de riesgos y beneficios de TI, proporcionando un
mejoramiento de la gestión empresarial basado en el COBIT 5?
Objetivos
Objetivo General
Analizar la factibilidad de implementación de un Modelo de Administración de TI,
mediante un Manual de Control Interno Informático, basado a su vez en el Marco de
Referencia COBIT 5, para la Administración de Riesgos y Beneficios de TI, asociados a
este; como herramienta de mejoramiento de la gestión empresarial.
Objetivos Específicos.
 Explicar las diferencias entre las normas y/o estándares internacionales de COBIT 4.1
y COBIT 5, poniendo énfasis en los principios, alcances y habilitadores generales
orientados al Gobierno de TI.
 Analizar los procesos, políticas, técnicas de gobierno y gestión empresarial en base al
COBIT 5 aplicadas al Modelo de Administración de TI de la empresa, a fin de
garantizar la confidencialidad, integridad y disponibilidad de datos de la misma.
 Investigar la estructura jerárquica, organización y la administración de la
infraestructura de TI de la empresa, como base para el desarrollo de un Manual de
Control Interno Informático.
 Proyectar una perspectiva de crecimiento de la empresa analizada, en base a la

propuesta del Modelo de Administración de TI.
Justificación de la investigación
(M. Bunge, 2011) expone que un problema puede considerarse planteado
científicamente si cumple con los principios del método científico, que se exponen a
continuación
Principio del Método Científico

La presente Tesis, se basa en el método científico, debido a que cumple con las
exigencias del mismo, las cuales se explican a continuación.
Es racional, porque se funda en la razón, es decir en la lógica ya que siempre se obtiene
explicaciones de los fenómenos ocurridos y del porqué está integrado a principios y leyes.
En otras palabras parte de conceptos, juicios y razonamientos, y vuelve a ellos; es decir,
dichas explicaciones en conjunto con la lógica se combinan de tal manera a producir
nuevas explicaciones.
Es analítica, debido a que maneja juicios donde los procesos de conocimiento que se
ejecutan permiten al investigador conocer la realidad, desmembrando un todo en sus
partes o elementos, para estudiarlo independientemente y así establecer la relación causa-
efecto entre los que a su vez componen el objeto de investigación. Debido a la profundidad
de los elementos estudiados y teniendo en cuenta que en cuanto más avanza la
investigación los problemas de la misma son más amplias. Este método nos permite
conocer más del objeto de estudio, con lo cual se puede: explicar, hacer analogías,
comprender mejor su comportamiento y establecer nuevas teorías (Ortiz, 2005).
Es claro y preciso, porque tanto las preguntas guía de la investigación cómo la
hipótesis, plantea de forma clara y concisa lo que pretende ser desarrollado con esta Tesis,
dejando de lado todo tipo de ambigüedades que pudiera entorpecer el desarrollo de la
misma.
Es verificable, basándonos en que toda la información relevada tanto de entrevistas,
encuestas, documentaciones varias y el acceso a la infraestructura misma de la empresa
resulta suficiente y válida para el desarrollo de la Tesis; y la misma es accesible para su
comprobación, de manera a tener la certeza de los datos con los que se cuenta.
Es explicativo, porque se conocen las situaciones, los hechos o procesos que abarcan
los problemas de la investigación, de tal manera que son comprobables y verificables
durante el desarrollo de dichos procesos.
Es objetivo, debido a que las observaciones relevadas durante el desarrollo de la Tesis,
son realizadas profesionalmente sin ningún tipo de influencia de opiniones o emociones
de tal manera a elaborar propuestas y soluciones certeras y objetivas con la realidad. Para
ello se trabaja bajo un esquema descripto en el área metodológica, que no permitirá
desviación alguna.
Conveniencia
En este proyecto se utilizarán las versiones 4.1 y 5 del COBIT haciendo énfasis en la
5ta. Versión como marco de gobierno de las TI, que proporciona una serie de herramientas
para que las gerencias puedan conectar los requerimientos de control con los aspectos
técnicos y los riesgos del negocio. Esto con el desarrollo de políticas claras y enfatizando
el cumplimiento regulatorio, ayudando de esta manera a las empresas a incrementar su
valor a través de TI, y pudiendo nivelarse con la Administración del Negocio.
COBIT 5 está compuesto por principios, arquitectura y facilitadores; la misma es una
ampliación de la versión 4.1 con la integración de otros marcos referenciales cómo Val
IT, Risk IT, BMIS, ITAF.
El marco COBIT en su versión 4.1 fue utilizado por la Superintendencia de Bancos del
BCP en conjunto con otros cuerpos normativos considerados como los actos en la materia
(SAC, SAS 55, Integrated Framework), para la elaboración del MCIIEF (Manual de
Control Interno Informático para Entidades Financieras) en su versión 2002,
constituyendo una norma de cumplimiento obligatorio, en el cual se indican los requisitos
mínimos de Control Interno Informático a implementar en las Entidades Financieras.
Relevancia social
Un mejor esquema de seguridad y administración de TI puede revertir en una mejor
prestación de servicios a los clientes.
Facilitará a una mejora continua en el valor aportado, para mejorar la calidad del
producto y/o servicio ofrecido por TI.
A nivel del usuario, sería visto como un facilitador clave en los procesos a su cargo,
incrementando su satisfacción debido al compromiso tomado por los servicios prestados,
mejorando la productividad del equipo de trabajo.
Desde el punto de vista de los objetivos del negocio, proporcionará beneficios
económicos y resolverá problemáticas relevantes en la organización.
Implicaciones prácticas
Se encuentra en la ayuda a las TI, manteniendo un balance entre la realización de
beneficios, la utilización de recursos y los niveles de riesgo asumidos a través de la
adecuada administración de la seguridad.
Además, garantiza que los datos manejados al nivel de administración del negocio
puedan ser utilizados, operando con alto índice de fiabilidad; logrando que el día a día
organizacional fluya con la seguridad de activos como garantía.
Aporta en el mejoramiento operativo de las empresas pudiendo beneficiar finalmente
en una reducción de costos, que en una etapa ulterior benefician a los clientes de las
empresas.
Valor teórico
Con la profundización y enriquecimientos de los conocimientos adquiridos nos darán
la posibilidad y autoridad suficiente de poder emitir recomendaciones, pertinentes y
necesarias, para mejorar los procedimientos utilizados.
El manejo correcto de procesos dentro de una empresa debe ser prácticos, para que su
desempeño correcto se mida en base a la optimización del costo de los recursos, la
disminución de riesgos y la presencia de beneficios. Para esto es necesario aplicar una
metodología basada en procesos, con principios y facilitadores que logran esa practicidad
al aplicarlo.
Por lo mismo, a través de la aplicación de procesos claros y políticas prácticas que
conformarán el Manual de Control Interno Informático a ser desarrollado e implementado,
se estará contando en forma gradual con un mejor nivel de madurez de las empresas.
Propuesta de Implementación de la Investigación

Este proyecto realizaría la evaluación y comprobación del control interno de la empresa
con el objeto de medir el grado de eficiencia, determinar el nivel de confianza y veracidad
de la información financiera y administrativa y, consecuentemente, desarrollar un Manual
de Control Interno Informático queriendo paliar las eventuales deficiencias relevantes
proponiendo un Modelo de Administración de TI basado en COBIT 5.
Se llevan a cabo todos los procesos y actividades necesarios para identificar, definir,
combinar y coordinar el proyecto que son:
Desarrollar el Acta de Constitución del Proyecto

Para autorizar formalmente la existencia de un proyecto y conferir al investigador la
autoridad para asignar los recursos de la organización a las actividades del proyecto. A fin
de:
Planificar la gestión de alcance
Recopilar requisitos
Definir el alcance
Planificar la gestión del cronograma
Planificar la gestión de costos
Planificar la gestión de los riesgos
Planificar a los interesados (PMI, 2013)
Desarrollar la planificación del proyecto

Para definir, preparar y coordinar todos los planes secundarios e incorporarlos en la
planificación del proyecto.
Ambiente de Control
Etapa 1: “Revisión de Controles generales del área de Sistemas”
Evaluación de Riesgos
Etapa 2: “Evaluación de la “Seguridad de Base de Datos”.
Etapa 3: “Revisión de la Seguridad del Sistema Operativo”.
Dirigir y Gestionar el proyecto

A fin de liderar y llevar a cabo el trabajo definido en la planificación del proyecto, así
como de implementar los cambios aprobados, con el fin de alcanzar los objetivos del
mismo según los factores ambientales de la empresa; teniendo en cuenta los activos de los
procesos de la organización .
Actividades de Control
Etapa 4: “Revisión del Flujo de Caja”
Etapa 5: “Revisión del Módulo de Clientes”
Información y Comunicación
Para este propósito las herramientas utilizadas fueron el Manual de Control Interno
Informático para las Entidades Financieras implementado por el Banco Central del
Paraguay que, mediante la Resolución SB.SG. Nº 00188/02, el COBIT 4.1 y el COBIT 5.
Reuniones. Suele haber reuniones de tres tipos:
 De intercambio de información;
 Tormenta de ideas, evaluación de opciones o diseño, o
 De toma de decisiones (PMI, 2015)
Monitorear y Controlar el proyecto

Es el proceso de dar seguimiento, revisar e informar de los avances con respecto a los
objetivos de desempeño definidos en la planificación del proyecto.
Monitoreo
Mediante la documentación solicitada por la planificación del proyecto, pronósticos y
cambios validados con sus mediciones de desempeño mediante el:
 Plan de auditoria informática autorizada por la Alta Gerencia.
Control Integrado de Cambios

Es el proceso de analizar todos los requerimientos; aprobarlos y gestionar los cambios
activos de los procesos de la empresa.
Cerrar el Proyecto o Fase

Es el proceso que consiste en finalizar todas las actividades en todas las etapas para
completar formalmente el proyecto o una fase del mismo. Actividades en esta etapa:
 Transferencia del producto, servicio o resultado final al cliente para el que

se autorizó el proyecto.
 Actualización a los activos de los procesos de la empresa como los archivos
del proyecto, documentación del cierre del proyecto e información histórica
varios.
Metodología aplicada
La empresa cuenta con un sistema de gestión, sobre el cual desarrolla sus operaciones.
Los procedimientos a aplicarse por el equipo de investigación tienen como objetivo
fundamental obtener evidencia razonable sobre la confiabilidad y efectividad del ambiente
de control tecnológico que permita expresar una opinión sobre la confiabilidad del mismo.
Los trabajos se enmarcan dentro de los estándares estudiados. En ellos se incluyen también
los controles generales a tener en cuenta para evaluar el Ambiente de Tecnología de la
Información de una organización.
Se hacen uso de estos métodos para utilizar controles que permitan la salvaguarda de
los activos, la prevención de errores y la valides de los estados financieros, control de
cambios y controles de normas y procedimientos sobre la gestión de documentos,
informes y sistemas de información. Supervisión y gestión de la empresa y efectos del
entorno externo (Muñiz, 2013).
Método Descriptivo
Consiste en la narración de los procedimientos relacionados con el control interno, los
cuales pueden dividirse por actividades que pueden ser por departamentos, empleados y
cargos.
Origen de cada documento y registro en el sistema.
- Cómo se efectúa el procesamiento.
- Disposición de cada documento y registro en el sistema.
- Indicación de los procedimientos de control pertinentes a la evaluación de los riesgos
de control.
Método Gráfico
Consiste en la preparación de diagramas de flujo de los procedimientos ejecutados en
cada uno de los departamentos involucrados en una operación. Un diagrama de flujo de
control interno consiste en una representación simbólica y por medio de flujo secuencial
de los documentos de la entidad auditada. El diagrama de flujo debe representar todas las
operaciones, movimientos, demoras y procedimientos de archivo concernientes al proceso
descrito.
Método de Cuestionarios
Básicamente consiste en un listado de preguntas a través de las cuales se evaluó las
debilidades y fortalezas del control interno. Estos cuestionarios se aplican a cada una de
las áreas en las cuales el investigador dividió los rubros a examinar. Al elaborar las
preguntas, se tuvo el conocimiento pleno de los puntos donde podían existir deficiencias
para así formular la pregunta clave que permita la evaluación en la empresa. Generalmente
el cuestionario se diseña para que las respuestas negativas indiquen una deficiencia de
control interno.
La viabilidad del estudio

Se tiene en cuenta la viabilidad del estudio de factibilidad del Modelo de
Administración de TI, no de la implementación de la misma debido a que aún no se
conocen los resultados para aplicarlo a las empresas.
Al demostrar la factibilidad de implementación del Modelo de Administración de TI,
y contando con disponibilidad financiera, de RR.HH. y; materiales suficientes que generan
bases teóricas y prácticas, permitirían su ejecución y aplicación mediante el Manual de
Control Interno Informático.
Que a su vez colaborará a cubrir todas las funciones y procesos de las empresas que lo
apliquen y por consiguiente se obtendrá la satisfacción de los requerimientos de los
usuarios.
COBIT fue esencialmente pensado y diseñado para realizar Auditorías de TI, y ha sido
adoptado por diversas entidades a nivel mundial , principalmente Casas Centrales de
Bancos y Entidades Financieras incluyendo el BCP (cómo marco de referencia para la
norma de cumplimiento obligatorio destinadas a las Entidades Financieras de nuestro

país); por lo tanto es de tenerse en cuenta que dicha norma contiene lineamientos de la
versión 4.1 del COBIT, y lo que se pretende abarcar en este proyecto es la versión 5 de
este marco; innovando en la utilización de esta nueva versión con los nuevos alcances
establecidos, ya que la misma aún no ha sido aplicada por las entidades de nuestro país;
sin importar si son o no aquellas que lo utilizan cómo normativa obligatoria.
Evaluación de las deficiencias en el conocimiento del problema

Algunos de los problemas identificados sería la obtención de la información necesaria,
la falta de actualización del mismo, la falta de colaboración por parte de los dueños de
procesos y por lo tanto, la exposición a resultados ambiguos en los relevamientos.
Limitaciones y Plan de Contingencia

Algunas limitaciones para lograr cumplir con todas las etapas del proyecto hasta la
finalización del proceso del análisis de factibilidad, serían el factor tiempo y los recursos
económicos con los que cuenta la empresa para destinarlo al área de TI; y así cubrir los
futuros cambios que podrían ser necesarios; por ejemplo: en infraestructura tecnológica o
en RR.HH.
También es común encontrar RR.HH. recios a la hora de colaborar proporcionando la
información con la que cuenta a su cargo (documentos o datos sensitivos).
El desarrollo del Manual de Control Interno Informático será planteado en base a las
necesidades de la empresa y utilizado como herramienta, debiendo contar conforme a las
recomendaciones con procedimientos, políticas y planes de acción correspondiente.
Capítulo II. Marco Teórico

En este capítulo de desarrollaran las bases teóricas que sustentará a la implementación
del Modelo de Administración de TI, conforme a las funciones del marco teórico
propuesto por Sampieri (Sampieri, 2003 P64, 65, 100, 101, 102).
1. Antecedentes
Las empresas han empezado a reconocer que su principal fuente de diferenciación y
competitividad es su gente, y orientan todos sus esfuerzos a fortalecer su activo humano;
de ahí la importancia de generar ambientes propicios a la innovación y al aprendizaje
continuo, con estrategias que se soporten claros procesos de capacitación para el
desarrollo de las mismas.
1.1. La Empresa
Algunos conceptos de empresa por diferentes autores:
Son organizaciones que proveen bienes y servicios cuya finalidad es la obtención de
beneficios. Beneficios compuesto por al menos la compensación que obtienen los
propietarios de las empresas por arriesgar su capital y dedicarles su tiempo. Es justamente
el beneficio lo que distingue a una empresa de otra.
La empresa no realiza su actividad de forma autónoma, sino que las características
sociales, económicas y de otra naturaleza de su entorno inciden en los resultados de su
actividad.
La empresa debe gestionarse en beneficio de todos sus individuos y grupos que
participan en su desarrollo o pueden verse afectados por sus actividades, lo que obliga a
sus gestores a establecer un nuevo equilibrio entre las distintas necesidades, intereses y
expectativas que concurren en la empresa, tanto en el nivel interno como en sus relaciones
más amplias con la sociedad (Fernández).
Como un sistema técnico social abierto, cuya función básica es la de crear bienes y/o
prestar servicios que contribuyan a elevar el nivel de vida de la humanidad,
compatibilizando este hecho con un marcado respeto al medio ambiente, que posibilite la
idea del desarrollo sostenible (Fernández-Vítora, 1996).
Tipos de empresas. Clasificación según:

 Su actividad económica: Las empresas pueden ser del sector primario,
secundario o terciario.
 Su forma jurídica: Las empresas pueden ser individuales o sociedades
mercantiles (sociedades capitalistas o sociedades personalistas).
 Su dimensión: Las empresas pueden ser una Pyme o una gran empresa.
 Su titularidad de capital: Las empresas pueden ser privadas, públicas o mixtas.
 Su ámbito geográfico: Locales, regionales, nacionales o multinacionales.
Retos de las empresas en el sistema económico actual.
 Internacionalización de las empresas.
 Nuevos retos de la ciencia y las tecnologías.
1.1.1. El ambiente de Negocios

El ambiente de los negocios incluye un panorama de lo que sucede y de lo que influirá
en el desarrollo de la empresa, para esto se deben integrar las tendencias nacionales, las
de las industrias y las tendencias locales.
1.1.1.1. Ambiente Micro

El entorno micro incluye factores que tienen una clara correlación con las operaciones
comerciales. Estos normalmente se consideran factores muy estrechos o esenciales para
el funcionamiento de la empresa.
 Compañías relacionadas: Los proveedores, distribuidores y minoristas se
consideran parte del entorno empresarial micro externo. Estas empresas son
organizaciones totalmente independientes, por lo que cualquier problema con
ellos afectará directamente a cualquier empresa que dependa de sus servicios.
 Consumidores: Cualquier caída en la demanda de productos de la empresa
tendrá claras repercusiones para el negocio. La demanda del cliente puede verse
afectada por un número de factores incluyendo la macroeconomía. La confianza
del consumidor cae si la economía nacional está en aprietos, convirtiendo un
problema macro en un problema micro.
 Finanzas: Las entidades financieras son el alma del entorno empresarial, ya que
si las empresas no pueden acceder al dinero, es muy poco lo que pueden hacer.
Aunque los problemas de flujo de efectivo se ven normalmente como un asunto
interno, la moderna estructura multinacional de las entidades financieras lo ha
convertido también en un asunto externo.
 Reputación: El reconocimiento del nombre y la reputación de la empresa son
partes vitales del entorno micro externo. Sin ellos no puede tener éxito.
1.1.1.2. Ambiente Macro

El entorno macro incluye cuestiones sobre las cuales una empresa no tiene control ya
que se encuentra fuera de la empresa, pero que tienen un efecto sobre ella, por ejemplo
los clientes, la competencia, la tecnología, las variables económicas y socioculturales.
 Economía: Si la economía está en problemas, la empresa se vería en aprietos,
ya que las personas gastan menos dinero en productos. Las empresas exitosas
son capaces de predecir cuando las condiciones económicas van a cambiar, por
lo que están en condiciones de prepararse para cualquier eventualidad. Sin
embargo, un problema externo, como un estancamiento de la economía, puede
tener un efecto en la rentabilidad de una empresa. Tenemos el poder adquisitivo,
tasas de interés, tipo de cambio, PBI, entre otros.
 Legal: Todos los días, hay nuevas leyes y algunas de ellas afectarán a la
empresa. Esto también puede ser visto como un tema político, pero los
precedentes son establecidos por los jueces todo el tiempo, los cuales pueden
tener un efecto aún mayor sobre las empresas. . Por ej. Leyes ambientales,
legislación fiscal, gasto público, etc.
 Política: Un cambio en el liderazgo del gobierno siempre va a tener un efecto
sobre el negocio porque políticos diferentes tienen diferentes puntos de vista
sobre cuestiones como la recolección de impuestos y la regulación.
 Tecnología: Cualquier nuevo desarrollo tecnológico va a tener un efecto sobre
las empresas competidoras, ya que habrá una carrera para ser los primeros en
usarlo y que sea rentable. Este tipo de desarrollo requiere una inversión en
tiempo y dinero y no garantiza el éxito. Podemos considerar acá los cambios

tecnológicos del producto, y cambios tecnológicos en el proceso.
1.1.2. Entorno de las Competencias

El estudio de las competencias permite establecer cuáles son los estándares de la
industria, cuáles son las ventajas competitivas de cada empresa, cuales las barreras de
entrada y cual las de salida.
1.1.2.1. Competencias externas

Los competidores se agrupan en las diferentes categorías:
 Competidores directos: Ofrecen los mismos productos o servicios en el mismo
ámbito geográfico.
 Competidores indirectos: Ofrecen productos o servicios que por sus
características pueden sustituir a los propios.
 Competidores potenciales: No se trata tan solo de empresas locales que podrían
llegar a ofrecer un producto similar, sino también de empresas extranjeras que
ya lo hacen otros países y pueden ingresar al mercado local.
1.1.2.2. Competencias internas

La gestión de recursos humanos y la selección de personal se apoyarán sobre las
capacidades demostradas; el desafío es que todas las empresas tendrán que dedicarse a
trabajar con las personas en su formación; será de alguna manera algo innovador en el
trabajo y una forma de asegurar el resultado. Son el reflejo de un ambiente productivo,
inmerso dentro de la atmósfera de la empresa, con los códigos de conducta que operan en
la realidad de la misma.
 Las competencias cardinales: Hacen referencia a lo principal o fundamental en
el ámbito de la organización, usualmente representa valores y ciertas
características que diferencian a una organización de otras y reflejan aquello
necesario para alcanzar la estrategia.
 Las competencias específicas gerenciales: Se relacionan con ciertos colectivos
o grupos de personas. Se refiere a las que son necesarias en todos aquellos que
tienen a su cargo a otras personas.
 Las competencias específicas por área: En este caso se trata de aquellas

competencias que serán requeridas a los que trabajen en un área en particular
(Alles, 2013).
Algunas competencias:
 Flexibilidad: La capacidad de transformarse y convertirse en agentes de cambio
que las organizaciones necesitan.
 Socio-comunicativa: Es necesario comprender que además de la habilidad de
comunicarnos “cara a cara”, necesitamos comunicarnos en red e influir sobre
la misma, sin olvidar que es esta misma red la que nos tiene que retroalimentar
y por lo tanto ayudarnos a dirigir a la organización en la dirección adecuada.
 Innovación: Sería la competencia principal a desarrollar, es la columna
vertebral que permite estar dispuesto para un nuevo marco de necesidades
gestoras, de necesidades asistenciales.
 Capital intelectual: de la organización a todos los niveles, la de fomentar y
canalizar la inteligencia colectiva para beneficio de la organización.
 Competencia relacional: la de ser capaces de conectar todas las competencias
anteriores, que la decisión basada en el talento de toda la organización es la que
tiene más posibilidades de triunfar y generar valor a través del trabajo en
equipo.
Uno de los principales objetivos de las competencias laborales es ayudar a romper las
inercias y obstáculos que hasta la fecha han inhibido la capacitación de su personal, esta
sigue siendo limitada, en términos generales; debido a no saber cómo dirigir las
capacitaciones para alcanzar los objetivos que se proponen; También tienden a considerar
que generan costos, pues no identifican las ventajas.
1.1.3. Los cambios y costos

Mostrar cómo afectan los causantes del costo el comportamiento del mismo. Los
diferentes tipos de costos se comportan en formas diferentes.
Si el costo del recurso que se usa cambia en proporción con los cambios en el nivel del
causante del costo, el recurso es de costo variable (sus costos son variables). Si el costo
del recurso que se usa no cambia porque cambie el nivel del causante del costo, el recurso
es de costo fijo (sus costos son fijos).
1.1.3.1 Tipos de costos de cambio.

 Necesidad de compatibilidad con el equipo existente.
 Costos de transacción de cambiar de oferente.
 Costo de aprendizaje de uso.
 Incertidumbre debido a desconocimiento de la calidad.
 Premios por consumo repetido.
 Efectos psicológicos.
2. La evolución de las TICs

Las TIC conectarán 2.500 millones de personas a la “economía del conocimiento” en
2030, dando acceso a la reducción del 20% de las emisiones de carbono a nivel mundial
para ese año, más de 11 billones de dólares en nuevos beneficios económicos, la capacidad
de extender la atención sanitaria online a 1.600 millones de personas del mundo entero, y
a más de 500 millones de personas a herramientas de aprendizaje en línea; además de un
incremento estimado del 30% en rendimientos agrícolas.
Cuanto más rápidos, baratos y disponibles mundialmente son los smartphones,
sensores en red, redes eléctricas inteligentes y otros dispositivos; más aumenta su
potencial para generar profundos beneficios medioambientales, económicos y sociales
(SMARTer2030).
Conceptos como internet de las cosas (IoT), computación en la nube (cloud
computing), redes sociales (social media) y dispositivos móviles son constantemente
abordados en los diferentes medios respecto a la evolución del área de Tecnología. Según
informes de la IDC, Forrester Consulting, Gartner; la evolución de TI en el 2014 cerró:
 En cuanto al crecimiento en general de TI: En el 2015, se espera que el gasto
de TI sea 5% mayor. Este aumento se debe principalmente a Cloud, Big Data,
movilidad y redes sociales, las cuales representarán el 89% del crecimiento de
inversión en TI.
 Este 2015, los drones tendrán múltiples aplicaciones gubernamentales,

industriales y civiles. Deloitte Global estima ventas por concepto de drones no
militares por cerca de 300 mil unidades.
 En cuanto a las aplicaciones y app móviles, JavaScript y HTML5 pasaran a ser
los desarrolladores de aplicaciones empresariales por excelencia. Buscando
mayor conectividad e interacción.
 La impresión móvil despegará. En 2015, cerca de 220 mil impresoras 3D se
venderán en todo el mundo, alcanzando un valor en dólares de 1.6 mil millones
de dólares.
 Se visualiza una evolución positiva para los centros de datos de entre el 4 y el
5 por ciento hasta 2017. En 2015, el péndulo de la adopción de tecnología
comenzará a moverse de regreso al mercado empresarial, revirtiendo una larga
tendencia en la que fue de un lado a otro.
2.1. Tendencias TIC

Las TIC y su utilización se identificaron en las tendencias que incidieron en la
adopción, y el potencial de desarrollo de las mismas:
- Formando parte de la consumerización o intromisión emergente (cuando una
nueva tecnología de las TI surge por primera vez en el mercado del consumidor y
después se propaga a las empresas dando como resultado la convergencia
industrial de TI y un cambio en la innovación de las TI),
- la computación móvil (conectividad en cualquier momento y lugar con gran
volumen de almacenamiento de datos) y las redes sociales como una manera de
transferir información. La popularidad de la misma y otros servicios interactivos
de la web 2.0 ha modificado el uso de Internet pasando de una búsqueda de
información a interactuar.
Las redes sociales se integraran cada vez más en las aplicaciones empresariales para
convertirse en un componente estratégico de marketing en relación al cliente. Los móviles
incrementarán las ventas de los smartphones este 2015 hasta un 12% y las tablets hasta un
18% a diferencia del 2014.
- La banda ancha es considerada un motor esencial de crecimiento económico, pero

preocupa que la brecha es cada vez mayor en los niveles de las TIC, los países de
ingresos medios podrán alcanzarlo a mediano o corto plazo; aunque para los países
menos adelantados será más difícil. Con la difusión de banda ancha y el desarrollo
adecuado de aplicaciones adecuadas, con salvedad de que se recupere la resistencia
cultural, es una respuesta pertinente a las exigencias de las Pymes (Ca Zorzi,
2011).
- Continuidad de Operaciones - Contingencia: En cuanto al aumento de la
complejidad e interconexión de las empresas, también ha aumentado el impacto
que tiene la falta de disponibilidad de cualquier recurso de TI. Los negocios cada
vez más depende de que sus sistemas de TI estén disponibles las 24 horas, sin
embargo son pocas las empresas que cuentan con una continuidad operativa ante
algún tipo de desastre y las que las tienen nunca las prueban.
La continuidad en el servicio al cliente, las operaciones, el comercio electrónico son de
vital importancia las 24 horas al día, todos los días del año con el objetivo de no perder la
disponibilidad de los sistemas de TI.
 Computación en la nube (cloud computing): Se refiere a la manera de utilizar el
internet para tener acceso a los datos utilizando al software de un tercero que opera
en el hardware de otro tercero, posiblemente en el centro de datos de otro tercero.
Ventajas como: La disminución del costo de propiedad; se presencia un menor
esfuerzo en la administración de aplicaciones e infraestructura; incluyendo ahorros
en personal de mantenimiento de equipos y aplicaciones de computación en la
empresa, además la facilidad de usos reduce costos en formación de personal y
tiempos de adopción.
Otros cambios en la relación de desarrollo de las TIC son:
- La datificación de la organización y la práctica de las empresas y los gobiernos;
este describe el proceso por el cual los datos se convierten en un recurso
fundamental de los resultados de las actividades empresariales y gubernamentales,
no sólo con las TIC sino en toda la economía. La misma se propaga bajo la
necesidad de las distintas TIC de empresas que trabajan con más frecuencia bajo
base de datos centralizadas y en línea.
- La aparición de los macro datos y de su análisis como nuevos recursos para
comprender los procesos sociales y económicos; este describe la acumulación y el
análisis de recursos de información de tamaño considerable a la capacidad
analítica y de almacenamiento de recursos informáticos. Son de gran valor
comercial para los modelos del negocio de los servicios gratuitos.
- La adopción generalizada de la computación en la nube, este modelo no solo de
datos sino de aplicaciones se almacenan en centro de datos gestionados por
empresas de TI en lugar de en los propios dispositivos de usuarios, y se accede a
ella donde y cuando se requiera; un modelo semejante al Cliente/Servidor. Su
propagación afectará en los costos de las empresas y en su capacidad de innovación
dependiendo siempre del acompañamiento de la infraestructura necesaria
(UNCTAD, 2013).
 La aparición de la Internet de las cosas; El IoT se expandirá a todos los servicios,
activos y productos más relevantes. Con el crecimiento exponencial del
IoT (50.000 millones de conexiones previstos para 2020), aumentará el número de
amenazas y vulnerabilidades. Actualmente el 25% de las empresas ya han
adoptado IoT según una encuesta de entre cerca de 600 firmas globales de
diferentes sectores; del 2012 (cerrando con 15%), hasta el 2015 el incremento de
implementaciones fue del 10%.
IoT dará lugar a un gran número de aplicaciones y servicios innovadores, que
mejorarán la calidad de vida y reducirán las desigualdades, al tiempo que ofrecen nuevas
oportunidades de ingresos para las empresas emprendedoras. (Publicación Naciones
Unidas, Ginebra 2014)
- Y el despliegue de los sistemas inteligentes para mejorar la eficiencia y la
productividad en las economías (CMSI, 2014). En cuanto a esto, para el 2020 la
era de las máquinas inteligentes estará en pleno auge. Éstas serán capaces de hacer
cosas que hasta ahora solo se creía que los seres humanos podían hacer. Serán
aplicables tanto en la esfera individual como empresarial. 1Gartner pronostica que

estas máquinas nos lleven a tener una vida más exitosa. Se visualizan
repercusiones en los costos financieros y ambientales de la infraestructura que no
sea de TIC, reduciendo los residuos, estimulando el desarrollo e influyendo en las
políticas globales de sostenibilidad y cambio climático.
Comparte características de las IoT, aunque funcionan a mayor escala e incorporan una
gama más amplia de las tecnologías y aplicaciones TIC si bien depende de los RR.HH.,
financieros y tecnológicos.
La importancia de mantener una ventaja competitiva ante las demás empresas del rubro
es alta, por lo mismo la reducción de costos o la alta tasa de flexibilidad y adaptabilidad
para absorber nuevos modelos del negocio, son indicadores que hacen la diferencia.
2.2. Paraguay: Situación Actual TIC

Paraguay es uno de los países con más retrasos en la utilización de TIC en el mundo,
situación que ha sido demostrada en diferentes estudios. Por ejemplo, en el “The Global
Information Technology Report 2013” elaborado por el Foro Económico Mundial, se
situaba al país solamente por encima de Venezuela, Surinam y Bolivia en cuanto al
aprovechamiento de las oportunidades que ofrecen estas tecnologías.
En cuanto al internet, el mismo reporte ubica al Paraguay en el penúltimo lugar,
solamente por encima de Bolivia, en el ratio de suscripciones a internet banda ancha cada
100 habitantes y en el último lugar en cuanto al porcentaje de individuos que utilizan este
mismo servicio, mientras que en otros países de la región (como Colombia y Venezuela)
este porcentaje es prácticamente el doble (The Networked Readiness Index 2015
Rankings).
Es de tenerse en cuenta, que la formación es un elemento esencial en el proceso de
incorporar las nuevas tecnologías a las actividades cotidianas, y el avance de la llamada
sociedad de la información viene determinado por dicho proceso. (E learnig2, 2014)
1
GARTNER: Empresa consultora y de investigación de las Tics con sede en EEUU.
2
E-learning: Se denomina aprendizaje electrónico, consiste en el tipo de enseñanza caracterizado por la
separación física entre el profesor y el alumno que utiliza internet como canal de distribución del
conocimiento y como medio de comunicación.
Entre las debilidades del país se encuentra la escasez de expertos en TI, limitación a la
especialización, infraestructura débil, bajo suscriptores a internet y disponibilidad de
equipos. Con el miedo de no llegar a cubrir lo necesario en políticas públicas y al cambio
tecnológico.
En el Paraguay, la SENATICS es la institución responsable de definir políticas y
estrategias transversales en materias de TIC y promover el desarrollo de productos del
área, para su aplicación a diferentes campos del sector, siempre apuntando a mejorar la
calidad de vida de los habitantes del país y a fortalecer el desarrollo del Estado e industrias
locales a través del uso apropiado de las TIC, siendo esta su misión institucional.
La SENATICS fue creada en abril de 2012, como secretaría de Tecnologías de la
Información y Comunicación (SETICs), a través de un decreto presidencial. Recién desde
agosto del 2013 se promulga la ley de creación de la SENATICS que consolida a esta
instancia pública y convierte a las TIC en políticas de estado, lo que permitirá el desarrollo
sostenible del país y de este modo transformar al Paraguay en un país más confiable y
transparente, proporcionando servicios digitales de calidad y creando así condiciones para
lograr un desarrollo económico sustentable y sostenible (Qué es SENATICS? 2013).
Por otro lado en Noviembre del 2011 la CONATEL lanzó el Plan Nacional de
Telecomunicaciones Paraguay 2011 – 2015 que contempla un conjunto de acciones y
políticas públicas interdependientes basadas en la información y encaminadas a contribuir
al desarrollo económico y social del país, generar equidad de oportunidades, contribuir a
la calidad de la educación, incrementar a la transparencia gubernativa, aumentar la
productividad y competitividad del país y mejorar los servicios del gobierno facilitando la
vida al ciudadano.
2.2.1. Economía Digital / Industria e innovación TIC

Potenciar el sector empresarial TIC nacional fortaleciendo la industria local mediante
el fomento de la I+D+i, los viveros de empresas, el emprendimiento y la asociatividad.
Impulsando la internacionalización de las empresas TIC nacionales y la confianza en los
productos a nivel nacional e internacional, entre otros, mediante el apoyo a la certificación
TIC serían los objetivos a alcanzar en esta área.
Sin embargo tanto la pobreza como la falta de trabajo son las causas principales de los
problemas que enfrenta el país para su desarrollo económico y social. Según informe de
la (STP) la pobreza total en Paraguay se redujo del 23,8% al 22,6% en el 2014. Mientras
que la pobreza extrema tiene un aumento de 0,4% siendo un 10,5% total país 2014 (AIP-
EPH 2014). Siendo la pobreza y el desempleo factores que influyen en la mala calidad de
educación que recibe gran parte de la población, convirtiéndose en un círculo que
retroalimenta la pobreza y el desempleo.
En Central, según la EPH-2014 la población económicamente activa según el sector
económico: muestra que el sector primario corresponde al 2,6%, donde el secundario
cuenta con un 23,8% y el terciario con el 73,5%. Donde el sector primario cubre la
agricultura, la ganadería, caza y pesca, el sector secundario cubre las industrias
manufactureras; construcción, minas y canteras, y el sector terciario cubriendo la mayoría
de la mano de obra ocupada presentando un porcentaje en la población económicamente
activa ocupada (69,7% y 99% respectivamente) (DGEEC, 2014).
La innovación, al elevar la productividad de los diferentes sectores que componen una
economía, permite reducir tanto la brecha externa como la interna (OECD, 2014).
No obstante, la tasa de adopción y éxito de las nuevas tecnologías sigue dependiendo
del desarrollo de las capacidades internas, y de una oferta endógena diversificada de
servicios y capacidades, que permitan a los productores por un lado, seleccionar,
implementar y utilizar correctamente tales tecnologías y, por el otro, interactuar y aprender
con ellas (Rodriguez, 2013).
2.2.2. Impulso de la tecnificación y conectividad

Es necesario facilitar y promover el acceso a las TICs a toda la población y al tejido
empresarial mediante la tecnificación y el acceso a la banda ancha de los ciudadanos y las
empresas (SENATICS – Plan Director TICs 2011).
En algunos países el gobierno ha adoptado reglamentaciones e implementado medidas
cuyo fin es claramente acompañar y estimular a las Pymes en su proceso de digitalización.
Por otro lado, el incentivo mayor de adopción es el incremento de ventas que las Pymes
esperan llegar, pero que el efecto principal logrado es una mejora de la eficiencia
empresarial reflejada en la productividad, y en consecuencia, en rentabilidad y posición

competitiva de la empresa (Ca Zorzi, 2011).
Por otro lado, la actitud para un empleo implica un conjunto de habilidades,
conocimientos, y capacidades de un trabajador, cuanto mayor sea el conjunto mayor será
su aptitud para el empleo, y cuanto mayor sea el nivel de aptitud, tanto mejor estará
equipada para producir o prestar servicios (Tecnología y el Mundo Laboral, 2014)
Lamentablemente en el Paraguay, la capacitación laboral presenta varias limitaciones
que se inician en la educación a nivel inicial hasta la universitaria o técnica, la misma es
mejor abordada en el trabajo: Entrenamiento y Capacitación de Recursos Humanos en
Paraguay ante los desafíos del Mercado Laboral publicado por la revista Científica de la
Universidad Americana (Albertini, 2014).
La educación conspira en contra de la calificación de la mano de obra requerida por las
empresas, el cual frecuentemente sufre dificultades para cubrir puestos vacantes ofrecidos.
En el Foro Económico Mundial 2015-Suiza. Los líderes en Tecnología discutieron el
futuro de internet. Satya Nadella, Director Ejecutivo de Microsoft, se centró en la
seguridad de Internet y la transparencia. "Tenemos que conseguir este equilibrio entre la
privacidad y la seguridad pública legítima. El Internet es una de las riquezas más grandes
a nivel mundial. Si lo destruimos, destruimos una gran parte de nuestro futuro económico.
"Sheryl Sandberg, director de operaciones de Facebook, dijo que el aumento del acceso
debe ser clave. "Si podemos extender el Internet para más personas, aumentamos las
oportunidades económicas y la igualdad", dijo (WEF, 2015).
2.3. Brecha Digital

Brecha digital hace referencia a una totalidad socioeconómica entre aquellas
comunidades que tienen acceso a internet y las que no, aunque estas desigualdades pueden
referirse también como el computador personal, la telefonía móvil, la banda ancha y otros
dispositivos. Se basa en diferencias previas al acceso de las tecnologías (Servon, 2002).
Ahora los intereses principales son identificar los medios más adecuados de acceso a
internet, la mejor forma de fomentar dicho acceso y los usos que se persiguen es viéndolo
como herramientas para el desarrollo económico y no sólo como la infraestructura que la
contiene.
La misma se utiliza en ocasiones, para señalar a grupos que tienen accesos a contenidos
digitales y los que no. El termino opuesto a Brecha Digital es el de Inclusión digital
genuina (Maggio, 2007)
2.4. Beneficios de una gestión tecnológica de la información

La evolución tecnológica en el campo de la informática presenta una dinámica que hace
factible la disponibilidad sincrónica de datos, que de otra manera tardarían meses en ser
utilizados, además del costo que representa en personas, tiempo y distancias. Con la
disponibilidad de las TICs, los procesos administrativos de las empresas paraguayas se
verán favorecidos en costos, tiempo y accesibilidad inmediata. Los sistemas de gestión de
la información, además de agilizar los procesos y de disponer de la información, permiten
una gestión transparente, y mejoran los servicios a los clientes. Con las informaciones
sistematizadas y actualizadas, se sabrá con precisión qué es lo que se tiene, y dónde es
necesario realizar intervenciones.
2.4.1. Inclusión Digital / Social

Toda esta revolución de las TIC impulsa la formación de la sociedad del conocimiento,
de ahí la necesidad de fomentar el conocimiento TIC tanto en la población como en las
empresas contribuyendo al desarrollo profesional, social y cultural de los ciudadanos y
del entorno empresarial e incentivando la demanda de servicios y contenidos digitales.
Contar con las mismas oportunidades permitiendo el desarrollo sin distinciones en las
diferentes áreas conforma una inclusión digital, para quienes no tienen acceso a las
tecnologías aparece la llamada “Brecha Digital”. Reducirla significa superar los límites
que impone un patrón de especialización de baja tecnología.
2.4.2. Implantación de las TIC en los sectores productivos

Es necesario fomentar el desarrollo de productos y servicios TIC, especialmente
software y consultoría informática en los sectores productivos. Demostrando de esta
manera a las empresas, la importancia del uso de soluciones y servicios TIC para la mejora
de la productividad y competitividad.
El eje de industrias en TIC abarca principalmente las áreas de manufactura, comercios
y servicios, se asume que el desarrollo exponencial de estas áreas es de importancia para
el impulso de todas las demás áreas que conforman la economía del país, proporcionando
el crecimiento de la industria local.
Reducción de costes, movilidad, calidad, eficacia, eficiencia, posicionamiento,
detección temprana de nuevos nichos de mercado, visibilidad y versatilidad son algunas
ventajas al alcance de cualquier pyme que no se mantenga al margen de la evolución
tecnológica (Pereyra, 2013).
Pero también es importante destacar que hay empresas que no están preparados para
posicionarse en internet y, de hecho, esto no es siempre aconsejable. Cada una tiene sus
características propias como son: el sector de actividad al que pertenecen, la cultura
institucional, el nivel de competencia tecnológica de sus RR.HH., los productos/servicios
que comercializa, los mercados donde actúa, el tipo de clientes, los proveedores, etc.
La adopción de la Tecnología es un proceso complejo que requiere no solamente
inversión, sino también que la organización tenga la capacidad de realizar los cambios en
las diferentes funciones. El tiempo hasta una total integración con la empresa, puede
demandar años, especialmente en el caso de sistemas de planificación de recursos
empresariales (ERP) que impactan fuertemente en la operatividad de la empresa (Aral
Sinan, D.J., 2006)
El desarrollo de infraestructura es clave para alcanzar los demás objetivos que se
proponga un plan de desarrollo de las TIC. En ese sentido la CONATEL con su Plan
Nacional de Telecomunicaciones 2011-2015, contiene un diagnóstico de la situación
local, una serie de objetivos propuestos y las acciones a ser ejecutadas para alcanzarlas.
(Marco Legal-Plan Director TICs)
Es esencial que las TICs sean consideradas no tanto como un instrumento funcional,
sino más bien como una capacidad estratégica de la empresa que puede traducirse en una
ventaja competitiva (Lester, Donald L, Tran, 2008)
En el campo de la informática, la ventaja competitiva se refiere al uso de la información
para adquirir peso en el mercado. La idea es que la empresa no tiene que depender
únicamente de recursos físicos superiores para competir; también puede usar recursos
conceptuales superiores tales como datos e información.
2.4.3. Confiabilidad en el uso de las TIC

Para la implementación efectiva de las TIC en las administraciones y un uso más
intensivo de las mismas, es necesario establecer un clima de confianza en el ámbito digital.
(Kotelnikov, 2007) identifica diferentes etapas y niveles de adopción de las TIC:
1. Comunicación básica (telefonía fija, móvil o fax)
2. Tecnología de información básica
3. Comunicaciones avanzadas
4. Tecnología de la información avanzada.
Las TIC son una maravillosa herramienta para reducir la pobreza, a diferencia de
tiempo atrás, hoy cuando uno va al interior de Paraguay y le llevas tabletas, computadoras
a los estudiantes, ese estudiante en una pobreza muy grande tiene la misma oportunidad
de tener acceso a toda la sociedad de información que uno que va a un colegio privado en
Asunción (Diego Molano ex Ministro de TIC de Colombia por la BID).
En el documento final que surgió de la Conferencia Rio+20 de 2012; Se reconoce la
contribución de las tecnologías de la Información y la Comunicación (TIC) para el
intercambio de conocimientos, la cooperación técnica y la creación de capacidad en pro
del desarrollo sostenible. “El futuro que deseamos” también reconoce que las TIC facilitan
el intercambio de información entre los gobiernos y el público. Asimismo, destaca la
necesidad de mejorar el acceso a las TIC, en particular, para facilitar servicios y redes de
banda ancha, y reducir la brecha digital. La cooperación internacional es fundamental en
la consecución de este objetivo.
2.4.4. Impacto Ambiental

La convergencia entre nuevas tecnologías y el medio ambiente apunta a utilizar
tecnologías limpias (Green technologies). Estas resultan del avance entre el reciclaje y el
tratamiento de agua y gases; la generación de la electricidad a partir de fuentes energéticas
renovables y celdas de hidrógeno, los combustibles derivados de la biotecnología; las
redes inteligentes de control en sistemas urbanos y redes eléctricas (Smart-grids), y el
aumento de la eficiencia energética de gran número de dispositivos como los automóviles
(OECD-CEPAL).
Conscientes de que a nivel nacional se carece de una política de tratamiento de

desechos tecnológicos, en el marco del proyecto Plan Director Tics de la SENATICS se
pretende mediar los mecanismos necesarios que contribuyan a mitigar los efectos de la
incorporación de las TIC.
El desempeño por parte de las TIC es tan o demasiado importante en el intercambio de
la información climática y meteorológica, así como en los sistemas de previsión y alerta
temprana. En “la CMR-12 se destacó la importancia de la observación de la Tierra, la
atribución de nuevo espectro para radares oceanográficos, los servicios de meteorología
por satélite y los servicios de exploración de la Tierra por satélite”.
El SIMA establecido por la ONU para la Agricultura y la Alimentación brinda
información a las empresas y los gobiernos acerca de la productividad y la producción
rural, ya que las mismas suelen mejorar cuando los agricultores y los pequeños
propietarios obtienen acceso a las TIC, sobre todo en el caso de los propietarios de
explotaciones agrícolas, y de empresas pesqueras o forestales. Al trabajar diariamente en
terrenos, lagos o granjas remotos, éstos se encuentran expuestos a los cambios climáticos.
Brahima Sanou, Director de la Oficina de Desarrollo de las Telecomunicaciones de la
UIT, resaltó la importancia de esta función: “En el mundo actual, las TIC apuntalan el
desarrollo en general y pueden propiciar el crecimiento económico, sin dejar de lado la
sostenibilidad”.
2.5. La necesidad del Control en TI

Crimen Cibernético: Como definición del crimen cibernético: “crímenes en los cuales
las redes informáticas constituyen el objetivo o son una herramienta substancial” (Koops,
2011).
Exposición a amenazas internas: Los incidentes relacionados con WikiLeaks es una de
las demostraciones de que la seguridad interna es igual de importante que la seguridad
externa. La experiencia dice que las compañías no pueden decir cuáles son los elementos
más valiosos e importantes de datos, donde se encuentran estos elementos y a donde se
envían estos datos.
Programa de cambio: El cambio es una constante de TI, el GRC y la inteligencia del
negocio trabajan en los procesos centrales, independientemente de cualquier crisis
financiera los proyectos de TI siguen siendo las prioridades más importantes, sin embargo
las estadísticas indican que dos de cada tres proyectos no son exitosos (desde distintos
puntos de vista), ese bajo índice de éxito da como resultado una fuga importante en el
valor de las TI invertidas; es ahí donde una manera de paliar dicha fuga es con la
implementación de los controles de calidad para los proyectos importantes (E&Y 2012).
Ante estos conceptos y la creciente evolución de las TI, la presencia de un Marco
Referencial para la seguridad y el control de TI resultan más que necesario. Un elemento
crítico para las organizaciones es la administración efectiva de beneficios (outsourcing)3
y por lo tanto, existe la necesidad de evaluar cómo están respecto de estándares
generalmente aceptados y respecto a la competencia (COBIT 4.1).
Las organizaciones deben saber cómo están siendo gestionadas las TIs de manera que
esta sea:
 Adecuada para alcanzar los objetivos del negocio
 Suficientemente flexible para aprender y adaptarse
 Juiciosa en la gestión de los riesgos que enfrenta
 Apropiada reconociendo oportunidades.
Por lo tanto, toda herramienta que contribuya a la necesidad de controlar a la entrega
satisfactoria de los servicios de TI en función de los objetivos del negocio será más que
útil ante la creciente vulnerabilidad y un amplio espectro de amenazas. La escala y el costo
de las inversiones a corto y mediano plazo, en información y en TI; y el potencial que
tienen las tecnologías para cambiar radicalmente las organizaciones y las prácticas de
negocio, crear nuevas oportunidades y reducir costos son algunos de los motivos por que
las organizaciones deben dar importancia al control en TI.
Otro punto a favor de la estandarización de los controles de TI es que los auditores han
tomado el liderazgo en estos esfuerzos internacionales de estandarización, debido a que
ellos enfrentan continuamente la necesidad de sustentar y apoyar frente a la Gerencia su
opinión acerca de los controles internos; de tal manera que aseguren la existencia de
3
Outsourcing: Movilizar recursos hacia una empresa externa a través de un contrato.
controles adecuados para cubrir la necesidad de medir comparativamente el ambiente de

TI, tanto el existente como el planeado.
Las organizaciones exitosas, comprenden y administran los riesgos asociados con la
implementación de una nueva tecnología y la necesidad de conseguir el balance entre
riesgos e inversiones en control, con TI frecuentemente impredecible.
La implementación de los controles debe ser consistente con el gobierno y el marco de
referencia de la empresa debe ser apropiada para la organización. Es necesario que se
entienda qué hacer, cómo hacerlo y porqué es importante hacerlo para garantizar que se
utilicen las prácticas (ISACA, 2012).
2.6. Aparición del Gobierno Corporativo y el Gobierno de TI

La relación entre el gobierno TI con el gobierno corporativo es que dentro de una
empresa se pueda ver al área de tecnología como aquella que sólo da soporte a la
organización o en algunas ocasiones como la encargada de generar problemas, en relación
con lo anterior un área que no aporta mucho valor. Al observar artículos
importantes podemos ver como grandes corporaciones de diferentes sectores han
empezado a adquirir empresas que se dedican al análisis de datos.
El Gobierno de TI consiste en el liderazgo, las estructuras organizacionales y los
procesos que aseguran que las TI soporten y extiendan las estrategias y los objetivos de la
empresa, destacan como mejores prácticas ISO/IEC 38500 (estándar internacional que
proporciona un marco de referencia para los directores, cuando evalúan, dirigen y
monitorean el uso de las TI en la empresa) y COBIT 5.
Entender los procesos de gobierno y la importancia estratégica de las áreas de
tecnología dentro de una organización presenta un portafolio de ventajas competitivas
identificadas en un mundo en el que los cambios rápidos hacen que sea necesario contar
con estructuras que permitan integrarlos y que logren que las áreas de tecnología jueguen
roles estratégicos dentro de la organización.
“El gobierno corporativo se refiere a las estructuras y procesos para la dirección y el
control de las compañías. El gobierno corporativo se ocupa de las relaciones entre la alta
gerencia, la junta directiva, los accionistas controladores, los accionistas minoritarios y
otras partes interesadas. El buen gobierno corporativo contribuye al desarrollo económico
sostenible al mejorar el desempeño de las compañías e incrementar su acceso al capital

externo” (IFC).
El objetivo es lograr crear y tener empresas que sean sostenibles en el tiempo.
2.6.1. Gobierno Corporativo

El Gobierno Corporativo es el conjunto de principios y normas que regulan el diseño,
integración y funcionamiento de los órganos del gobierno de la empresa.
Es la forma en que se administran, se controlan las sociedades y se reflejan las
relaciones de poder entre socios o accionistas, la junta directiva y la gerencia.
La adopción de un buen gobierno corporativo debería responder a la voluntad
autónoma de la misma de establecer principios gerenciales para ser más competitiva y
brindar mayores garantías a todas las partes interesadas (Stakeholders)4.
La ausencia de buenas prácticas de gobierno corporativo se manifiesta en muchas
formas:
 Fallas en la oportunidad y transparencia en la divulgación de información
financiera,
 abuso de los inversionistas mayoritarios,
 falta de independencia e integridad en los procesos de auditoría,
 contratación de personal no idóneo para desempeñar sus funciones, etc.
Es conveniente integrar a los distintos interesados en la discusión de las normas del
Gobierno Corporativo. No es necesario esperar a la regulación para actuar. Los beneficios
del Gobierno corporativo van bastante más allá del área de cumplimiento.
COBIT 5 presenta un enfoque único para incorporar desde el inicio los aspectos de
Gobernabilidad de TI, dentro del paraguas de Gobierno Corporativo.
4
Stakeholders: Aquellos grupos que pueden afectar o ser afectados por el logro de los propósitos de la
organización con influencia directa o indirecta sobre ella (Freeman, 2004).
Figura 1: Stakeholders (partes interesadas internas y externas).

Fuente: Estándares de Seguridad en el Trabajo. Extraído de http://eticaseguridadupc.blogspot.com/2011/04/los-
stakeholders.html.
2.6.2. Gobierno de TI
El Gobierno de TI (IT Governance) es, cuando se establece una dirección que asegure
el cumplimiento de la visión estratégica, siendo visible y cuantificable el valor que
devuelven las TI a la organización. Entregando responsabilidades a personas dentro de
una estructura establecida dentro de la organización que permita decidir para incentivar el
comportamiento deseable de las TI así mismo una adecuada gestión de riesgo.
Al no tener definido todo lo que abarca el Gobierno de TI, no existe una definición
extendida y aceptada de la misma, más abajo algunas definiciones aceptadas en el
panorama global:
 Weill & Ross: El Gobierno de TI es un marco para la toma de decisiones y la
asignación de responsabilidades para facilitar el resultado deseado respecto al
uso de la TI. Proceso por el cual las organizaciones vinculan las acciones de TI
con sus metas de desempeño y asignan responsables de esas acciones y de sus
resultados.
 Forrester: El Gobierno de TI es el proceso por medio del cual se toman
decisiones acerca de las inversiones de TI. Con elementos sobre: cómo y quién
toma las decisiones, responsables, seguimiento: “El Gobierno de TI en su forma
más básica es el proceso de toma de decisiones sobre TI”.
 ITGI (IT Governance Institute): El Gobierno de TI es una responsabilidad de

los ejecutivos y del consejo de directores; parte integral del Gobierno
Corporativo que consta de liderazgo, estructuras organizacionales y procesos
que garantizan que las TI de la empresa soportarán y extenderán las estrategias
y objetivos corporativos.
En síntesis, el Gobierno de TI es el sistema por el cual se dirigen y controlan las
decisiones con respecto a las TI buscando alinear las decisiones de TI con los objetivos
presentes y futuros de la organización, invirtiendo únicamente en aquellas TI que aporten
el máximo valor, y equilibrando riesgos y beneficios.
El aprovechamiento exitoso de TIC para transformar la empresa y crear valor adicional
a productos y servicios, se ha convertido en una competencia de todos los negocios a nivel
mundial. Por lo mismo, para un buen Gobierno de TI, éste debe apoyarse en un marco de
estándares y normas de comportamiento a modo de garantizar que el área de TI soporte
los objetivos del negocio de la organización.
Implementaciones de metodologías como ITIL, MOF o Six Sigma han contribuido a la
mejora en la Gestión de TI. Cada vez son más las empresas certificadas en normas de
Gestión de Servicios de TI como ISO-20000 o normas de Gestión de la Seguridad de la
Información como ISO-27000. Ahora bien, en cuanto a Gobierno de TI, la primera norma
internacional que trata sobre el concepto de Gobierno TI es ISO/IEC-38500 (ISO/IEC
38500:2008).
No existe una metodología unificada para la Gobernanza de TI. Existen metodologías
que ayudan y facilitan un buen Gobierno de TI, destacando principalmente ITIL y COBIT
por los años que llevan incorporando las mejores prácticas en Gestión y Gobierno de TI
(ISACA). También hay marcos de trabajo que tratan más específicamente algunos
aspectos relativos al Gobierno de las TI. Entre ellos cabe destacar:
 Val IT que se concentra en la gestión del portfolio de iniciativas de TI para
generar valor a la organización y proveer un marco de trabajo para el gobierno
de las inversiones en TI.
 RISK IT establece un marco de trabajo para las organizaciones para identificar,
gobernar y administrar los riesgos asociados a las iniciativas en TI.
Con el propósito de integrar o relacionar todos los marcos e iniciativas de ISACA (Val
IT, Risk IT, BMIS, ITAF y Board Briefing), así como conectar con el resto de iniciativas
y estándares aceptados en la comunidad TI (ITIL, ISO, etc.), se cuenta con COBIT 5 que
es una integración de los diferentes marcos y metodologías.
2.6.2.1. Procesos del Gobierno de TI

En el marco de referencia se identifican cinco procesos: los de entrega de valor y
administración de riesgos, que son los resultados esperados de la eficacia del gobierno;
los de alineación estratégica, administración de recursos de TI y administración del
desempeño, que son necesarios para lograr dichos resultados y contar con una mejora
continua.
Figura 2: Marco de Gobierno de TI.

Fuente: Cómo medir el alineamiento entre TI y negocio. Extraído de http://www.ibermatica.com/sala-de-
prensa/opinion/como-medir-el -alineamiento-entre-ti-y-negocio-gobierno-ti-y-cobit-5. En fecha: 09/03/2015
 Alineamiento estratégico: Se centra en asegurar la alineación estratégica y

sincronización de TI con los objetivos del negocio.
Esto normalmente se traduce en: ventaja competitiva, tiempo transcurrido para
el cumplimiento de la orden/servicio, satisfacción del cliente, tiempo de espera
del cliente, productividad del empleado y rentabilidad.
 Entrega de Valor: Se refiere a ejecutar las propuestas de valor durante el ciclo

de entrega, asegurando que TI llegue a los objetivos propuestos por el negocio.
Optimizando los costos y proporcionando valor a TI.
 Gestión del Riesgo: Se debe considerar que los riesgos de una organización no
sólo son financieros, sino operativos, de tecnología y de seguridad informática,
los cuales pueden impactar adversamente los objetivos estratégicos del negocio.
 Gestión de Recursos: Se centra en organizar de manera óptima los recursos de
TI de forma que los servicios que los requieran los obtengan en el lugar y
momento necesarios. Optimizando costos de inversión de la infraestructura
tecnológica, balanceándolo con la calidad del servicio requerido para soportar
las operaciones del negocio.
 Medición del rendimiento: Sin una efectiva medición del rendimiento, los otros
cuatro aspectos del Gobierno de TI tienden a fallar. La misma sigue y controla
la estrategia de la implantación, la estrategia de los proyectos, el uso de los
recursos; el rendimiento de los procesos y la entrega de servicios mediante
BSC.
2.6.3. Métricas
Los marcos de control están dirigidos por medidas. El negocio necesita conocer el
estado de sus recursos y procesos de TI, cómo aportan valor y cómo evolucionan, algunas
son: Key Performance Indicator, CMM, IT Governance (ITIL, COBIT, CMMI) y BSC.
El Key Performance Indicator analiza cómo se llega al grado de cumplimiento.
CMM es un modelo de capacidad de madurez, donde evalúa los procesos de una
organización. Cada proceso define un conjunto de buenas prácticas que habrán de ser
definidas en un procedimiento, provistas de los medios y formación necesaria, ejecutadas
de un modo sistemático, universal y uniforme, medidas y verificadas (CMM).
BSC (Balanced Scorecard), es un cuadro de mando integral; una herramienta para la
gestión del rendimiento organizativo. Ayuda a centrarse no sólo en los objetivos
financieros, sino también en los clientes, y en los aspectos relativos al crecimiento y
aprendizaje. Ayuda a transformar los datos corporativos dispares en información y
conocimiento, y ayuda a comunicar la información de rendimiento (BSC).
Gracias a la compatibilidad con COBIT 5 es totalmente factible su implementación a

fin de medir y proporcionar a la Alta Gerencia una vista rápida e integral del desempeño
de TI para el Negocio, desde las perspectivas: financiera, del cliente, del negocio y del
aprendizaje.
ITIL es un marco de trabajo basado en mejores prácticas. En su nueva Versión 3 se
centra en integrar las TI con el negocio, incorporando mejores prácticas para el Gobierno
TI y adoptando un punto de vista más estratégico, reforzándolo con la ampliación de los
procesos de Estrategia de Servicio. Se ha convertido en un estándar de facto (AXELOS).
COBIT es un marco de referencia que proporciona a sus grupos de interés, la guía más
completa y actualizada sobre el gobierno y la gestión de la empresa TI (COBIT5).
La mejor manera es obteniendo un equilibrio entre las cuatro métricas.
3. La Administración de Riesgos y Beneficios de TI

TI también implica riesgos. Es evidente que en estos días de negocios globales, la caída
de los sistemas y las redes puede resultar muy costosa para cualquier empresa. En algunas
industrias, TI es un recurso competitivo necesario para diferenciarse y obtener una ventaja
competitiva, mientras que en otras, no sólo determina la prosperidad sino la supervivencia.
La administración es la relación beneficios/riesgos de TI asociados con la ausencia de
las oportunidades para utilizar la tecnología, con el fin de mejorar la eficiencia o
efectividad de los procesos del negocio o como un facilitador para nuevas iniciativas
organizacionales. (Anexo 1).
3.1. Fundamentos del Riesgo

 Apetito de riesgo y tolerancia
Según el COSO y la ISO 31000 en su guía 73, apetito del riesgo: cantidad de
riesgo que una organización u otra entidad está dispuesta a aceptar con el
cumplimiento de su misión o visión.
Tolerancia del riesgo: La variación aceptable en relación a la consecución de
un objetivo.
 Responsabilidades y rendición de cuentas sobre los riesgos de TI.
La responsabilidad corresponde a aquellos que deben velar por que las

actividades se han completado con éxito.
La rendición de cuentas se aplica a quienes poseen los recursos necesarios y
tener la autoridad de aprobar la ejecución de y/o aceptar el resultado.
 Sensibilización y comunicación
La concienciación de los riesgos es de reconocer que el riesgo es una parte
integral de la organización. Siempre existirá el riesgo en la organización,
independientemente de que se identifique, se elimine o se evite; lo importante
es que se entiendan y conozcan los riesgos de TI, que sean identificables, y que
la organización utilice los medios para manejar los riesgos de TI (Risk IT
Framework, 2009).
3.2. Motivos del Análisis de Riesgo

La correcta gestión de los riesgos a los que está expuesta la organización es esencial
para la correcta administración de cualquier organización.
Son varios los motivos por los que realizar un adecuado análisis de riesgos en todo tipo
de organizaciones permite:
 Identificar los activos y controles de seguridad
 Gestionar las alertas de los riesgos próximos
 Identificar la necesidad de las acciones correctivas
 Proporcionar una guía de cara a los gastos de recursos
 Relacionar el programa de control con la misión de la organización
 Proporcionar criterios para diseñar y evaluar planes de contingencia y de
continuidad de negocios
 Mejorar la concienciación global sobre la seguridad a todos los niveles (Areitio,
2008).
3.3. Riesgos
El riesgo se define como la combinación de la probabilidad de que se produzca un
evento y sus consecuencias negativas.
Es un aspecto relacionado con la psicología del ser humano, con las matemáticas, la
estadística, y la experiencia adquirida a través de los años (De Lara, 2005).
El riesgo es la posibilidad de que se produzca un impacto determinado en un activo, en
un dominio (o conjunto de activos) o de una organización.
Se caracteriza por dos factores: La probabilidad de que ocurra un incidente y la
vulnerabilidad.
3.3.1. Concepto
Un concepto vinculado al riesgo es la amenaza, y se trata de un dicho o hecho que
anticipa un daño. Algo puede ser considerado como una amenaza cuando existe al menos
un incidente específico en el cual la amenaza se haya concretado.
3.3.2. Clasificación de Riesgos

3.3.2.1. Según diferentes parámetros:
 Parámetros de vulnerabilidad: Riesgos colectivos y no colectivos, hay riesgos
en que la manera en que puedan afectar podría ser a una o varias personas al
mismo tiempo.
 Parámetros temporales: Riesgos episódicos o puntuales y riesgos a medio y
largo plazo. Las situaciones de riesgo episódicas se caracterizan por sus efectos
inmediatos y requieren una respuesta inmediata para minimizar sus
consecuencias. En contraposición existen las situaciones a más largo plazo.
Habitualmente se trata de fenómenos de carácter medioambiental. Su
particularidad es que no se requiere una respuesta inmediata porque los efectos
no lo son, sino que son a medio o largo plazo. Estos riesgos se pueden producir
no sólo a escala local sino que también a escala regional y planetaria.
 Parámetros socioeconómicos y medioambientales: Riesgos naturales y Riesgos
de Sociedad. La primera se encuentra dentro de la categoría en los que el agente
causante de peligro es el medio natural. Sub tipos de riesgo: Riesgos geofísicos
y riesgos biológicos.
Y la segunda, se trata de situaciones de riesgo en las cuales el agente principal
de la cual se desarrolla en las diferentes estructuras del desarrollo social del ser
humano fuera del entorno natural. Los riesgos de sociedad serian aquellos que
surgirían del hecho que las personas se agrupen y vivan en sociedad. Subtipos
de riesgo: Riesgos tecnológicos, antrópicos, edificaciones y transporte, por
carga de trabajo.
3.3.2.2. Según pérdidas económicas previsibles

 Riesgos Leves: Aquéllos cuya pérdida no perturba sensiblemente la economía
de la empresa. Pueden ser asumidos íntegramente por la empresa.
 Riesgos Graves: Aquéllos cuya pérdida implica un endeudamiento financiero
importante para la empresa.
 Riesgos Catastróficos: Aquéllos que pueden producir la quiebra de la empresa.
3.3.2.3. Según el área que afecta

 Laborales: permite hacer referencia a la falta de estabilidad o seguridad en el
lugar de trabajo.
 Biológicos: Hace referencia a la posibilidad de contagio en medio de una
epidemia o por el contacto de materiales biológicos que son potencialmente
peligrosos.
 Financieros: Está relacionado a la solvencia monetaria de una persona, una
empresa o un país.
3.3.3. Tipos de causas de Riesgos

Los factores de riesgos son las condiciones de trabajo potencialmente peligrosas que
pueden suponer un riesgo para la salud. Se clasifican en:
3.3.3.1. Riesgos relacionados con la seguridad
Las condiciones de trabajo que pueden resultar peligrosas para la seguridad y salud de
los trabajadores, son las derivadas de las características de los locales, instalaciones,
maquinaria, incendios, energía eléctrica. Para los agentes mecánicos se enmarcan dentro
del denominado “Ambiente mecánico de trabajo”
En el espacio de trabajo puede resaltarse de entre otras causas, el estado del suelo, las
dimensiones de pasillos y puertas. De las máquinas y demás objetos, sus elementos
móviles, el apilamiento del material etc. .
3.3.3.2. Agentes dañinos para la seguridad de las personas
Son aquellos que están presentes en el entorno ambiental de los trabajadores. Existen
varios tipos de contaminantes: Químicos, físicos y biológicos .
Algunas causas provocadas por agentes físicos son: el ruido, las vibraciones, las
radiaciones, la iluminación, el calor y el frío, la electricidad, los incendios y las
explosiones.
En cuanto a los agentes químicos: Son sustancias constituidas de materia inerte, que
están presentes en el aire en forma de gases, vapores, aerosoles o nieblas.
Los agentes biológicos, a diferencia de los contaminantes físicos y químicos, están
constituidos por seres vivos. Debido a que los organismos son microscópicos resulta
imposible ante la percepción humana. Se clasifican en: bacterias, protozoos, virus, hongos,
gusanos parásitos (Viñas, 2010).
3.3.3.3. De origen ergonómicas y psicosociológicas
Los riesgos profesionales consisten en evitar todo tipo de incidencias que puedan
suponer cualquier problema para la salud y bienestar del trabajador.
Debido a la frecuencia e incidencia con que se presentan; tienen importantes
repercusiones sobre el rendimiento y la calidad del trabajo, entre otros.
Las personas presentan diferentes características que le hacen responder de diferentes
maneras a las exigencias que les demandan su organización y su empresa, y cada empresa
realiza esa demanda de acuerdo a sus características como tal. Pero nada impide que a
determinadas exigencias, la respuesta de los individuos sea común.
Los riesgos provocados por las cargas de trabajo suelen identificarse con la cantidad
de este, pero existen otros factores que originan una carga de trabajo en las personas de
distintas maneras.
La actuación ergonómica está orientada al ajuste de entre las exigencias de las tareas y
las necesidades y posibilidades de las personas.
3.4. Riesgos de TI
La práctica ha demostrado que la función de TI y los riesgos de TI a menudo no son
bien comprendidos por las principales partes interesadas de una organización, entre ellos
los miembros de la junta y la dirección ejecutiva. Sin embargo, estas son las personas que
dependen de TI para alcanzar los objetivos estratégicos y operativos de la organización y,

en consecuencia, deberían ser los responsables de la gestión de los riesgos.
El marco de riesgos de TI es utilizado para ayudar a implementar el gobierno de TI, y
las organizaciones que han adoptado (o están planeando adoptar) a COBIT como marco
de su gobierno de TI pueden utilizar RISK IT para mejorar la gestión de sus riesgos (The
Risk IT Framework, 2009).
3.4.1. Concepto
Un riesgo de TI es también un riesgo del negocio, es decir, riesgos del negocio
asociados con el uso, propiedad; operación, participación, la influencia y la adopción de
las TI en una organización.
3.4.2. Valoración del Riesgo de TI.

Según el The Risk IT Framework (Marco de Riesgo de TI), en su proceso RG3.4
menciona aceptar los riesgos de TI:
 Usando los umbrales de tolerancia de riesgos como una guía, decidir si acepta
el nivel de riesgo de exposición restante.
 Considerar pertinentes la información de los informes de análisis de riesgo
como la probabilidad de pérdida y de intervalos de tiempo, las opciones de
respuesta ante el riesgo, costo / beneficio de las expectativas y el efecto
potencial de la agregación de riesgos.
 Junto con los propietarios afectados de procesos del negocio, analizar las
relaciones riesgo-rendimiento y determinar donde pasar el presupuesto de
riesgo, de los riesgos "conocidos" para permitir la aceptación del riesgo
desconocido.
 Obtener un acuerdo comercial sobre el riesgo de aceptación o de no aceptación
y de adecuada respuesta de los requisitos de riesgo.
 Documentar cómo el riesgo se consideró en la decisión y la razón de ser de
cualquier excepción a la tolerancia al riesgo.
Garantizar que las decisiones de aceptación del riesgo y los requisitos de respuesta al
riesgo se comunican a través de líneas de organización de conformidad con el riesgo
establecido de las empresas, las políticas de gobierno corporativo y los procedimientos

(The Risk IT Framework, 2009).
3.4.3. Identificación del Riesgo de TI.

Cualquier modificación en activos, amenazas, vulnerabilidades y salvaguardas puede
tener efectos significativos en el riesgo. La rápida detección de los mismos, facilitan la
toma de decisiones adecuadas.
Identificación de Riesgos
Mega tendencias Riesgos de negocios/TI Categorías afectadas
Mayor vulnerabilidad debido al acceso en
cualquier momento y lugar.
Seguridad y Privacidad -
Consumerización La disponibilidad de los datos en la web Datos, infraestructura -
emergente. facilita los ataques cibernéticos. Legal y reglamentario
Los empleados podrían violar las políticas
relacionadas con la fugas de datos.
Falta de gobierno y supervisión en TI.
Dependencia del proveedor. Seguridad y Privacidad -

Datos, infraestructura -
El auge de la Disponibilidad de TI a ser afectada por el Legal y reglamentario -
computación en nube. uso de la nube. Proveedores terceros y
La nube genera retos en el cumplimiento de externos - Aplicaciones
auditoria y BD
La nube podría afectar la agilidad de las TI y
de las empresas
Infraestructura -
La importancia cada
Aplicaciones y BD -
vez mayor de la Planes de continuidad de negocios y de
Dotación de personal -
continuidad de las recuperación en caso de desastres
Operaciones - Entorno
operaciones
físico
Propagación de código malicioso que
provoque la caída del sistema
Riesgo de robo de información personal,
Mayor perseverancia financiera o salud Seguridad y Privacidad -
del crimen cibernético Datos
Aumento de la vulnerabilidad externa
Perdida financiera debido a transferencias
bancarias no autorizadas
Que se asignen y no se eliminen al finalizar
Mayor exposición a Datos - Aplicaciones y
su uso los derechos de acceso de empleados
amenazas internas BD - Entorno Físico
o contratistas
Mega tendencias Riesgos de negocios/TI Categorías afectadas

Que no se cumplan los proyectos dentro del
El acelerado Administración de
presupuesto, oportunidad, calidad y alcance,
programa de cambio programas y del cambio
ocasionando una fuga de valor
Tabla 2: Identificación de Riesgos por Mega tendencias.
Fuente: Basada en informe de Negocios E&Y. Perspectiva sobre los riesgos de TI. 2012.
3.4.4. Análisis del Riesgo.

El proceso del Análisis de Riesgo es el que permite la identificación de las amenazas
que acechan a los activos, para determinar la vulnerabilidad del sistema y el impacto para
la organización, obteniendo conocimiento del riesgo que se corre.
El proceso RE2 Análisis de Riesgos del The Risk IT Framework, divide el mismo en
factores de riesgos del negocio, para poder definir el alcance del riesgo, la estimación de
la frecuencia y la magnitud probable de la pérdida o la ganancia asociada. También es
necesaria identificar las opciones de respuestas a los riesgos a modo de realizar una
revisión de los resultados del análisis del riesgo de TI.
3.4.4.1. Tipos de Análisis de Riesgos.

El enfoque cualitativo de análisis de riesgos es de uso más intuitivo que el cuantitativo,
ya que ahora no entra en juego probabilidades exactas, sino una estimación de las pérdidas
potenciales. La mayor parte de las metodologías de análisis de riesgo cualitativas utilizan
los siguientes elementos:
 Amenazas
 Vulnerabilidades
 Controles (disuasorios, preventivos, correctores, de investigación)
Con estos controles se obtiene el indicador cualitativo del nivel de riesgo debido a la
probabilidad de que una amenaza se materialice sobre un activo y produzca un
determinado impacto.
El enfoque cuantitativo es menos utilizado ya que necesita de cálculos complejos o
datos difíciles de estimar. Se basa en dos parámetros fundamentales que son la
probabilidad de que se produzca un suceso y una estimación de las perdidas en caso de
que suceda (Areitio, 2008).
Valoración del riesgo (cualitativo)

Ventajas Inconvenientes
No es necesario cuantificar la Insuficiente diferenciación de los riesgos
frecuencia de las amenazas. más importantes.
No es necesario determinar los La ausencia de un análisis de
valores financieros de los activos. costes/beneficios dificulta la justificación
de inversión en la implementación de
controles.
Facilidad de inclusión para personas Los resultados son dependientes de la
que no sean experto en seguridad, calidad del equipo de gestión de riesgos.
redes y computadores.
El desarrollo del proceso para
alcanzar resultados creíbles es
llevado a cabo en menos tiempo que
en un enfoque cuantitativo.
Permite la comprensión del ranking
de riesgos.
Tabla 3: Ventajas e inconvenientes del riesgo cualitativo.
Fuente: Areitio, Javier. Seguridad de la Información. Redes, informática y sistemas de información.
3.4.4.2. Estrategias del Análisis de Riesgo

Una vez obtenidos y evaluados los riesgos a los que nos enfrentamos, se pueden definir
las políticas e implementar las soluciones prácticas o mecanismos para minimizar sus
efectos mediante las siguientes estrategias:
 Reducción y prevención de riesgos
 Transferencia de riesgos
 Atenuación de riesgos
 Aceptación de riesgos
3.5. Procesos de Administración de TI.

El dominio que conforma los procesos de Gobierno de TI – Evaluar, Dirigir y
Monitorear (EDM) asegura que los objetivos corporativos son alcanzados mediante la
evaluación de las necesidades de las partes interesadas, la priorización y toma de
decisiones; es la supervisión del progreso, cumplimiento y rendimiento, contra lo
acordado con la dirección.
Por otro lado, para alcanzar los objetivos de la empresa los cuatro dominios que
conforman los procesos de Gestión, se encuentran alineadas con las áreas de planificación,
construcción, ejecución y supervisión (PBRM) proporcionando cobertura de extremo a
extremo (COBIT 5).
Con COBIT 5 cada empresa puede organizar sus procesos como crea conveniente,
siempre y cuando tanto las metas de gestión como las relacionadas con TI queden
cubiertas; esto sin importar el tamaño de la empresa.
La manera en que están administradas los grupos de procesos mediante la composición
de los dominios para la administración de las TI mediante COBIT 5 son:
Procesos de Gobierno Empresarial
Evaluar, Orientar y Supervisar.
EDM01 Asegurar el Establecimiento y Mantenimiento del Marco de Gobierno.

EDM02 Asegurar la Entrega de Beneficios.
EDM03 Asegurar la Optimización del Riesgo.
EDM04 Asegurar la Optimización de los Recursos.
EDM05 Asegurar la Transparencia hacia las Partes Interesadas.
Figura 3: Procesos de Gobierno EDM COBIT 5

Fuente: Un marco de negocio para el Gobierno y la Gestión de las TI de la empresa. COBIT 5
Procesos de Gestión Empresarial

Alinear, Planificar y Organizar.
APO01 Gestionar el Marco de Gestión de TI. - APO08 Gestionar las relaciones.

APO02 Gestionar la Estrategia. - APO09 Gestionar los servicios
APO03 Gestionar la Arquitectura Empresarial. - APO10 Gestionar los proveedores.
APO04 Gestionar la Innovación. - APO11 Gestionar la calidad.
APO05 Gestionar portafolio. - APO12 Gestionar el riesgo.
APO06 Gestionar el Presupuesto y los Costes. - APO13 Gestionar la seguridad.
APO07 Gestionar los RR.HH.
Figura 4: Procesos de Gestión APO COBIT 5.


Construir, Adquirir e Implementar.
BAI01 Gestionar los programas y proyectos.

BAI02 Gestionar la Definición de Requisitos.
BAI03 Gestionarla identificación y la Construcción de Soluciones.
BAI04 Gestionar la Disponibilidad y la Capacidad.
BAI05 Gestionar la introducción de Cambios Organizativos.
BAI06 Gestionar los cambios.
BAI07 Gestionar la aceptación del cambio y de la transición.
BAI08 Gestionar el Conocimiento.
BAI09 Gestionar los activos.
BAI10 Gestionar la Configuración.
Figura 5: Proceso de Gestión BAI COBIT 5


Entregar, dar Servicio y Soporte.
DSS01 Gestionar las operaciones.

DSS02 Gestionar las peticiones y los Incidentes del Servicio.
DSS03 Gestionar los problemas.
DSS04 Gestionar la Continuidad.
DSS05 Gestionar los Servicios de Seguridad.
DSS06 Gestionar los Controles de los Procesos del Negocio.
Figura 6: Procesos de Gestión DSS COBIT 5.

Fuente: Un marco de negocio para el Gobierno y la Gestión de las TI de la empresa. COBIT 5.

Supervisar, Evaluar y Valorar.
MEA01 Supervisar, Evaluar y Valorar Rendimiento y Conformidad.

MEA02 Supervisar, Evaluar y Valorar el Sistema de Control Interno.
MEA03 Supervisar, Evaluar, y Valorar la conformidad. Requerimientos Externos
Gestionar los problemas.
Figura 7: Procesos de Gestión MEA COBIT 5

3.5.1. Beneficios de procesos para la empresa

Las TI como proveedoras de servicios se ven obligadas a satisfacer de mejor manera
todas las demandas del negocio. La administración de estos servicios con una base sólida
en mejores prácticas internacionales probadas, permite cumplir con las demandas e
incluso anticiparse a ellas, cuando se alcanza la madurez debida en los procesos de
administración de servicios.
La revolución de las TI ha tenido un efecto en la administración de las organizaciones,
mejorando la habilidad de los administradores para coordinar y controlar las actividades
de la organización y ayudándolos a tomar decisiones mucho más efectivas. Hoy en día el
uso de las TI se ha convertido en un componente central de toda empresa o negocio que
busque un crecimiento sostenido.
Desde este punto de vista:
 Otorga certidumbre a los proyectos de inversión, además con la reducción del
riesgo operativo aumenta la confianza de los clientes. Ayudando a maximizar
los beneficios de inversión en tecnología.
 Colabora con la detección oportuna de amenazas y, contribuye a establecer un
orden en la empresa. Tomar decisiones más informadas sobre cómo proteger la
misma.
 Establecer planes de avance para mitigar riesgos.
 Determinar cómo las nuevas iniciativas empresariales o la nueva tecnología
tendrán impacto en la empresa.
 La reducción del tamaño de la estructura jerárquica, se logra al proveer a los
administradores de información de calidad, incrementando el flujo de
información horizontal, lo cual reduce la necesidad de varios niveles de
burocracia y jerarquía administrativa.
 Proporciona ventaja competitiva, las TI pueden ser usadas para mejorar la
respuesta de una empresa o negocio hacia los requerimientos de los clientes.
3.5.2. Beneficios de procesos para la Auditoria

Algunos beneficios son la detección de oportunidades de mejora en los procesos y
sistemas de la organización, otorgando como marco para la auditoria, evaluación y una
visión externa a través de:
 Criterios objetivos y mutuamente entendidos.
 Benchmarking para justificar las debilidades y brechas en los controles.
 Incrementando la profundidad y el valor de las recomendaciones mediante enf
oques generalmente aceptados.
También para verificar la capacidad profesional o demostrar competencia en el
mercado a través de:
 Las evaluaciones y las auditorías independientes de terceros.
 Compromisos contractuales.
 Constancias y certificaciones.
Algunas herramientas al alcance de los auditores e interesados del negocio son:
 Para la gestión de servicios de TI, las mejores prácticas más populares son: ITIL
V3 y la norma ISO/IEC 20000. Si bien ambas tienen el mismo enfoque, ITIL
está enfocado en certificar a personas en su conocimiento de los procesos,
mientras, el estándar certifica que una organización cumple con todos los
procesos especificados en la norma, para un servicio en particular.
 En gestión de riesgos de TI, el estándar más utilizado es el ISO 31000.
 Para la gestión de seguridad de la información, el estándar más utilizado es
ISO/IEC 270005.
 Finalmente, para la gobernanza de TI, destacan como mejores prácticas
ISO/IEC 38500 estándar internacional que proporciona un marco de referencia
para el uso de las TI en la empresa y COBIT 5.
4. COBIT.
4.1. Introducción.
COBIT es un marco de Gobierno de TI que proporciona una serie de herramientas para
que la gerencia pueda conectar los requerimientos de control con los aspectos técnicos y
los riesgos del negocio.
Debido a que COBIT es un conjunto de herramientas y técnicas probadas y aceptadas
internacionalmente, su implementación es una señal de buena gestión en una organizaci
ón. Ayuda a los profesionales de TI y a usuarios de empresas a demostrar su compet
encia profesional a la alta dirección. Como ocurre con muchos procesos de negocio
genéricos, existen estándares y mejores prácticas de la industria de TI que las empresas
deberían seguir cuando utilizan las TI. COBIT se nutre de estas normas y propo
rciona un marco para implementarlas y gestionarlas.
A fin de proveer la información que la organización requiere para lograr sus objetivos,
los recursos de TI deben de ser administrados por un conjunto de procesos, agrupados de
forma adecuada y normalmente aceptada.
4.2. Historia, y evolución.

En cuanto a la evolución de COBIT se puede mencionar:
COBIT (1996) y COBIT segunda edición (1998), considerado como un marco de
control y auditoria de TI.
Luego con el objetivo de enfocarse en los Objetivos de Control, surge COBIT 3ra.
Edición (2000), debido a la necesidad de añadir directrices de gestión como un marco de
gestión de TI.
Luego con COBIT 4.0 (2005) y COBIT 4.1 (2007), se añaden los procesos de
gobernanza y cumplimiento, y se eliminan los de garantía; para dar lugar a un marco de
gobierno de TI.
COBIT 5 (2012) es el único marco de negocio para el gobierno y la gestión de TI de la
empresa. Esta versión de la evolución incorpora las últimas ideas en la gobernanza
empresarial y técnicas de gestión, proporcionando principios globalmente aceptados,
prácticas, herramientas analíticas y modelos para ayudar a aumentar la confianza en, y el
valor de los sistemas de información. COBIT 5 se construye y se expande en COBIT 4.1
mediante la integración de otros grandes marcos, normas y recursos, incluyendo Val IT

de ISACA y de riesgos de TI, Tecnología de la Información Biblioteca de Infraestructura
de TI (ITIL) y las normas relacionadas de la Organización Internacional de Normalización
(ISO).
COBIT 5 hoy:
 Compendio de mejores prácticas aceptadas internacionalmente
 Orientado al gerenciamiento de las tecnologías
 Complementado con herramientas y capacitación
 Respaldado por una comunidad de expertos
 En evolución permanente
 Mantenido por una organización sin fines de lucro, con reconocimiento
internacional
 Mapeado con otros estándares
 Orientado a Procesos, sobre la base de Dominios de Responsabilidad
Figura 8: Evolución de COBIT.

Fuente: ISACA. (2012). COBIT 5.
4.3. Cobit 4.1 y Cobit 5.

COBIT 4.1 enfatizó en el cumplimiento de las normas, ayudando a las organizaciones
a incrementar el valor de TI, apoyando el alineamiento con el negocio y simplificando la
implementación de COBIT. Esta versión no invalidó el trabajo efectuado con las versiones
anteriores de COBIT, sino que pudo ser utilizado para mejorar el trabajo previo.
Forman parte de los recursos de COBIT 4.1: La información, la infraestructura, las
aplicaciones (servicios) y las personas (personas, habilidades y competencias).
La cultura, ética y comportamiento son mencionados en pocos procesos de COBIT 4.1.
La estructura organizativa de COBIT 4.1 se encuentra implícita a través de las tablas
RACI, funciones de responsabilidad, rendición de cuentas, consultado o informado y sus
definiciones.
COBIT 4.1 no posee catalizadores (habilitadores), por más que estos se encuentran en
el marco explícitamente o implícitamente. Al igual que en COBIT 4.1, el COBIT 5 puede
ser utilizado como una guía para ajustar según sea necesario un propio modelo de proceso
de la empresa.
Construido sobre más de 15 años de aplicación práctica, ISACA desarrolló COBIT 5
para cubrir las necesidades de los interesados, y alinearse a las actuales tendencias sobre
técnicas de gobierno y administración relacionadas con la TI.
COBIT 5 es producto de la mejora estratégica de ISACA impulsando la próxima
generación de guías sobre el Gobierno y la Administración de la Información y los activos
tecnológicos de las organizaciones.
Basado en un modelo de referencia de procesos, con un nuevo dominio de gobierno y
varios procesos nuevos y modificados que cubren las actividades empresariales de
extremo a extremo.
La cascada de metas de COBIT 5 traduce a las partes interesadas, las necesidades
concretas, prácticas y personalizadas en el contexto de la empresa, los objetivos
relacionados con la TI y luego con el apoyo de los procesos críticos. La cascada de metas
no es nueva en COBIT 5, fue introducido en COBIT 4.0 en el 2005.
COBIT 5 consolida COBIT 4.1, Val IT y Risk IT en un marco, y ha sido actualizado
para alinearse con las mejores prácticas actuales (ITIL V3 2011, TOGAF).
COBIT 5 será apoyado por un nuevo enfoque de evaluación de la capacidad del proceso
basado en la norma ISO / IEC 15504, y el Programa de Evaluación de COBIT ya ha sido
establecido para COBIT 4.1 como alternativa al enfoque CMM.
Sin embargo, enfoques basados en CMM no se consideran compatibles con el enfoque

de la norma ISO / IEC 15504, porque los métodos utilizan diferentes atributos y escalas
de medición.
4.4. Las diferencias y similitudes entre las versiones anteriores.

4.4.1. Principios y Conceptos.
COBIT 5, tal como lo describe ISACA, es un Marco de Trabajo (Framework) para
alcanzar los objetivos empresariales de Gobierno y Gestión de la Información y de todos
sus recursos tecnológicos relacionados; con origen en las necesidades de las partes
interesadas del negocio y en la cobertura de TI de extremo a extremo. Pudiendo ser
aplicado en cualquier tipo de organización.
COBIT 5 sigue la misma meta y conceptos métricos que COBIT 4.1, Val IT y Risk IT,
pero éstos renombraron los objetivos de la empresa, los objetivos relacionados con la TI
y los objetivos del proceso que reflejan una visión a nivel de empresa.
COBIT 5 ofrece ejemplos de objetivos y métricas a nivel de empresa, los procesos y
prácticas de gestión Este es un cambio de COBIT 4.1.
Las prácticas de gobierno o de gestión del COBIT 5 son equivalentes a los objetivos
de control de COBIT 4.1 y Val IT y Riesgo de TI.
4.4.1.1. Los principios de COBIT.

De COBIT 4.1:
 Requerimientos del Negocio: Requerimientos de calidad (calidad, costo,
oportunidad), Requerimientos Financieros
(efectividad, eficiencia, confidencialidad, cumplimiento), Requerimientos de
Seguridad (integridad, disponibilidad y confiabilidad).
 Recursos de TI: Datos, aplicaciones, tecnología, instalaciones y RRHH
 Procesos de TI: Dominios (Agrupación natural de procesos), procesos
(conjunto de actividades unidas con delimitación o cortes de control),
actividades o tareas (Acciones para lograr un resultado medible)
 Información de la Empresa.
Figura 9: Principio básico de COBIT

Fuente: ITGI (2007). COBIT 4.1
De COBIT 5:
 Satisfacer las necesidades de las partes interesadas: Las empresas existen para
crear valor para sus partes interesadas manteniendo el equilibrio entre la
realización de beneficios y la optimización de los riesgos y el uso de recursos.
 Cubrir la empresa de extremo a extremo: COBIT 5 integra el gobierno y la
gestión de TI en el gobierno corporativo:
 Cubre todas las funciones y procesos dentro de la empresa;
 Considera que los catalizadores relacionados con TI para el gobierno y
la gestión deben ser a nivel de toda la empresa y de principio a fin, es
decir, los que sean relevantes para el gobierno y la gestión de la
información de la empresa y TI relacionadas.
 Aplicar un marco de referencia único e integrado: COBIT 5 se alinea a alto
nivel con otros estándares y marcos de trabajo relevantes, y de este modo puede
hacer la función de marco de trabajo principal para el gobierno y la gestión de
las TI de la empresa.
 Hacer posible un enfoque holístico: COBIT 5 define un conjunto de
catalizadores para apoyar la implementación de un sistema de gobierno y
gestión global para las TI de la empresa.
 Separar el gobierno de la gestión: COBIT 5 establece una clara distinción ente

ambas clasificándola con distintos tipos de actividades, a su vez con diferentes
estructuras organizativas y que sirven para distintos propósitos.
Figura 10: Principios de COBIT 5.

Fuente: ISACA. (2012). COBIT 5.
4.4.1.2. Los siete catalizadores (habilitadores) de COBIT 5.

Los catalizadores son factores que, individual y colectivamente, influyen sobre si algo
funcionará. En este caso el gobierno y la gestión de TI.
Al alcanzar el 4to. Principio (Hacer posible un enfoque holístico), el marco de trabajo
COBIT 5 define siete categorías de catalizadores o habilitadores:
 Principios, políticas y marcos de referencia son el vehículo para traducir el
comportamiento deseado en guías prácticas para la gestión del día a día.
 Los procesos describen un conjunto organizado de prácticas y actividades para
alcanzar ciertos objetivos y producir un conjunto de resultados que soporten las
metas generales relacionadas con TI.
 Las estructuras organizativas son las entidades de toma de decisiones clave en
una organización.
 La Cultura, ética y comportamiento de los individuos y de la empresa son muy

a menudo subestimados como factor de éxito en las actividades de gobierno y
gestión.
 La información impregna toda la organización e incluye toda la información
producida y utilizada por la empresa.
 Los servicios, infraestructuras y aplicaciones incluyen la infraestructura,
tecnología y aplicaciones que proporcionan a la empresa, servicios y
tecnologías de procesamiento de la información.
 Las personas, habilidades y competencias están relacionadas con las personas
y son necesarias para poder completar de manera satisfactoria todas las
actividades y para la correcta toma de decisiones y de acciones correctivas.
Figura 11: Catalizadores de COBIT 5.

Fuente: ISACA. (2012). COBIT 5. Catalizadores de COBIT 5.
4.4.1.3. Gobierno y Gestión TI.

El Gobierno asegura que se evalúan las necesidades, condiciones y opciones de las
partes interesadas para determinar que se alcanzan las metas corporativas equilibradas y
acordadas; estableciendo la dirección a través de la priorización y la toma de decisiones;
y midiendo el rendimiento y el cumplimiento respecto a la dirección y metas acordadas.
La gestión planifica, construye, ejecuta y controla actividades alineadas con la

dirección establecida por el cuerpo de gobierno para alcanzar las metas empresariales.
Gobierno y Gestión COBIT 4.1: Con un enfoque más operativo para lograr un gobierno
efectivo, los ejecutivos esperan que los controles a ser implementados por los gerentes
operativos se encuentren dentro de un marco de control definido para todos los procesos
de TI.
Los objetivos de control de TI del COBIT 4.1 están organizados por procesos de TI;
por lo tanto, el marco de trabajo brinda una alineación clara entre los requerimientos de
gobierno de TI, los procesos de TI y los controles de TI.
COBIT 4.1 brinda un modelo de procesos genéricos que representa todos los procesos
que normalmente se encuentran en las funciones de TI, ofreciendo un modelo de
referencia común entendible para los gerentes operativos de TI y del negocio.
Sin embargo COBIT 5 propone una visión del gobierno y la gestión de la seguridad de
la información mediante una guía detallada para establecerla, implementarla y mantenerla,
como parte de las políticas, procesos y estructuras de la organización.
Catalizador Interacción
Procesos. En COBIT 5 Procesos - Catalizadores se distinguen los
procesos de gobierno y gestión, incluyendo conjuntos
específicos de prácticas y actividades para cada uno. El
Interacción entre Gobierno y Gestión.
modelo de procesos también incluye una matriz RACI.

Información. El modelo de procesos describe las entradas y salidas de los
distintos procesos basados en prácticas a otros procesos,
incluyendo la información intercambiada entre los procesos de
gobierno y de gestión.
Estructuras En función de su composición y ámbito de decisiones, las
Organizativas. estructuras pueden ubicarse en el área de gobierno o de gestión.
Debido a que el Gobierno trata de establecer la orientación, la
interacción tiene lugar entre las decisiones tomadas por las
estructuras de gobierno.
Principios, Son vehículos mediante los cuales las decisiones de gobierno
políticas y son sancionadas en la empresa. Por lo mismo son la interacción
marcos. entre las decisiones de gobierno (establecer) y de gestión
(ejecutar).
Cultura, ética y Se establece al más alto nivel liderando mediante el ejemplo.
comportamientos Por lo mismo es una interacción entre el Gobierno y Gestión.
.
Personas, Independientemente de las habilidades requeridas para el

habilidades y gobierno y la gestión, la importancia de conocer las actividades
competencias. que corresponden a cada uno dentro del órgano estructural es
esencial.
Servicios, Se requiere de este catalizador para proporcionar la información
infraestructura y adecuada al órgano de gobierno y soportar las actividades
aplicaciones requeridas al momento de evaluar, establecer la orientación y
supervisar.
Tabla 4: Interacciones: Gobierno y Gestión en COBIT 5.
Fuente: Propia. Basada en: ISACA. (2012). COBIT 5
Interacciones entre Gobierno y Gestión: Las interacciones entre el gobierno y gestión

de TI y la estructura de catalizadores son necesarias para lograr cubrir los diferentes tipos
de responsabilidades, y lograr un sistema de gobierno eficiente y eficaz estructurándolo
mediante catalizadores.
Dominios de Procesos: COBIT 4.1 está clasificada en cuatro dominios compuestos por
procesos pertenecientes a cada dominio (objetivos de control):
Los objetivos de control detallados se identifican por dos caracteres que representan el
dominio (PO, AI, DS y ME) más un número de proceso y un número de objetivo de
control. Se deben tomar como un todo junto con los objetivos de control del proceso para
tener una visión completa de los requerimientos de control.
Figura 12: Dominios de COBIT 4.1

Fuente: ITGI. (2007). COBIT 4.1. Los 4 Dominios interrelacionados de COBIT 4.1.
 Planear y Organizar (PO): Proporciona dirección para la entrega de soluciones

(AI) y la entrega de servicio (DS).
 Adquirir e implementar (AI): Proporciona las soluciones y las hace utilizables

por los usuarios finales.
 Entregar y dar soporte (DS): Recibe las soluciones y las hace utilizables por los
usuarios finales.
 Monitorear y Evaluar (ME): Monitorear todos los procesos para asegurar que
se sigue la dirección provista.
Por otro lado COBIT 5 subdivide en procesos las prácticas y actividades de la empresa
relacionados con TI en dos principales áreas: gobierno y gestión.
El dominio Gobierno contiene cinco procesos de gobernanza; dentro del dominio,
evaluar, dirigir y supervisar se definen (EDM) prácticas mejoradas de COBIT 4.1.
Los dominios de Gestión están conformados por cuatro dominios que están en línea
con las áreas de responsabilidad de planificar, construir, ejecutar y supervisar (PBRM).
Estos cambios ayudan a las empresas para perfeccionar y fortalecer las prácticas y
actividades GEIT. Y soporta su integración con las prácticas de gobierno existentes y
alineada con la norma ISO / IEC 38500.
Figura 13: Áreas de Gobierno y Gestión de TI COBIT 5

Fuente: ISACA. (2012). COBIT 5. Áreas clave de Gobierno y Gestión de TI.
Cambios en cuanto a procesos y dominios de COBIT 5 respecto a COBIT 4.1

 Existe un nuevo Dominio que se enfoca en aspectos de Gobierno de TI,
denominado “EDM – Evaluar, Dirigir y Monitorear” y que cubre el antiguo
proceso ME4 de COBIT 4.1
 La cantidad de procesos se ha incrementado de 34 a 37.
Si bien los objetivos de control que corresponden a cada proceso de COBIT 4.1, se
mantienen mayoritariamente dentro del mismo dominio, existen excepciones como las
siguientes:
 PO10: Administrar los proyectos, pasó al Dominio BAI.
 AI5: Procurar recursos de TI, pasó al Dominio APO.
 DS1: Definir y Administrar los niveles de servicio, pasó al Dominio APO.
 DS2: Administrar los servicios de Terceros, pasó al Dominio APO.
 DS3: Administrar el desempeño y la capacidad, pasó al Dominio BAI.
 DS6: Identificar y asignar costos, pasó al Dominio APO.
 DS7: Educar y Entrenar a los usuarios, pasó al Dominio APO.
 DS12: Administrar el Ambiente Físico ahora forma parte del DSS5 – Gestionar
los Servicios de Seguridad
 En el dominio APO – Administrar, Planear y Organizar, es donde se observa
mayor reorganización interna de los objetivos de control, es decir que un
antiguo proceso de COBIT 4, ahora puede estar distribuido como parte de hasta
5 procesos del mismo dominio en COBIT 5.
Existen nuevos procesos cuyo contenido es mayormente producto de COBIT 5,
destacándose:
 EDM01: Asegurar el establecimiento y mantenimiento del marco de referencia
de gobierno
 APO01: Gestionar el Marco de Gestión de las TI
 APO04: Gestionar Innovación
 APO13: Gestionar Seguridad
 BAI8: Gestión del Conocimiento
4.4.2. Estructuras y marcos de trabajo.

4.4.2.1. Estructuras y marcos del COBIT 4.1.
COBIT 4.1 consiste en:
 Un resumen ejecutivo,
 El marco referencial,
 Objetivos de Control;
 Guías de Auditoría y
 Un conjunto de Herramientas de implementación
Las versiones 4.x de COBIT, incluyen un marco de trabajo donde
explica cómo COBIT organiza la gestión del gobierno de TI, los objetivos de control y l
as mejores prácticas de los procesos y dominios de TI, y los relaciona con las necesidade
s del negocio. El marco contiene un conjunto de 34 objetivos de control de alto nivel
(descriptos), uno para cada proceso de TI y agrupados en los cuatro dominios (PO, AI,
DS, ME)
Los objetivos de control que proveen de los objetivos de gestión de las mejores
prácticas genéricas para los procesos de TI. Las directrices de gestión que ofrecen
herramientas para ayudar a asignar responsabilidades y medir el desempeño (Anexo 6). Y
el modelo de madurez proporciona perfiles de los procesos de TI que describen los
posibles estados actuales y futuros.
4.4.2.2. Estructuras y marcos de COBIT 5

La publicación inicial, define y describe los componentes que conforman COBIT 5:
 Principios
 Arquitectura
 Facilitadores
 Guía de implementación
 Otras publicaciones futuras de interés
En cuanto a los procesos se encuentran agrupadas en diferentes dominios como:
Alinear, planificar y organizar, que ha quedado muy complejo, ya que debe de unificar
aspectos de gestión estratégica, arquitectura empresarial, portfolios de proyectos y
servicios, ahora se le ha incluido además gestión de la innovación, etc.
Construir, adquirir e implementar, destinada a la gestión de proyectos, muy similar al

PMI en gestión de programas y proyectos.
Entregar, servir y soportar, destinado a la explotación de servicios alineado con ITIL
V3 y una gestión de activos muy interesante. (Anexo 4)
Otro de los cambios significativos es el haber transformado el famoso “Pentágono” del
Gobierno de TI de COBIT 4.1 en el nuevo dominio denominado “EDM – Evaluar / Dirigir
& Monitorear”.
Figura 14: Pentágono de COBIT 4.1

Fuente: Propia basada en la figura 2: Áreas de enfoque de Gobierno de TI. COBIT 4.1
Traspaso al Dominio EDM de COBIT 5

COBIT 4.1 COBIT 5
Áreas de enfoque de
Alineación Estratégica. Prácticas de Evaluar y dirigir (Governance).

Gobierno TI
Práctica de Dirigir (Management).

Entrega de Valor. Proceso EDM2
Gestión de Riesgos. Proceso EDM3
Gestión de Recursos. Proceso EDM4
Medición de Proceso EDM5 y Práctica de Monitoreo.
desempeño.
Tabla 5: Traspaso COBIT 4.1 al Dominio Evaluar/Dirigir & Monitorear (EDM) de COBIT 5.
Fuente: Extraído de: https://francoitgrc.wordpress.com/2014/11/26/15/. En fecha: 05/04/15.
El último de los cambios fundamentales que presenta la nueva versión COBIT es el

novedoso Modelo de la Información que viene a reemplazar a los 7 Criterios que durante
toda la vigencia de COBIT 4.1 dieron forma al cubo:
Principales Cambios
COBIT 4.1 COBIT 5
Criterios de Información
Efectividad Utilidad
Eficiencia Usabilidad
Integridad Libre de Error
Confiabilidad Credibilidad
Disponibilidad Accesibilidad
Confidencialidad Seguridad
Cumplimiento Conformidad
Tabla 6: Criterios de COBIT 4.1 a Modelo de Información de COBIT 5.
Fuente: Extraído de: https://francoitgrc.wordpress.com/2014/11/26/15/.
COBIT 5 ofrece entradas y salidas para cada práctica de manejo, mientras que COBIT
4.1 sólo proporcionó estas a nivel de proceso. Este ofrece una orientación adicional
detallada para el diseño de procesos y ayuda con la integración entre los mismos.
COBIT 5 ofrece gráficos RACI que describen las funciones y responsabilidades de una
manera similar a COBIT 4.1, Val IT y de Risk IT. Pero ofreciendo una gama completa,
detallada y clara del negocio y de TI que COBIT 4.1, esto para cada práctica de gestión
de roles genéricos; lo que permite una mejor definición de las responsabilidades en el
diseño e implementación de procesos. (Anexo 6 y Anexo 7)
4.4.3. Metas de Negocio y Metas de TI.

Respecto a la relación habitual entre metas del negocio y metas de TI, COBIT 5 ha
mejorado en cuanto a la precisión del grado de relevancia de dicho nexo, dado que ahora
se la discrimina en “Primaria” o “Secundaria”, mientras que en COBIT 4.1 sólo se la
marcaba con una tilde genérica.
Las metas de la empresa para la TI se utilizan para formalizar y estructurar las
necesidades de las partes interesadas. Las metas de la empresa pueden estar vinculadas a
metas relacionadas con las TI, y estos objetivos relacionados con las TI pueden lograrse
con la utilización óptima y la ejecución de todos los catalizadores, incluidos los procesos.
En COBIT 5 se mantiene la cantidad de metas del negocio (17) pero ha cambiado de
COBIT 4.1 sus contenidos y la distribución respecto a las perspectivas del Balanced
Scorecard. (Anexo 2).
Con respecto a las metas de TI, COBIT 5 ha efectuado dos cambios importantes
comparativamente con COBIT 4.1:
 Disminuyó la cantidad de 28 a 17 metas. (Anexo 3).
 Para cada meta de TI se indica a cuál perspectivas del Balanced Scorecard
corresponde:
Figura 15: Metas de TI por perspectiva. COBIT 5.

Fuente: Metas de TI. Extraído de: https://francoitgrc.wordpress.com/2014/11/26/15/.
4.4.3.1. Cascada de Metas de COBIT 5.

Las necesidades de las partes interesadas deben transformarse en una estrategia
corporativa factible. La cascada de metas es el mecanismo para traducir las necesidades
de las partes interesadas en metas del negocio, metas de TI y metas catalizadoras. De este
modo se logra establecer metas específicas para cada área del negocio mediante el logro
de los objetivos generales y requisitos de las partes interesadas y así soportar la alineación
entre las necesidades del negocio y las de TI.
COBIT 5 define 17 objetivos genéricos con la dimensión de la CMI que corresponde a
las metas del negocio, la relación con los tres objetivos principales del gobierno
(beneficios - optimización de riesgos – optimización de recursos). (Anexo 2).
También define otros 17 objetivos genéricos con la dimensión de la CMI y las metas
en este caso aquellas relacionadas con TI. (Anexo 3).
COBIT 5 realiza un mapeo entre las metas del negocio y las metas relacionadas con TI
para demostrar como las metas del negocio son soportados por las metas TI (Anexo 4),
para una vez filtradas aquellas metas TI que correspondan a las metas del negocio
primeramente establecidas, las mismas deben ser nuevamente mapeadas pero por los
procesos que soportan a dichas metas TI. (Anexo 5).
Figura 16: Cascada de Metas de COBIT5.

Fuente: ISACA. COBIT 5. Visión general de la cascada de metas de COBIT 5. (2012).
Al obtener este grupo de procesos que afectan a las metas TI, filtradas a su vez según
las metas del negocio previamente seleccionadas y definiendo las metas específicas
correspondiente a los restantes catalizadores (metas catalizadoras), se puede proceder al
diseño y desarrollo de un manual de control interno basado en las necesidades de las partes
interesadas.
4.4.4. Modelo de Madurez.

Es la manera en que las empresas sepan que tan bien se administran las TI con las que
cuentan, para ello debe realizarse un plan de negocio a fin de alcanzar el nivel apropiado
de administración y control sobre la infraestructura de información.
En COBIT 4.1 el modelo de madurez para la administración y el control de los procesos
de TI se basan en un método de evaluación de la organización, de tal forma que pueda
evaluarse a sí misma desde un nivel de no-existente 0 hasta un nivel de optimizado 5.
Los niveles de madurez están diseñados como perfiles de procesos de TI que una
empresa reconocería como descripciones de estados posibles, actuales y futuros. No están
diseñados para ser como un modelo militante, donde no se puede pasar al siguiente nivel
superior sin haber cumplido todas las condiciones del nivel inferior.
En COBIT 4.1 el modelo de madurez fue desarrollado para cada uno de los procesos
de TI donde la gerencia podrá identificar el desempeño, estatus, objetivo y crecimiento de
la empresa.
Figura 17: Modelo de Madurez de COBIT 4.1

Fuente: ISACA 2012. COBIT 5. Modelo de Madurez del COBIT 4.1
Sin embargo, COBIT 5 introduce una nueva forma de medir la madurez de los procesos
a través del “Process Capability Model”, basado en el estándar internacionalmente
reconocido ISO/IEC 15504 diferente en su diseño y uso al modelo de madurez que incluía
COBIT 4.1.
Este modelo alcanzará los mismos objetivos generales de evaluación de procesos y
apoyo a la mejora de procesos, es decir, que proporcionará un medio para medir el
desempeño de cualquiera de los procesos de gobierno (basado en EDM) o de gestión

(basado en PBRM), y permitirá identificar áreas de mejora.
En COBIT 5 existe seis niveles de capacidad que se pueden alcanzar por un proceso,
incluida la designación de “proceso incompleto” si las prácticas definidas en el proceso
no alcanzan la finalidad prevista.
En COBIT 5 cada nivel de capacidad puede ser alcanzado sólo cuando el nivel inferior
se ha alcanzado por completo.
Figura 18: Modelo de Capacidad de Procesos de COBIT 5.

Fuente: ISACA. COBIT 5: Modelo de Capacidad de Procesos del COBIT 5. (2012).
Este nuevo modelo plantea las siguientes diferencias:

 Al estar basado en la ISO/IEC 15504 es más exigente respecto a lo que debe
cumplir cada proceso para ascender de nivel, dado que este estándar plantea
que se deben cumplir los 9 atributos definidos para cada proceso, como
requisito para acreditar dicho grado de madurez.
 Una evaluación realizada bajo este nuevo modelo no es comparable y no puede
ser mezclada con evaluaciones realizadas bajo el modelo de COBIT 4.1, dado
que se distorsionarían los resultados por ser distintas las exigencias.
Figura 19: Comparación entre ambos Modelos de Madurez.

Fuente: ISACA. (2012). COBIT 5. Mapeo oficial de ISACA entre ambos modelos de madurez.
4.4.5. Beneficios de los cambios.

Enfoque mejorado en los procesos de ejecución, para confirmar que se está realmente
consiguiendo el objetivo y se está entregando los resultados esperados (Anexo 8).
Contenido simplificado a través de la eliminación de duplicados, COBIT 4.1 requería
el uso de un número de componentes específicos, incluido el modelo de madurez genérico,
los modelos de madurez de los procesos, objetivos de control y controles sobre los
procesos para apoyar las evaluaciones de los mismos.
Confiabilidad y repetitividad mejorada de las actividades y valoraciones de la
“evaluación de la capacidad de los procesos”, reduciendo desacuerdos entre las partes
interesadas sobre los resultados de la evaluación.
Cumplimiento con un estándar de evaluación de procesos generalmente aceptado y de
esta forma con un fuerte soporte al enfoque de evaluación de procesos por el mercado.
4.5. Marcos de trabajo que componen COBIT 5.

4.5.1. BMIS.
COBIT 5 toma como base el modelo relacional que utiliza BMIS, incorporando su
visión integral y sus componentes a esta versión.
El BMIS (Modelo de negocios para la Seguridad de la Información) presenta un
enfoque integral y orientado al negocio para la gestión de la seguridad de la información.
Establece un lenguaje común para referirse a la protección de la información. Desafiando
la visión convencional de la inversión en seguridad de la información.
Varios de los componentes del BMIS han sido integrados al COBIT 5, como
habilitadores que interactúan y respaldan la gestión en la organización para alcanzar sus
objetivos de negocio y crear valor.
Estos componentes son:
 Organización, procesos, personas
 Factores humanos, tecnología, cultura
 Habilitación y soporte
 Gobierno y arquitectura
El modelo de negocios para la Seguridad de la Información, ofrece una explicación en
profundidad a un modelo de negocio integral que examina cuestiones de seguridad desde
una perspectiva de sistemas.
4.5.2. ITAF.
ITAF constituye un marco de trabajo que establece normas de auditoria y seguridad de
roles profesionales y responsabilidades, conocimientos, habilidades y diligencia; conducta
y requisitos de información. Consiste en el cumplimiento y la buena orientación de las
configuraciones prácticas.
ITAF puede ser aplicada por las personas que actúan en calidad de profesionales de la
auditoría y seguridad de los Sistemas de Información, que se dedican a ofrecer garantías
sobre algunos componentes de los sistemas de TI, aplicaciones e infraestructura.
Sin embargo, estas normas, directrices y estos procedimientos de auditoría y seguridad
están diseñados de una manera que también puede ser útil, y que puede beneficiar a, un
público más amplio, incluidos los usuarios de los informes de auditoría y seguridad de los
Sistemas de Información.
4.5.3. Risk IT.

Risk IT es un marco basado en un conjunto de principios rectores para la gestión eficaz
de los riesgos de TI. El marco complementa COBIT, un marco global para la gestión y el
control de soluciones y servicios basados en TI-negocio-conducido.
Mientras COBIT proporciona un conjunto de controles para mitigar los riesgos de TI,
Risk IT proporciona un marco para las empresas a identificar, gobernar y administrar los
riesgos de TI. En pocas palabras, COBIT proporciona los medios de gestión de

riesgos; Risk IT brinda los extremos.
Risk IT se encuentra totalmente incluida en COBIT 5.
4.5.4. Val IT.

Un nuevo marco de gobernanza, y publicaciones de apoyo que abordan la gobernanza
de TI habilitados para las inversiones empresariales, Val IT se compone de un conjunto
de principios rectores que ayudan a abordar inversiones empresariales supuestos, los
costos, los riesgos y los resultados relacionados con una cartera equilibrada de TI
habilitadas. También proporciona la capacidad de evaluación comparativa y permite a las
empresas intercambiar experiencias sobre las mejores prácticas para la gestión del valor.
Val IT se encuentra totalmente incluida en COBIT 5.
5. Modelo de Administración de TI.

El Modelo de Administración de TI puede estar compuesto por siete categorías de
catalizadores, los mismos son guiados por la cascada de metas en COBIT 5, es decir,
objetivos de alto nivel relacionados con TI definen lo que los catalizadores deberían
conseguir.
Según los motivos de las partes interesadas las diferentes cascadas de metas:
 Influyen en las necesidades de las partes interesadas.
 Desencadenan metas empresariales.
 De metas empresariales a metas relacionadas con las TI.
 De metas relacionadas con las TI a metas catalizadoras que no son más que un
conjunto de procesos, estructuras organizativas e información.
Las expectativas al desarrollar un Modelo de Administración de TI basado en un marco
de referencia con un alcance amplio o específico, es que todos los marcos pretenden lograr
el “Gobierno de TI”:
 Promoviendo la visión de TI como proveedor de servicios
 Fomentando el foco en el cliente
 Posicionar al área de TI en la cadena de valor
 Estandarizando procesos
 Mejorando la comunicación de las áreas del negocio y TI para así lograr una
gestión predecible.
5.1. Procesos.
Los procesos en COBIT 5 tienen partes interesadas internas y externas cada una con
sus propios roles y niveles de responsabilidad registradas en las tablas RACI (Anexo 6 y
7). Las metas de los procesos se definen como “declaraciones que describen el resultado
deseado de un proceso”; pudiendo ser un dispositivo, un cambio significativo en el estado
de otros procesos o una mejora en la capacidades de los procesos.
Las metas de los procesos se pueden categorizar cómo intrínseca, contextual, de
seguridad y acceso. Cada una de los niveles de las cascadas de metas define métricas que
miden el grado de consecución de los mismos.
Cada proceso tiene un ciclo de vida. COBIT 5 contiene un modelo de referencia de
procesos en el que se describen buenas practicas internas sobre procesos en niveles de
detalle crecientes.
Los procesos en base a COBIT 5 son agrupados en 5 Dominios correspondientes a dos
áreas principales de actividad (Gobierno y Gestión):
 Alinear, Planificar y Organizar (APO)
 Construir, Adquirir e Implementar (BAI)
 Entregar, dar Servicio y Soporte (DSS)
 Supervisar, Evaluar y Valorar (MEA)
 Evaluar, Orientar y Supervisar (EDM)
Cada Dominio está compuesta por un grupo de procesos que corresponden al área en
común.
5.1.1. Procesos del Dominio APO.

Composición y Objetivos:
 APO01 Gestionar el Marco de Gestión de las TI: Aclarar y mantener el
gobierno de la misión y la visión corporativa de las TI. Implementar y mantener
mecanismos y autoridades para la gestión de la información y el uso de las TI
en la empresa, para apoyar los objetivos de gobierno en consonancia con las

políticas y los principios rectores.
 APO02 Gestionar la estrategia: Proporcionar una visión holística del negocio
actual y del entorno de TI, la dirección futura, y las iniciativas necesarias para
migrar al entorno deseado. Aprovechar los bloques y componentes de la
estructura empresarial, incluyendo los servicios externalizados y las
capacidades relacionadas que permitan una respuesta ágil, confiable y eficiente
a los objetivos estratégicos.
 APO03 Gestionar la arquitectura empresarial: Establecer una arquitectura
común compuesta por los procesos de negocio, la información, los datos, las
aplicaciones y las capas de la arquitectura tecnológica de manera eficaz y
eficiente para la realización de las estrategias de la empresa y de las TI,
mediante la creación de modelos clave y prácticas que describan las líneas de
partida y las arquitecturas objetivo. Definir los requisitos para la taxonomía, las
normas, las directrices, los procedimientos, las plantillas y las herramientas y
proporcionar un vínculo para estos componentes. Mejorar la adecuación,
aumentar la agilidad, mejorar la calidad de la información y generar ahorros de
costes potenciales mediante iniciativas tales como la reutilización de bloques
de componentes para los procesos de construcción.
 APO04 Gestionar la innovación: Mantener un conocimiento de la tecnología de
la información y las tendencias relacionadas con el servicio, identificar las
oportunidades de innovación y planificar la manera de beneficiarse de la
innovación en relación con las necesidades del negocio. Analizar cuáles son las
oportunidades para la innovación empresarial o qué mejora puede crearse con
las nuevas tecnologías, servicios o innovaciones empresariales facilitadas por
TI, así como a través de las tecnologías ya existentes y por la innovación en
procesos empresariales y de las TI. Influir en la planificación estratégica y en
las decisiones de la arquitectura de empresa.
 APO05 Gestionar el portafolio: Ejecutar el conjunto de direcciones estratégicas
para la inversión alineada con la visión de la arquitectura empresarial, las
características deseadas de inversión, los portafolios de servicios relacionados,

considerar las diferentes categorías de inversión y recursos y las restricciones
de financiación.
 APO06 Gestionar el presupuesto y los costes: Gestionar las actividades
financieras relacionadas con las TI tanto en el negocio como en las funciones
de las TI, abarcando presupuesto, coste y gestión del beneficio, y la priorización
del gasto mediante el uso de prácticas presupuestarias formales y un sistema
justo y equitativo de reparto de costes a la empresa.
Consultar a las partes interesadas para identificar y controlar los costes totales
y los beneficios en el contexto de los planes estratégicos y tácticos de las TI, e
iniciar acciones correctivas cuando sea necesario.
 APO07 Gestionar los Recursos Humanos: Proporcionar un enfoque
estructurado para garantizar una óptima estructuración, ubicación, capacidades
de decisión y habilidades de los recursos humanos. Esto incluye la
comunicación de las funciones y responsabilidades definidas, la formación y
planes de desarrollo personal y las expectativas de desempeño, con el apoyo de
gente competente y motivada.
 AP008 Gestionar las relaciones: Gestionar las relaciones entre el negocio y TI
de modo formal y transparente, enfocándolas hacia el objetivo común de
obtener resultados empresariales exitosos, apoyando los objetivos estratégicos
y dentro de las restricciones del presupuesto y los riesgos tolerables.
Basar la relación en la confianza mutua, usando términos entendibles, lenguaje
común y voluntad de asumir la propiedad y responsabilidad en las decisiones
claves.
 AP009 Gestionar los acuerdos de servicio: Alinear los servicios basados en TI
y los niveles de servicio con las necesidades y expectativas de la empresa,
incluyendo identificación, especificación, diseño, publicación, acuerdo y
supervisión de los servicios TI, niveles de servicio e indicadores de
rendimiento.
 APO10 Gestionar los Proveedores: Administrar todos los servicios de las TI

prestados por todo tipo de proveedores para satisfacer las necesidades del
negocio, incluyendo la selección de los proveedores, la gestión de las
relaciones, la gestión de los contratos y la revisión y supervisión del desempeño,
para una eficacia y cumplimiento adecuados.
 APO11 Gestionar la calidad: Definir y comunicar los requisitos de calidad en
todos los procesos, procedimientos y resultados relacionados de la
organización, incluyendo controles, vigilancia constante y el uso de prácticas
probadas y estándares de mejora continua y esfuerzos de eficiencia.
 APO12 Gestionar el riesgo: Identificar, evaluar y reducir los riesgos
relacionados con TI de forma continua, dentro de niveles de tolerancia
establecidos por la dirección ejecutiva de la empresa.
 APO13 Gestionar la seguridad: Definir, operar y supervisar un sistema para la
gestión de la seguridad de la información.
5.1.2. Procesos del Dominio BAI.

 BAI01 Gestión de programas y proyectos: Gestionar todos los programas y
proyectos del portafolio de inversiones de forma coordinada y en línea con la
estrategia corporativa. Iniciar, planificar, controlar y ejecutar programas y
proyectos y cerrarlos con una revisión post-implementación.
 BAI02 Gestionar la definición de requisitos: Identificar soluciones y analizar
requerimientos antes de la adquisición o creación para asegurar que estén en
línea con los requerimientos estratégicos de la organización y que cubren los
procesos de negocios, aplicaciones, información/datos, infraestructura y
servicios. Coordinar con las partes interesadas afectadas la revisión de las
opciones viables, incluyendo costes y beneficios relacionados, análisis de
riesgo y aprobación de los requerimientos y soluciones propuestas.
 BAI03 Gestionar la identificación y construcción de soluciones: Establecer y
mantener soluciones identificadas en línea con los requerimientos de la empresa
que abarcan el diseño, desarrollo, compras/contratación y asociación con

proveedores / fabricantes. Gestionar la configuración, preparación de pruebas,
realización de pruebas, gestión de requerimientos y mantenimiento de procesos
de negocio, aplicaciones, datos/información, infraestructura y servicios.
 BAI04 Gestionar la disponibilidad y la capacidad: Equilibrar las necesidades
actuales y futuras de disponibilidad, rendimiento y capacidad con una provisión
de servicio efectiva en costes. Incluye la evaluación de las capacidades actuales,
la previsión de necesidades futuras basadas en los requerimientos del negocio,
el análisis del impacto en el negocio y la evaluación del riesgo para planificar e
implementar acciones para alcanzar los requerimientos identificados.
 BAI05 Gestionar la facilitación del cambio organizativo: Maximizar la
probabilidad de la implementación exitosa en toda la empresa del cambio
organizativo de forma rápida y con riesgo reducido, cubriendo el ciclo de vida
completo del cambio y todos las partes interesadas del negocio y de las TI.
 BAI06 Gestionar los cambios: Gestionar todos los cambios de una forma
controlada, incluyendo cambios estándar y de mantenimiento de emergencia en
relación con los procesos de negocio, aplicaciones e infraestructura. Esto
incluye normas y procedimientos de cambio, análisis de impacto, priorización
y autorización, cambios de emergencia, seguimiento, reporte, cierre y
documentación.
 BAI07 Gestionar la aceptación del cambio y la transición: Aceptar formalmente
y hacer operativas las nuevas soluciones, incluyendo la planificación de la
implementación, la conversión de los datos y los sistemas, las pruebas de
aceptación, la comunicación, la preparación del lanzamiento, el paso a
producción de procesos de negocio o servicios TI nuevos o modificados, el
soporte temprano en producción y una revisión post-implementación.
 BAI08 Gestionar el conocimiento: Mantener la disponibilidad de conocimiento
relevante, actual, validado y fiable para dar soporte a todas las actividades de
los procesos y facilitar la toma de decisiones. Planificar la identificación,
recopilación, organización, mantenimiento, uso y retirada de conocimiento.
 BAI09 Gestionar los activos: Gestionar los activos de las TI a través de su ciclo
de vida para asegurar que su uso aporta valor a un coste óptimo, que se
mantendrán en funcionamiento, justificados y protegidos físicamente, y que los
activos que son fundamentales para apoyar la capacidad del servicio y que sean
fiables y estén disponibles.
 BAI10 Gestionar la configuración: Incluyendo la recopilación de información
de configuración, el establecimiento de líneas de referencia, la verificación y
auditoría de la información de configuración y la actualización del repositorio
de configuración.
5.1.3. Procesos del Dominio DSS.

 DSS01 Gestionar operaciones: Coordinar y ejecutar las actividades y los
procedimientos operativos requeridos para entregar servicios de las TI tanto
internos como externalizados, incluyendo la ejecución de procedimientos
operativos estándar predefinidos y las actividades de monitorización
requeridas.
 DSS02 Gestionar peticiones e incidentes de servicio: Proveer una respuesta
oportuna y efectiva a las peticiones de usuario y la resolución de todo tipo de
incidentes. Recuperar el servicio normal; registrar y completar las peticiones de
usuario; y registrar, investigar, diagnosticar, escalar y resolver incidentes.
 DSS03 Gestionar problemas: Identificar y clasificar problemas y sus causas
raíz y proporcionar resolución en tiempo para prevenir incidentes recurrentes.
Proporcionar recomendaciones de mejora.
 DSS04 Gestionar la continuidad: Establecer y mantener un plan para permitir
al negocio y a TI responder a incidentes e interrupciones de servicio para la
operación continua de los procesos críticos para el negocio y los servicios TI
requeridos y mantener la disponibilidad de la información a un nivel aceptable
para la empresa.
 DSS05 Gestionar servicios de seguridad: Proteger la información de la empresa

para mantener aceptable el nivel de riesgo de seguridad de la información de
acuerdo con la política de seguridad. Establecer y mantener los roles de
seguridad y privilegios de acceso de la información y realizar la supervisión de
la seguridad.
 DSS06 Gestionar controles de procesos de negocio: Definir y mantener
controles apropiados de proceso de negocio para asegurar que la información
relacionada y procesada dentro de la organización o de forma externa satisface
todos los requerimientos relevantes para el control de la información.
Identificar los requisitos de control de la información y gestionar y operar los
controles adecuados para asegurar que la información y su procesamiento
satisfacen estos requerimientos.
5.1.4. Procesos del Dominio MEA.

 MEA01 Supervisar, evaluar y valorar el rendimiento y la conformidad:
Recolectar, validar y evaluar métricas y objetivos de negocio, de las TI y de
procesos. Supervisar que los procesos se están realizando según el rendimiento
acordado y conforme a los objetivos y métricas proporcionando informes de
forma sistemática y planificada.
 MEA02 Supervisar, evaluar y valorar el sistema de control interno: Supervisar
y evaluar de forma continua el entorno de control, incluyendo tanto
autoevaluaciones como revisiones externas independientes. Facilitar a la
Dirección la identificación de deficiencias e ineficiencias en el control y el
inicio de acciones de mejora. Planificar, organizar y mantener normas para la
evaluación del control interno y las actividades de aseguramiento.
 MEA03 Supervisar, evaluar y valorar la conformidad con los requerimientos
externos: Evaluar el cumplimiento de requisitos regulatorios y contractuales
tanto en los procesos de las TI como en los procesos de negocio dependientes
de las TI. Obtener las garantías de que se han identificado, e integrado el
cumplimiento de las TI en el cumplimiento de la empresa general.
5.1.5. Procesos del Dominio EDM.

 EDM01 Asegurar el establecimiento y mantenimiento del marco de referencia
de gobierno: Analizar y articular los requerimientos para el gobierno de las TI
de la empresa y pone en marcha y mantiene efectivas las estructuras, procesos
y prácticas facilitadoras, con claridad de las responsabilidades y la autoridad
para alcanzar la misión, las metas y objetivos de la empresa.
 EDM02 Asegurar la entrega de beneficios: Optimizar la contribución al valor
del negocio desde los procesos de negocio, de los servicios TI y activos de las
TI resultado de la inversión hecha por TI a unos costos aceptables.
 EDM03 Asegurar la optimización del riesgo: Asegurar que el apetito y la
tolerancia al riesgo de la empresa son entendidos, articulados y comunicados y
que el riesgo para el valor de la empresa relacionado con el uso de las TI es
identificado y gestionado.
 EDM04 Asegurar la optimización de recursos: Asegurar que las adecuadas y
suficientes capacidades relacionadas con las TI (personas, procesos y
tecnologías) están disponibles para soportar eficazmente los objetivos de la
empresa a un coste óptimo.
 EDM05 Asegurar la transparencia hacia las partes interesadas: Asegurar que la
medición y la elaboración de informes en cuanto a conformidad y desempeño
de las TI de la empresa son transparentes, con aprobación por las partes
interesadas de las metas, las métricas y las acciones correctivas necesarias.
5.2. Principios y políticas.

Los principios y las políticas se refieren a los mecanismos de comunicación disponibles
para transmitir la dirección e instrucciones de los cuerpos de gobierno y de dirección.
En los principios y políticas de COBIT 5 las partes interesadas pueden ser internas o
externas a la empresa. Sus intereses están divididas en: Las partes interesadas que definen
y establecen las políticas mientras que otras tienen que alinearse y cumplir con ellas.
Los principios, políticas y marcos de referencia son los instrumentos para comunicar
las reglas, en apoyo a las metas de gobierno y los valores de la empresa, conforme los
define el Consejo y el comité ejecutivo de dirección.
Las políticas proporcionan una directriz más detallada de cómo llevar a la práctica los
principios y su influencia respecto a cómo la toma de decisiones se alinea al mismo.
Los principios han de ser limitados en cantidad y redactados en un lenguaje sencillo y
claro. Las políticas deberán ser efectivas, eficientes y no intrusivas; es decir logran los
objetivos garantizando que los principios se implementen sin generar ningún tipo de
resistencia para quienes han de cumplir con ellas.
COBIT 5 se basa en cinco principios claves para el gobierno y la gestión de las TI
empresariales:
1. Satisfacer las necesidades de las partes interesadas
2. Cubrir la empresa de extremo a extremo
3. Aplicar un marco de referencia único e integrado
4. Hacer posible un enfoque holístico
5. Separar el Gobierno de la Gestión
Estos cinco principios habilitan a la empresa a construir un marco de gestión de
gobierno y gestión efectivo que optimiza la inversión y el uso de información y tecnología
para el beneficio de las partes interesadas.
5.3. Marco de trabajo.

Los marcos de Gestión y Gobierno deberían proporcionar a la dirección de una
estructura, directrices, herramientas etc., que permitan la adecuada gestión y gobierno de
TI.
Los marcos de trabajo deberían ser:
 Exhaustivos, cubriendo todas las áreas necesarias
 Abiertos y flexibles, permitiendo su adaptación a la situación específica de la
empresa.
 Disponibles y accesibles a todas las partes interesadas
Los marcos de referencia proporcionan la estructura para definir una directriz
coherente.
5.3.1. Las categorías de los dominios.

 Gobierno de TI Empresarial se encuentra cubierta por el dominio Evaluar, Orientar y
Supervisar (EDM).
 Formulación de políticas de TI, Estrategia de TI, Arquitectura de la empresa,
Innovación, Gestión Financiera, Gestión de la Cartera se encuentra cubierta por el
dominio Construir, Adquirir e Implementar (APO).
 Análisis de Negocios, Gestión de proyectos, Evaluación de usabilidad,
Definición de requisitos y gestión, Programación, Ergonomía de Sistemas,
Retirada del Servicio de Software cubierta por el dominio Construir, Adquirir
e Implementar (BAI).
 Gestión de la disponibilidad, Gestión de los problemas, Servicio de recepción
y gestión de incidentes, Administración de la Seguridad, Operaciones de TI,
Administración de base de datos cubiertas por el dominio Entregar, dar Servicio
y Soporte (DSS).
 Revisión y Supervisión de cumplimiento, Auditoria de Controles cubiertas por
el dominio Supervisar, Evaluar y Valorar (MEA).
6. Elaboración y Diseño de Materiales de TI.

La elaboración de materiales de TI cómo políticas, procedimientos o la implementación
de marcos de trabajo como COBIT 5 son beneficiosos para la organización ya que
colabora:
 Para apoyar la gobernabilidad a través de una política de gestión y un marco de
control.
Facilitando el proceso de asignación de propietarios, responsabilidades claras
y rendición de cuentas para las actividades de TI. Alineando los objetivos de
TI con los objetivos del negocio, definiendo prioridades y reasignando
recursos. Asegurando el retorno de la inversión y optimizando los costos,
previa identificación de los riesgos significativos.
 Para definir los requisitos del servicio y las definiciones del proyecto
estableciendo las métricas necesarias. Estos en términos del usuario final.
Elaborando acuerdos de niveles de servicio y contratos que pueden ser

monitoreados por los clientes. Asegurando que las necesidades del cliente han
sido plasmados apropiadamente en requisitos operativos y técnicos de TI.
 Para facilitar la mejora continua debido a las evaluaciones de madurez (Buscar
certificaciones por encima del 3, lo cual no sólo ayudará a mejorar
internamente, sino a justificar los presupuestos de las grandes áreas de TI y a
mejorar de cara a sus clientes).
 Análisis de brechas. Benchmarking. Planificación de la mejora.
Más allá de que los objetivos de Gobierno de una empresa se focalicen en optimizar
los costos, gestionar de mejor forma los riesgos y/o brindar mayor realización de
beneficios, la aplicación de COBIT 5 como Marco de Trabajo GRC puede brindar un
aporte muy valioso a distintos niveles de la organización, justificando ampliamente los
esfuerzos para posibilitar su efectiva implementación.
Niveles de beneficios de implementar COBIT 5
Habilitadores de COBIT 5 Beneficios Impacto Positivo
Incremento del foco en el Gobierno
Las necesidades de los
Creación de y Gestión de TI a nivel empresa,
Stakeholders de TI a nivel
valor por TI. incorporándose a las buenas
Empresa.
prácticas de la organización.
Visión integrada, holística y
Satisfacción del
consistente del Gobierno y
usuario con TI.
Gestión de TI.
Creación de un lenguaje
común entre TI y el negocio
EMPRESA
EMPRESA
del Gobierno y Gestión de

TI.
Incrementa la transparencia en el
Compatible con estándares
proceso de la toma de decisiones
del Gobierno Corporativo,
Cumplimiento relacionadas con el Gobierno de TI a
ayudando con el
de normas nivel empresa.
cumplimiento de las
relevantes.
regulaciones.
Crea un Marco de Trabajo
integrador y estructura para
los habilitadores y procesos
para TI y el área del
negocio.
Diferencia claramente el Función de TI
ÁREA
ÁREA
DE TI
DE TI
Incrementa la agilidad de TI para

Gobierno de la Gestión de orientada al
responder a los cambios del negocio.
TI. negocio.
Incluye un modelo de la Optimiza el uso de activos y

información como el recurso recursos de TI.
clave para toda empresa Incrementa el alineamiento de las
conectada a TI y el negocio actividades de TI con el negocio.
efectivamente. Optimiza los riesgos del negocio.
Usuarios COBIT
Usuarios COBIT
Incremento en el acceso a
Los usuarios de COBIT 5 tienen la
las mejores prácticas para
Contribución oportunidad de hacer una gran
implementar un Marco de
de los Usuarios contribución a la empresa generando
5
Trabajo de Gobierno y
de COBIT 5. un incremento en el nivel de
Gestión de TI a nivel
satisfacción con el uso de COBIT 5.
empresa.
Tabla 7: Beneficios de COBIT5.
Fuente: Elaboración propia. Basado en COBIT 5. Fig. 6
6.1. Control Interno: Manual de Control Interno Informático.

Control Interno es un proceso llevado a cabo por el Consejo de Administración, la
Gerencia y otro personal de la Organización, diseñado para proporcionar una garantía
razonable sobre el logro de objetivos relacionado con reportes, operaciones y
cumplimiento.
La normativa COSO I se encuentra dividido por un conjunto de componentes, que son:
 Monitoreo
 Información y Comunicación
 Actividades de Control
 Evaluación de Riesgos
 Ambiente de Control.
Por otro lado COSO 2013 presenta cambios en los componentes:
Evaluación de Riesgos: Los objetivos relevantes es una precondición este componente,
agregándose los objetivos estratégicos (Objetivos a alto nivel alineados con la misión de
la entidad).
La relación de los riesgos con las operaciones, informes y cumplimiento especifican
que deben visualizarse la identificación de los riesgos, el análisis y sus respuestas
incluyendo la tolerancia al riesgo.
Los cambios internos como externos deben coincidir con el Sistema de Control Interno
en el cual se tiene en cuenta el riesgo de fraude como parte de una administración de
riesgos eficaz.
6.1.1. Características del Control Interno.

Es un proceso multidireccional que nace de los demás procesos de la empresa y demás
sistemas. Orientado a objetivos, es un medio no un fin en sí mismo.
A ejecutarse por toda la organización de extremo a extremo conformando un sistema
integrado que reacciona dinámicamente a los cambios y es segura ante los logros de
objetivos.
Un Manual de Control Interno Informático constituye una norma de cumplimiento
obligatorio, en el que se indican los requerimientos de control interno informático a
implementarse en la organización.
Su redacción y clasificación son realizadas según las medidas de control que deben ser
aplicadas en las diversas áreas operativas relacionadas con TI y se clasifican según las
mismas áreas.
6.2. Ambiente de Control.

Es el conjunto de normas, procesos y estructuras que proveen las bases para llevar a
cabo el Control Interno a través de la organización.
El directorio y la alta gerencia establecen el ejemplo en relación con la importancia
del Control Interno y las normas de conducta esperada.
Consiste en el establecimiento de un entorno que se estimule e influencie la actividad
del personal con respecto al control de sus actividades. Es la base del resto de los
componentes y provee disciplina y estructura.
6.2.1. Principios según COSO para este componente.

Principio 1: La organización demuestra compromiso con la integridad y valores éticos.
Es decir, se da el ejemplo, se establecen estándares de conducta; se evalúan la adhesión
de los estándares de conducta y de los desvíos de los mismos.
Principio 2: El Directorio demuestra independencia de la gerencia y vigila el desarrollo
y funcionamiento del Control Interno.
El directorio establece sus responsabilidades de supervisión, aplica los conocimientos

especializados pertinentes, supervisa el funcionamiento del sistema de Control Interno.
Principio 3: La gerencia establece, con la vigilancia del directorio, estructuras, líneas
de reporte y una apropiada asignación de autoridad y responsabilidad para la consecución
de los objetivos.
Considerando todas las estructuras de la entidad. Estableciendo líneas de reporte. Y
definiendo, asignando y fijando los límites y responsabilidades.
Principio 4: La organización demuestra compromiso para reclutar, desarrollar y retener
individuos competentes en función de los objetivos.
Estableciendo políticas y prácticas, evaluando competencias y encarando las
deficiencias, planeando y preparando la sucesión.
Principio 5: Exigiendo el cumplimiento, estableciendo y evaluando medidas de
rendimiento e incentivos. Considerando la presión sobre el logro de objetivos.
6.2.2. COSO alineado a COBIT 5 en Ambiente de Control.

Los procesos EDM01 - APO01 - APO07 de COBIT 5 se encuentran alineadas con
COSO en el principio 1.
En COBIT 5 el catalizador 5 - Separar el Gobierno de la Gestión apoya al principio 2
de COSO diferenciando disciplinas de gobierno y gestión y haciendo su independencia
más fácil de establecer y mantener. Los cinco procesos de gobierno desde EDM01 hasta
EDM05 refuerzan esta separación orientada al diagrama RACI.
El catalizador 3 de COBIT 5 - Estructura Organizativa aborda prácticas de principios
en el Ambiente de Control con los procesos APO01 - EDM01, son las que se alinean con
el principio 3 de COSO.
El catalizador 7 de COBIT 5 - Personas, Habilidades y Competencias, y los Procesos
APO01 y APO07 establecen funciones y responsabilidades además de la atracción y
retención de personas competentes, estas coinciden con lo establecido en el principio 4 de
COSO.
Para el principio 5 de COSO el catalizador 2 de COBIT 5 – Procesos, y las tablas RACI
de los 37 procesos del COBIT 5 son relevantes en el contexto de responsabilidad
individual.
6.3. Evaluación de Riesgos.

La evaluación de riesgos es la identificación y análisis de riesgos relevantes para el
logro de los objetivos y la base para determinar la forma en que tales riesgos deben ser
mejorados. Así mismo, se refiere al mecanismo necesario para identificar y manejar
riesgos específicos asociados con los cambios, tanto los que influyen en el entorno de la
organización como en su interior.
Involucra un proceso dinámico e interactivo para identificar y analizar riesgos que
afectan el logro de los objetivos de la entidad, dando la base para determinar cómo deben
ser administrados los riesgos para conseguir los objetivos deseados.
Toda entidad enfrenta una variedad de riesgos provenientes de fuentes externas e
internas que deben ser evaluados para establecer objetivos generales y específicos e
identificar y analizar los riesgos de que dichos objetivos no se logren.
El logro de los objetivos establecidos está sujeto a los siguientes eventos:
La garantía de lograr los objetivos debido a que los mismos se encuentran al alcance
de la administración.
En relación a los objetivos de operación, el propósito de los controles en esta categoría
está dirigido a evaluar:
 La consistencia e interrelación entre los objetivos y metas en los distintos
niveles.
 La identificación de factores críticos de éxito y la manera en que se reporta el
avance de los resultados y se implementan las acciones indispensables para
corregir desviaciones.
Los riesgos de actividades también deben ser identificados, colaborando con la
administración de los riesgos en las áreas o funciones más importantes.

Principio 6: La organización define objetivos con la suficiente claridad para permitir la
identificación y evaluación de riesgos relacionados con estos objetivos.
Operacionales, reportes financieros y de cumplimiento.
Principio 7: La organización identifica riesgos para el logro de sus objetivos a través
de la entidad y los analiza como base para determinar cómo deben ser administrados.
Analiza los distintos factores involucrando a los sectores adecuados, estimando la

importancia de los riesgos identificados y de cómo responder ante ellos.
Principio 8: La organización considera la posibilidad de fraude en la evaluación de
riesgos para el logro de sus objetivos.
Considera distintos tipos de fraudes con sus incentivos, oportunidades y actitudes para
cometerlo.
Principio 9: La organización identifica y evalúa cambios que pueden impactar
significativamente el sistema de control interno.
Evalúa los cambios en el contexto, modelo de negocio y en el liderazgo.
6.3.2. COSO alineado con COBIT 5 en Evaluación de Riesgos.

COBIT 5 se centra en los objetivos del negocio a través del modelo de cascada de metas
del negocio que se basa a su vez en el Balance Score. Cada uno de los procesos de COBIT
se encuentra conformada por 37 metas (objetivos).
Para el principio 7 de COSO los procesos EDM03 y APO012 del COBIT 5 incluyen
prácticas y actividades necesarias para el gobierno y la gestión del riesgo incluyendo la
identificación, análisis del mismo.
El catalizador 4 de COBIT 5 - Cultura, Ética y Comportamiento; los procesos EDM01,
APO01 y APO07. Además el proceso MEA03 se alinea al principio 8 de COSO.
El proceso BAI06 directamente relacionada con las metas de TI al igual que con el
principio 9 de COSO. El mismo reconoce que los cambios introducen riesgos, y son
abordados por diversos procesos como APO01, BAI06, BAI02. Todos los cambios tienen
que ser probados y aprobados siguiendo el proceso BAI07 y los impactos en los procesos
del negocio son gestionados en el proceso BAI05.
6.4. Actividades de Control.

Son aquellas que realizan la gerencia y demás personal de la organización para cumplir
diariamente con las actividades asignadas. Expresadas en las políticas, sistemas y
procedimientos.
Según COSO las actividades de control son las acciones establecidas por políticas y
procedimientos para ayudar a asegurar y mitigar que el logro de los objetivos que son
llevados a cabo.
Las actividades de control son importantes no solo porque en sí mismas implican la

forma correcta de hacer las cosas, sino debido a que son el medio idóneo de asegurar en
mayor grado el logro de objetivos.

Principio 10: La organización selecciona y desarrolla actividades de control que
contribuyen en la mitigación de riesgos y al logro de objetivos, a un nivel aceptable.
Las actividades de control pueden ser manuales o computarizadas, administrativas u
operacionales, generales o específicas, preventivas o detectabas.
Principio 11: La organización selecciona y desarrolla actividades generales de control
sobre la tecnología para soportar el logro de objetivos.
Son realizadas a todos los niveles de la entidad y en varias etapas del proceso de
negocio, y sobre el ambiente de tecnología: infraestructura, administración de seguridad,
mantenimiento TI.
Principio 12: La organización implementa actividades de control a través de políticas
y procedimientos que ejecuten dichas políticas.
Establece responsabilidad y rendición de cuentas, toma acciones correctivas con el
personal competente.
6.4.2. COSO alineado con COBIT 5 en Actividades de Control

Los 37 procesos de COBIT apoyan la selección y desarrollo de las actividades de
control y otras medidas relacionadas con los procesos de TI.
EL catalizador 1 de COBIT 5- Principios, políticas y marcos de referencia se
encuentran detalladas en el principio 10 de COSO.
El principio 11 de COSO se alinea con las 16 actividades de control, pueden ser
actividades de procesos dentro de todos los 37 procesos de COBIT 5 o relacionarse con
otros tipos de catalizadores, en particular el proceso DSS06 asegurando que las
actividades de control en los procesos del negocio sean bien administradas.
El catalizador 1 de COBIT 5 - Principios, políticas y marcos de referencia es primordial
para la gestión efectiva de TI, incluyendo la mitigación de riesgos a través de las
actividades adecuadas. El proceso APO01 aborda la aplicación de las políticas
empresariales. Las mismas se alinean con el principio 12 de COSO.
6.5. Información y Comunicación.

Los sistemas de información y tecnología son y serán sin duda un medio para
incrementar la productividad y competitividad.
La información generada internamente así como aquella que se refiere a eventos
acontecidos en el exterior, es parte esencial en la toma de decisiones, así como en el
seguimiento de las operaciones. La información cumple con distintos propósitos a
diferentes niveles.
Este componente considera que existen controles generales y controles de aplicación
sobre los sistemas de información.
Controles Generales: Su propósito es asegurar una operación y su continuidad
adecuada, incluyendo lo referente a infraestructura y su seguridad física, contratación y
mantenimiento del mismo. También se relacionan con las funciones de desarrollo y
mantenimiento de sistemas, soporte técnico y administración de base de datos.
Controles de Aplicación: Dirigido al núcleo de cada sistema y funcionan para lograr el
procesamiento, integridad y confiabilidad, mediante la autorización y validación
correspondiente. Cubren las aplicaciones destinadas a las interfaces con otros sistemas de
los que se reciben o entregan información.
Según COSO la información es necesaria en la entidad para ejercer las
responsabilidades de Control Interno en soporte del logro de objetivos. La comunicación
ocurre tanto interna como externamente y provee a la organización con la información
necesaria para la realización de los controles diariamente, ayudando al personal en el logro
de los objetivos con la comprensión de sus responsabilidades.

Principio 13: La organización obtiene o genera y utiliza información relevante y de
calidad para soportar el funcionamiento del control interno.
Identificando los requerimientos, capturando fuentes de datos dejando lo relevante sin
dejar la calidad de todo el procesamiento considerando la relación costo beneficio.
Principio 14: La organización comunica internamente información, incluido objetivos
y responsabilidades sobre el control interno necesario para su funcionamiento.
Comunica dentro de lo relevante: información del control interno entre la

Administración y el Directorio, mediante líneas de comunicación separadas.
Principio 15: La organización comunica a terceros con respecto a asuntos que afectan
el funcionamiento del Control Interno.
Permite canales de comunicación entrantes, comunica a terceros y con el Directorio.
6.5.2. COSO alineado con COBIT 5 en Información y Comunicación.

Para el principio 13 de COSO en COBIT 5 el catalizador 5 – Información, describe 15
metas de calidad que se clasifican teniendo en cuenta la calidad de cada objetivo. En
especial el proceso MEA01 y MEA02 con las cuales se alinean.
Las tablas RACI (Anexo 6 y 7) con las responsabilidades de "consultar" e "informar"
y las sugerencias de entrada salida que apoya a los 37 procesos del COBIT 5 y responden
al principio 14 de COSO.
COBIT 5 proporciona una base sólida para la comunicación efectiva de los aspectos
GEIT y las partes interesadas cuando sea apropiado, en particular el proceso EDM05
requiere que la comunicación de las partes interesadas sea eficaz y oportuna para la
presentación de los reportes. Este corresponde al principio 15 de COSO.
6.6. Monitoreo.
Este componente debe conducir a la identificación de los controles débiles,
insuficientes o innecesarios, para promover con el apoyo decidido de la gerencia, su
robustecimiento e implantación.
La gerencia debe llevar a cabo la revisión y evaluación sistemática de los componentes
y elementos que forman parte de los sistemas de control. Esto, durante la realización de
las actividades diarias en los distintos niveles de la organización; de manera separada por
personal que no es el responsable directo de la ejecución de las actividades o mediante la
combinación de las dos formas anteriores.
Este componente incluye aspectos a tener en cuenta: como la prevención y monitoreo,
seguimiento de resultados y compromisos de mejoramiento.
6.6.1. Reglas para monitoreo

 El personal debe obtener evidencia de que el control interno está funcionando.
 Sí las comunicaciones externas corroboran la información generada

internamente.
 Se deben efectuar comparaciones periódicas de las cantidades registradas en el
sistema de información contable con el físico de los activos.
 Revisar la implementación de controles recomendados por los auditores
internos y externos; y sus avances.
 Sí son adecuadas, efectivas y confiables las actividades del departamento de la
auditoría interna.
Al culminar el monitoreo es necesario la redacción de un informe de deficiencias, que
es el proceso de comunicar las debilidades y oportunidades de mejoramiento de los
sistemas de control, debe estar dirigido hacia quienes son los propietarios y responsables
de operarlos; con el fin de que implementen las acciones necesarias.
6.6.2. Principios según COSO para este componente

Principio 16: La organización selecciona, desarrolla y realiza evaluaciones
concurrentes o separadas para determinar si los componentes de control interno están
presentes y funcionando.
Son evaluaciones objetivas que considera tasa de cambio. Es elaborada por personal
competente y es integrada a los procesos de negocio. Las mismas son realizadas a todos
los componentes con todos los principios que la componen.
Principio 17: La organización evalúa y comunica las deficiencias de control interno de
manera oportuna a los responsables de tomar acción correctiva, incluida la alta gerencia y
el directorio si correspondiese.
Los hallazgos son evaluados, las deficiencias comunicadas oportunamente a la alta
Gerencia y al Directorio. Y el monitoreo de las acciones correctivas.
6.6.3. COSO alineado con COBIT 5 en Monitoreo

Para el principio 16 de COSO, COBIT 5 se alinea con el proceso MEA02 incluyendo
prácticas y actividades que se requieren para supervisar los controles internos, y los
procesos del negocio.
El Proceso MEA02 y, el proceso EDM05 (incluye las prácticas y actividades para

evaluar, dirigir y supervisar los reportes de las partes interesadas), las mismas
corresponden al principio 17 de COSO.
7. Estándares Internacionales y Buenas Prácticas de Procesos de

Control en TI
Hacer una aproximación a mejores prácticas es aprender a través de otros, lo que
significa buscar ideas y experiencias (fruto de la identificación de una necesidad) que han
funcionado en organizaciones efectivas, las cuales han realizado actividades en similares
circunstancias de negocio para después decidir cuál de esas prácticas son relevantes con
la situación actual de la organización. Una vez identificadas las practicadas, se prueban
con intención de ver si las mismas funcionan, antes de incorporarlas cómo practicas
aprobadas en su propio proceso documentado.
Para conformar un conjunto de guías y consejos basadas en las mejores experiencias
de los profesionales más experimentados y calificados en un campo en particular. Una
buena práctica puede convenir en un Estándar de Facto.
Por otro lado una norma es un conjunto de reglas estandarizadas que contienen un
catálogo de requisitos los cuales hace referencia a productos o servicios, (sin estas normas,
sería poco probable la circulación de productos, ya que cada uno debe ser examinado de
acuerdo a criterios específicos establecidos por instituciones relevantes). En estas reglas
estandarizadas o normas, son recogidas las propuestas de las instituciones relevantes como
fabricantes, asociación de consumidores, centros de investigación, entidades de
certificación e inspección. Dependiendo de los niveles y alcance de cada estándar puede
ser a nivel nacional. A nivel europeo y a nivel internacional, por lo tanto cada norma
tendrá un campo de validez, dando como consecuencia que un producto este sujeto a
muchas normas.
Es vital entender que este proceso de aplicación de estándares tiene implicaciones
adicionales, como la necesidad de constantes actualizaciones de acuerdo con los cambios
que se presentan a nivel de los activos de información y tecnológicos a través de los que
se accede a ésta.
Por último, un modelo de proceso es una colección estructurada de elementos que

describen características de procesos efectivos (aquellos que han demostrado por
experiencia ser eficaces).
7.1. Algunos estándares internacionales, guías y manuales de buenas prácticas.

7.1.1. COSO (Committee of Sponsoring Organizations).
En 1992, COSO publicó el Sistema Integrado de Control Interno, un informe que
establece una definición común de control interno y proporciona un estándar mediante el
cual las organizaciones pueden evaluar y mejorar sus sistemas de control.
El Internal Control – Integrated Framework 1992 es una guía basada en principios para
el diseño y la implementación de controles internos eficaces. COSO desarrolló el marco
en respuesta a la necesidad de los altos ejecutivos de medios eficaces para controlar mejor
sus empresas y para ayudar a que se alcancen los objetivos organizacionales relacionados
con operaciones, elaboración de informes y cumplimiento.
En noviembre del 2014 este marco se ha dado de baja para ser reemplazado por el 2013
Internal Control – Integrated Framework esperando colaborar de esta manera con el diseño
e implementación del control interno ante los cambios en los negocios y entornos
operativos desde la publicación del Marco original, ofreciendo mayor amplitud en las
aplicaciones de los controles operativos, con informes más objetivos y la claridad en la
determinación de lo que constituye un control interno efectivo.
Los objetivos del control interno compuestos por las áreas de operaciones, reportes y
cumplimiento; van desde:
 Objetivos de Operaciones relacionados con la misión y visión de la empresa,
incluyendo el resguardo de activos.
 Objetivos de reportes externos e internos, financieros y no financieros
cubriendo estados contables, cuentas de inversión, reportes de sustentabilidad,
información al público, ejecución presupuestaria e informes sobre el nivel de
actividad.
 Y con el cumplimiento de todo tipo de regulaciones o leyes relacionadas.
Las limitaciones COSO 2013 se ven reflejadas en el establecimiento de objetivos

claros, la toma de decisiones a juicio humano sujeto a posibles errores, la posibilidad de
anulación de controles por la Gerencia entre otros factores externos.
La relación entre objetivos y componentes se muestra en el cubo de COSO 2013 donde
se visualiza la relación directa entre los objetivos que se desean alcanzar, los componentes
que se necesitan para lograr los objetivos y la estructura organizacional, unidades
operativas y entidades jurídicas entre otros.
Las tres categorías de objetivos son representadas por las columnas. Los cinco
componentes para el logro de los objetivos por las filas y los niveles de la estructura
organizacional por la profundidad.
Figura 20: Cubo COSO 2013.

Fuente: COSO 2013. Resumen ejecutivo.
7.1.2. ITIL (Information Technology Infrastructure Library).

Con la dependencia de TI para alcanzar los objetivos corporativos ha dado como
resultado, una necesidad creciente de servicios informáticos de calidad que se
correspondan con los objetivos del negocio y que satisfagan los requisitos y las
expectativas del cliente.
Este compendio de documentos, conocido como la Biblioteca de Infraestructura de
Tecnologías de Información, aborda recursos orientados a la correcta gestión de los
servicios de TI a través de un ciclo de vida de los servicios, evaluando inmerso en cada
una de las fases del ciclo temas de seguridad, capacidad y continuidad.
Desde la década del 1990, ITIL ha dejado de ser sólo un marco teórico para convertirse
en una metodología y una filosofía compartida por todos los que las utilizan en la práctica.
Su estructura actual está compuesta por 5 volúmenes organizados por su ciclo de vida
de servicio. Además ITIL cuenta con guías complementarias varias.
Figura 21: Ciclo de Vida del Servicio.

Fuente: Figura 1.2 ITIL Core
Su principal ventaja es su eficacia en la Gestión de servicios TI. ITIL se centra en

ofrecer servicios de alta calidad, partiendo de un enfoque estratégico basado en un
triángulo (procesos, personas, tecnología). Este es un diagrama que describe la relación
entre ITIL, la norma ISO/IEC 20000 y los procedimientos y políticas internas.
Figura 22: Triangulo de ITIL.

Fuente: ITIL v3
A través de este modelo se ofrece un método probado para gestionar procesos, roles y
actividades, así como sus interrelaciones. Adaptado a cualquier tipo de organización que
ya cuente con sus propios métodos y actividades de gestión de servicios. Soporta a otros
marcos y estándares como lo son COBIT y la ISO/IEC 20000.
Los procesos ITIL están alineados con el estándar de calidad ISO 9000 y se encuentran
vinculados con el Modelo de Excelencia de la EFQM (European Foundation for Quality
Management), el cual es utilizado por más de 1.000 empresas en todo el mundo.
Áreas y dominios en COBIT 5 cubiertos por ITIL
 Subconjuntos de procesos en el dominio DSS
 Subconjuntos de procesos en el dominio BAI
 Algunos procesos APO
7.1.3. PMBOK (Project Management Body of Knowledge).

En 1981 la Junta Directiva del PMI aprobó un proyecto en el que se elaboraría un
estándar de Dirección de Proyectos que describiera el contenido y la estructura de los
conocimientos en esa materia. Este proyecto se dio lugar en el año 1983, al tratarse de la
primera publicación de este tipo se convirtió en una base para la posterior mejora de la
definición de la Dirección de Proyectos como profesión.
Una extensión de dicho proyecto dio lugar, en 1987 a la publicación de Fundamentos
para la Dirección de Proyectos. Para luego en 1996 se diera paso a la llamada Guía de los
Fundamentos de la Dirección de Proyectos. En el 2000, 2004 y 2008 se publicaron
respectivamente, la segunda, tercera y cuarta ediciones reflejando el desarrollo del
conocimiento y las prácticas en dirección de proyectos proporcionando una mayor
claridad a los contenidos. En 2012 se ha publicado la que por ahora es la última
actualización de la quinta edición.
La Guía del PMBOK describe exclusivamente los procesos de la dirección de proyectos
en cinco categorías conocidas como Grupos de Procesos de la Dirección de Proyectos,
que a su vez está compuesta en su totalidad por 47 procesos:
Lo importante de este modelo es que nos brinda un esquema de trabajo para gestionar
cada aspecto de un proyecto (desde gestión del alcance hasta gestión de las adquisiciones).
Es importante mencionar también que cada organización debe determinar que partes del
marco de trabajo de PMBOK es aplicable para la misma. Esto dependerá de la

envergadura, nivel de detalle y control que se deseen tener de cada proyecto.
Por ello, se debe pensar en PMBOK como un conjunto de lineamientos generales, de
los cuales la organización se puede alimentar para establecer una metodología de trabajo
propia.
La misma aplica dichos procesos de dirección de proyectos bajo la estructura de:
 Entradas del proceso.
 Herramientas y Técnicas de gestión de proyecto (aplicables en cada proceso).
 Salidas del proceso.
Las entradas y salidas son documentos o elementos documentables. Las salidas de un
proceso son normalmente las entradas para otros procesos.
7.1.4. Distintas Normas ISO (International Organization of Standards).

7.1.4.1. ISO/IEC 20000 - Calidad de Servicios TI.
La Organización Internacional de Normalización (ISO) a través de las normas
recogidas en la ISO/IEC 20000 aplica una implementación efectiva y una planificación
estructurada para el desarrollo de TIs fiables en lo referente a la Gestión de Servicios de
TI. Esta norma demuestra que los servicios ofrecidos en forma independiente cumplen
con las mejores prácticas.
La norma está dirigida a empresas que ofrecen gestión de servicios de TI como el
respaldo a infraestructuras y aplicaciones, tanto para cubrir las necesidades de clientes
internos como externos.
Compuesta por 14 procesos uno de ellos de planificación e implementación de
servicios; requisitos de gestión y un ciclo de mejora continua.
Figura 23: Organización ISO 20000.

Fuente: Organización de un Sistema de Gestión de Servicios TI. Consultado en fecha: 02/11/15.
Extraído de: http://www.normas-iso.com/iso-20000.
Beneficios ISO 20000: Principalmente se basa en dar la orientación efectiva al cliente

dentro de una organización pero enfocándose en la planificación de servicios relacionados
con las nuevas TI; dentro de las necesidades del cliente, mediante un sistema de mejora
continua de los servicios prestados.
- La implementación de la ISO 20000 mejora la competitividad de los
productos y/o servicios que ofrece la empresa con el mejoramiento de la
calidad de la gestión del área TI. Estas mediante: La obtención de accesos
al mercado internacional, el outsourcing de servicios y el uso efectivo del
modelo planear, hacer, comprobar, actuar (PBRM).
- Además, los requisitos de implementación son independientes de los
esquemas de servicio que existen en el mercado por lo que la Norma se
puede implementar apoyándose en cualquier referencia existente (ITIL u
otra).
- La norma ha sido alineada y ha utilizado otros documentos públicos
incluyendo la norma ISO/IEC 20000-2 Código de Buenas Prácticas de la
gestión de servicios de TI e ITIL, por lo mismo cualquier empresa que ya
tenga experiencia en la implementación de normativas ISO podrán

minimizar el esfuerzo de implementación respecto a ITIL.
- La ISO 20000 está dirigido a Analistas, Jefes de Proyecto, administradores
de sistemas, responsables de operaciones, gerentes de servicios y personal
técnico. Debido a la complejidad de los contenidos y a los ambiciosos
objetivos fijados, los mismos desarrollarán las competencias necesarias
para certificarse y trabajar utilizando las normas marcadas por el estándar,
dentro del área de las Tecnologías de la Información.
- En cuanto a la certificación una ventaja es la independencia en la
evaluación de la implementación de la norma es que ofrece la posibilidad
de certificación a las organizaciones o empresas mientras que la norma
ITIL solo ofrece la posibilidad de certificación a personas.
7.1.4.2 ISO/IEC 27000 – Gestión de la Seguridad de la Información.

ISO 27001 es una norma internacional emitida por la Organización Internacional de
Normalización (ISO) y describe cómo gestionar la seguridad de la información en una
empresa. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre
completo es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue
desarrollada en base a la norma británica BS 7799-2.
Puede ser implementada en cualquier tipo de organización, proporciona una
metodología para implementar la gestión de la seguridad de la información en la misma a
través del ciclo de Deming por medio de los procesos de planificar, hacer, verificar
y actuar. También permite que una empresa o persona sea certificada.
Su principal objetivo es proteger la confidencialidad, integridad y disponibilidad de la
información en una empresa mediante la gestión de riesgos; es decir, investigar dónde
están los riesgos y luego tratarlos sistemáticamente. Esto lo hace investigando cuáles son
los potenciales problemas que podrían afectar la información y luego definiendo lo que es
necesario hacer para evitar que estos problemas se produzcan.
La estructura ISO/IEC 27001 se divide en 11 secciones más el anexo A; las secciones
0 a 3 son introductorias y no obligatorias, mientras que las secciones 4 a 10 si son
obligatorias. Los controles del Anexo A deben implementarse sólo si corresponden en la

Declaración de aplicabilidad.
Las ventajas comerciales que una empresa puede obtener con la implementación de
esta norma para la seguridad de la información:
 Cumplimiento de leyes y requerimientos legales
 Obtener una ventaja comercial ante los que no poseen dicha certificación
 Menores costos ante la filosofía de contingencia de ISO 27001
 Una mejor organización ya que alienta a las empresas a escribir sus principales
procesos (incluso los que no están relacionados con la seguridad).
ISO/IEC 27002 son buenas practicas proporciona directrices para la implementación
de los controles indicados en ISO 27001. La ISO 27002 surgió de la norma británica BS
7799-1. ISO/IEC 27001 especifica 114 controles que pueden ser utilizados para disminuir
los riesgos de seguridad, y la norma ISO 27002 puede ser bastante útil ya que proporciona
más información sobre cómo implementar esos controles.
A diferencia de ISO 27001, no es un estándar certificable. Cuenta con 39 objetivos de
control y 133 controles agrupados en 11 dominios, abordando más controles y dominios
que los establecidos en ISO 27001.
A través de este documento se puede identificar un marco de trabajo más amplio para
una organización cuando se desea implementar políticas de seguridad, establecer un
sistema de gestión de la seguridad de la información y con la madurez adecuada lograr la
certificación ISO 27001 que evalúa menos dominios.
ISO/IEC 27004 proporciona directrices para la medición de la seguridad de la
información, explica cómo determinar si el SGSI ha alcanzado los objetivos.
ISO/IEC 27005 es un estándar internacional denominado ISO 27005:2008 que
proporciona directrices para la gestión de riesgos de seguridad de información. Cuenta
con más información sobre cómo llevar a cabo la evaluación y el tratamiento de
riesgos. La ISO 27005 ha surgido de la norma británica BS 7799-3 como procedimiento
vital, al hablar de seguridad de la información aparece el análisis, evaluació n y
gestión de los riesgos, por ello este documento ilustra un marco de referencia para
el tratamiento de las actividades antes mencionadas.
ISO 9001 – Gestión de Calidad. Define los requerimientos para los sistemas de gestión
de calidad. Aproximadamente el 25% de los requisitos de ISO 27001 y de ISO 9001 son
los mismos, por lo tanto si una empresa ha implementado ISO 9001 será más sencillo
implementar ISO 27001.
Áreas y dominios de COBIT 5 cubiertos por ISO 27000:
 Procesos de seguridad y relativos al riesgo en los dominios EDM, APO, DSS.
 Varias actividades relacionadas con la seguridad dentro de procesos en otros
dominios.
 Actividades de Supervisión y evaluación del dominio MEA.
Figura 24: Estructura ISO 27001.

Fuente: www.27001isostandard.com
7.1.4.3. ISO/IEC 31000 – Gestión de Riesgos Corporativos.

ISO/IEC 31000 señala una familia de normas sobre Gestión de Riesgo en normas
codificadas por la Organización Internacional de Estandarización. El propósito de la
norma ISO 31000:2009 es proporcionar principio y directrices para la gestión de riesgos
y el proceso implementado en el nivel estratégico y operativo.
En la actualidad la ISO/IEC 31000 incluye:
 ISO 31000:2009 – Gestión de Riesgos: Principios y Directrices.
 ISO/IEC 31010 – Gestión de Riesgos – Evaluación del riesgo: Evaluación
técnica del riesgo.
 ISO Guide 73:2009 – Gestión de Riesgos – Vocabulario Gestión.
A partir de la ISO/IEC 31000, el riesgo se define en términos del efecto de la
incertidumbre en los objetivos. Se refiere tanto a las situaciones negativas tradicionales de
riesgo que provocan perdidas, cómo a las situaciones positivas de riesgo que constituyen
oportunidades.
Para la ISO/IEC 31000 su principal objetivo es integrar el proceso de gestión de riesgos
en el gobierno; estrategia y planificación, gestión, informe de los procesos, políticas,
valores y cultura de la organización.
De esta manera la norma ISO/IEC 31000, tiene un alcance que consiste en habilitar
todas las áreas estratégicas, de gestión y operacionales de una organización por medio de
proyectos, funciones y procesos alineados a un conjunto común de objetivos de gestión
de riesgo.
La ISO/IEC 31000 está estructurada en tres elementos claves para una gestión de
riesgos efectiva:
Los principios de la Gestión de Riesgo son 11 y son:
 Crear y proteger el valor.
 Estar integrada a todos los procesos de la organización.
 Ser parte de la toma de decisiones.
 Tratar explícitamente la incertidumbre.
 Ser sistemática, estructurada y oportuna.
 Basarse en la mejor información disponible.
 Alinearse al contexto y al perfil de riesgos de la organización.
 Tener en cuenta los factores humanos y culturales.
 Ser transparente e inclusiva.
 Ser dinámica, iterativa y sensible al cambio.
 Facilitar la mejora continua.
El Marco de Trabajo es otro elemento de la estructura ISO/IEC 31000, su objetivo es
integrar el proceso de gestión de riesgos al gobierno corporativo. La ISO/IEC 31000
recomienda desarrollar, implementar y mejorar en forma continua un marco de referencia.
El tercer elemento clave para la norma es el Proceso de la Gestión de Riesgos que
cuenta con tres etapas: Establecimiento del contexto, valuación de riesgos y tratamiento
de los mismos.
Áreas y dominios de COBIT 5 cubiertos por ISO 31000

 Procesos relativos a la gestión del riesgo en los dominios EDM y APO.
7.1.4.4. ISO/IEC 38500:2008 – Gobierno corporativo de las tecnologías de la

información.
La norma se compone de tres secciones principales:
 Ámbito, aplicación y objetivos
 Marco de Buen Gobierno Corporativo de TI
 Guía para el Gobierno Corporativo de TI
Basado en 6 principios con sus implicaciones prácticas:
Principio 1 – Responsabilidad: El negocio y las TI deberían colaborar en un modelo
cooperativo utilizando canales eficaces de comunicación basados en relaciones positivas
y de confianza y demostrando claridad con respecto a la responsabilidad de llevar a cabo
las tareas y la verificación de las mismas. Dependiendo cual sea la estructura organizativa
se requieren que sean apropiadas a ellas los roles y las responsabilidades asignadas para
que todo se ordene desde la estructura de gobierno, proporcionando claridad en cuanto a
la propiedad de los activos y la responsabilidad de las decisiones y tareas importantes.
Incluyendo las relaciones con proveedores externos claves.
Principio 2 – Estrategia: La planificación estratégica de TI es una tarea compleja y
crítica que requiere una estrecha coordinación entre la unidad de negocio de la empresa y
los planes estratégicos de TI. Es de prioridad los planes que mejor se adecuan en la
consecución de los beneficios deseados y a asignar eficazmente los recursos.
La planificación estratégica de las TI debería incluir la planificación apropiada y
transparente de las capacidades de TI. La valoración de la capacidad de la infraestructura
actual de TI y de los recursos humanos para proporcionar una ventaja competitiva y/u
optimizar los costes.
Principio 3 – Adquisición: Las soluciones tecnológicas existen para soportar los
procesos del negocio y, por lo tanto no debemos menospreciar las necesidades de TI como
un servicio o proyecto tecnológico.
Las adquisiciones de recursos tecnológicos deberían ser consideradas como una parte
del proceso de cambio del negocio posibilitado por las TI. Estas deberían soportar y operar
con los procesos del negocio e infraestructuras TI existentes y planificados. La

implementación no es sólo una cuestión tecnológica sino también una combinación de
cambios organizativos, procesos de negocios, formación y facilitación del cambio.
Principio 4 – Rendimiento: La definición clara de las metas y las métricas adecuadas
para la medición de las mismas caracterizan a un desempeño de medición eficaz, de tal
manera a tener la seguridad de la consistencia y fiabilidad de la supervisión del
desempeño. En TI es importante la trasparencia de la comunicación de metas, métricas e
informes de desempeño de tal modo a ser entendibles por las partes interesadas para una
mejor toma de decisiones.
Principio 5 – Conformidad: Los directivos necesitan asegurarse de que la conformidad
con los requisitos externos se trata como una parte de la planificación estratégica en lugar
de como una costosa ocurrencia de última hora. Es necesario el equilibrio entre el
desempeño y conformidad, asegurándose de que las metas de desempeño no pongan en
peligro la conformidad y, viceversa.
Principio 6 – Comportamiento Humano: La implementación de cualquier cambio
facilitado por TI trae consigo cambios culturales y de comportamiento dentro del entorno
organizacional, por lo mismo la directiva debe comunicar claramente las metas y
demostrar apoyo a los cambios propuestos.
El incremento de riesgos afecta a la privacidad y propicia fraudes ocasionando
preocupaciones en los individuos, por lo mismo deben ser gestionados para fomentar
confianza en los sistemas de TI que la gente utiliza.
Para COBIT 5 el dominio acerca del Gobierno de TI se compone de cinco procesos
cada una de las cuales tiene definidas prácticas del dominio EDM que es el principal lugar
donde se definen actividades relativas al gobierno.
La norma también tiene relaciones con otras normas ISO más importantes, y abraza a
los mismos métodos y enfoques.
7.1.5. Val IT.

Val IT permite a la organización obtener valor de negocio de sus inversiones de TI,
mediante un marco de trabajo para el gobierno de inversiones en TI que consiste en un
conjunto de mejores prácticas y un conjunto de procesos y actividades.
7.1.6. NIST SP 800-30 (National Institute of Standards and Technology)

Este documento contiene una guía desarrollada por el NIST donde ofrece pautas para
la gestión del riesgo buscando su evaluación, gestión, control y mitigación. Y, en conjunto
con ISO 27005, es posible identificar y establecer métodos a través de los cuales gestionar
los riesgos identificados en una organización, diseñar y aplicar controles para la correcta
mitigación de estos.
7.1.7. TOGAF (The Open Group Architecture Forum).

Es un esquema de Arquitectura Empresarial que proporciona un enfoque para el diseño,
planificación, implementación y gobierno de una arquitectura empresarial de información.
TOGAF identifica la relación estratégica entre las iniciativas Estratégicas del Negocio
(cadena de valor, metas, objetivos, programas, proyectos, procesos y personas) y TI, que
soporta y extiende dichas iniciativas, generando un modelo que permite identificar las
fortalezas y debilidades de la Organización de TI y trazar iniciativas de transformación
desde la arquitectura actual hacia una arquitectura que represente la visión futura.
Para entender más acerca de los orígenes de TOGAF, se debe analizar el Framework
en el cual se basa, TAFIM:
TAFIM nació en el 1986, los primeros borradores se completaron en 1991 lo cual
contaba con un modelo técnico de referencia. El proyecto TAFIM resulto en un manual
de 8 volúmenes publicado en 1996.
Actualmente, TOGAF se encuentra en su versión 9, del 2009 realizando un cambio
revolucionario con respecto a la versión 8.
TOGAF contiene 4 dominios de arquitectura que son comúnmente aceptados como un
subdominio de la arquitectura de una empresa:
 Arquitectura de Negocios
 Arquitectura de Aplicación
 Arquitectura de Datos
 Arquitectura Técnica
Y compuesto por múltiples herramientas destacando: Método de desarrollo de
Arquitectura (ADM), Continuum Empresarial, Repositorio de la Arquitectura
Las áreas y dominios COBIT 5 que están cubiertas por TOGAF:
 Procesos relativos a los recursos en el dominio EDM, los componentes de

TOGAF se mapea con la optimización de recursos.
 El proceso de arquitectura de la empresa en el dominio APO que se mapea con
el núcleo de TOGAF donde se encuentra el ciclo del método de desarrollo de
la arquitectura (ADM).
 Varios componentes TOGAF se mapean con la práctica COBIT 5 de provisión
de servicios para la arquitectura de la empresa incluyendo: Gestión de requisitos
ADM, Principios de Arquitectura, Gestión de las partes interesadas. Evaluación
de la disposición de Transformación del Negocio. Gestión del Riesgo.
Planificación basada en Capacidades. Conformidad con la Arquitectura.
Contratos con la Arquitectura.
7.1.8. CMMI para el Desarrollo (Capacity Madurity Model Integrated)

CMMI para el Desarrollo es un modelo de madurez de mejora de procesos que cubre
las actividades del desarrollo y el mantenimiento aplicadas tanto a los productos como a
los servicios. Estas cubren la gestión de proyectos, la gestión de procesos, la ingeniería de
sistemas, la ingeniería del hardware, la ingeniería del software y otros procesos de soportes
utilizados en el desarrollo y mantenimiento.
Trata las prácticas que cubren el ciclo de vida del producto desde la concepción hasta
la entrega y el mantenimiento. El objetivo principal de estos niveles de madurez es lograr
un nivel de estandarización adecuado para cada organización respecto a sus procesos de
desarrollo de software, con la finalidad de gestionar los proyectos de software
adecuadamente y así lograr cumplir con los objetivos planificados para dicho proyecto.
7.1.9. BS 25999
Este estándar de origen británico, aborda los lineamientos que deben contemplarse para
la administración de la continuidad del negocio. A través de 2 partes. La primera ofrece
un marco de referencia para procesos, principios y terminología asociado a la continuidad
del negocio. En la segunda, se encuentran los requerimientos para implementar, operar y
mejorar un sistema de administración de la continuidad del negocio.
7.2. Analizando modelos.

Las buenas prácticas son recomendaciones, por lo mismo poseen la característica de
ser flexible, descriptiva y proporciona resultados a corto plazo; a diferencia de los
estándares que son de cumplimiento (debe cumplirse), por lo mismo posee la característica
de ser rígida, prescriptiva ofreciendo resultados a mediano plazo.
En general difieren en:
¿Quién lo define?, ¿Qué certifica?, ¿Quién certifica?, ¿A quién certifica?
7.2.1. ITIL vs. CMMI

Analizando ambos modelos, podemos observar que CMMI se centra en garantizar la
calidad en el desarrollo de software mientras que ITIL garantiza la explotación del
producto software. Por ello, muchas empresas consideran que ambas metodologías no son
excluyentes, sino complementarias, embarcándose en proyectos de análisis y definición
de procesos que permitan encajar ambas filosofías de trabajo (En conjunto abarcan desde
el desarrollo del software hasta la gestión del mantenimiento y servicios del mismo).
7.2.2. CMMI vs. PMBOK

La estructura del PMBOK permite proporcionar información adicional en la
información de entrada, herramientas e información de salida.
7.2.3. ITIL vs. PMBOK

Puntos de intersección entre ITIL y PMBOK se encuentran en el proceso de gestión
del cambio. El enfoque de ITIL para el manejo del cambio es orientado a garantizar la
disponibilidad y operatividad del servicio dentro del contexto de un determinado Acuerdo
de Nivel de Servicio firmado con el cliente del servicio. Por otro lado, el enfoque de
PMBOK respecto a esta gestión de cambios es garantizar la calidad dentro del marco la
triple restricción que todo proyecto debe considerar: costo, tiempo, calidad y riesgos.
Podemos decir entonces que estos dos estándares son complementarios y superpuestos
a la vez, dependiendo del enfoque que quiera dar la organización en los procesos de
intersección. Se pueden usar ambos modelos en conjunto: para gestionar servicios basado
en ITIL y gestionar los cambios en dichos servicios usando PMBOK
7.2.4. CMMI vs. COBIT

COBIT se enfoca más hacia el entorno del proyecto, sin embargo la parte que resalta
es la gestión de datos, que enriquece la práctica del CMMI, al establecer lineamientos de
gestión de datos.
7.2.5. COBIT vs. ITIL

Puede que COBIT tenga mayor alcance que ITIL ya que abarca todo el espectro de
actividades de TI, mientras que ITIL está centrado solo en gestión del servicio.
Ambos modelos son también complementarios y se pueden usar juntos: ITIL para
lograr efectividad y eficiencia en los servicios TI y COBIT para verificar la conformidad
en cuanto a disponibilidad, rendimiento, eficiencia y riesgos asociados de dichos servicios
con los objetivos y estrategias de la compañía, usando para ello métricas claves y cuadros
de mando que reporten dicha información.
7.2.6. Val IT vs. COBIT

Val IT se encuentra integrado a COBIT. En realidad Val IT extiende y complementa a
COBIT, el cual provee un marco de trabajo completo para el gobierno y control de las TI.
Particularmente, Val IT se enfoca en las decisiones de inversión y la obtención de
beneficios, mientras que COBIT se enfoca en la calidad y la ejecución.
Por ello, ambos estándares son complementarios: Use COBIT para controlar y medir
los servicios e infraestructura de TI y Val IT para complementar dichas mediciones desde
el punto de vista financiero.
7.2.7. CMMI vs. PRINCE2

CMMI se encuentra que los procesos definidos por PRINCE2 para planificación y
control de etapas, corresponde a lo propuesto en CMMI para la planificación y
seguimiento del proyecto.
Capítulo III. Marco Metodológico

En este apartado de la tesis se expondrán, la metodología de investigación que
sustentará a todo el proyecto para el desarrollo e implementación del mismo, además del
cronograma de trabajo y de la propuesta de costos de todo el proyecto.
Metodología de Investigación
Tipo de Investigación
Para el desarrollo de la presente tesis de tipo no experimental exploratorio, se trabajara
en biblioteca a fin de obtener fuentes primarias de información para conformar todo el
marco teórico y metodológico que sustentará a la misma.
Profundizar en todo lo concerniente al mejoramiento de procesos, servicios y
productividad dentro del Gobierno de TI, será el tema central a investigar tanto en fuentes
primarias como secundarias.
La misma no busca demostrar nada, pero sí analizar la factibilidad de implementar un
Modelo de Administración de TI que sería inicialmente desarrollada mediante un Manual
de Control Interno Informático, de tal manera a aplicar las políticas, procesos y gestión
empresarial indicadas en el marco de referencia COBIT 5.
Diseño de Investigación
El diseño será No experimental transversal porque la presente tesis es de tipo
exploratoria descriptiva, en donde se expondrán los hechos relacionados al tema
adecuando a nuestra realidad la propuesta del marco regulador.
Nivel de conocimiento esperado

El nivel de conocimiento esperado con el desarrollo de la presente tesis es el de
implementar el Manual de Control Interno Informático basado en Cobit 5 para analizar la
factibilidad de un Modelo de Administración de TI.
Por todo esto se obtendrá el conocimiento en la gobernabilidad de TI tanto para los
dueños de procesos de negocio, investigadores de procesos de negocio, ejecutivos del
negocio, auditores, gerente de TI (Interesados en lograr los objetivos de negocio
apoyándose en TI).
Además se obtiene el conocimiento y entendimiento del Modelo de Administración de

TI aplicada (basada en COBIT 5), para ser capaz de evaluar el estado actual de la empresa
con el objetivo de analizar qué aspectos de COBIT 5 son los apropiados a implementar.
Y por último concientiza a la estandarización de los procesos de resguardo de
información y de control de calidad a fin de obtener una mayor perspectiva de crecimiento
empresarial.
Universo, población y muestra

Sin embargo enmarcado en un supuesto podremos afirmar que el universo está
compuesto por las empresas paraguayas que conforman un Holding, con una población
compuesta por uno de ellos: Reguera Holding, siendo la muestra una de las empresas que
la componen (A.M. Reguera Importaciones) con 265 colaboradores, quedando como
tamaño muestral 58 colaboradores que formarán parte del proyecto; correspondiente al
21,89 % del total de la muestra (hallada mediante la teoría de muestreo con enfoque
matemático).
La determinación de variables dependientes e independientes será analizada por sus
causas y efectos dentro de la investigación.
Como indicadores de inclusión se encuentran los grupos considerados por COBIT, que
son:
 Directorio: Para conocer la opinión de cuáles son los temas de mayor interés a
nivel de autoridades y directivos.
 Departamento de Tecnología: Conforma el área a ser evaluado, por lo mismo
es de importancia contar con la información que pueden proporcionar.
 Usuarios: Proporcionan las pautas para evaluar el funcionamiento de sistemas,
procesos, servicios y equipos TI.
Instrumentos y Técnicas de Recolección de datos

En el proceso cualitativo es inicialmente el investigador el instrumento de recolección
de datos, este constituye una fuente de datos que recolecta, analiza y elabora un sistema
de medición de la misma.
Cómo instrumento se utilizará el mismo formato de cuestionario cerrado que mide las
percepciones de los colaboradores, conforme lo propone Florida Centre de Formació,
España., para el Programa ALFA III, Unión Europea; para su taller de Innovación e
Internacionalización de las Mi Pymes y Pymes.
Este instrumento es aplicado a los integrantes de la muestra.
Procedimientos de Aplicación de Instrumento

Luego de haber confeccionado el Marco Teórico de referencia para el presente
proyecto, atendiendo a las fuentes secundarias en su mayor parte, se procederá a la
aplicación del instrumento de recolección de datos consistente en una encuesta a los
colaboradores de empresas de diferentes rubros a fin de poder determinar las inquietudes
expuestas en las Preguntas Guías.
Hipótesis
La Hipótesis indica lo que estamos buscando o tratando de probar y se
definen como explicaciones tentativas del fenómeno investigado,
formuladas a manera de proposiciones.
Sampieri, Roberto Hernández et alli
Metodología de la Investigación. Mc Graw Hill. 2003
Atendiendo a que el presente proyecto de tesis se basa en la factibilidad de desarrollo

de un Modelo de Administración de TI mediante el diseño e implementación de un Manual
de Control Interno Informático en una empresa, y sumando este, el hecho de que para
medir el impacto real de dicho modelo tomará no menos de un lustro, conviene entonces
hablar de un supuesto a comprobar; que podría detallarse como “Con la implantación del
Manual de Control Interno Informático en la empresa, la misma aumentará su rendimiento
interno de forma gradual hasta que pasado los cinco años (un lustro) de haberse
implementado; los colaboradores hayan internalizado las políticas del marco Cobit 5, en
el cual se basó el Manual de Control Interno Informático”.
Metodología de Análisis
No corresponde su elaboración, porque la investigación es bibliográfica.
Estimaciones de Costos de Inversión del Proyecto

En este apartado se aprecian los costos económicos que implicaría implementar dicho
proyecto, los cuales son recursos humanos, equipamiento, materiales; gastos directos y
gastos indirectos. Y se podrá optar por un costo ideal y mínimo que se detalla a
continuación.
Presupuesto Ideal
Costo del Proyecto
Descripción U. M. Costo U Cantidad Sub Total
Recursos Humanos - 11.000.000 1 124.000.000
Equipamiento - 4.100.000 1 9.950.000
Materiales - 153.000 1 403.000
Gastos Directos - 200.000 1 400.000
Gastos Indirectos - 12.000.000 1 12.000.000
Total 146.753.000
Tabla 8: Resumen del Presupuesto Ideal
Fuente: Elaboración Propia
Recursos Humanos a cargo del Proyecto

Descripción U. M. Costo U. Cantidad Sub Total
Investigador Meses 7.000.000 12 84.000.000
Asistente Meses 4.000.000 10 40.000.000
Total 124.000.000
Tabla 9: Presupuesto Personal
Equipamiento necesario para el Proyecto

Notebook Unid. 3.500.000 2 7.000.000
Impresora Unid. 350.000 1 350.000
Internet Meses 250.000 14 2.600.000
Total 9.950.000
Tabla 10: Presupuesto Equipamiento
Material Gastable
Papel Resma 50.000 4 200.000
Lápices Caja 8.000 6 48.000
CD-RW Caja 35.000 1 35.000
Tinta Cartuchos 60.000 2 120.000
Total 403.000
Tabla 11: Material Gastable
Otros gastos Directos.

Servicio Técnico - 200.000 2 400.000
Total 400.000
Tabla 12: Otros gastos directos
Otros gastos Indirectos.

Gastos Varios - 12.000.000 - 12.000.000
Total 12.000.000
Tabla 13: Otros gastos indirectos
Cronograma de Actividades
Tabla 14: Cronograma de Actividades.

Fuente: Elaboración Propia.
Capítulo IV. Marco Analítico

En este apartado se realizará una evaluación y estudio del estado actual de los procesos
de la gestión TI de la empresa comercial, los procesos corresponden a: Evaluar, orientar
y supervisar; Alinear, planificar y organizar; Construir, adquirir e implementar; Entregar,
dar servicio y soporte; Supervisar, evaluar y valorar.
4.1. Breve presentación de la empresa

Desde el inicio de A.M. Reguera Importaciones, y a través de otros importantes
proyectos como la importación y comercialización de sal, la fabricación de jabones, el
inicio de la hilandería y la tejeduría de algodón, entre otros emprendimientos, hoy tiene
como resultado el Holding A.M. Reguera, uno de los mayores grupos paraguayos
dedicados a la producción y el comercio.
El holding Reguera es hoy uno de las mayores corporaciones del Paraguay, fruto de la
visión, trabajo, esfuerzo y capital de una gran familia empresarial paraguaya. Su éxito se
sustenta en las estrategias competitivas para el logro de los objetivos marcados de manera
constante y evolutiva.
Sus principales empresas son:
A.M. Reguera Import - Polifabril S.A. - A.M. Reguera S.A. - A.M. Reguera Motors –
AGREGSA - Reguera Holding Emprendimientos Inmobiliarios - AMR Inversiones
Ganaderas - Proyecto Parque Industrial, Central de Logística, 4 Ruedas.
4.1.1. Breve biografía

En 1976 Don Atilio Reguera González fundó A.M. Reguera Importaciones, dando
inicio a una serie de empresas exitosas.
Hoy, después de un constante crecimiento, A.M. Reguera Importaciones trabaja con
sellos de punta en electrodomésticos del mundo, representa, importa y distribuye
exclusivamente en el Paraguay; además cuenta con su propia marca de electrodoméstico:
MATSUI.
A.M. Reguera Importaciones es el centro de operaciones y control del Holding

Reguera. En su local ubicado sobre la avenida Eusebio Ayala, que abarca una superficie
de 10.000 metros cuadrados, donde se encuentra su Show Room exclusivo.
Un Centro logístico de Facturación y Despacho de electrodomésticos, así como
depósitos de abastecimientos ubicados estratégicamente en todo el territorio nacional, de
tal modo a abastecer los pedidos todo tipo de pedidos, dando su mejor asistencia a las
necesidades de nuestros clientes en los puntos de la república.
Con su visión innovadora, hoy el Holding Reguera conforma el conglomerado de
corporaciones más importante del Paraguay y tiene la cualidad del Liderazgo en todas sus
actividades.
4.1.2. Misión, Visión, Valores

El Holding posee la misión de CREAR estrategias para el éxito corporativo.
La visión es la de: Innovando, generar una membresía de empresas Premium. Asociadas
al Liderazgo.
Valores Corporativos:
 Capacidad de aprender: Éxito constructivo. Es peor el éxito llegando a la cabeza
que el fracaso llegando al corazón.
 Capacidad de incidir: Pro actividad. Anticipo de amenazas y gestión de
oportunidades.
 Capacidad de crear líderes: Compromiso de equipo.
 Capacidad de ser sustentable y sostenible: Decisiones inteligentes que aporten
al presente pero construyan el futuro.
 Optimismo: Es desafiante y se puede, antes que se puede pero es difícil.
Pilares Estratégicos:
 Gestión de calidad total en procesos
 Gestión de clientes y mercados
 Gestión de conocimientos
 Gestión de capital humano
4.1.3. Servicios que ofrece

Dedicada a la importación de electrodomésticos y representante de diferentes marcas
incluyendo una propia. También cuenta con el mejor servicio técnico del país.
Ofrece una red de Servicios Autorizados, responsables de la atención en todo el
territorio nacional, que tienen atención garantizada y con credibilidad sustentada por los
años de experiencia y el respaldo de la firma.
El mejor servicio dentro o fuera de la garantía del producto del cliente.
4.1.4. Cantidad de colaboradores en la empresa

El holding AM REGUERA cuenta con más de 2000, en cuanto a la empresa
seleccionada para el desarrollo de esta Tesis (AM REGUERA Importaciones), la misma
cuenta con 310 colaboradores.
4.1.5. Estructura Organizativa
Figura 25: Organigrama Departamento de TI.

Fuente: Elaboración propia. Basada en datos relevados.
Figura 26: Organigrama Administración Del Negocio.

4.2. Administración de las TICS de una empresa del sector

importaciones.
Para administrar de forma eficaz, las empresas necesitan tener una visión amplia de los
riesgos que afectan a la misma, para ello él determinar los riesgos del entorno dentro de
un proceso de Administración de Riesgos que dependería básicamente de:
 Asegurar físicamente los equipos.
 Realizar un diseño de defensa integral.
 Aplicar protección en contra administradores no autorizados.
 Asignar el menor número de permisos posible.
 Crear y mantener una línea base segura para todos los sistemas.
 Utilizar contraseñas seguras y frases cifradas.
 Utilizar métodos de autenticación seguros.
El entorno se refiere al espacio que nos rodea, y con el que interactuamos. Para
la informática, el entorno hace referencia a las condiciones extrínsecas que un sistema
informático requiere para su correcto funcionamiento (un tipo de programación, una
máquina específica, etc.).
En cuanto a la arquitectura informática es un término general que se aplica a la
estructura de un sistema informático o de una parte del mismo. El término se aplica así
mismo al diseño del software de sistema, por ejemplo el sistema operativo y también se
refiere a la combinación de hardware y software básico que comunica los aparatos de una
red informática.
4.2.1. Infraestructura física A.M. Reguera

La infraestructura física constituye los cimientos sobre los cuales se erigen los sistemas
de software. La creciente interdependencia entre sistemas y aplicaciones, así como los
requerimientos de la infraestructura física de cada uno, requieren de la integración entre
sistemas tradicionalmente disímiles y sistemas de propiedad.
A.M. Reguera en la actualidad cuenta con esquema el cual consiste en contar con un
SITIO PRINCIPAL, ubicado en las oficinas de Casa Central, en el área de Data Center5,
el cual se encuentra acondicionado; de acuerdo a las normas y estándares, y un SITIO
REDUNDANTE ubicado en el Edificio de PS LINE (Avenida España Nro. 2028).
Los servidores actuales de la empresa son del fabricante IBM, de la serie RISC, el cual
utiliza el sistema operativo AIX, y en los mismos se encuentra residente el motor de base
de datos relacional ADAPTIVE SERVER ENTERPRISE 15.0.2 proveído por el
fabricante SYBASE, el mismo se encuentra licenciado para todas las conexiones del
Sistema.
La conectividad entre ambos sitios se realiza a través del producto Replication Server
15.2, el cual es también proveído por el fabricante del motor de base de datos SYBASE,
este producto permite transmitir la información en línea entre el SITIO PRINCIPAL
(PRIMARIO) y el SITIO REDUNDANTE (STAND BY). Permite que ante la presencia
de una contingencia real o la realización de tareas de mantenimiento del servidor del
5
Data Center: Centro de Datos.
SITIO PRINCIPAL, el control de las conexiones puede ser derivado al SITIO

REDUNDANTE.
El cambio del control de las conexiones entre el servidor PRIMARIO al servidor
STAND BY se realiza en un tiempo estimado de 15 minutos.
Como un mecanismo de resguardo adicional se estableció un segundo mecanismo de
respaldo, el cual consiste en realizar copias de seguridad periódicas durante el día, las
cuales son actualizadas en un servidor alternativo ubicado en el Data Center de la empresa,
este mecanismo se denomina Backup Incremental.
Finalmente, en forma diaria al finalizar la jornada laborar se realizan copias de
seguridad de todas las bases de datos del servidor PRINCIPAL de acuerdo a una política
de resguardo establecida. Los datos relevantes a la empresa en cuanto a su infraestructura
se detallan en el Anexo 10 - Diagrama de Infraestructura de TI de esta tesis.
4.2.1.1. Entorno de red

La seguridad no es un estado absoluto. Los administradores deben dotar a la red de la
seguridad necesaria para proteger los activos esenciales sin interrumpir la realización de
las funciones diarias del negocio en modo alguno. En ocasiones es posible que un
administrador suavice la aplicación de determinados principios de seguridad para cumplir
las necesidades empresariales.
Desde la perspectiva del hardware, la interconexión y los protocolos de comunicación
que garantizan la conectividad y el intercambio de las señales en soporte físico o de ondas,
es utilizada por las normas de comunicación. Estos protocolos permiten dar un sentido a
la señal que circula entre las estaciones de trabajo y de administrar el acceso al soporte
compartido (Atelin, 2006).
La gestión del riesgo es clave en infraestructura física; al ser gestionada esta última, es
posible reducir los riesgos que pueden ocurrir en la red6 y mejorar su desempeño.
6
Red: Es un medio que permite a personas o grupos compartir información y servicios. Las redes
informáticas constituye el conjunto de las herramientas que permiten a los ordenadores compartir
información y recursos.
Por lo mismo se cuenta con la disponibilidad de un servidor de contingencia, localizado

en un sitio externo al Data Center, de características similares al servidor productivo
principal, al cual los datos son replicados con una frecuencia predefinida; este computador
será promovido como servidor principal ante fallas del hardware principal.
Se disponen de ruteadores que cuentan con un contrato de servicio pactado con el
proveedor, el cual incluye el reemplazo de equipos dañados o con desperfectos técnicos.
Se encuentran implementados enlaces de comunicación redundantes, entre Casa
Central (Data Center) y las sucursales, pendientes a minimizar los problemas de
comunicación ocurridos como consecuencia de fallas técnicas en los prestadores de
servicio.
Un generador que se acciona al segundo en que se produce el corte de energía y cuenta
con una autonomía de 8 horas (con el tanque lleno de combustible). El centro de cómputos
adicionalmente, está soportado por dos UPS, una de 15 KVA y otra de 10 KVA que brinda
autonomía entre 60 y 90 minutos.
4.2.1.2. Comunicaciones
Ante casos de contingencias de comunicaciones, la estrategia de recuperación
implementada por la empresa, consiste en la contratación de servicios del proveedor de
ruteadores, el cual incluye el reemplazo de equipos dañados o con desperfectos técnicos;
además de la implementación de enlaces de comunicación redundantes entre la casa
central (Data Center) y las sucursales, tendientes a minimizar los problemas de
comunicación ocurridos como consecuencia de fallas técnicas en los prestadores del
servicio.
A fin de recuperar los sistemas de comunicación e infraestructura de red de A.M.
Reguera, en la cual están soportados todos los sistemas aplicativos de producción de la
empresa, utilizando como dispositivos principales de red, equipos de la marca CISCO.
Como conexión principal a internet el proveedor es XXX y la salida es a través del
ruteador de Casa Central. Se cuenta con un enlace independiente para Internet. Ante fallas
de este servicio se cuenta con la siguiente opción:
 Conexión alternativa vía TESACOM: el ruteador puede ser configurado
manualmente para que Casa Central pueda conectase para realizar
transacciones por este enlace. Este debe ser utilizado cuando el proveedor XXX
no puede brindar el servicio de Internet.
 Enlace redundante: Existen agencias que cuentan con enlace VPN redundante.
En todos los casos, se ha configurado el acceso con balanceo de carga, es decir
ante la falta de un proveedor se asume al otro enlace como única ruta para
acceder al sistema. En condiciones normales, se utilizan ambos enlaces en
forma indistinta.
 Conexión Alternativa: La empresa adoptó la estrategia de enlazar los dos puntos
(agencia y centro de cómputos) vía llamada telefónica (Dial-Up).
Más información acerca del manejo de servidores ver Anexo 9 - Cronograma de
mantenimiento del Data Center
4.2.2. Software A.M. Reguera.

La existencia de un servidor de réplica, de similares características al servidor de
producción, localizado en un sitio externo al Data Center, al cual se pueden re direccionar
las operaciones del computador principal en caso de contingencias es una de las estrategias
de recuperación del sistema.
Otra estrategia se fundamenta en la recuperación/restauración de backups: para ellos se
cuenta con un servidor, de similares características al servidor productivo pero de menor
porte, en el cual se restaurarán los datos y ejecutables que permitan a los módulos
principales de la aplicación seguir operando normalmente.
Los detalles técnicos de los servidores instalados en el Sitio Primario, y en el Sitio de
Contingencia se encuentran descritos en el (Anexo 11- Inventario de Servidores).
4.2.2.1. Sistema operativo, software de base.

De los relevamientos realizados, no ha sido posible observar la existencia de
procedimientos formalmente documentados para la gestión, registro, resolución y
comunicación de anomalías de los sistemas, de software de base, y de los incidentes
relacionados con el hardware. Esto genera una falta de control de las tareas realizadas por
parte del área de Soporte Técnico.
Por otro lado, en caso de utilizar el servidor alternativo de base de datos, se tendrá en
cuenta poner en producción únicamente los módulos críticos del sistema, no permitiendo
la utilización de módulos que no sean estrictamente necesarios. Para los módulos

transaccionales, se modificará el estado de la aplicación directamente en la base de datos,
en la tabla aplicaciones, desactivando todas las versiones de los módulos.
Servicios Críticos: Sistema Transaccional por orden de prioridad:
 Sistema de transacciones (directamente desde consola del servidor)
 Módulo de cajas
 Módulo de contabilidad
 Módulo de créditos
 Módulo de ahorros
 Módulo de inversiones
 Módulo de personas
 Módulo de Sys
 Módulo de referencias
 Módulo de agenda
Se deberán bloquear el acceso al siguiente módulo:
 Listados.
Se cuentan con servidores que pueden llegar a funcionar como servidor de respaldo del
sistema principal (Anexo 11).
No se cuenta con una política escrita de contraseña y bloqueo de cuentas aplicadas y
adoptadas para el acceso al sistema, la ausencia de un marco normativo formalmente
aprobado, que contemple las definiciones expuestas precedentemente, no permite alinear
las tareas del área a fin de que las mismas sean realizadas dentro de un adecuado marco
de control interno. Asimismo, al no definirse formalmente la normativa en materia de
seguridad de la empresa, no se cuenta con un marco de contención para los usuarios, donde
queden explicitadas las limitaciones de sus acciones en la utilización de los recursos de la
empresa.
4.2.2.2. Utilitarios y aplicaciones.

La empresa no cuenta con herramientas de monitoreo de software de manera a
garantizar la legalidad del software instalado en las computadoras y verificar la seguridad
de su uso para el esquema general de sistemas. La ausencia de los procedimientos

mencionados puede ocasionar la asignación errónea o indebida de aplicaciones a los
usuarios.
Antivirus y software backups y una solución interna de auditoría son algunos utilitarios,
esta última que identifica según se configure, cambios en tablas y campos procediendo a
la grabación de los datos anteriores y posteriores y el usuario que realizó los cambios
además de la fecha y hora realizada. Actualmente es necesaria la formalización de las
políticas de control a los propietarios de los datos.
4.3. Tabulación y Análisis de Datos

Los resultados de la encuesta realizada consisten en la forma de demostrar el estado
actual de la empresa según los personales que lo conforman (Anexo 12 y 13).
4.3.1. ¿La empresa promueve el compromiso con la integridad y valores éticos de sus
personales?
Compromiso con la integridad y valores éticos

6;
10%
15;
26%
12;
21%
9;
15%
16;
28%
Grado de aplicación 1 Grado de aplicación 2 Grado de aplicación 3

Grado de aplicación 4 Grado de aplicación 5
Figura 27: Compromiso con la integridad y valores éticos del personal.

Fuente: Elaboración Propia. Basada en el Cuestionario utilizado como instrumento de relevamiento.
% de grado de aplicación de la afirmación 1 = 6 X 100 / 58 = 10,34

Presentación de los resultados:
De acuerdo a los resultados obtenidos, se observa que el mayor porcentaje corresponde
al grado de aplicación 3 (intermedio), representado por el 27,58 % de ellos; mientras que
en segundo lugar corresponde al grado de aplicación 5 con un total del 25,86 %. Mientras
que un 20,68 % de representación corresponde al grado de aplicación 2. Dejando en
último lugar al grado de aplicación 1 con tal sólo el 10, 34 %. Pudiendo afirmar que el
grado de aplicación en cuanto al compromiso con la integridad y valores éticos de los
personales en sus respectivas empresas, corresponde al nivel intermedio (3) de la escala
de percepción establecida.
4.3.2. ¿El Directorio se muestra independiente de la Gerencia y realiza el

seguimiento de los controles?
Independencia del Directorio y Seguimiento de los

Controles.
2;
4%
10;
17; 17%
29%
17;
29%
12;
21%
Grado de Aplicación 1 Grado de Aplicación 2 Grado de Aplicación 3

Grado de Aplicación 4 Grado de Aplicación 5
Figura 28: Independencia del Directorio y Seguimiento de los Controles.

De acuerdo a los resultados obtenidos, se observa que el mayor porcentaje lo comparten
el grado de aplicación 3 y 5, representado por el 29,31 % de ellos; mientras que en
segundo lugar corresponde al grado de aplicación 4 con un total del 20,68 %. Mientras
que un 17,24 % de representación corresponde al grado de aplicación 2. Dejando en
último lugar al grado de aplicación 1 con tal sólo el 3,44 %. Pudiendo afirmar que el grado
de aplicación en cuanto a la independencia del Directorio ante la Gerencia y el
seguimiento de controles por parte de la misma, corresponde al nivel 3 y 5 de la escala de
percepción establecida.
4.3.3. ¿La Gerencia establece una apropiada asignación de la responsabilidad y

la autoridad?
Asignación de la responsabilidad y autoridad por parte de

la Gerencia
3; 5%
5; 9%
25;
43%
10; 17%
15;26%

Figura 29: Asignación de la responsabilidad y autoridad por parte de la Gerencia.


al grado de aplicación 1, representado por el 43,10 % de ellos; mientras que en segundo
lugar corresponde al grado de aplicación 2 con un total del 25,86 %. Mientras que un 17,24
% de representación corresponde al grado de aplicación 3. Dejando en últimos lugares al
grado de aplicación 4 y 5 con tal sólo el 8,62 % y 5, 17 % respectivamente. Pudiendo
afirmar que el grado de aplicación en cuanto a la apropiada asignación de la
responsabilidad y autoridad por parte de la Gerencia, corresponde al nivel 1 de la escala
4.3.4. ¿La empresa demuestra compromiso para identificar y retener a los más
competentes, posicionándolos en cargos estratégicos?
Identificación y retención de los más competentes

11; 10;
19% 18%
9; 12;
16% 21%
15;
26%
Figura 30: Identificación y retención de los más competentes.


lugar corresponde al grado de aplicación 2 con un total del 20,68 %. Un 18,96 % de
representación corresponde al grado de aplicación 5. Dejando en penúltimo lugar con un
17,24% al grado de aplicación 1 y en último lugar al grado de aplicación 4 con tal sólo el
15,51 % respectivamente. Pudiendo afirmar que el grado de aplicación en cuanto a la
identificación y retención de los más competentes, posicionándolos en cargos estratégicos
corresponde al nivel 3 de la escala de percepción establecida.
4.3.5. ¿Se cuenta con manuales que proporcionen los lineamientos acerca de la
propiedad de datos y diccionario de datos del Sistema?
Lineamientos acerca de la Propiedad de Datos y

Diccionario de Datos del Sistema.
4;
7%
7;
18
12%
31%
10;
17%
19
33%
Grado de aplicación 5
Figura 31: Lineamientos acerca de la propiedad de datos y diccionario de datos del Sistema

12,06 % al grado de aplicación 2 y en último lugar al grado de aplicación 1 con tal sólo el
6,89 % respectivamente. Pudiendo afirmar que el grado de aplicación en cuanto a contar
con manuales que proporcionen los lineamientos acerca de la propiedad de datos y
diccionario de datos del sistema, corresponde al nivel 4 de la escala de percepción
establecida.
4.3.6. ¿La Gerencia de TI asegura el establecimiento como políticas, normas y

procedimientos. Además del mantenimiento del marco de referencia de TI?
Establecimiento de lineamientos y mantenimiento del

marco de referencia de TI
6;
10%
15;
10; 26%
17%
13; 14;
23% 24%

Figura 32: Establecimiento de lineamientos y mantenimiento del marco de referencia de TI


10,34 % respectivamente. Pudiendo afirmar que el grado de aplicación en cuanto al
establecimiento de los lineamientos y mantenimiento del marco de referencia de TI
4.3.7. ¿La empresa cuenta con Organigramas generales y del área TI, manuales
de funciones de las áreas de TI y Seguridad respectivamente?
Organigramas, manuales de TI y Seguridad

respectivamente.
8;
10;
14%
17%
10;
17%
12;
21%
18;
31%

Figura 33: Organigramas, manuales de TI y Seguridad respectivamente.


representación lo comparten tanto el grado de aplicación 1 y 4. Dejando en último lugar
al grado de aplicación 5 con tal sólo el 13,79 % respectivamente. Pudiendo afirmar que el
grado de aplicación en cuanto a contar con los organigramas generales y de TI, cómo con
los manuales de funciones de las áreas de TI y Seguridad; corresponde al nivel 3 de la
escala de percepción establecida.
4.3.8. ¿La empresa cuenta con manuales de Control de Seguridad de los

Sistemas?
Manuales de Control de Seguridad de los Sistemas

4; 8;
7% 14%
10;
17%
21;
36%
15;
26%

Figura 34: Manuales de Control de Seguridad de los Sistemas.


con manuales de Control de Seguridad de los Sistemas, corresponde al nivel 3 de la escala
4.3.9. ¿Existen procedimientos para garantizar un control satisfactorio de los

cambios en el hardware, software de base o registros que demuestren la
realización de las tareas asignadas?
Procedimientos para el control de cambios.

5; 7;
9% 12%
11;
19%
15;
26%
20;
34%

Figura 35: Procedimientos para el control de cambios


existencia de procedimientos que garanticen un control de los cambios en el hardware,
software y tareas específicas, corresponde al nivel 3 de la escala de percepción establecida.
4.3.10. ¿Se cuenta con manuales de usuarios y técnicos de los aplicativos

utilizados en los distintos ciclos del negocio?
Manuales de los distintos ciclos del negocio.

10;
17% 16;
28%
8;
14%
13;
11;
22%
19%

Figura 36: Manuales de los distintos ciclos del negocio


existencia de manuales de usuarios y técnicos de los aplicativos utilizados en los distintos
ciclos del negocio, corresponde al nivel 1 de la escala de percepción establecida.
4.3.11. ¿La empresa cuenta con el plan de infraestructura y de contingencia

actualizado?
Planes de Infraestructura y de Contingencia.

6;
10;
10%
17%
9;
16%
18;
32%
14;
25%

Figura 37: Se cuenta con planes de infraestructura y contingencia actualizado.


con planes de infraestructura y de contingencia, corresponde al nivel 4 de la escala de
4.3.12. ¿Se cuenta con un registro de control de los contratos con proveedores de
Sistemas y Tecnología?
Registro de control de contratos con proveedores de TI.

6; 1;
10% 2%
8;
14%
28;
48%
15;
26%

Figura 38: Registro de control de contratos con proveedores de TI.


con un registro de control de los contratos con proveedores de Sistemas y Tecnología,
4.3.13. ¿El área de TI, garantiza la entrega de beneficios en base a las

inversiones realizadas contribuyendo al valor del negocio?
Garantía de beneficios en base a las inversiones por

parte de TI.
6;
10%
18;
8;
31%
14%
14;
24%
12;
21%

Figura 39: Garantía de beneficios en base a las inversiones por parte de TI.

10,34 % respectivamente. Pudiendo afirmar que el grado de aplicación en cuanto a que el
área de TI garantice la entrega de beneficios en base a las inversiones, contribuye al valor
del negocio, corresponde al nivel 1 de la escala de percepción establecida.
4.3.14. ¿El área de TI, identifica el modo de evaluar y reducir el riesgo

relacionado con el área?
TI evalúa y reduce el riesgo relacionado con el área.

6; 0;
10% 0%
9;
16%
31;
53%
12;
21%

Figura 40: TI evalúa y reduce el riesgo del área.


% de grado de aplicación de la afirmación 5 = 0 X 100 / 58 = 0
representación corresponde al grado de aplicación 3. Dejando en último lugar al grado de
aplicación 4 con tal sólo el 10,34 % respectivamente. Pudiendo afirmar que el grado de
aplicación en cuanto a identificar el modo de evaluar y reducir el riesgo relacionado con
el área, corresponde al nivel 1 de la escala de percepción establecida.
4.3.15. ¿La empresa implementa y mantiene mecanismos y responsables para la

gestión de la información y el uso de las TI en la empresa?
La empresa implementa y mantiene la gestión de la

información y de las TI.
1;
2%
15; 19;
26% 33%
14; 9;
24% 15%

Figura 41: La empresa mantiene la gestión de la información y de las TI.


implementación y mantenimiento de mecanismos y responsables para la gestión de la
información y el uso de las TI de la empresa, corresponde al nivel 1 de la escala de
4.3.16. ¿La empresa establece objetivos claros que permiten la identificación y

evaluación de los riesgos relacionados con los sectores adecuados?
Se establecen objetivos para la identificación y

evaluación de riesgos.
6; 0;
10% 0%
14; 25;
24% 43%
13;
23%

Figura 42: Se establecen objetivos para la identificación y evaluación de riesgos.


aplicación en cuanto a establecer objetivos claros que permitan la identificación y
evaluación de los riesgos relacionados con los sectores adecuados, corresponde al nivel
1de la escala de percepción establecida.
4.3.17. ¿La evaluación de riesgos realizada por la empresa a modo de alcanzar

los objetivos planificados, considera la posibilidad de fraudes?
La evaluación de riesgos considera la posibilidad de

fraudes.
8;
14% 12;
21%
12;
21%
9;
15%
17;
29%
Figura 43: La evaluación de riesgos considera la posibilidad de fraudes.


lugar lo comparten tanto el grado de aplicación 1 y 4 con un total del 20,68 %. Un 15,51
% de representación corresponde al grado de aplicación 2. Dejando en último lugar al
grado de aplicación 5 con tal sólo el 13,79 % respectivamente. Pudiendo afirmar que el
grado de aplicación en cuanto a la evaluación de riesgos realizada por la empresa a modo
de alcanzar los objetivos planificados considera la posibilidad de fraudes, corresponde al
nivel 3 de la escala de percepción establecida.
4.3.18. ¿La empresa asegura que el riesgo relacionado al uso de las TI sean:
identificadas y gestionadas?
El riesgo relacionado a TI son identificadas y gestionadas.

3;
5%
10;
17% 20;
34%
9;
16%
16;
28%

Figura 44: El riesgo relacionado a TI son identificadas y gestionadas.


5,17 % respectivamente. Pudiendo afirmar que el grado de aplicación en cuanto al riesgo
relacionado al uso de las TI sean identificadas y gestionadas, corresponde al nivel 1 de la
4.3.19. ¿La empresa identifica y gestiona los cambios organizativos en relación a

los procesos del negocio, aplicaciones e infraestructura?
La empresa identifica y gestiona los cambios

organizativos en base a procesos e infraestructura.
12;
15;
21%
26%
6;
10%
11;
19%
14;
24%
Grado de aplicación 1 Grado de aplicaición 2 Grado de aplicación 3
Figura 45: La empresa identifica y gestiona los cambios organizativos en base a procesos e infraestructura.

18,96 % al grado de aplicación 4 y en último lugar al grado de aplicación 2 con tan sólo
el 10,34 % respectivamente. Pudiendo afirmar que el grado de aplicación en cuanto a la
identificación y gestión de los cambios organizativos en base a procesos del negocio,
aplicaciones e infraestructura, corresponde al nivel 5 de la escala de percepción
establecida.
4.3.20. ¿La empresa facilita la implementación de los cambios realizados en la

organización, incluyendo la planificación, conversión de datos, pruebas de
aceptación y pases a producción entre otros?
La empresa facilita la implementación de los cambios en
la organización.
7; 0;
12% 0%
18;
31%
24;
41%
9;
16%

Figura 46: La empresa facilita la implementación de los cambios en la organización


aplicación en cuanto a la colaboración por parte de la empresa para la implementación de
los cambios realizados en la organización, incluyendo la planificación, conversión de
datos, pruebas de aceptación y pases a producción entre otros, corresponde al nivel 3 de
la escala de percepción establecida.
4.3.21. ¿La empresa evalúa el cumplimiento de requisitos regulatorios y

dependientes de las TI?
Se evalúan el cumplimiento de requisitos regulatorios y
contractuales en Gral.
0;
12; 0%
21%
4;
7%
32;
55%
10;
17%

Figura 47: Se evalúan el cumplimiento de requisitos regulatorios y contractuales en Gral.


aplicación en cuanto a la evaluación del cumplimiento de requisitos regulatorios y
dependientes de las TI, corresponde al nivel 1 de la escala de percepción establecida.
4.3.22. ¿La empresa proporciona un enfoque estructurado en cuanto a la

comunicación de las funciones, responsabilidades y desempeño esperado por
parte del personal?
Enfoque estructurado en cuanto a la asignación de
funciones y responsabilidades del personal.
7; 0;
12% 0%
9;
16%
42;
72%

Figura 48: La empresa posee un enfoque estructurado en cuanto a la asignación de funciones y responsabilidades
del personal.

lugar corresponde al grado de aplicación 2 con un total del 15,51 %. Y en último lugar al
grado de aplicación en cuanto a proporcionar un enfoque estructurado en cuanto a la
asignación de funciones y responsabilidades del personal, corresponde al nivel 1 de la
4.3.23. ¿La empresa realiza actividades de control que contribuyan a la

disminución del riesgo y al logro de objetivos (ya sea del negocio o de TI)?
Actividades de control para la disminución del riesgo y
logro de los objetivos.
4; 0; 0;
7% 0% 0%
9;
15%
45;
78%

Figura 49: Actividades de control para la disminución del riesgo y logro de los objetivos.

lugar corresponde al grado de aplicación 2 con un total del 15,51 %. Y en último lugar al
grado de aplicación en cuanto a la realización de actividades de control que contribuyan a
la disminución del riesgo y al logro de objetivos, corresponde al nivel 1 de la escala de
4.3.24 ¿La implementación de las actividades de control se realiza con políticas y

procedimientos que ejecutan dichas políticas?
Implementación de las actividades de control mediante

políticas y procedimientos.
19; 18;
33% 31%
1;
2%
10; 10;
17% 17%

Figura 50: Implementación de las actividades de control mediante políticas y procedimientos.


representación lo comparten tanto el grado de aplicación 3 y 4. Dejando en último lugar
al grado de aplicación 2 con tal sólo el 1,72 % respectivamente. Pudiendo afirmar que el
grado de aplicación en cuanto a la implementación de las actividades de control se realiza
con políticas y procedimientos que ejecutan dichas políticas, corresponde al nivel 5 de la
4.3.25. ¿La empresa identifica los requisitos de control de la información,

gestiona y opera los controles adecuados para satisfacer estos requerimientos?
Se identifican los requisitos de control y opera para

satisfacer los requerimientos.
5; 0;
8% 0%
11;
23;
19%
40%
19;
33%

Figura 51: Se identifican los requisitos de control y opera para satisfacer los requerimientos.

aplicación en cuanto a la identificación de los requisitos de control de la información,
gestiona y opera los controles adecuados para satisfacer estos requerimientos, corresponde
al nivel 1 de la escala de percepción establecida.
4.3.26. ¿Se ejecutan y coordinan actividades y procedimientos operativos,

requeridos para entregar los servicios (interno como externo) de las TI?
Se ejecutan actividades y procedimientos para la

entrega de servicios TI.
3; 0; 0;
5% 0% 0%
11;
19%
44;
76%

Figura 52: Se ejecutan actividades y procedimientos para la entrega de servicios TI


lugar corresponde al grado de aplicación 2 con un total del 18,96 %. Dejando en último
lugar al grado de aplicación 3 con tal sólo el 5,17 % respectivamente. Pudiendo afirmar
que el grado de aplicación en cuanto a la ejecución de actividades y procedimientos para
la entrega de servicios TI, corresponde al nivel 1 de la escala de percepción establecida.
4.3.27. ¿El área de TI, gestiona y releva los requerimientos de usuarios para
identificar y clasificar los mismos a modo de dar una solución en tiempo y a
modo de evitar recurrencias?
El área de TI gestiona y releva los requerimientos en

tiempo y forma.
4; 0;
7% 0%
14;
24;
24%
41%
16;
28%
Figura 53: El área TI releva los requerimientos en tiempo y forma.


aplicación en cuanto a los relevamientos de los requerimientos de usuarios para identificar
y clasificar los mismos a modo de dar una solución en tiempo y a modo de evitar
recurrencias, corresponde al nivel 1 de la escala de percepción establecida.
4.3.28. ¿El área de seguridad protege la información de la empresa a modo de

mantener aceptable el nivel del riesgo de acuerdo con la política de seguridad?
Seguridad TI mantiene aceptable el nivel de riesgo de

acuerdo a sus políticas.
7;
12%
8; 23;
14% 39%
1;
2%
19;
33%

Figura 54: Seguridad TI mantiene aceptable el nivel de riesgo de acuerdo a sus políticas.

1,72 % respectivamente. Pudiendo afirmar que el grado de aplicación en cuanto a que el
área de Seguridad de TI mantiene aceptable el nivel de riesgo de acuerdo a sus políticas,
4.3.29. ¿La empresa genera y utiliza información relevante y de calidad para

contener el funcionamiento del control interno?
Se cuenta con información para el buen funcionamiento

del control interno.
8;
14% 12;
20%
18;
31%
19;
33%
1;
2%

Figura 55: Se cuenta con información para el buen funcionamiento del Control Interno.

13,79 % al grado de aplicación 5 y en último lugar al grado de aplicación 3 con tan sólo
el 1,72 % respectivamente. Pudiendo afirmar que el grado de aplicación en cuanto a contar
con la información necesaria para el buen funcionamiento del control interno, corresponde
al nivel 2 de la escala de percepción establecida.
4.3.30. ¿Se comunica internamente la información necesaria para el

funcionamiento del Control Interno (objetivos y responsabilidades)?
Se maneja información necesaria para el Control Interno.

5;
8% 12;
21%
18;
31%
19;
33%
4;
7%

Figura 56: Se maneja información necesaria para el Control Interno


6,89 % respectivamente. Pudiendo afirmar que el grado de aplicación en cuanto al manejo
de información necesaria para el control interno, corresponde al nivel 2 de la escala de
4.3.31. ¿La empresa comunica a terceros, mediante canales de comunicación

establecidos, con respecto a asuntos que afectan el funcionamiento de Control
Interno?
Se comunica mediante los canales establecidos, asuntos

que afectan el Control Interno.
0;
0%
20;
34% 26;
45%
1;
2%
11;
19%
Figura 57: Se comunica mediante los canales establecidos, asuntos que afectan el Control Interno.

aplicación en cuanto a la comunicación mediante los canales establecidos, asuntos que
afectan el control interno, corresponde al nivel 1 de la escala de percepción establecida.
4.3.32. ¿Se supervisan los procesos que se están realizando según lo acordado,
conforme a los objetivos, proporcionando informes planificados?
Se supervisan los procesos mediante informes

planificados.
10;
20% 16;
33%
10;
2%
18; 4;
37% 8%

Figura 58: Se supervisan los procesos mediante informes planificados.


6,89 al grado de aplicación 3 y en último lugar al grado de aplicación 2 con tal sólo el
1,72 % respectivamente. Pudiendo afirmar que el grado de aplicación en cuanto al control
de los procesos mediante informes planificados, corresponde al nivel 4 de la escala de
4.3.33. ¿Se evalúan en forma continua tanto por revisiones internas como
externas, el entorno de control de la empresa?
Evaluación continua tanto de revisiones internas como

externas.
1;
8; 2%
14% 16;
28%
24; 9;
41% 15%

Figura 59: Evaluación continua tanto de revisiones internas como externas.


evaluación en forma continua tanto por revisiones internas como externas, el entorno de
control de la empresa, corresponde al nivel 3 de la escala de percepción establecida.
4.3.34. ¿La empresa evalúa y comunica las deficiencias de control interno, de

manera oportuna a los responsables de tomar una acción correctiva?
Se evalúan y comunican las deficiencias del Control

Interno.
6
10%
13; 22%
30;
52%
1;
2%
8;
14%

Figura 60: Se evalúan y comunican las deficiencias del Control Interno


evaluación y comunicación de las deficiencias del control interno, corresponde al nivel 5
de la escala de percepción establecida.
4.3.35. ¿Los informes de medición y desempeño del área de TI son transparentes

para las partes interesadas?
Los informes del área TI son transparentes para las

partes interesadas.
4; 0: 0;
7% 0% 0%
19;
32%
36;
61%

Figura 61: Los informes del área TI son transparentes para las partes interesadas.

lugar corresponde al grado de aplicación 2 con un total del 32,75 %. Dejando en último
lugar al grado de aplicación 3 con tal sólo el 6,89 % respectivamente. Pudiendo afirmar
que el grado de aplicación en cuanto a la presentación de los informes del área TI son
transparentes para las partes interesadas, corresponde al nivel 1 de la escala de percepción
establecida.
4.3.36. ¿Se consideran adecuadas y suficientes las capacidades del área de TI

(personas, procesos, tecnologías)?
Son adecuadas las capacidades que afectan al área TI.

1; 6;
2% 10%
18;
31%
19;
33%
14;
24%

Figura 62: Son adecuadas las capacidades que afectan al área TI.

1,72 % respectivamente. Pudiendo afirmar que el grado de aplicación en cuanto a lo
adecuado de las capacidades que afectan al área TI, corresponde al nivel 2 de la escala de
4.4. Análisis FODA
Fortalezas
 Grupo de profesionales idóneos y motivados
 Hardware suficiente para sostener el sistema por 2 años
 Proveedores externos comprometidos con nuestra empresa
 Buena imagen ante el Directorio y plana Gerencial
 Flexibilidad de obtener desarrolladores y soporte a medida de la necesidad
 Buen ambiente del grupo de trabajo de TI
 Comunicación abierta con aliados internacionales estratégicos
 Nuevo manual de funciones y políticas
Oportunidades
 Migración de datos a nuevo sistema
 Implementación del Directorio Activo (MS ACTIVE DIRECTORY)
 Determinación del Directorio de invertir en Técnología
 Disminución del costo de hardware
 Incursión en el mercado local de proveedores de software
 Disminución de costo de comunicaciones
 Deseo del Directorio de invertir en capacitación
Debilidades
 Etapa de transición de Gerencia
 Dispersión del RRHH de TI ante implementación de un nuevo sistema
 RRHH de desarrollo muy bueno. Aún en fase de aprendizaje
 Dispersión física de las oficinas de TI
 Falta de sistemas de gestión de gobernabilidad de TI
 Falta de sistemas de gestión de gobernabilidad de TI
 Alta demanda de cambios en el sistema y en el soporte
Amenazas
 Cambios de sistema monetario
 Cambio del IVA
 Aumento sustancial del costo de profesionales especializados
 Falta de automatización de actividades de áreas de soporte financiero
 Falta de claras definiciones de los proyectos solicitados a TI
 Falta de claras definiciones para la implementación del nuevo sistema
 Plan de continuidad de negocios incompleto
 Falta de compromiso alta de compromiso institucional para el cambio de sistema
Figura 63: Último análisis FODA. A.M. Reguera
Fuente: Elaboración propia. Basado en materiales proveídos por la empresa A.M. Reguera en relevamientos
realizados.
4.5. Propuesta de manual.

Se entrega, como parte del presente trabajo, el desarrollo de las metas del negocio y las
metas de TI alineadas a dichas metas; la alineación entre dichas metas (metas
catalizadoras) para la obtención de los procesos a ser utilizados para el desarrollo del
Manual de Control Interno Informático en base a los lineamientos que establece el marco
de referencia COBIT 5 y considerando el estado “deseado” de la empresa en base a los
objetivos estratégicos del negocio propuestos.
Permitiendo establecer metas específicas en todos los niveles y en todas las áreas de la
empresa en apoyo de los objetivos generales y requisitos de las partes interesadas y así,
efectivamente, soportar la alineación entre las necesidades de la empresa y las soluciones
y servicios de TI
La identificación de los objetivos del negocio conforman el insumo inicial para el inicio
de la técnica de la cascada propuesta por COBIT 5, y que al final conduce a la obtención
de los procesos de TI priorizados y filtrados.
Luego de la obtención de las metas del negocio se obtienen las metas de TI relevantes
para la empresa, a partir de la de la matriz de alineación propuesta por COBIT 5 para este
caso. (Anexo 4).
A partir de este resultado, y con la matriz de alineación propuesta por COBIT 5 se
determinan los siguientes procesos de TI filtrados y priorizados según las necesidades de
la empresa. (Anexo 5).
Relación con los Objetivos del Gobierno
Dimensión Metas del Negocio para la Realización
Optimización Optimización
del CMI Empresa AM Reguera de
de Riesgos de Recursos
Beneficios
Mantener los niveles
Financiera patrimoniales que nos permitan P P S
un continuo crecimiento
Fidelizar y rentabilizar la
relación con el cliente y
P P S
mejorar el nivel de satisfacción
Cliente del mismo
Consolidar los productos y
fortalecer los canales de P
comercialización
Introducir la cultura de
captación de ahorro en toda la P P P
empresa
Lograr la eficiencia operativa
mediante procesos P P P
estandarizados y automatizados.
Fortalecer la comunicación
Interna
interna para contar con P P
colaboradores bien informados.
Adecuar la infraestructura para
P P S
los clientes internos y externos.
Lograr el compromiso y calidad
de desempeño de los
Aprendizaje colaboradores y que los mismos S P P
y puedan proyectarse en la
Crecimiento empresa.
Fortalecer los programas de
P
RSE.
Relación primaria P, secundaria o menos fuerte S.
Tabla 15: Metas del Negocio para la Empresa AM Reguera.
Fuente: Elaboración propia. Basada en datos relevados
Dimensión Metas de TI relevantes. (Metas Catalizadoras)

del CMI TI Para la Empresa AM Reguera.
1 Alineamiento de TI y estrategia de negocio

Compromiso de la Dirección ejecutiva para tomar decisiones
Financiera 3
relacionadas con TI
Realización de beneficios del portafolio de inversiones y Servicios
5
relacionados con las TI
7 Entrega de servicios de TI de acuerdo a los requerimientos del negocio
Cliente
8 Uso adecuado de aplicaciones, información y soluciones tecnológicas
9 Agilidad de las TI
11 Optimización de activos, recursos y capacidades de TI
Interna
Capacitación y soporte de procesos de negocio integrando aplicaciones
12
y tecnología en procesos de negocio
Aprendizaje 16 Personal del negocio y de las TI competente y motivado
y
Crecimiento 17 Conocimiento, experiencia e iniciativas para la innovación del negocio
Tabla 16: Metas De TI alineadas a las Metas del Negocio. Metas Catalizadoras para la Empresa AM Reguera
Procesos de TI relevantes a las Metas TI

Para la Empresa AM Reguera.
EDM01 Asegurar el Establecimiento y Mantenimiento del Marco de Gobierno
EDM02 Asegurar la Entrega de Beneficios.
APO01 Gestionar el Marco de Gestión de TI.
APO02 Gestionar la Estrategia
APO03 Gestionar la Arquitectura Empresarial.
APO05 Gestionar Portafolio.
APO07 Gestionar los RR.HH.
APO08 Gestionar las Relaciones.
EDM05 Asegurar la transparencia hacia las Partes Interesadas.
APO04 Gestionar la Innovación.
APO06 Gestionar el Presupuesto y los Costes.
APO11 Gestionar la Calidad.
APO09 Gestionar los Servicios.
APO10 Gestionar los Proveedores.
EDM04 Asegurar la Optimización de los Recursos.
BAI01 Gestionar los Programas y Proyectos.
BAI02 Gestionar la Definición de Requisitos
BAI03 Gestionarla Identificación y la Construcción de Soluciones.
BAI04 Gestionar la Disponibilidad y la Capacidad.
BAI06 Gestionar los Cambios.
DSS01 Gestionar las Operaciones.
DSS02 Gestionar las Peticiones y los Incidentes del Servicio.
DSS03 Gestionar los Problemas.
DSS04 Gestionar la Continuidad.
DSS06 Gestionar los Controles de los Procesos del Negocio.
MEA01 Supervisar, Evaluar y Valorar Rendimiento y Conformidad.
BAI05 Gestionar la introducción de Cambios Organizativos.
BAI07 Gestionar la aceptación del cambio y de la transición.
BAI08 Gestionar el Conocimiento.
BAI09 Gestionar los Activos.
BAI10 Gestionar la Configuración.
Tabla 17: Procesos de COBIT 5 alineadas con las Metas catalizadoras para la Empresa AM Reguera.
Fuente: Elaboración propia. Basada en COBIT 5.
Capítulo V. Conclusiones y Recomendaciones

En este último apartado del proyecto se procederá a la presentación de las apreciaciones
finales de la investigación, dejando expuestos los resultados logrados y las propuestas de
ampliación para estudios futuros.
Conclusiones
Atendiendo a que el presente proyecto de tesis se basa en la factibilidad de desarrollo
de un Modelo de Administración de TI mediante el diseño e implementación de un Manual
de Control Interno Informático en una empresa, y sumando este, el hecho de que para
medir el impacto real de dicho modelo tomará no menos de un lustro, conviene entonces
hablar de un supuesto a comprobar; que podría detallarse como “Con la implementación
del Manual de Control Interno Informático en la empresa, la misma aumentará su
rendimiento interno de forma gradual hasta pasado los cinco años (un lustro) de haberse
implementado; y los colaboradores se hayan interiorizado con las políticas del marco
Cobit 5, en el cual se basó el Manual de Control Interno Informático”.
Las TIC deben considerarse como sinónimo de innovación referente a la tecnología, el
comercio y las regulaciones; El éxito de las mismas depende de que se adopte un mismo
enfoque sistémico por parte de las partes interesadas y que garantice la incorporación
amplia y coordinada de todos los elementos interrelacionados: la oferta y la demanda, la
infraestructura, el acceso, los servicios, las políticas y las normas, la alfabetización digital
y los mecanismos de financiación.
En este proyecto se explican las diferencias entre la versión anterior COBIT 4.1 y
COBIT 5, sus principios y alcances orientados al Gobierno de TI.
También se analizan los procesos, técnicas de gobierno y gestión empresarial basadas
en el marco de referencia COBIT 5, aplicadas a fin de garantizar los datos de la empresa.
Se investiga la estructura jerárquica, la organización y la administración de la
infraestructura de TI de la empresa seleccionada, para el desarrollo del Manual de Control
Interno Informático según el modelo propuesto.
Entonces, con la implementación de un Modelo de Administración de TI colabora al
desarrollo del Gobierno de las TICS de la empresas que lo aplican, proporcionando un
aumento gradual de la perspectiva de crecimiento empresarial con un aumento del

rendimiento interno de las mismas; haciéndola más competitivas ante las demás y
posibilitando su internacionalización en un mercado global.
Recomendaciones.
Existe un espacio importante para las políticas y estrategias orientadas a incrementar
la infraestructura de la red y mejorar las condiciones de acceso y la calidad del servicio.
Mientras no se superen los problemas relacionados a las TICS, el uso de la banda ancha
en la región seguirá cubriendo a cantidades reducidas de la población, no siendo posible
concretar todos los beneficios de las TIC. Para esto es necesario hacer un adecuado análisis
de la organización en la que se implementarán y determinarán los objetivos.
Se recomienda mantener un monitoreo global de TI, tomando como punto de partida
el marco de trabajo descrito en este proyecto, para iniciar acciones correctivas en base a
la evaluación periódica del desempeño de los procesos contra los objetivos planteados, y
así mantener niveles óptimos de seguridad, calidad y eficiencia.
Siempre es recomendable para un mejor desempeño, realizar auditorías detalladas de
las áreas de desarrollo de software, administración de la base de datos y soporte técnico.
En caso de que la empresa decida realizar el desarrollo e implementación de los
procesos, políticas de gobierno y gestión empresarial en base a COBIT 5, deben tener en
cuenta que la misma es más amigable cuando se realizan dichos lineamientos inicialmente
en base a COBIT 5, y no así si ya se posee implementado una versión anterior a la misma.
También se recomienda que los personales encargados de la manipulación y
construcción del desarrollo del software de la empresa no sean personales tercerizados,
sino que corresponda al plantel de la misma.
Al alcanzar demostrar la factibilidad de utilización del marco de referencia COBIT 5
para alcanzar un mayor y mejor crecimiento de la gestión empresarial, es recomendable
el desarrollo del Modelo de Administración de TI basada en este marco.
Bibliografía
Acha, Gerardo. Estándares de Seguridad en el Trabajo. Consultado en fecha:
10/10/2014. Extraído de http://eticaseguridadupc.blogspot.com/2011/04/los-
stakeholders.html.
Aguilera C., Diana R. Guía de Auditoria de Sistemas para la industria de los Medios de
Pago. Tesis de Grado. Ingeniería de Informática y/o Análisis de Sistemas.
Universidad Americana, Asunción, Paraguay. 2013.
Agencia de información Paraguaya. Pobreza total se redujo 1,2% en 2014. Consultado en
fecha: 30/10/15. Extraído de: http://www.ip.gov.py/ip/?p=12090.
Alles, Marta. Diccionario de las Competencias. La trilogía. Editorial: Granica. 2013.
Alegsa, Leandro. Diccionario de Informática y Tecnología. Consultado en fecha:
17/05/15. Extraído de:
http://www.alegsa.com.ar/Dic/arquitectura.php#sthash.h1lv1sQc.dpuf.
Albertini, F. Entrenamiento y Capacitación de Recursos Humanos en Paraguay ante los
Desafíos del Mercado Laboral, 2010 – 2013. Consultado en fecha: 30/10/15.
Extraído de: http:/www.investigación.ua.edu.py/entrenamiento-y-capacitación-de-
recursos-humanos-en-paraguay.
Alejandro, Cuesta. Cómo medir el alineamiento entre TI y negocio. Consultado en
fecha: 05/08/2014. Extraído de: http://www.ibermatica.com/sala-de-
prensa/opinion/como-medir-el -alineamiento-entre-ti-y-negocio-gobierno-ti-y-
cobit-5.
American Psychological Association. Manual de publicaciones de la American
Psychological Association. Edición 3era. 2010.
American Psychological Association. Publication manual of the American Psychological
Association. Edition 6th. Washington, D.C. 2010.
Aral, Sinan, Brynjolfsonn, WU. D.J. Which Came Fisrst, IT or productivity? The Virtous
Cycle of Investment and use in Enterprise Systems. P22. 2006. EEUU.
Areitio, Javier. Seguridad de la Información. Redes, informática y sistemas de
información. Editorial: Parainfo. 2008.
Atelin, Phillippe. Redes Informáticas. Editorial: ENI. 2006.
Axelos. ITIL and IT Service Management. Consultado en fecha: 14/04/15. Extraído de

http://www.itil.org.uk/.
Beth Chrissis Mary, Konrad Mike & Shrum Sandy. CMMI Guidelines for process
integration and Product Improvement, Second edition. 2007
BS. BS EN ISO 9001. Consultado en fecha: 20/10/15. Extraído
de: http://www.bsigroup.com/en/Assessment-and-certification-
services/management-systems/Standards-and-Schemes/BS-25999/.
Bvs, revista. Caracterización del presupuesto para los proyectos de investigación.
Consultado en fecha 21/10/14. Extraído de:
http://bvs.sld.cu/revistas/rst/vol12_2_11/rst08211.htm.
Cano, Jeimy J PhD., ISACA. Journal. Seguridad Lógica y Seguridad Física: Dos Mundos
Convergentes, CFE. Volumen 6. Consultado en fecha 08/12/12. Extraído de:
http://www.isaca.org/Journal/Past-Issues/2009/Volume6/Pages/JOnline-
Seguridad-Logica-y-Seguridad-Fisica-Dos-Mundos-Convergentes.aspx.
Ca Zorzi, A. Las TIC en el desarrollo de la PyME. Consultado en fecha: 23/10/15. Extraído
de: http://pymespracticas.typepad.com/files/tic-y-pymes-en-al-final-2011.pdf.
CONATEL. Plan Nacional de Telecomunicaciones 2011-2015.
Conferencia Río+20. El futuro que queremos. Informe Final 2012. Consultado en fecha:
27/10/15. Brasil.
COSO. COSO III. Internal Control. Integrated Framework. Mayo 2013.
COSO. Internal Control-Integrated Framework Released. 2013. Consultado en fecha:
09/04/15. Extraído de http://www.coso.org/
COSO. Sumario Ejecutivo COSO. Consultado en fecha: 08/05/15. Extraído de:
http://www.coso.org/documents/990025P_Executive_Summary_final_may20_e.p
df.
COSO. Consultado en fecha: 09/04/15. Extraído de http://www.coso.org/IC.htm.
Corradine, Neil. La gestión del riesgo, asunto clave en infraestructura física unificada.
Consultado en fecha: 19/05/15. Extraído de: http://diarioti.com/la-gestion-del-
riesgo-asunto-clave-en-infraestructura-fisica-unificada/71290/.
Davidow & Malone. The Virtual Corporation. P 168.
De Lara, Alfonso. Medición y control de Riesgos Financieros. Editorial: Limusa. 2005.

Definición.es. Definición de Entorno. Consultado en fecha: 14/05/15. Extraído de:
http://definicion.de/entorno/#ixzz3aRl6oBoE.
Dirección General de Estadística, Encuesta y Censos. Principales Resultados de la
Encuesta Continua de Empleo de Asunción y Central Urbano. 2014. Paraguay.
Dirección General de Estadística, Encuesta y Censos. EPH 2014. 2015. Paraguay.
E&Y. Informe de Negocios. Perspectiva sobre los riesgos de TI. Editorial: Mancera. 2012.
ENA y otros. Formación y Orientación Laboral. Editorial: Parainfo. P 210.
Fernández, Esteban. Iniciación a los negocios. Aspectos Directivos. Editorial: Parainfo
S.A.
Fernández-Vítora, V. C. Instrumentos de la gestión ambiental en la empresa. 1996.
México.
Foro Económico Mundial 2015. Resumen. Consultado en fecha: 20/10/15. 2015. Suiza.
Galindo, Marco. Escaneando la informática. Editorial UOC.
Guerra, J.M. Red de Difusión de las TIC en las PyMES en el noreste de Europa.
Consultado en fecha: 22/10/15. Extraído de:
http://www.cybersudoe.eu/es/actualidades/ique-ventajas-presenta-para-las-
empresa-desarrollar-el-manejo-de-las-tic.html.
González, Érica. Arquitectura Empresarial en acción. Consultado en fecha: 15/04/2015.
Extraído de: https://arquitecturaempresarialcali.wordpress.com/2010/12/01/togaf-
y-zachman/.
Harvey, Koeppel. El modelo de operación digital triunfa en 2015. Consultado en fecha:
15/05/15. Extraído de: http://searchdatacenter.techtarget.com/es/opinion/El-
modelo-de-operacion-digital-triunfa-en-2015.
Helkyn, Coello. ITIL, COBIT, CMMI, PMBOK Como integrar y adoptar los estándares
para un buen Gobierno de TI. Consultado en fecha: 14/09/15. Extraído de:
https://helkyncoello.wordpress.com/2008/12/08/itil-cobit-cmmi-pmbok-como-
integrar-y-adoptar-los-estandares-para-un-buen-gobierno-de-ti/).
Heredero, Carmen. Informática y comunicaciones en la empresa. Editorial: ESIC
Hernández-Sampieri R., Baptista L. y Fernández-Collado, C. Metodología de la

investigación. Editorial: McGracHill Interamericana. 2006. México.
Horngren, Charles T. Sundem, Gary L., Contabilidad administrativa.
IEEE. Strategic Plan. Consultado en fecha: 10/10/15. Extraído de:
http://www.ieee.org/index.html
Informe acerca de los avances de las TIC y las TIC para el desarrollo. Tecnologías de la
información y las comunicaciones para un desarrollo social y económico incluyente.
CMSI. 2014. Ginebra.
International Finance Corporation. Corporate Governance Development Framework.
http://www.ifc.org/wps/wcm/connect/Topics_Ext_Content/IFC_External_Corporat
e_Site/Corporate+Governance/CG+Development+Framework/
ISACA. 5 Essential Facts about Cobit 5. Consultado en fecha 05/11/14 Extraído de:
http://www.isaca.org/Education/Online-Learning/Pages/5-Essential-Facts-About-
COBIT-5.aspx.
ISACA. Where have all the control objectives gone. Consultado en fecha: 10-05-15.
Extraído de www.isaca.org/Journal/Past-Issues/2011/Volume-4/Pages/Where-
Have-All-the-Control-Objectives-Gone.aspx.
ISACA. COBIT 5. Un Marco de Negocio para el Gobierno y la Gestión de las TI de la
Empresa. Editorial: ISACA. 2012. USA.
ISACA. IT Governance Institute. Cobit 4.1.Marco de Trabajo – Objetivos de Control –
Directrices Gerenciales – Modelos de Madurez. Edición al Español. Consultado en
fecha: 12/08/14. Extraído de: http://www.isaca.org/Knowledge-
Center/cobit/Pages/Downloads.aspx.
ISACA. ITAF Information Technology Assurance Framework. Consultado en fecha:
12/05/15. Extraído de: http://www.isaca.org/Knowledge-Center/ITAF-IS-
Assurance-Audit-/Pages/default.aspx.
ISACA. ITAF. A Professional Practices Framework for IS Audit/Assurance. ISACA.
Edition 3rd. 2014. USA.
ISACA. Ketchum Global Research & Analytics. IT Risk-Reward Barometer: US

Consumer Edition. Consultado en fecha 01/11/2014. Extraído de:
http://www.isaca.org/risk-reward-barometer.
ISACA. Marco de Riesgos de TI. Editorial: ISACA. 2009. USA.
ISACA. Modelo de Negocios para la Seguridad de la Información (BMIS). Consultado en
fecha: 12/05/15. Extraído de: http://www.isaca.org/Knowledge-
Center/BMIS/Pages/Business-Model-for-Information-Security.aspx.
ISACA. Relating the COSO Internal Control – Integrated Framework and COBIT.
Editorial: ISACA. 2014. USA
ISACA. COBIT 5 Assessment Programme. Consultado en fecha 29-11-2013. Extraído de:
http://www.isaca.org/COBIT/Pages/default.aspx
ISACA. Val IT Framework for Business Technology Management. Consultado en fecha:
11/05/15. Extraído de: http://www.isaca.org/Knowledge-Center/Val-IT-IT-Value-
Delivery/Pages/Val-IT1.asp.
ISO 20000. Certificación del Sistema de Gestión de Servicios de TI. Consultado en fecha:
14/10/15. Extraído de: http://www.dnvba.com/es/Certificacion/Sistemas-de-
Gestion/Seguridad-de-la-Informacion/Pages/ISO-
20000%E2%80%93Certificacion-del-Sistema-de-Gestion-de-Servicios-de-TI-
Tecnologias-de-la-Informacion.aspx.
ISO 20000. Gestión de Servicios de TI. Consultado en fecha: 10/10/15. Extraído de:
http://www.overti.es/curso-iso-20000-fundamentos.
ISO 27001. Free ISO 27001 and ISO 2231 Virtual Consultant. Consultado en fecha:
29/05/2015. Extraído de: http://www.iso27001standard.com/.
ISO 27005. The ISO 27000 Directory. Consultado en fecha: 04/10/15. Extraído de:
http://www.27000.org/iso-27005.htm
ISO38500.org. ISO 38500 Contents. Consultado en fecha: 25/05/2015. Extraído de:
http://www.38500.org/contents.htm.
ISO. Consultado en fecha: 10/04/15. Extraído de:
http://www.iso.org/iso/catalogue_detail?csnumber=51639.
ITGI. COBIT 4.1. Marco de Trabajo. Versión en español. 2007.
ITGI. Alineando-COBIT-4-1-ITIL-v3-y-ISO-27002-en-beneficio-de-la-empresa.
Editorial: ITGI. 2008. USA
ITGI. Board Briefing on IT Governance. Editorial: ITGI. Edición: 2da. 2003. USA.
Informaticamoderna.com. Sistemas Operativos Populares. Consultado en fecha: 05/04/15.
Extraído de: http://www.informaticamoderna.com/Sist_Ope.htm.
Jan Van Bon. Fundamentos de ITIL V3. Editorial: Van Haren.
Kenneth, Laudon. Sistemas de información gerencial: Administración de la empresa
digital. Editorial: Pearson Educación.
Kotelnikov, V. Small and Medium Enterprises and ICT. E-primers for the Information
Economy, Society and Polity, 27 (N. Unidas, Ed.). 2007. Tailandia.
Lester, Donald L, Tran, Thuang T. Information Technology Capabilities: Suggestions for
SME Growth. 2008.
Levin R. I., Rubin D. S. Estadística para Administración y Economía. Editorial: Pearson
Prentice Hall. 2004. México.
López, Antoni. Diseño de sistemas software en UML. Editorial: UPC.
Lhija. Definición de Arquitectura Informática. Consultado en fecha: 20/05/15. Extraído
de: https://lhija.wordpress.com/2011/11/04/definicion-de-arquitectura-
informatica/.
M. Bunge. ¿Qué es un Problema Científico? 2011.
Maggio, M. Diálogos en Educación. Bs. As.: Educared. 2007. Argentina
Marín, Mihaela. Las 10 tendencias tecnológicas que marcarán el año 2015. Consultado
en fecha: 08/05/2015. Extraído de: http://www.ticbeat.com/tecnologias/10-
tendencias-tecnologicas-marcaran-2015/.
Master magazine. Definición de Entorno. Consultado en fecha: 01/05/15. Extraído de:
http://www.mastermagazine.info/termino/4898.php.
Mary Beth Chrissis, Mike Konrad. CMMI®. Guía para la integración de procesos y la
mejora de productos Segunda edición. 2012.
Microsoft. Recursos. Consultado en fecha: 10/05/15. Extraído de:
https://www.microsoft.com/spain/technet/recursos/articulos/spsec_1.mspx.
Modelo de Capacidad y Madurez. Consultado en fecha: 04/04/15. Extraído de:

http://es.wikipedia.org/wiki/Modelo_de_Capacidad_y_Madurez.
Morera, Juan. Conceptos de Sistemas Operativos. Univ. Pontifica Comillas.
Muñiz, Luis. Como evaluar e implantar un sistema de Control de Gestión. Editorial: Profit.
2013. España. P 74.
Normas ISO. ISO 20000 Calidad de los Servicios de TI. Consultado en fecha 02/11/15.
Extraído de: http://www.normas-iso.com/iso-20000.
Networkworld. El 25% de las compañías globales ya han adoptado Internet de las Cosas.
http://www.networkworld.es/telecomunicaciones/el-25-de-las-companias-
globales-ya-han-adoptado-internet-de-las-cosas.
ONU. Estudio SMARTer2030. Informe final por la GeSI y Accenture (NYSE: ACN).
Consultado en fecha: 26/10/15
Ortiz Frida, García María del Pilar. Metodología de la Investigación. Editorial: Limusa.
2005. México. P 64.
Osores, Melisa. Mejores prácticas de TI. Consultado en fecha: 12/01/15. Extraído de:
http://searchdatacenter.techtarget.com/es/cronica/Mejores-practicas-de-TI-Mas-
valor-para-el-negocio.
OECD. Perspectivas Económicas de América Latina 2014. Editorial: CEPAL. Edición:
7ma. 2013. P118.
OGC. Management Successful Projects with PRINCE2, Ed. Crowm. 2005.
PCWorld. El gasto mundial en TIC alcanza los 3,8 billones de dólares este año.
Consultado en fecha: 08/05/2015. Extraído de: http://www.pcworld.es/ti-
corporativa/el-gasto-mundial-en-tic-alcanzara-los-38-billones-de-dolares-este-ano.
Pedraza Melo, Sánchez Aldape y García Fernández. "La importancia de la adopción de
tic en las PYMES mexicanas". Consultado en fecha: 23/10/15. Extraído
de: http://www.eumed.net/cursecon/ecolat/index.htm.
Pereyra, Teresa. 5 Tendencias TIC para PyMES en 2014. Consultado en fecha:
26/10/15. Extraído de: http://www.ecija.com/articulos/5-tendencias-tic-para-
pymes-en-2014/.
Pérez Menéndez, Carlos. Aplicaciones estándares o hechas a medida. Consultado en

fecha. 15/05/15. Extraído de: http://liberix.es/blog/aplicaciones-estandares-o-
hechas-a-medida/.
Pérez López, C. Muestreo estadístico: conceptos y problemas resueltos. Editorial: Pearson
Prentice Hall. 2005. Madrid.
Peso M. y Piattini M. Auditoria Informática, un enfoque práctico. Editorial: Alfa Omega
RA- MA. Edición: 2da. Versión ampliada y revisada.1998.
Project Management Institute, Inc... Guía de Fundamentos del PMBOK. Edición Quinta.
2013. P 67, 84.
Publicación del Diario ABC Color. Suplementos. Mundo Digital. Consultado en fecha:
15/08/2015.
Rao, Leena. As Software Eats The World, Non-Tech Corporations Are Eating Startups
Consultado en fecha: 04/05/15. Extraído de: http://techcrunch.com/2013/12/14/as-
software-eats-the-world-non-tech-corporations-are-eating-startups/.
Romero, Javier. Control interno y sus 5 componentes según COSO. Consultado en fecha:
09/05/15. Extraído de: http//www.gestiopolis.com/control-interno-5-componentes-
según-coso.
Reyes, Juan. Congreso y Feria Interamericana de Seguridad de la información 2012.
Consultado en fecha: 13/12/14... Extraído de:
http://www.antifraude.org/2011/07/xvi-congreso-interamericano-de-seguridad-de-
la-informacion/.
Secretaría Técnica de Planificación. Informe 2014. Consultado en fecha 12/10/15.
Secretaría de Información y Comunicación. Tecnologías apuntan a eliminar la pobreza
extrema, según experto colombiano. Publicado en fecha: 05/08/15. Consultado en
fecha: 12/09/15.
Secretaría Nacional de la Tecnologías de la Información y Comunicación. Plan Director
TICs. Consultado en fecha: 25/10/15. Extraído de: http://www.senatics.gov.py.
2011.
SENATICS. ¿Qué es la SENATICS 2013?. Consultado en fecha: 20/10/15. Extraído de:
http://www.senatics.gov.py/institucional
Spider Strategies. Balanced Scorecard & Technology. Consultado en fecha: 01/05/15.

Extraído de: https://balancedscorecard.org/Software/Balanced-Scorecard-Software.
Saavedra John. Modelo de Gobierno de TI como apoyo al proceso de transformación
digital en empresas de la industria editorial. Tesis de Grado. Universidad ICESI.
Santiago de Cali. 2012.
Sitio Web Reguera Holding. Extraído de
http://www.regueraholding.com.py/es/index.php. En fecha: 23/06/2015
Tarzijan, Jorge. Organización industrial para la estrategia empresarial. Editorial: Pearson.
Edición: 2da.
The Open Group. TOGAF 9.1. Edition Enterprise. Versión 9.1. USA
Universidad Americana. Modelo de proyecto de investigación APA. A01 - Guía
metodológica apa-abnt-vancouver. Consultado en fecha: 03/04/14. Extraído de:
http://www.uamericana.edu.py/atencion-a-alumnos/proceso-de-titulacion/guias-
metodologicas/
Universidad Americana. Modelo de proyecto de investigación APA. A02 – Modelo tesis
en normativa APA. Consultado en fecha: 03/04/14. Extraído de:
metodologicas/
Universidad Americana. Modelo de proyecto de investigación APA. A05 – Modelo
proyecto de investigación-ua. Consultado en fecha: 03/04/14. Extraído de:
metodologicas/
Universidad Americana. Modelo de proyecto de investigación APA. A06 – Evaluación
de proyecto de investigación apa-abnt-y-vancouver-ua. Consultado en fecha:
03/04/14. Extraído de: http://www.uamericana.edu.py/atencion-a-alumnos/proceso-
de-titulacion/guias-metodologicas/
Universidad Americana. Modelo de proyecto de investigación APA. C01 - Guía de
evaluación de tesis apa-abnt-vancouver-ua. Consultado en fecha: 03/04/14.
Extraído de: http://www.uamericana.edu.py/atencion-a-alumnos/proceso-de-
titulacion/guias-metodologicas/
Universidad Americana. Modelo de proyecto de investigación APA. D01 – Indicadores

de evaluación de defensa de tesis apa-abnt-vancouver. Consultado en fecha:
03/04/14. Extraído de: http://www.uamericana.edu.py/atencion-a-alumnos/proceso-
de-titulacion/guias-metodologicas/
Universidad Católica. Centro de Negocios “Foro: La Gerencia en el Perú en el siglo XXI”.
Lima. Junio 2002. P 130, 144
UNCTAD. Information Economy Report 2013: The Cloud Economy and Developing
Countries. 2013, (Publicación de las Naciones Unidas, Ginebra).
V. Camps, O. Guariglia y F. Salmerón. Concepciones de la Ética. Editorial: Trotta.
Viñas, José. Manual para la formación de riesgos laborales. Editorial: Lex Nova. 2010.
WEF. The Networked Readiness Index 2015 Rankings. Consultado en fecha: 20/10/15.
Extraído de: reports.weforum.org/global-information-technology-report-
2015/report-highlights/.
Winthers, David. Software Engineering best practices applied to the modelling process.
Dell Computer Corporation. 2000.
Wuttke, Thomas. El compañero de bolsillo de la Guía del PMBOK.
Anexos
Anexo 1 - Varios.
1. Tipos de arquitecturas informáticas son:
 Arquitectura de sistemas: Define la tecnología que será usada para construir el
sistema de información.
 Arquitectura de la información: Es la forma particular en que la tecnología de
la información toma en una organización para alcanzar metas o funciones
seleccionadas. Es un diseño para los sistemas de aplicaciones de negocios
fundamentales de la empresa y de las formas específicas en que se utilizan en
cada organización.
 Arquitectura de software: Es la descripción de los subsistemas y componentes
computacionales de un sistema software y las relaciones entre ellos.
 Arquitectura de hardware: La arquitectura de hardware primero se concentra en
las interfaces eléctricas internas entre los componentes o subsistemas del
sistemas del sistema, y luego la interfaz entre el sistema y su entorno.
2. Beneficios de la gestión de riesgo en la Infraestructura Física.

Se minimiza el tiempo de actividad: La inactividad no puede ser eliminada por
completo, las soluciones basadas en infraestructura física unificada pueden permitir
diagnósticos más rápidos para detectar amenazas de fallos antes de que sean en tiempo
real.
Mejora en la confiabilidad: Permite reducir al mínimo las interrupciones y maximizar
la continuidad del negocio proporcionando mayor confiabilidad.
Seguridad Robusta: El cumplimiento de las normas de seguridad de extremo a extremo
requiere de una infraestructura física transparente, la misma puede lograrse con la
unificación de la infraestructura, permitiendo extender la inteligencia en tiempo real desde
la capa física hasta los sistemas lógicos, ayudando a proteger la información confidencial.
2.1. Prevenciones en la Infraestructura.

Sin seguridad física, no hay seguridad. Un atacante que consigue acceso físico a un
sistema podría atacar a toda la Base de Datos. Por lo mismo debe considerarse de alto
riesgo y mitigarse correctamente.
Los sistemas y el servidor del sitio deben almacenarse en una sala segura con acceso
controlado.
Los equipos que ejecutan las consolas de administración deberían guardarse en una sala
cerrada para evitar el acceso no autorizado. Si esto no es posible, asegure los equipos
cuando los administradores no estén presentes utilizando el sistema operativo.
Aconseje a los usuarios de equipos portátiles sobre prácticas de seguridad eficaces
como, por ejemplo, el uso de un sistema de bloqueo cada vez que usen el equipo, aunque
aseguren que no perderán el portátil de vista ni un momento. En caso de pérdida o robo
de un equipo portátil, asegúrese de contar con procedimientos establecidos en la empresa
para evitar el acceso a la red por medio de dicho equipo.
El fuego es uno de los peligros más importantes que acechan a las instalaciones
informáticas. Conviene recordar que los circuitos eléctricos siempre representan un
peligro potencial. Por lo tanto, es conveniente la existencia de sistemas de alarma y
detección de incendios, asimismo, debe disponerse, como mínimo, de extintores
manuales, cuya situación ha de ser fácilmente visible o estar claramente señalizada.
Los equipos informáticos son muy sensibles a las oscilaciones de tensión en el
suministro eléctrico. Por ello, hay que asegurar no sólo la calidad del suministro sino
también la continuidad del mismo, mediante la adquisición de estabilizadores y sistemas
de alimentación eléctrica ininterrumpida llamados UPS.
3. Sistema operativo
3.1. Conceptos
Definición académica de Sistema Operativo la unión de las definiciones de Sistemas y
de Operativo: Conjunto de programas que, ordenadamente relacionados entre sí,
contribuyen a que el ordenador lleve a efecto correctamente el trabajo encomendado.
Es el componente más importante. Es el software necesario para que funciones el

ordenador correctamente y se aprovechen de manera más eficiente los distintos recursos
del ordenador.
La última capa de software está formada por el sistema operativo. El Sistema Operativo
se encarga de coordinar el hardware del computador y la entrada y la salida, el almacenaje
y el procesamiento.
3.1.1. Funciones principales de los Sistemas Operativos son:

Su función principal es la de encargarse de gestionar los componentes electrónicos, a
través de:
 Gestión de la información: Facilitando el almacenamiento de los datos y
proporcionando funciones de recuperación de dichos datos.
 Gestión de hardware: Control de todos los dispositivos que permiten realizar
tareas dirigidas al usuario y a los programas que se ejecutan en el ordenador.
 Interfaz de usuario: No forma parte del núcleo del SO, pero es un componente
inseparable del mismo, y es el que ofrece su aspecto o parte visible al usuario.
3.1.2. Tipos de Sistemas Operativos

Según la utilización de recursos:
 Sistemas monoprogramados
 Sistemas multitareas
 Sistemas de multiprocesamiento
Según la interactividad:
 Procesamiento por lotes (batch)
 Tiempo compartido (time sharing)
 Tiempo real (real time)
Según el número de usuarios:
 Sistemas monousuario
 Sistemas multiusuario
Según el tipo de aplicaciones:
 Sistemas de propósito general
 Sistemas de propósito especial
3.1.3. La estructura del Sistema Operativo.

Estructura Jerárquica: El Sistema Operativo está dividida en partes definidas en
niveles, las cuales tenía como misión llevar a cabo funciones concretas y especializadas
dando lugar a jerarquías entre funciones.
Estructura Micro Kernel: Es el Sistema Operativo que se basa en la estructura Cliente
– Servidor. Al igual que los sistemas operativos convencionales se basa en dos elementos:
el núcleo y los programas.
Estructura Orientada a Objetos: No se ven a los Sistemas Operativos como una
colección de funciones que se pueden ejecutar sino como una colección de objetos. La
interacción entre objetos vendrá determinada por las capacidades que uno tenga para
actuar con el otro, es decir, que cada objeto pondrá a disposición de los otros un
determinado número de operaciones para poder utilizarse.
3.1.4. Sistemas Operativos más utilizados

Sistema Operativo UNIX: Inicialmente era un sistema operativo de tipo texto y algunos
gráficos muy rústicos. Hoy en día es la base de comunicaciones de la Internet. Creado en
los laboratorios Bell AT&T de MULTICS.
Sistema Operativo MS-DOS: Comprado por Microsoft de tipo texto, monousuario y
monotarea. Es el soporte para programas que manejan gráficos y sus emulaciones de
sistema operativo gráfico, desde Windows 3.x, 95, 98, 98SE, Me, 2000, NT, XP.
Sistema Operativo Microsoft Windows: De tipo gráfico, multiusuario y multitarea.
Sistema Operativo Microsoft Windows Mobile: Se trata de un sistema operativo
desarrollado para dispositivos móviles con características similares al sistema operativo
de escritorio.
Sistema Operativo LINUX: Creado por el finlandés Linus Bendict Torvalds en la
universidad de Helsinki, basándose en el SO UNIX-MINIX en 1991. Actualmente existen
una gran gama de versiones: Linspire, Debian, Knoppix, Red Hat, SuSe, Slackware,
Mandrake, Ubuntu, Fedora y Android, todos ellos de tipo gráfico.
Sistema Operativo Google Android: Dentro de la categoría de LINUX el cuál no fue

totalmente desarrollado por tal firma, sino comprado por el año de 2005 y por supuesto
mejorado y mantenido por Google oficialmente desde 2007.
3.2. Software de sistemas y utilitarios

Software de sistemas son programas y aplicaciones o herramientas, que sirven para
facilitar las tareas del usuario y ayudarle a gestionar el ordenador.
 Control de acceso: Sistemas de identificación, asignación y cambio de derechos
de acceso, control de accesos, restricción de terminales, desconexión de la
sesión, limitación de reintentos, etc.
 Software de Base: Control de Cambios y versiones, control de uso de programas
de utilidad, control de uso de recursos y medición de performance.
Utilitarios: Son aplicaciones no demasiado grandes que realizan funciones específicas
y concretas. Los antivirus, compresores, gestores de impresión, conversores de archivos
formateadores, aceleradores de otros programas, etc. Son algunos de los ejemplos de este
tipo de software.
Algunas se distribuyen de manera gratuita. Otras son facilitadas temporalmente en su
uso para que el usuario juzgue y después determine si quiere o no pagar al autor por el
software. Estos programas son los shareware.
4. Lenguaje de Programación
La importancia del entorno informático se basa en que los ordenadores trabajan con
código binario casi imposible de usar por los seres humanos. Es por ello que es necesario
una herramienta que ayude al ser humano a dictar órdenes comprensibles para el
ordenador, los lenguajes de programación.
Como incluso el uso de esos lenguajes es excesivamente complicado para la mayoría
de los usuarios, los programadores han diseñado múltiples entornos que permiten la
interacción de personas y máquinas de un modo más sencillo.
Los lenguajes de programación nacieron en los 50’s con FORTRAN (Formula
Translation), LISP (List Procesor), COBOL (Common Business – Oriented Languaje).
Considerados los lenguajes más viejos utilizados hoy en día. Son lenguajes de alto
nivel que fueron creados para su uso en aplicaciones para supercomputadoras, desarrollo
de Inteligencia Artificial, software empresarial.
En los 70 ’s aparece el lenguaje de programación PASCAL, es un lenguaje de alto nivel
utilizado para la enseñanza de la programación estructurada y la estructuración de datos,
fue un lenguaje de mucha utilización en los 80 ’s.
También en la misma época aparece el lenguaje C basado en un lenguaje anterior
llamado B, es un lenguaje de propósito general, de bajo nivel. Creado por Unix Systems.
Es el lenguaje más popular precedido por Java. De él derivan muchos lenguajes como C#,
Java, JavaScript, Perl, PHP y Python.
Su principal uso es la programación multiplataforma, programación de sistemas,
programación en Unix y desarrollo de videojuegos.
Ya en 1983 aparece C++, es decir formalmente el lenguaje C con clases, creado por
Bjarne Stroustrup de Laboratorios Bell. Es un lenguaje de nivel intermedio, orientado a
objetos con mejoras como clases, funciones virtuales y plantillas. La misma se aplica en
cuanto al desarrollo de aplicaciones comerciales, software embebido, aplicaciones cliente-
servidor en videojuegos.
En 1983 aparece Objective-C (Object-oriented extensión de “C”), un lenguaje de
propósito general, de alto nivel. Ampliado en C para su uso en programación Apple.
En 1987, el lenguaje Perl de propósito general, de alto nivel; creado para el
procesamiento de reportes en sistemas UNIX. Conocido por su alto poder y versatilidad.
En 1991, el lenguaje Python de propósito general, de alto nivel. Creado para apoyar
una gran variedad de estilos de programación de manera divertida. Creado por Guido Van
Rossum (CWI) para dar uso mediante: Aplicaciones Web, desarrollo de software,
seguridad informática.
En 1993, aparece el lenguaje Ruby; de propósito general y alto nivel. Un programa de
enseñanza, influenciado por Perl, Ada, Lisp, Smalltalk, entre otros. Diseñado para hacer
la programación más productiva y agradable. Sus Principales usos son el desarrollo de
aplicaciones Web, Ruby on Rails.
Y finalmente en 1995 surgen JAVA, JavaScript y PHP.
JAVA: Lenguaje de propósito general y alto nivel. Creado para un proyecto de

televisión interactiva con funcionalidad de programación multiplataforma. Es actualmente
el segundo lenguaje de programación más popular en el mundo. Creado por James Gosling
de Sun Microsystems, utilizado para Programación Web, desarrollo de aplicaciones Web,
desarrollo de software, desarrollo de interfaz gráfica de usuario.
PHP: Lenguaje de código abierto y de propósito general. Se utiliza para construir
páginas web dinámicas. Más ampliamente usado en software de código abierto para
empresas. Se utiliza para la construcción y mantenimiento de páginas web dinámicas,
desarrollo del lado del servidor.
JavaScript: Lenguaje de alto nivel. Creado para extender las funcionalidades de las
páginas web. Usado por páginas dinámicas para el envío y validación de formularios,
interactividad, animación, seguimiento de actividades de usuario, etc. Creado por Brendan
Eich de Netscape. Sus principales usos son el desarrollo de web dinámica, documentos
PDF, navegadores web y widgets de Escritorio.
Lenguajes de Programación más utilizados en 2014

Lenguaje de Programación Índice de clasificación
Java 1
Java Script 2
Pitón 3
C 4
PHP 5
C ++ 6
Rubí 7
C# 8
Perl 9
Objective - C 10
Tabla 18: Lenguajes de Programación más utilizados 2014.
Fuente: Índice de Gartner 2014 de Lenguajes de Programación. Extraído de
http://blogs.gartner.com/mark_driver/2014/10/02/gartner-programming-language-index-for-2014/.
5. Sistemas de Aplicación
En este apartado incluye lo concerniente al software de aplicación, es decir, todo lo
relativo a los aplicativos de gestión, sean producto de desarrollo interno de la empresa o
bien paquetes estándar adquiridos en el mercado.
Las aplicaciones son programas diseñados para ejecutar trabajos o procesos de cálculo
específicos que precisa el usuario o la unidad empresarial. Aplicaciones más usuales:
contabilidad, gestión de inventarios etc., funcionan por separado, a medida que aumenta
el tamaño de la empresa y la complejidad de sus procesos de gestión se hace necesario
interrelacionar un cierto número de aplicaciones; llegando a los “sistemas integrados”.
5.1. Clasificación
Aplicaciones estándar: Son aplicaciones existentes en el mercado, que sólo requieren
la instalación del programa en un ordenador apropiado. Barato, fácil de instalar, orientados
a las pymes. Se clasifican en horizontales y verticales.
 Las aplicaciones horizontales son aquellas organizaciones que siguen modelos
comunes, debido a que las leyes imponen sus normas o a que las buenas
prácticas ya son muy conocidas. Procesos de ventas, pedidos, logística,
facturación; contabilidad y control financiero, por citar algunos.
 Las aplicaciones verticales intentan satisfacer las necesidades específicas de un
sector determinado. Ejemplos: ERPs para la distribución mayorista, gestión
para farmacias, supermercados, CAD para arquitectura y todo tipo de
sectoriales que podemos imaginar.
Aplicaciones a medida: Son las aplicaciones que responden a las necesidades
específicas que necesita cada empresa, orientada a las grandes empresas y elaboradas por
profesionales de informática.
Permiten implementar modelos de negocio particulares, con procesos únicos, lo que le
brinda a la organización la posibilidad de diferenciarse para cumplir mejor su misión,
generando información única, especialmente adaptada a la visión particular de la empresa
y su posicionamiento.
Sistemas de Aplicación
Aplicaciones Medida
Ventajas Desventajas
Estándar frente a
Aplicaciones a
Debido a la producción en serie y Inadecuación de los productos

Aplicaciones
dependiendo de la venta de las existentes en el mercado, a las

aplicaciones estándar se abarata el costo necesidades de la organización.
del producto.
Incorpora las mejores prácticas del La dificultad de integrar soluciones a
negocio de muchas empresas que fueron los sistemas existentes.
relavadas o tenidas en cuenta para su

desarrollo, aumentando la calidad del
mismo.
Provee de una evolución sencilla y Aparición de problemas y dificultades
barata para implementación de en su organización.
actualizaciones.
Menor tiempo de implementación y Escaso o nulo control sobre la evolución
menor esfuerzo de capacitación. del producto.
Con la compra de un software estándar, No existe diferenciación entre los
el riesgo de compra disminuye debido a competidores al disponer de las mismas
que su funcionamiento está garantizado soluciones tecnológicas.
por las otras empresas.
Tabla 19: Aplicaciones estándar frente a Aplicaciones a medida
Anexo 2 - Metas del Negocio. COBIT 5

Relacion con los Objetivos del Gobierno
Dimensión Realización
Metas Corporativas Optimización Optimización de
del CMI de
de Riesgos Recursos
Beneficios
1. Valor para las partes interesadas de
P S
las Inversiones de Negocio
2. Cartera de productos y servicios
P P S
competitivos
Financiera 3. Riesgos de negocios gestionados
P S
(salvaguarda de activos)
4. Cumplimiento de leyes y regulaciones
P
externas
5. Transparencia financiera P S S
6. Cultura de servicio orientada al cliente P S
7. Continuidad y disponibilidad del
servicio de negocio P
8. Respuestas ágiles a un entorno de
Cliente
negocio cambiante P S
9. Toma estratégica de Decisiones
basada en Información P P P
10. Optimización de costos de entrega
del servicio P P
11. Optimización de la funcionalidad de
los procesos de negocio P P
12. Optimización de los costos de los
procesos del negocio P P
Interna 13. Programas gestionados de cambio en
el negocio P P S
14. Productividad operacional y de los
empleados P P
15. Cumplimiento con las políticas
internas P
Aprendizaje 16. Personas preparadas y motivadas S P P
y 17. Cultura e innovación de producto y
Crecimiento negocio P
Tabla 20: Metas del Negocio COBIT 5
Fuente: ISACA (2012). COBIT 5. P. 19
Anexo 3 - Metas relacionadas con TI. COBIT 5

Dimensión del
Meta de Información y Tecnología relacionada
CMI TI
1 Alineamiento de TI y estrategia de negocio
2 Cumplimiento y Soporte de la TI al cumplimiento del

negocio de las leyes y regulaciones externas
3 Compromiso de la Dirección ejecutiva para tomar decisiones
Financiera relacionadas con TI
4 Riesgos del Negocio relacionados con las TI gestionados
Realización de beneficios del portafolio de inversiones y
5 Servicios relacionados con las TI
6 Transparencia de los costes, beneficios y riesgos de TI
7 Entrega de servicios de TI de acuerdo a los requerimientos

del negocio
Cliente
8 Uso adecuado de aplicaciones, información y soluciones
tecnológicas
9 Agilidad de las TI
10 Seguridad de la información, infraestructura de

procesamiento y aplicaciones
11 Optimización de activos, recursos y capacidades de TI
12 Capacitación y soporte de procesos de negocio integrando

aplicaciones y tecnología en procesos de negocio
Interna
Entrega de programas que proporcionen beneficios a tiempo,
13 dentro del presupuesto y satisfaciendo los requisitos y
normas de calidad
14 Disponibilidad de información útil y fiable para la toma de
decisiones
15 Cumplimiento de las políticas internas por parte de las TI
16 Personal del negocio y de las TI competente y motivado
Aprendizaje y
Crecimiento 17 Conocimiento, experiencia e iniciativas para la innovación
del negocio
Tabla 21: Metas de TI COBIT 5
Fuente: Elaboración propia. Basada en ISACA (2012). COBIT 5. P. 19
Anexo 4 – Metas del Negocio alineadas a las Metas TI en COBIT 5
Figura 63: Metas de Negocio de COBIT 5 alineadas a las Metas TI

Fuente: ISACA (2012). COBIT 5.
Anexo 5 – Metas de TI alineadas a los procesos de COBIT 5
Figura 64: Metas de TI de COBIT 5 alineadas a los procesos

Fuente: ISACA (2012). COBIT 5.
Anexo 6 – RACI - COBIT 4.1 para Proceso DS2
Tabla 22: Ejemplo de tabla RACI - COBIT 4.1 para Proceso DS2
Fuente: Elaboración propia. Basada en: ISACA. COBIT 4.1
Anexo 7 – RACI - COBIT 5 Procesos para Centralizar TI
Tabla 23: Ejemplo de Matriz RACI - COBIT 5, procesos para centralizar TI

Fuente: Elaboración propia. Basada en: ISACA. COBIT 5.
Anexo 8 - Guía de Procesos COBIT 4.1 y COBIT 5
Figura 65: Guía de Procesos COBIT 4.1 y 5

Fuente: ISACA (2012). COBIT 5. Anexo de la Guía de Procesos de Referencia
Anexo 9 – Cronograma de Mantenimiento Data Center

Datos relevados, en la visita realizada a la empresa en fecha 29/06/2015, consistente
en el cronograma de mantenimiento del Data Center.
Tabla 24: Cronograma de Mantenimiento Data Center

Fuente: Elaboración Propia. Basado en relevamientos.
Anexo 10 – Diagrama de Infraestructura TI

en el Diagrama de Infraestructura TI.
Diagrama 1. Diagrama de Infraestructura TI

Anexo 11 – Inventario de Servidores

en el Diagrama de disposición de servidores.
Inventario de Servidores.
Especificaciones Técnicas
Servidor P550: servidor principal del sistema
Marca: IBM
Modelo: IBM,8204-E8A
Número de Serie: 10EFC13
Procesador: PowerPC_POWER6 - POWER 6
Sistema Operativo: AIX 5.3
Base de Datos: Sybase 15.0.2
Dirección IP: 192.168.XX.X
I.- Ubicados em: Sala de Servidores: Data Center.
Descripción: servidor transaccional principal del sistema. Además, contiene una

copia de la base de datos al último cierre mensual para informes correspondientes
Servidor P615: servidor de homologación – Pre-producción
Marca: IBM
Modelo: pSeries 615
Número de Serie: 10022FE
Procesador: RISC 6000
Descripción: servidor transaccional de homologación de Pre-Producción para
aplicaciones del sistema financiero.
Servidor F50: servidor del sistema anterior al 2005
Marca: IBM
Modelo: 7025 F50
Número de Serie: 1030541
Sistema Operativo: AIX 4.3.2
Base de Datos: Sybase 12.0, Sybase 11.5
Descripción: utilizado para recuperar información anterior a abril del 2005, que
corresponde al sistema informático anterior.
Servidor Linux: Correo electrónico

Marca: PC compatible
Procesador: Intel (R) Pentium (R) 4 CPU 3.00GHz
Placa madre: ASUS P4P800SE
Sistema Operativo: CentOS release 4.4 (Final) – Kernel 2.6.9-42.0.10.ELsmp
Base de Datos: ninguna
Descripción: Servidor de Correo Electrónico Corporativo.
Servidor Linux: Servidor de Archivos de Desarrollo y Producción
I.- Ubicados em: Sala de Servidores: Data Center.
Procesador: Intel (R) Core (TM)2 Duo CPU E4500 @ 2.20GHz

Placa madre: P5GZ-MX
Sistema Operativo: CentOS release 5.2 (Final)– Kernel 2.6.18-92.1.13.el5 i686
Base de Datos: ninguna
Dirección IP: 192.168.XX.XX
Descripción: Servidor de Archivos para Desarrollo y Producción
Servidor de mensajería Instantánea ICQ y Servidor de Archivos de RRHH
Procesador: Pentium
Placa madre: ASUS
Sistema Operativo: MS Windows NT 4.0 - Service Pack 6
Base de Datos: mysql
Descripción: Servidor de mensajería ICQ y Servidor de respaldo de archivos de
usuarios.
Servidor UCM1
Marca: Cisco
Modelo: MCS 7816
Procesador: Intel (R) Celeron (R) D CPU 3.20GHz
Sistema Operativo: operatingsystem.UCOS3.0.0.0-42
Descripción: Servidor de procesamiento de llamadas y administración de
dispositivos VoIP de Cisco
Dirección IP: 192.168.XXX.X
Servidor F80: servidor alternativo del sistema y servidor de desarrollo

II.- Ubicados en sala de
máquinas alternativa.
Marca: IBM
Modelo: 7025 F80
Número de Serie: 10F300DD
Servidor P550: servidor de respaldo del sistema financiero
máquinas alternativa, PS-Line:
III.- Ubicados en la sala de
Marca: IBM
Modelo: IBM,9133-55A
Número de Serie: 06176AH
Procesador: PowerPC_POWER5 - POWER 5
Dirección IP: 10.19.19.XX
Descripción: servidor transaccional de respaldo del sistema financiero
Tabla 25: Inventario de Servidores
Anexo 12 – Matriz de Tabulación de Datos
Resumen General
Encuestados Cantidad
Entidades
Σ 1 2 3 4 5 Encuestados
PyMES Entidades
Gobierno
Percepción de los Encuestados
AMBITO AMBIENTE DE CONTROL
¿La empresa promueve el 1

compromiso con la integridad y
2
valores éticos de sus personales?
3
4
5
¿El Directorio se muestra 1

independiente de la Gerencia y 2
realiza el seguimiento de los 3
controles? 4
5
¿La Gerencia establece una 1

apropiada asignación de la 2
responsabilidad y la autoridad? 3
4
5
¿La empresa demuestra 1

compromiso para identificar y 2
retener a los más competentes, 3
posicionándolos en cargos 4
estratégicos? 5
Tesis para optar al Título Ingeniero en Informática - Análisis de factibilidad de desarrollo de un Modelo de
Administración de TI, plasmado en un Manual de Control Interno Informático, basado en el marco de
1
referencia COBIT 5 como herramienta de mejoramiento de la gestión empresarial
¿Se cuenta con manuales que 1

proporcionen los lineamientos 2
acerca de la propiedad de datos y 3
diccionario de datos del Sistema? 4
5
¿La Gerencia de TI asegura el 1

establecimiento como políticas, 2
normas y procedimientos. Además 3
del mantenimiento del marco de 4
referencia de TI? 5
¿La empresa cuenta con 1

Organigramas generales y del 2
área TI, manuales de funciones de 3
las áreas de TI y Seguridad 4
respectivamente? 5
¿La empresa cuenta con 1

manuales de 2
Control de Seguridad de los 3
Sistemas 4
? 5
¿Existen procedimientos para 1

garantizar un control satisfactorio de 2
los cambios en el hardware, 3
software de base o registros que 4
demuestren la realización de las 5
tareas asignadas?
¿Se cuenta con manuales de 1

usuarios y técnicos de los 2
aplicativos utilizados en los 3
distintos ciclos del negocio? 4
5
¿La empresa cuenta con el plan 1

de infraestructura y de 2
contingencia actualizado? 3
4
5
Administración de TI, plasmado en un Manual de Control Interno Informático, basado en el marco de 2
¿Se cuenta con un registro de 1

control de los contratos con 2
proveedores de Sistemas y 3
Tecnología? 4
5
¿El área de TI, garantiza la entrega 1

de beneficios en base a las 2
inversiones realizadas 3
contribuyendo al valor del negocio? 4
5
¿El área de TI, identifica el modo 1

de evaluar y reducir el riesgo 2
relacionado con el área? 3
4
5
¿La empresa implementa y 1

mantiene mecanismos y 2
responsables para la gestión de la 3
información y el uso de las TI en la 4
empresa? 5
AMBITO EVALUACION DE RIESGO
¿La empresa establece objetivos 1

claros que permiten la 2
identificación y evaluación de los 3
riesgos relacionados con los 4
sectores adecuados? 5
¿La evaluación de riesgos 1

realizada por la empresa a modo 2
de alcanzar los objetivos 3
planificados, considera la 4
posibilidad de fraudes? 5
¿La empresa asegura que el 1

riesgo para el valor de la empresa, 2
relacionado al uso de las TI sean: 3
identificadas y gestionadas? 4
5
Administración de TI, plasmado en un Manual de Control Interno Informático, basado en el marco de
3
¿La empresa identifica y gestiona 1

los cambios organizativos en 2
relación a los procesos del 3
negocio, aplicaciones e 4
infraestructura? 5
¿La empresa facilita la 1

implementación de los cambios 2
realizados en la organización, 3
incluyendo la planificación, 4
conversión de datos, pruebas de 5
aceptación y pases a producción
entre otros?
¿La empresa evalúa el 1

cumplimiento de requisitos 2
regulatorios y contractuales tanto 3
de los procesos de las TI como de 4
los procesos del negocio 5
dependientes de las TI?
¿La empresa proporciona un 1

enfoque estructurado en cuanto a 2
la comunicación de las funciones, 3
responsabilidades y desempeño 4
esperado por parte del personal? 5
AMBITO ACTIVIDADES DE CONTROL
¿La empresa realiza actividades 1

de control que contribuyan a la 2
disminución del riesgo y al logro de 3
objetivos (ya sea del negocio o de 4
TI)? 5
¿La implementación de las 1

actividades de control se realiza 2
con políticas y procedimientos que 3
ejecutan dichas políticas? 4
5
¿La empresa identifica los 1

requisitos de control de la 2
información, gestiona y opera los 3
controles adecuados para 4
satisfacer estos requerimientos? 5
¿Se ejecutan y coordinan 1

actividades y procedimientos 2
operativos, requeridos para 3
entregar los servicios (interno
como externo) de las TI? 5
¿El área de TI, gestiona y releva 1

los requerimientos de usuarios 2
para identificar y clasificar los 3
mismos a modo de dar una 4
solución en tiempo y a modo de 5
evitar recurrencias?
¿El área de seguridad protege la 1

información de la empresa a modo 2
de mantener aceptable el nivel del 3
riesgo de acuerdo con la política 4
de seguridad? 5
AMBITO INFORMACION, COMUNICACIÓN Y MONITOREO
¿La empresa genera y utiliza 1

información relevante y de calidad 2
para sobrellevar el funcionamiento 3
del control interno? 4
5
¿Se comunica internamente la 1

información necesaria para el 2
funcionamiento del Control Interno 3
(objetivos y responsabilidades)? 4
5
¿La empresa comunica a 1

terceros, mediante canales de 2
comunicación establecidos, con 3
respecto a asuntos que afectan el 4
funcionamiento de Control Interno? 5
¿Se supervisan los procesos que 1

se están realizando según lo 2
acordado, conforme a los 3
objetivos, proporcionando informes 4
planificados? 5
¿Se evalúan en forma continua 1

tanto por revisiones internas como 2
externas, el entorno de control de 3
la empresa? 4
5
¿La empresa evalúa y comunica 1

las deficiencias de control interno, 2
de manera oportuna a los 3
responsables de tomar una acción 4
correctiva? 5
¿Los informes de medición y 1

desempeño del área de TI son 2
transparentes para las partes 3
interesadas? 4
5
¿Se consideran adecuadas y 1

suficientes las capacidades del 2
área de TI (personas, procesos, 3
tecnologías)? 4
5
Figura 66: Matriz de Tabulación de Datos

Fuente: Elaboración propia. Basado en lo que propone Florida Centre de Formació, España., para el Programa
ALFA III, Unión Europea; para su taller de Innovación e Internacionalización de las Mi Pymes y Pymes.
Anexo 13 – Matriz de Cuestionario realizado
Introducción
Un mejor esquema de seguridad y administración de TI puede revertir en
una mejor prestación de servicios a los clientes.
A modo de lograr mejorar la gestión empresarial en el ámbito de la
administración de las TI; basado en estándares internacionales de tal
manera a aumentar la capacidad de respuesta y de anticipación de las
empresas ante las demandas y necesidades del entorno.
En el presente cuestionario, se busca relevar datos de la manera en que
en su empresa se realizan los controles de calidad dentro de la revisión
de CONTROLES GENERALES DEL AREA DE SISTEMAS.
Desde ya se le agradece su apoyo y colaboración.
Datos de la Empresa
Nombre: ____________________________________________________
Dirección: ___________________________________________________
__________________________________________________________
Datos del encuestado
Cargo: _____________________________________________________
Edad: ________________ Antigüedad: _________________
Como responder
1. En cada una de las preguntas se muestra una afirmación a la que
se debe dar respuesta marcando un valor entre 1 y 5; el cual
representa el grado de aplicación de dicha afirmación en la empresa.
2. Por favor pintar o tachar el valor escogido
Tesis para optar al Título Ingeniero en Informática - Análisis de factibilidad de desarrollo de

un Modelo de Administración de TI, plasmado en un Manual de Control Interno
Informático, basado en el marco de referencia COBIT 5 como herramienta de mejoramiento
1
de la gestión empresarial
AMBIT
¿L
AC01.
ét
1
AMBITO AMBIENTE DE CONTROL
¿La empresa promueve el compromiso con la integridad y valores éticos ¿E
AC01. AC02.
de sus personales? se
1 2 3 4 5 1
¿El Directorio se muestra independiente de la Gerencia y realiza
AC02. ¿L
seguimiento de los controles? AC03.
re
1 2 3 4 5
1
¿La Gerencia establece una apropiada asignación de la responsabilidad
AC03.
y la autoridad? ¿L
AC04.
1 2 3 4 5 m
¿La empresa demuestra compromiso para identificar y retener a los
AC04. 1
más competentes, posicionándolos en cargos estratégicos?
1 2 3 4 5 ¿S
AC05.
¿Se cuenta con manuales que proporcionen los lineamientos acerca de ac
AC05.
la propiedad de datos y diccionario de datos del Sistema?
1
1 2 3 4 5
¿La Gerencia de TI asegura el establecimiento como políticas, normas y ¿L
AC06.
AC06. procedimientos. Además del mantenimiento del marco de referencia de no
TI? 1
1 2 3 4 5
¿L
¿La empresa cuenta con Organigramas generales y del área TI, AC07.
AC07. m
manuales de funciones de las áreas de TI y Seguridad respectivamente? 1
1 2 3 4 5
¿La empresa cuenta con manuales de Control de Seguridad de los ¿L
AC08. AC08.
Sistemas? Si
1 2 3 4 5 1
¿Existen procedimientos para garantizar un control satisfactorio de todos ¿E

AC09. los cambios en el hardware, software de base o registros que los
AC09.
demuestren la realización de las tareas asignadas? de
1 2 3 4 5 es
1
¿Se cuenta con manuales de usuarios y técnicos de los aplicativos
AC10.
utilizados en los distintos ciclos del negocio?
1 2 3 4 5
¿La empresa cuenta con el plan de infraestructura y de contingencia
AC11.
actualizado?
1 2 3 4 5
Tesis para optar al Título Ingeniero en Informática - Análisis de factibilidad de
desarrollo de un Modelo de Administración de TI, plasmado en un Manual de
Control Interno Informático, basado en el marco de referencia COBIT 5 como
2
herramienta de mejoramiento de la gestión empresarial
¿Se cuenta con un registro de control de los contratos con proveedores

AC12.
de Sistemas y Tecnología?
1 2 3 4 5
¿El área de TI, garantiza la entrega de beneficios en base a las
AC13.
inversiones realizadas contribuyendo al valor del negocio?
1 2 3 4 5
¿El área de TI, identifica el modo de evaluar y reducir el riesgo
AC14.
relacionado con el área?
1 2 3 4 5
¿La empresa implementa y mantiene mecanismos y responsables para
AC15.
la gestión de la información y el uso de las TI en la empresa?
1 2 3 4 5
AMBITO EVALUACION DE RIESGO
¿La empresa establece objetivos claros que permiten la identificación y
ER01.
evaluación de los riesgos relacionados con los sectores adecuados?
1 2 3 4 5
¿La evaluación de riesgos realizada por la empresa a modo de alcanzar
ER02.
los objetivos planificados, considera la posibilidad de fraudes?
1 2 3 4 5
¿La empresa asegura que el riesgo relacionado al uso de las TI sean:
ER03.
identificadas y gestionadas?
1 2 3 4 5
¿La empresa identifica y gestiona los cambios organizativos en relación
ER04.
a los procesos del negocio, aplicaciones e infraestructura?
1 2 3 4 5
¿La empresa facilita la implementación de los cambios realizados en la
ER05. organización, incluyendo la planificación, conversión de datos, pruebas
de aceptación y pases a producción entre otros?
1 2 3 4 5
¿La empresa evalúa el cumplimiento de requisitos regulatorios y
ER06. contractuales tanto de los procesos de las TI como de los procesos del
negocio dependientes de las TI?
1 2 3 4 5
¿La empresa proporciona un enfoque estructurado en cuanto a la
ER07. comunicación de las funciones, responsabilidades y desempeño
esperado por parte del personal?
1 2 3 4 5
3
Informático, basado en el marco de referencia COBIT 5 como herramienta de mejoramiento
AMBITO ACTIVIDADES DE CONTROL

¿La empresa realiza actividades de control que contribuyan a la
AAC1. disminución del riesgo y al logro de objetivos (ya sea del negocio o de
TI)?
1 2 3 4 5
¿La implementación de las actividades de control se realiza con políticas
AAC2
y procedimientos que ejecutan dichas políticas?
1 2 3 4 5
¿La empresa identifica los requisitos de control de la información,
AAC3 gestiona y opera los controles adecuados para satisfacer estos
requerimientos?
1 2 3 4 5
¿Se ejecutan y coordinan actividades y procedimientos operativos,
AAC4
requeridos para entregar los servicios (interno como externo) de las TI?
1 2 3 4 5
¿El área de TI, gestiona y releva los requerimientos de usuarios para
AAC5 identificar y clasificar los mismos a modo de dar una solución en tiempo
y a modo de evitar recurrencias?
1 2 3 4 5
¿El área de seguridad protege la información de la empresa a modo de
AAC6 mantener aceptable el nivel del riesgo de acuerdo con la política de
seguridad?
1 2 3 4 5
AMBITO INFORMACION, COMUNICACIÓN Y MONITOREO

¿La empresa genera y utiliza información relevante y de calidad para
ICM1.
contener el funcionamiento del control interno?
1 2 3 4 5
¿Se comunica internamente la información necesaria para el
ICM2.
funcionamiento del Control Interno (objetivos y responsabilidades)?
1 2 3 4 5
¿La empresa comunica a terceros, mediante canales de comunicación
ICM3. establecidos, con respecto a asuntos que afectan el funcionamiento de
Control Interno?
1 2 3 4 5
¿Se supervisan los procesos que se están realizando según lo
ICM4. acordado, conforme a los objetivos, proporcionando informes
planificados?
1 2 3 4 5
Informático, basado en el marco de referencia COBIT 5 como herramienta de mejoramiento 4
¿Se evalúan en forma continua tanto por revisiones internas como

ICM5
externas, el entorno de control de la empresa?
1 2 3 4 5
¿La empresa evalúa y comunica las deficiencias de control interno, de
ICM6.
manera oportuna a los responsables de tomar una acción correctiva?
1 2 3 4 5
¿Los informes de medición y desempeño del área de TI son
ICM7.
transparentes para las partes interesadas?
1 2 3 4 5
¿Se consideran adecuadas y suficientes las capacidades del área de TI
ICM8.
(personas, procesos, tecnologías)?
1 2 3 4 5

Informático, basado en el marco de referencia COBIT 5 como herramienta de mejoramiento 5
Figura 67: Matriz de Cuestionario realizado.

Fuente: Elaboración propia. Basado en lo que propone Florida Centre de Formació, España., para el Programa
ALFA III, Unión Europea; para su taller de Innovación.
Cronograma de Mantenimiento Datacenter
Fecha elaboración: 09/03/2015
Fecha vigencia: 09/03/2015
Fecha última 19/06/2015
2014 2015 2016
Salas Dic Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic
Sala de UPSs
Aire Acondicionado (de ventana) X X X X X
UPS 15 KVA X X X X
Mudanza
UPS 10 KVA X X
Extintores X X X X
Sala de Comunicaciones
Aire Acondicionado (de ventana) X X X X X X
Aire Acondicionado (Split) X X X X X X
Extintores X X X Mudanza X
Switches/Routers/Equipos de X X
Comunicación
Sala de Servidores
Aire Acondicionado 1 (izq.) X X X X X X
Aire Acondicionado 2 (der.) X X X X X X
Mudanza
Extintores X X X
Servidores X X X X
Referencias:
Mantenimiento programado X
Mantenimiento realizado o
X
sin necesidad de ser ejecutado
Comentarios/Observaciones
Comentario insertado en celda

Análisis de factibilidad de implementación de un Modelo de TI…
210

Universidad Americana Facultad de Comunicación, Artes Y Ciencia de La Tecnología Carrera de Ingeniería Informática

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Universidad Americana Facultad de Comunicación, Artes Y Ciencia de La Tecnología Carrera de Ingeniería Informática

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD AMERICANA

FACULTAD DE COMUNICACIÓN, ARTES Y CIENCIA DE LA

ANÁLISIS DE FACTIBILIDAD DE IMPLEMENTACIÓN DE UN

Minerva Soledad Caballero Sosa

Minerva Soledad Caballero Sosa

ANÁLISIS DE FACTIBILIDAD DE IMPLEMENTACIÓN DE UN

Tesis preparada a la Universidad

Tutor: Mgs. Lic. Arnaldo José Medina Tumino

Tesis preparada a la Universidad Americana como requisito parcial para la

Total de páginas: …200…

Tutor: Mgs. Lic. Arnaldo José Medina Tumino

Tesis académica de Ingeniería en Informática

Áreas temáticas: TIC. Modelo de Administración de TI. Manual de Control Interno

ANÁLISIS DE FACTIBILIDAD DE IMPLEMENTACIÓN DE UN MODELO

Miembros de la Mesa Examinadora:

Prof. ___________________________ ………...…………………………………

Prof. ___________________________ ………...…………………………………

Prof. ___________________________ ………...…………………………………

Dedico esta tesis a:

A mí Tutor de Tesis el Lic. Mgs. Arnaldo Medina

Particularmente en la persona del Lic. Mgs.

A todos los profesionales del área que de alguna

"El hombre se auto realiza en la

Lista de Diagramas .................................................................................................... xix

Lista de Figuras .......................................................................................................... xx

Lista de Abreviaturas.............................................................................................. xxiii

Resumen ................................................................................................................... xxvi

Abstract ................................................................................................................... xxvii

Capítulo I. Marco Introductorio .................................................................................. 4

Título de la investigación ........................................................................................ 4

Formulación del Problema ..................................................................................... 4

Justificación de la investigación ............................................................................. 7

Propuesta de Implementación de la Investigación ............................................. 10

Actividades de Control .................................................................................... 11

La viabilidad del estudio ....................................................................................... 13

Evaluación de las deficiencias en el conocimiento del problema ...................... 14

Limitaciones y Plan de Contingencia................................................................... 14

Capítulo II. Marco Teórico ........................................................................................ 15

2. La evolución de las TICs ............................................................................... 20

2.4.3. Confiabilidad en el uso de las TIC ........................................................ 30

3. La Administración de Riesgos y Beneficios de TI ....................................... 39

4.4.3. Metas de Negocio y Metas de TI........................................................... 65

5. Modelo de Administración de TI. ................................................................. 72

6. Elaboración y Diseño de Materiales de TI. .................................................. 82

6.4.2. COSO alineado con COBIT 5 en Actividades de Control .................... 89

7. Estándares Internacionales y Buenas Prácticas de Procesos de Control en

Capítulo III. Marco Metodológico ........................................................................... 110

Metodología de Investigación ............................................................................. 110

Metodología de Análisis ...................................................................................... 112

Cronograma de Actividades ............................................................................... 115

Capítulo IV. Marco Analítico................................................................................... 116

4.1. Breve presentación de la empresa ............................................................... 116

4.3. Tabulación y Análisis de Datos ............................................................... 125

4.3.1. ¿La empresa promueve el compromiso con la integridad y valores éticos

4.3.15. ¿La empresa implementa y mantiene mecanismos y responsables para la

4.3.28. ¿El área de seguridad protege la información de la empresa a modo de

4.4. Análisis FODA .......................................................................................... 162

4.5. Propuesta de manual. ................................................................................... 163

Capítulo V. Conclusiones y Recomendaciones ....................................................... 166

Bibliografía ............................................................................................................... 168

Anexos ....................................................................................................................... 178

Anexo 1 - Varios. ................................................................................................. 178

1. Tipos de arquitecturas informáticas son: ...................................................... 178