AUDITORIA INFORMÁTICA BASADA EN COBIT Y SU INCIDENCIA EN LA

DETECCIÓN DE RIESGOS EN EL ÁREA DE TICC

Introducción
1.1 Conjetura (hipótesis inicial)
–Proposición relacionada con el problema que se va a demostrar (como verdadera o falsa)
1.2 Finalidad ¿Cuál? Es el propósito de resolver este problema es… ….
copia tema)
1.3 Motivación ¿Por qué proponer problema? (justificación, razón)
a) MP Motivación preceptiva o de la hipótesis -- porque se quiere…

b) MI Motivación Investigativa o del estado del arte -- porque se quiere…

c) MF Motivación facultativa o del criterio propio -- porque se quiere…

1.4 Enunciado del problema (propuesta de …
Problema motivado porque se quiere… MP + MI + MF)
1.5 Metodología
En esta investigación se aplican una serie de métodos y técnicas de rigor científico que se aplican
sistemáticamente para alcanzar un resultado). Se aplican los métodos: MURP, método causal formal,
método top down; las técnicas: clasifica y ordena, divide et Vinces. Se aplica la lógica matemática. La
teoría de conjuntos

2. Marco Teórico -Conceptual y Estado del Arte

2.1 Marco conceptual, legal y teórico (citas bibliográficas con Mendeley)

NOTA: antes o después de las citas (máximo 3 1/2 líneas) escribir en sus propias palabras su criterio
(pensamiento crítico), análisis, reflexión sobre lo que dice ese autor (en 3ra persona) del artículo o
conferencia científica, libro, tesis u organismo internacional.
SUBRAYAR el texto de la CITA APA DE AZUL, el pensamiento crítico con negro
Realizar:
 a. Marco conceptual. Conceptos de las variables a investigar
SOLO CITAS
Tecnologías de la Información y la Comunicación (TIC)
Ayala & Gonzales (2015) exponen lo siguiente:
Las Tecnologías de la Información y la Comunicación (TIC) se desarrollan a
partir de los avances científicos producidos en los ámbitos de la informática y las
telecomunicaciones. Es el conjunto de tecnologías que permiten el acceso, producción,
tratamiento y comunicación de información presentada en diferentes códigos (texto,
imagen, sonido, video). (pág. 27)
Las TIC representan una parte esencial dentro de la organización, ya que de ellas
depende que la información generada por la empresa cada día se mantenga resguardada y que
los usuarios puedan hacer uso de la misma de manera segura y ágil.
Características generales de las TICs
Cebero (1998) enlista las siguientes características:
 Inmaterialidad: hace referencia a la naturaleza abstracta de la información, la misma
que al ser creada en un entorno digital se vuelve intangible para el usuario. También se
relaciona con la transmisión de la misma a través de redes de telecomunicaciones, el
almacenamiento de datos en servidores remotos y programas informáticos (softwares)
que pueden ser catalogados como productos digitales.
 Interactividad: se refiere a la capacidad de los usuarios de interactuar de manera
activa y bidireccional con dispositivos electrónicos, aplicaciones, contenido digital y
otros usuarios a través de diferentes plataformas digitales, permitiendo la
participación, control y manipulación de diferentes contenidos.
 Interconexión: es la conexión y comunicación de varios y diferentes dispositivos,
sistemas o redes, facilita la transmisión de datos, información y recursos entre sí. La
interconexión permite la creación de un entorno digital dinámico que contribuya a la
obtención de objetivos.
 Instantaneidad: es la capacidad de enviar, acceder o recibir información de un
dispositivo a otro de manera inmediata, se relaciona con la rapidez que un usuario
puede hacer uso de dicha información, ejemplos de esto tenemos correos electrónicos,
aplicaciones de mensajería instantánea, streaming de contenido, buscadores web,
comercio electrónico, entre otros.
 Digitalización: es el proceso de convertir información física a un formato digital, con
el fin de almacenar, procesar y transmitirla de manera más eficiente, lo que permite
una interacción mucho más completa con la misma.
 Innovación: se refiere al desarrollo e implementación de nuevas ideas y enfoques que
permitan brindar soluciones y mejoras a los usuarios, como el uso de nuevas
tecnologías para facilitar la cotidianidad de las personas.
 Automatización: es la aplicación de recursos tecnológicos para facilitar la realización
de tareas, de esta manera se incrementa la eficiencia y se mitigan errores de carácter
humano, incrementando los niveles de calidad en los procesos.
En conjunto, las características descritas anteriormente permiten que la experiencia del
usuario de las TICs sea de calidad, que la interacción con la información generada en la
organización se realice de manera eficiente y se pueda explotar el potencial de la misma.
Auditoria
A continuación, se presentan algunos conceptos expuestos por diferentes autores:
La auditoría es revisar que los hechos, fenómenos y operaciones se den en la forma en
que fueron planteados, que las políticas y procedimientos establecidos se han
observado y respetado. Es evaluar la forma en que se administra y opera para
aprovechar al máximo los recursos. (Tapia, Mendoza, Castillo, & Guevara, 2019)
El término auditoria en muchos de los casos está ligado a un contexto económico, pero
la realidad es que hoy en día muchas empresas la emplean para trasparentar la gestión tanto
contable como de otros aspectos importantes de la organización, con el único fin de mejorar
continuamente los procesos intervinientes en dichas actividades. La auditoría consiste en el
análisis minucioso de un conjunto de componentes que conforman la organización, de esta
forma se detectan potenciales riesgos que corregidos de manera oportuna no interferirán con
la continuidad de las actividades de la misma.
En la actualidad la auditoria es más que solo la revisión de información generada
durante el proceso contable, Villardefrancos & Rivera (2006) concluyen que la “auditoría
constituye una herramienta de control y supervisión que contribuye a la creación de una
cultura de la disciplina de la organización y permite descubrir fallas en las estructuras o
vulnerabilidades existentes en la organización” (p. 54), se puede describir como un
mecanismo que permite la detección de falencias que de no ser corregidas pueden
desencadenar una serie de problemas a futuro, poniendo en riesgo la estabilidad del negocio.
Auditoria de sistemas
La información generada por una organización es el activo más importante que posee
la misma, esta puede ser comparada como la columna vertebral de la empresa, es por eso que
consientes de la relevancia de los datos almacenados se hace uso de mecanismos que permitan
el resguardo de esta ante una posible fuga o pérdida total.
Para Ramos (1998):
La auditoría de sistemas de información puede comprender la revisión, análisis
y evaluación independiente y objetiva, por parte de personas independientes y
técnicamente competentes del entorno informático de una entidad, abarcando todas o
algunas de sus áreas, como […] equipos, sistemas operativos paquetes, aplicaciones y
el proceso de su desarrollo, organización y funciones, las comunicaciones, la propia
gestión de los recursos informáticos, la calidad de procesos y productos. (pág. 662)
El objetivo principal de una auditoria de sistemas informáticos es el examinar
detalladamente el conjunto de elementos (software y hardware) que están presentes en el
desarrollo de las actividades de la organización, esto con el fin de detectar inconvenientes que
puedan poner en riesgo la información de la empresa.
b. Marco teórico:
FALTA MAS CITAS 6 mìnimo

Evolución
 En el año 1967 se reúne un grupo de profesionales en el trabajo de auditar controles
en los sistemas informáticos que cada día se volvían más críticos para las operaciones de sus
respectivas empresas, con el fin de crear una guía general que les ofreciera información y
directrices en este campo.
En 1969 el grupo se formaliza creando así EDP Auditors Association (Asociación de
Auditores de Procesamiento Electrónico de Datos), siete años más tarde, en 1976 esta
asociación forma ISCA (Asociación de Auditoría y Control en Sistemas de Información) para
poder desarrollar proyectos considerados como de gran escala que permitan incrementar el
conocimiento sobre el gobierno y control de TI.
Actualmente ISACA cuenta con más de 170.000 integrantes a nivel mundial
distribuidos a lo largo de 180 países, todos desempeñando puestos relacionados a TI, desde
cargos nuevos hasta los más elevados dentro de la gerencia, en diferentes tipos de industrias
como finanzas, contabilidad, sector público, servicios y manufactura.
Al ser una asociación tan diversa permite que los integrantes tengan la oportunidad de
aprender uno de otros y el intercambio de distintos puntos de vista, constituyendo una de las
fortalezas más notables de ISACA.
En 1996, ISACA crea COBIT (Objetivos de Control para Tecnología de Información
y Tecnologías), se lanza como una herramienta que comprende tecnologías y prácticas de
control.
ISACA (2012) expone lo siguiente:
COBIT provee de un marco de trabajo integral que ayuda a las empresas a
alcanzar sus objetivos para el gobierno y la gestión de las TI corporativas. Dicho de
una manera sencilla, ayuda a las empresas a crear el valor óptimo desde IT
manteniendo el equilibrio entre la generación de beneficios y la optimización de los
niveles de riesgo y el uso de recursos. (pág. 13)
COBIT a través de sus directrices permite que las TI desarrollen su mayor potencial
debido a la disminución de riesgos que podrían interferir con las actividades de la
organización, además que disminuye la posible pérdida de información importante.
El uso de COBIT en las organizaciones permite que la misma pueda explotar de
manera eficaz y eficiente todos los recursos tecnológicos que se poseen, Santacruz, Vega,
Pinos & Cárdenas (2017) afirman que “uno de los propósitos por lo cual se desarrolló el
sistema COBIT, fue para facilitar y ayudar a las organizaciones a obtener el valor óptimo de
la tecnología de la información”. (pág. 66), de esta manera se disminuyen los posibles riesgos
que se puedan presentar durante la realización de las actividades diarias.

1967 2023
Primeras 1976 Más de 170.000
reuniones de Creación de participantes de
profesionales ISACA ISACA
1969 1996
EDP Asociación Desarrollo de
de Auditores COBIT
Clasificación

CITAS minimo 4

Actualmente existen seis versiones de COBIT, las cuales han evolucionado con el
paso de los años.
COBIT 1
La primera publicación de este marco normativo se dio en el año 1996 y estaba
compuesta por un conjunto de información adquirida de fuentes internacionales, fue
desarrollada por varios equipos en diferentes regiones del mundo como Europa, Estados
Unidos y Australia.
Las principales características de este modelo son la presencia de objetivos de control
y directrices de auditoría.
COBIT 2
Durante el año 1998 ISACA publica la segunda versión de COBIT, el cambio más
considerable de este marco normativo se ve reflejado en el hecho de que se adicionaron varias
guías de gestión, guías de autoevaluación y referencias y material de apoyo adicional.
COBIT 3
Los cambios realizados en esta versión de COBIT se basan en el mejoramiento del
mismo para brindar un soporte racionado al incremento del control gerencial, acompañado de
una mejor ejecución y mayor desenvolvimiento del Gobierno de TI.
Las principales características de este modelo son integración de normas de controles,
mejorías en los objetivos de control y reconocimiento de indicadores de desempeño.
COBIT 4 / COBIT 4.1
Esta versión de COBIT tiene un enfoque más profundo en la organización y en las
diferentes responsabilidades de los directivos, se presenta una guía para todos los niveles de
gestión. Se pueden apreciar cuatro secciones que son la visión general ejecutiva, la estructura,
el núcleo y apéndices.
La cuarta versión cuenta con 34 procesos que cubren 210 procesos clasificados en
cuatro dominios: planificación y organización; adquisición e implementación; entrega y
soporte; supervisión y control.
COBIT 5
 En el año 2012 se presenta la quinta versión de COBIT, esta proporciona una visión
empresarial del Gobierno de TI la misma que funcionan como parte esencial en la creación de
valor para las organizaciones.
Incorpora 37 procesos, los mismos que se organizan en 5 dominios, 1 de gobierno y 4
para la gestión.
Yrigoyen (2016) lo define como:
COBIT 5 es un marco de referencia libre, que describe las mejores prácticas de
gobierno y gestión de las TI, organizado en una estructura conceptual basada en
procesos. COBIT 5 brinda un marco de trabajo general que puede ser utilizado por
cualquier tipo de empresa para implementar gobierno y gestión de las TI como parte
del proceso de implantación de gobierno empresarial. (pág. 90)
COBIT 5 a través de sus directrices otorga a las empresas una herramienta que les
permite manejar de mejor manera los recursos relacionados con TI, al tener un contenido
generalizado este puede ser puesto en práctica por diferentes tipos de empresas con el fin de
implementar un gobierno y gestión de los mismos.
COBIT 2019
Es la última versión de COBIT, este modelo define los componentes y los factores de
diseño para construir y mantener un sistema de gobierno que se ajuste mejor.
Este framework ayuda a garantizar un EGIT efectivo, facilitando una implementación
más fácil y personalizada, fortaleciendo el papel continuo de COBIT como un importante
impulsor de la innovación y la transformación empresarial.
Otros relacionados o involucrados

 Normas de Control interno del Ecuador NCI año ultima version

 COSO
 ITIL Librerías de infraestrucutura de TI
 UML
 CMMI
Sección TIC
Escribir los grandes subtitulos de las normas --- RIESGOS

c. Marco legal

LEYES RELACiONADOS CON LA INCIDENCIA

EN LA DETECCIÓN DE RIESGOS en el AREA
TICC (hardware, software, comunicaciones y redes, TH, Seguridad, auditoria,
procesos) con COBIT

Leyes internacionales y nacionales

El uso de las tecnologías de la información es cada vez más común dentro de las
empresas medianas y grandes, esto se debe a la cantidad exorbitante de información generada
por la misma durante el desarrollo normal de sus actividades diarias. Es por esto que las
organizaciones optan por implementar un sistema de gestión que le permita garantizar la
seguridad y permanencia de esta para su uso constante.
Norma ISO 27001: Gestión de la seguridad de la información
Según NQA (2017):
Es la norma internacional para los sistemas de gestión de la seguridad de la
información (SGSI). Proporciona un marco robusto para proteger la información que
se puede adaptar a organizaciones de todo tipo y tamaño. Las organizaciones más
expuestas a los riesgos relacionados con la seguridad de la información eligen cada
vez más implementar un SGSI que cumpla con la norma ISO 27001. (pág. 4)
Resguardar la información que se genera producto de las actividades diarias de las
empresas permite que la misma no sufra de posibles fugas que pongan en peligro la integridad
de la organización.
2.2 Estado del arte (citas bibliográficas con Mendeley)

a) ¿Qué se ha investigado en los últimos 5 años? Sobre INCIDENCIA EN LA DETECCIÓN

DE RIESGOS EN EL ÁREA DE TICC con COBIT (estado actual del conocimiento)

Dentro de las investigaciones realizadas durante los últimos 5 años se enfocadas en

presentar auditorias de sistemas basadas en COBIT 5 se obtienen las siguientes
consideraciones:ELIMINAR
USA; CHINA EN EUROPA EN RUSIA
BARASIL EN ARGENTINA
ECUADOR

CITAS CORTAS DE 40 PALABRAS O 3 y media lineas

Según Barreto (2021) en su trabajo de investigación titulado “Auditoria informática
mediante COBIT5 a la Cooperativa de Transporte Patria, periodo 2020”
Se trata de la elaboración de una auditoría informática, dedicada a la prestación
de servicios de transporte de personas y encomiendas; en la cual se pretende
realizar una evaluación el control interno informático y a los procesos establecidos lo
que permitirá a los responsables del área de tecnología y a los directivos, gestionar con
eficiencia eficacia y seguridad los recursos tecnológicos mediante la aplicación del
marco de referencia COBIT5, y de esta manera generar recomendaciones que
contribuyan a la adecuada toma de decisiones de quienes son responsables del área
tecnológica. (pág. 18)
Este trabajo de investigación contribuye a que la organización el uso de recursos
tecnológicos, mejore su seguridad informática y fortalezca la eficiencia en sus procesos. Las
recomendaciones generadas ayudan a la toma de decisiones por parte de los responsables del
área tecnológica, lo que permitirá una gestión más efectiva y confiable de la cooperativa en
beneficio de sus usuarios y la comunidad en general.
Por otra parte, en su trabajo de investigación titulado “Auditoria informática aplicando
la metodología COBIT 5.0 al proceso de recaudación del módulo de tesorería del sistema
cabildo en el departamento financiero del gobierno autónomo descentralizado municipalidad
de Ambato”
El objetivo es auditar al sistema Cabildo del Gobierno Autónomo
Descentralizado Municipal de Ambato, al cual no se ha realizado una auditoria
 informática en años anteriores, el beneficio de dicha auditoria es encontrar posibles
inconvenientes en el departamento de Tecnologías de la Información (TI), dicho
sistema es el encargado de la recaudación de bienes financieros en la ciudad de
Ambato. Con lo cual se espera aportar con nuevas ideas que proporcionen un mejor
servicio a los interesados de la ciudad de Ambato. (pág. 14)
El enfoque de utilizar la metodología COBIT 5.0 para llevar a cabo la auditoría es acertado, ya que
COBIT es un marco reconocido internacionalmente que proporciona un conjunto completo de mejores
prácticas para el gobierno y la gestión de TI. Su implementación permite evaluar de manera
estructurada y detallada los procesos de TI, identificar áreas de mejora y definir acciones correctivas
para garantizar el cumplimiento de los objetivos estratégicos de la organización.

b) Logros alcanzados y obstáculos INCIDENCIA EN LA DETECCIÓN DE RIESGOS

EN EL ÁREA DE TICC con COBIT (en investigaciones consultadas)

A nivel MUNDIAL
La documentación es un pilar fundamental en cualquier organización y desempeña un papel
esencial en su funcionamiento eficiente y efectivo. Su importancia radica en diversos aspectos clave
que afectan directamente la productividad, la toma de decisiones informadas y la gestión adecuada de
recursos.
Para Ruíz (2020)
De acuerdo con el análisis obtenido mediante las pruebas generadas se pudo
presenciar las debilidades del sistema Cabildo. Una de las debilidades más visibles fue
la carencia de documentación del sistema, la cual es de vital importancia en la
institución, por lo cual se presentaron recomendaciones las cuales ayudarán a
mantener la integridad de la información. (pág. 14)
Es interesante y relevante que, a través del análisis y las pruebas realizadas, se hayan identificado
debilidades en el sistema Cabildo. La carencia de documentación es sin duda un aspecto crucial en
cualquier institución, ya que la documentación proporciona un registro detallado de los procesos y
decisiones que se toman en el sistema.
El control de los recursos informáticos permite a la organización conocer qué equipos, software y
servicios están disponibles y cómo se están utilizando. Esto ayuda a evitar el desperdicio de recursos y
asegura que se utilicen de manera eficiente.
Para Barreto (2021)
La cooperativa de transportes patria requiere llevar un buen control de sus
recursos informático, la gestión y control deben de ser manejados en forma técnica, los
responsables de la información deben proteger la integridad, exactitud y
confidencialidad, para ello se analizará si existen los métodos, los procesos, políticas y
normativa necesaria que permitiría mantener segura la información contable y
financiera de la Cooperativa. (pág. 18)
La protección de la información contable y financiera es crucial en un entorno en el que los datos
son vulnerables a amenazas como ciberataques y pérdida accidental. Al implementar políticas y
procedimientos adecuados, como copias de seguridad periódicas, acceso restringido a información
confidencial y sistemas de seguridad robustos, la cooperativa estará mejor preparada para enfrentar
riesgos y salvaguardar su información.

C) Planteamientos pendientes a resolver respecto a DETECCIÓN DE RIESGOS DE TICC

con COBIT (de investigaciones consultadas)

Articulos cientificcos que plantean hacer cosas pero no se han hecho

El uso de metodologías actuales para la auditoría de sistemas en una empresa es esencial para
garantizar una evaluación completa y efectiva de los sistemas y tecnologías utilizados. Estas
metodologías ayudan a la empresa a identificar riesgos emergentes, cumplir con los requisitos
normativos, y mejorar la seguridad y el rendimiento de sus sistemas, lo que contribuye a una gestión
más efectiva y a la protección de los activos de la empresa en el entorno digital actual.
La implementación de un sistema de control y gestión de recursos tecnológicos ayudará a la
empresa a aprovechar al máximo sus activos tecnológicos, mejorar la seguridad y proteger la
información confidencial. Además, contribuirá a un entorno de trabajo más productivo y eficiente, al
tiempo que reducirá los riesgos asociados con el uso de la tecnología.

3. Especificación Funcional
3.1 ¿Qué? (modelo) (del tema sacara máximo 4 palabras y definir)

a. Tres citas de definiciones, subrayando con negrita lo importante

Definición 1:
Definición 2:
Definición 3:

b. ¿Qué es? Decisión de diseño: (construcción de definición con los

subrayados las tres definiciones anteriores)

3.2 ¿Para qué? (objetivos)

a. Provenientes de la MP Motivación preceptiva o de la hipótesis (copiar la MP)
OMP1:
OMP2:
Provenientes de la MI Motivación Investigativa o del estado del arte. (copiar la MI)
OMI3:
OMI4:
b. Provenientes MF Motivación facultativa o del criterio propio (copiar la MF)
OMF5:
4. Especificación Estructural
4.1 Solución estructural 1: Tabla: ¿Para qué? - ¿Cómo? / Objetivos -Módulos
  ¿PARA QUÉ? (objetivos)    
  OMP1 OMP2 OMI3: OMI4: OMF5:
: :
ar

¿CÓMO? (Módulos)
a  ando      
   

b        
   
c        
   
d            
e            
f            
g            
h            
Validación ✔ ✔ ✔ ✔ ✔

4.2 Solución estructural 2: Tabla: ¿Cómo? - ¿Con qué? /Módulos – Componentes

 
  ¿CÓMO?      
(Módulos)
   

¿CON QUÉ? (Tecnología o componentes) a b c d e f g h

1  Con  
             
2    
             
3    
             
4      
           
5      
           
6      
           
7        
         
8        
         
9        
         

1                  

0
Validación ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔

4.3 Solución contextual 3:

¿Dónde? Organización (empresa o institución)
¿Quién? Cuerpo de investigadores
¿Cuánto? (en base a plantilla Excel)
¿Cuándo?
5. Conclusiones coherencia con la conjetura (máximo 5 líneas)

6. Bibliografía
(referencias bibliográficas de las citas APA, insertar con Mendeley)
Alvarez , F. (2015) …. PIGUAVE PEPE

Smith, F. (2020)…… PEREZ JUAN

Zamora …………ALMEIDA JOSE

7. Plan de acción para ejecutar las soluciones al problema (cronograma en Project)

El plan de acción está encaminado a la realización o ejecución del producto o servicio,
O de las acciones o desarrollo de las actividades que se realizarán para dar solución al problema
O a elaborar un cronograma para la elaboración de las ventanas (pantallas/Windows) de los módulos
y submódulos de la APP diseñada.

Ejecución del diseño del SI (un modulo por estudiante)

NOMBRE Pepe Piguave

Telefono 09343545654

MAPA