UNIVERSIDAD UTE- ECUADOR

Facultad de Ciencias Administrativas

Integrantes:
Sharon Brigette Lema Chicango
Johanna Liceth Piaun Agila
Michael Francisco Santafé
Fecha: 12 de julio del 2021

ABR- AGO
Quito- Ecuador
2021
METODOLOGÍA
Esta investigación ha sido ejecutada mediante la utilización de recursos tecnológicos,
fundamentada en documentos especializados, de varias fuentes de consulta realizado con
apoyo de todo el equipo de trabajo.
Siguiendo la línea de la temática comenzaremos mencionando:
¿Qué es el COBIT@5?
Según Mora, León, Huilcapi & Escobar (2018) “Cobit®5 es una herramienta de auditoría
que surge como una fuente necesaria de guía para todas las personas interesadas en la
gestión, control y gobierno de TI empresarial y es una certificación profesional ofrecida
a los profesionales que participan del logro de los objetivos estratégicos de la
organización.
La calificación de esta certificación demuestra aptitud profesional y
conocimiento de la información sobre la relación entre los negocios, sus objetivos
y metas estratégicas de TI. Como parte de los beneficios es que muestra capacidad
de un profesional para planificar estrategias en los sistemas de información dentro
de una organización y así se define y supervisa su arquitectura, ya que es capaz de
localizar y monitorear vacíos del sistema de este modo fortalece el trayecto del
negocio logrando objetivos de facilidad, otro punto es que tiene una capacidad de
definir controles, seguridad y gobierno de procesos en el dominio de TI de las
organizaciones.
Una de sus importancias es que puede ser muy útil para empresas ya que les
ayuda a alcanzar las metas y objetivos estratégicos a través del uso eficaz e
innovador de TI, mientras se gestionan riesgos y gastos a un nivel aceptable (p.4).
Ventajas y desventajas del COBIT
VENTAJAS
• Suministra un lenguaje común que le permite a los ejecutivos de negocios
comunicar sus metas, objetivos y resultados con Auditores, IT y otros
profesionales.
• Proporciona las mejores prácticas y herramientas para monitorear y gestionar las
actividades de IT.
• Protege la información, es decir lograr la confidencialidad de la información.
• Disponibilidad de la información cuando ésta se requiere por el proceso de
negocio en todo momento.
• COBIT proporciona las directrices para tomar las decisiones en la realización de
servicios, también se alinea a los objetivos estratégicos de la empresa.
• Este marco de referencia proporciona roles y responsabilidades.
• Proporciona la optimización de los costos de las TI.
• Este marco no obliga a adoptar todos los procesos.
• COBIT integra auditorias, analiza todo su proceso atreves de las auditorias.
• Implementa directrices destinados a la alta gerencia para tomar decisiones
respecto al servicio que se vaya a implementar o modificar.
• COBIT integra auditoria que es el proceso para indicar como deben hacerse las
cosas, a comparación de otros marcos que no tienen este apartado.
DESVENTAJAS
• COBIT resulta un modelo ambicioso que requiere de profundidad en el estudio.
• Se requiere de un esfuerzo de la organización, para adoptar los estándares.
• No existe en la bibliografía resultados de la experiencia práctica de los países en
la implementación de este modelo que lo hagan medible.
• Se requiere un cambio de cultura en las personas que hacen el servicio (cambiar
las formas de pensar de las personas).
• Lleva tiempo ver las reducciones de costos y la mejora en la entrega de los
servicios y estos pueden ser a largo plazo.
• Una implementación exitosa implica compromiso del personal a todos los niveles
de la organización porque si uno falla el servicio puede venirse abajo.
• No debe existir desinformación en el personal porque pueden incumplir con los
objetivos de la organización.
• Cuando se hace un servicio deben de ver la información que pudiera requerirse de
los diferentes departamentos, el servicio debe darse a conocer en las áreas que
pudieran implicarse.
¿Por qué se adopta el COBIT y no otros marcos?
 • COBIT se enfoca en normas y otros marcos, por ejemplo, la base de COBIT es
ITIL ya que este abarca los procesos de gobierno y de la organización.
• Se puede adoptar COBIT en organizaciones que no tiene fines de lucros.
• COBIT tiene la gestión de riesgos y otros no los tiene.
• Al ser COBIT reconocida y aceptada internacionalmente como una herramienta
de gestión, su implementación es indicativo de seriedad de una organización.
• Es más completo y sistemático.
• COBIT ayuda a las organizaciones a crear un valor optimo a partir de la TI, al
mantener un equilibrio entre la realización de beneficios y la optimización de los
niveles de riesgos y utilización de los recursos.
Tendencias
Una vez implementado COBIT los ejecutivos pueden asegurarse de que la tecnología
de la información se encuentre alineados con los objetivos corporativos de manera eficaz
y de que el uso de TI esta correctamente orientado hacia la obtención de ventajas
competitivas, COBIT se dirige a crear servicios para dar valor a las organizaciones, lo
cual aplica criterios de evaluación de sus procesos.
PROCESOS DEL MODELO COBIT 5
El modelo COBIT 5 define las actividades de la (T.I.) Tecnología de la Información,
en un modelo generado de procesos compuesto por cuatro dominios los cuales son:
▪ Planificar y Organizar (PO)
▪ Adquirir e Implementar (AI)
▪ Proveer y Soportar (DS)
▪ Monitorear y Evaluar (ME)
Esto dominios se corresponden con las áreas de responsabilidad tradicionales: planificar,
construir, ejecutar y monitorear (Zafirino C., 2007).
Planificar y Organizar (PO)
Cubre la estrategia y las tácticas ya que se refiere a la identificación de la forma en que
la tecnología de información puede contribuir de la mejor manera al logro de los objetivos
de la organización.
La consecución de la visión estratégica tiene que ser planeada, comunicada y
administrada desde diferentes perspectivas así para establecerse una organización y una
infraestructura tecnológica apropiadas.
Este dominio consta de 11 procesos los cuales son:
• Definir un Plan Estratégico de TI: Logra un balance óptimo entre las
oportunidades de tecnología de información y los requerimientos de TI de
negocio, para asegurar sus logros futuros.
• Definir la Arquitectura de la Información: Satisface los requerimientos de la
organización, en cuanto al manejo y gestión de los sistemas de información, a
 través de la creación y mantenimiento de un modelo de información de la
organización.
• Determinar la dirección tecnológica: Aprovechar al máximo la tecnología
disponible o tecnología emergente, satisfaciendo los requerimientos de la
organización, a través de la creación y mantenimiento de un plan de
infraestructura tecnológica.
• Definir la Organización y Relaciones de TI: Presta servicios de la TI, por medio
de una organización conveniente en número y habilidades, con tareas y
responsabilidades definidas y comunicadas.
• Manejar la Inversión en TI: Satisface los requerimientos de la organización,
asegurando el financiamiento y el control de desembolsos de recursos financieros.
• Comunicar las directrices y aspiraciones gerenciales: Asegurar el conocimiento
y comprensión de los usuarios sobre las aspiraciones de la gerencia, a través de
políticas establecidas y transmitidas a la comunidad de usuarios, necesitándose
para esto estándares para traducir las opciones estratégicas en reglas de usuario
prácticas y utilizables.
• Administrar Recursos Humanos: Maximiza las contribuciones del personal a los
procesos de TI, satisfaciendo así los requerimientos de negocio, a través de
técnicas sólidas para administración de personal.
• Asegurar el cumplir Requerimientos Externos: Cumple con obligaciones legales,
regulatorias y contractuales, para ello se realiza una identificación y análisis de
los requerimientos externos en cuanto a su impacto en TI, llevando a cabo las
medidas apropiadas para cumplir con ellos.
• Evaluar Riesgos: Asegura el logro de los objetivos de TI y responder a las
amenazas hacia la provisión de servicios de TI, mediante la participación de la
propia organización en la identificación de riesgos de TI y en el análisis de
impacto, tomando medidas económicas para mitigar los riesgos.
• Administrar proyectos: Establece prioridades y entrega servicios oportunamente
y de acuerdo al presupuesto de inversión, para ello se realiza una identificación y
priorización de los proyectos en línea con el plan operacional por parte de la
misma organización. Además, la organización deberá adoptar y aplicar sólidas
técnicas de administración de proyectos para cada proyecto emprendido.
• Administrar Calidad: Satisface los requerimientos del cliente., mediante una
planeación, implementación y mantenimiento de estándares y sistemas de
administración de calidad por parte de la organización.
Adquisición e Implementación (AI)
Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas,
desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del
negocio.
Este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.
Los procesos de este dominio son:
• Identificar Soluciones: asegura el mejor enfoque para cumplir con los
requerimientos del usuario, mediante un análisis claro de las oportunidades
alternativas comparadas contra los requerimientos de los usuarios.
• Adquirir y Mantener Software de Aplicación: Proporciona funciones
automatizadas que soporten efectivamente la organización mediante
 declaraciones específicas sobre requerimientos funcionales y operacionales, y una
implementación estructurada con entregables claros.
• Adquirir y Mantener Arquitectura de TI: Proporciona plataformas apropiadas para
soportar aplicaciones de negocios mediante la realización de una evaluación del
desempeño del hardware y software, la provisión de mantenimiento preventivo de
hardware y la instalación, seguridad y control del software del sistema.
• Desarrollar y Mantener Procedimientos relacionados con TI: Asegura el uso
apropiado de las aplicaciones y de las soluciones tecnológicas establecidas,
mediante la realización de un enfoque estructurado del desarrollo de manuales de
procedimientos de operaciones para usuarios, requerimientos de servicio y
material de entrenamiento.
• Instalar y Acreditar Sistemas: Verifica y confirma que la solución sea adecuada
para el propósito deseado mediante la realización de una migración de instalación,
conversión y plan de aceptaciones adecuadamente formalizadas.
• Administrar Cambios: Minimiza la probabilidad de interrupciones, alteraciones
no autorizadas y errores, mediante un sistema de administración que permita el
análisis, implementación y seguimiento de todos los cambios requeridos y
llevados a cabo a la infraestructura de TI actual.
Proveer y Soportar (DS)
Hace referencia a la entrega de los servicios requeridos, que abarca desde las
operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de
continuidad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte
necesarios. Este dominio incluye el procesamiento de los datos por sistemas de
aplicación, frecuentemente clasificados como controles de aplicación.
Sus procesos son:
• Definir niveles de servicio: Establecer una comprensión común del nivel de
servicio requerido, mediante el establecimiento de convenios de niveles de
servicio que formalicen los criterios de desempeño contra los cuales se medirá la
cantidad y la calidad del servicio.
• Administrar Servicios de Terceros: Asegura que las tareas y responsabilidades de
las terceras partes estén claramente definidas, que cumplan y continúen
satisfaciendo los requerimientos, mediante el establecimiento de medidas de
control dirigidas a la revisión y monitoreo de contratos y procedimientos
existentes, en cuanto a su efectividad y suficiencia, con respecto a las políticas de
la organización.
• Administrar Desempeño y Calidad: Asegura que la capacidad adecuada esté
disponible y que se esté haciendo el mejor uso de ella para alcanzar el desempeño
deseado, realizando controles de manejo de capacidad y desempeño que recopilen
datos y reporten acerca del manejo de cargas de trabajo, tamaño de aplicaciones,
manejo y demanda de recursos.
• Asegurar Servicio Continuo: Mantiene el servicio disponible de acuerdo con los
requerimientos y continuar su provisión en caso de interrupciones, mediante un
plan de continuidad probado y funcional, que esté alineado con el plan de
continuidad del negocio y relacionado con los requerimientos de negocio.
• Garantizar la Seguridad de Sistemas: Salvaguarda la información contra usos no
autorizados, divulgación, modificación, daño o pérdida, realizando controles de
 acceso lógico que aseguren que el acceso a sistemas, datos y programas está
restringido a usuarios autorizados.
• Identificar y Asignar Costos: Asegura un conocimiento correcto atribuido a los
servicios de TI realizando un sistema de contabilidad de costos que asegure que
éstos sean registrados, calculados y asignados a los niveles de detalle requeridos.
• Capacitar Usuarios: Asegura que los usuarios estén haciendo un uso efectivo de
la tecnología y estén conscientes de los riesgos y responsabilidades involucrados
realizando un plan completo de entrenamiento y desarrollo.
• Asistir a los Clientes de TI: Asegura que cualquier problema experimentado por
los usuarios sea atendido apropiadamente realizando una mesa de ayuda que
proporcione soporte y asesoría de primera línea.
• Administrar la Configuración: Previene alteraciones no autorizadas, verificar la
existencia física y proporcionar una base para el sano manejo de cambios
realizando controles que identifiquen y registren todos los activos de TI así como
su localización física y un programa regular de verificación que confirme su
existencia.
• Administrar Problemas e Incidentes: Asegura que los problemas e incidentes sean
resueltos y que sus causas sean investigadas para prevenir que vuelvan a suceder
implementando un sistema de manejo de problemas que registre y haga
seguimiento a todos los incidentes.
• Administrar Datos: Asegura que los datos permanezcan completos, precisos y
válidos durante su entrada, actualización, salida y almacenamiento, a través de
una combinación efectiva de controles generales y de aplicación sobre las
operaciones de TI.
• Administrar Instalaciones: Proporciona un ambiente físico conveniente que
proteja el equipo y al personal de TI contra peligros naturales (fuego, polvo,
calores excesivos) o fallas humanas lo cual se hace posible con la instalación de
controles físicos y ambientales adecuados que sean revisados regularmente para
su funcionamiento apropiado definiendo procedimientos que provean control de
acceso del personal a las instalaciones y contemplen su seguridad física.
• Administrar Operaciones: Asegura que las funciones importantes de soporte de
TI estén siendo llevadas a cabo regularmente y de una manera ordenada a través
de una calendarización de actividades de soporte que sea registrada y completada
en cuanto al logro de todas las actividades.
Monitorear y Evaluar (ME)
Todos los procesos de una organización necesitan ser evaluados regularmente a través
del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de
control, integridad y confidencialidad.
Sus procesos son:
• Monitorear los procesos: Asegura el logro de los objetivos establecidos para los
procesos de TI, lo cual se logra definiendo por parte de la gerencia reportes e
indicadores de desempeño gerenciales y la implementación de sistemas de
soporte, así como la atención regular a los reportes emitidos.
• Evaluar lo adecuado del control interno: Asegura el logro de los objetivos de
control interno establecidos para los procesos de TI.
 • Obtener aseguramiento independiente: Incrementa los niveles de confianza entre
la organización, clientes y proveedores externos. Este proceso se lleva a cabo a
intervalos regulares de tiempo.
• Proveer auditoría independiente: Incrementa los niveles de confianza y
beneficiarse de recomendaciones basadas en mejores prácticas de su
implementación, lo que se logra con el uso de auditorías independientes
desarrolladas a intervalos regulares de tiempo.
Ejemplo
Un ejemplo muy exitoso y visible para todos es el caso de Ecopetrol (ISACA, 2010),
que es la empresa de petróleos de Colombia y cuya transformación a todo nivel la ha
convertido en la empresa estatal más rentable y que figura en el puesto 179 del listado de
las empresas más grandes del mundo según la revista Forbes para el año 2011. Para el
campo de las tecnologías de información y comunicación, la compañía inició su proceso
de aplicación desde el 2007, haciendo el análisis de su estado inicial y luego el
establecimiento de las metas a alcanzar. Sólo 2 años después empezó a ver los frutos del
esfuerzo, que incluyeron la implementación de 28 de los 34 procesos y la certificación en
la aplicación de las regulaciones de la Ley Sarbanes-Oxley.
Corporación Favorita S.A
Lo que se quiere lograr es que el personal directivo tenga un mejor control sobre los
proyectos, y de esta forma asegurar que el producto final entregado, cuente con
parámetros de calidad, para brindar confiabilidad y satisfacción al usuario final. También,
controla los Diseño de un modelo de gobernabilidad de TI para el área de Proyectos de
Corporación Favorita.
Se aprobó y se planteó la necesidad de implementar lo más pronto posible el modelo
de gobierno TI, se puede concluir que un modelo como el que se propone puede ser
implantado en empresas medianas o grandes y que tengan alta demanda en desarrollo,
porque la sistematización de DevOps puede llegar a requerir fuertes inversiones en cuanto
a licenciamiento e infraestructura. (Ortiz, C 2019)
La Subsecretaría de la Calidad del Ministerio de Industrias y Productividad aprobó este
proyecto de norma Oficialización con el Carácter de Obligatoria GOBIERNO
CORPORATIVO DE LA TECNOLOGÍA DE LA INFORMACIÓN. (ISO/IEC
38500:2008, IDT aprobó esta norma en el año (2013).

DISCUSIÓN Y CONCLUSIÓN:
• Los sistemas de información representan la oportunidad para el logro de los
objetivos organizacionales en congruencia con sus metas corporativas, de
tecnologías de la información y de los catalizadores, por ende, es prioridad de los
administradores de sistemas informáticos y del gobierno corporativo realizar
todas las acciones necesarias para cumplirlos.
• El modelo COBIT 5 proporciona una visión integral y sistémica del gobierno, de
la gestión de la empresa TI basada en varios catalizadores, así como que la gestión
de la información de esta y la TI relacionada, incluyen las actividades y
responsabilidades tanto de las funciones TI como de las funciones del negocio.
REFERENCIAS BIBLIOGRÁFICAS

Mora, León, Huilcapi & Escobar (2018), “COBIT 5”. Ecuador. Recuperado de:
https://repositorio.pucesa.edu.ec/bitstream/123456789/2355/1/Modelo%20Cobit.pdf ,
el 11/07/2021 a las 10:00am

Portal KIMAT (2021), “MODELO COBIT 5”. Recuperado de:

Landázuri C., (2019), MODELO COBIT 5- Tesis Grado. Ecuador. Universidad SEK.
Recuperado de:
https://repositorio.uisek.edu.ec/bitstream/123456789/3625/1/Tesis%20maestr%C3%AD
a%20-%20Carlos%20Land%C3%A1zuri.pdf, el 11/07/2021 a las 10:00am