Primer Trabajo Grupal A. Informatica GP 8

UNIVERSIDAD CENTRAL DEL ECUADOR
FACULTAD DE CIENCIAS ADMINISTRATIVAS

MODALIDAD A DISTANCIA
2021- 2021
TRABAJO GRUPAL
GRUPO 8
Integrantes: FLAVIO ANDRES FLORES QUISPHE CI. 1725491730
MARIA ISABEL MELENDEZ MORALES CI. 1727016345
XIOMARA JACQUELINE MORA VALLES CI. 1720227030
KARINA FERNANADA QUILLUPANGUI NARVÁEZ CI.1719390286
NATHALI PATRICIA ARAUJO CALDERÒN CI.1719442731
Nivel: Décimo
Trabajo Grupal: 1ro X 2do
Carrera: Ingeniería X Licenciatura
AE CA X AP
Profesor: Dra. Patricia Jimbo Santana
Asignatura: AUDITORIA DE SISTEMAS INFORMÁTICOS II
Fecha de entrega: 25 de julio del 2021

1. Realice una investigación científica, construyendo un ensayo donde se
mencionen casos prácticos de la aplicación de los cinco principios de
Cobit 5 en organizaciones.
Principios de COBIT 5 y su aplicación en empresas.
Resumen
Este ensayo busca dar un análisis de los principios de Cobit 5 con ejemplo de
organizaciones que propusieron su aplicación y ejecución de todos sus procesos, a
través del uso adecuado de las tecnologías de la información y comunicación como
soporte para la consecución exitosa de los mismos. Para esto, se realizó una
revisión de sus principios como marco de referencia enfocándose en los elementos
que intervienen en cada uno de ellos, respondiendo preguntas que pueden llegar a
surgir en el proceso de implementación del cobit 5.
Introducción
Una breve explicación de lo que es cobit 5 es un marco de gobierno y de
gestión de tecnologías de información. Es un documento que nos sirve de guía para
tener un buen gobierno y gestión de tecnologías de la información que distingue las
funciones en base a las necesidades del negocio las mismas que bajo sus 5
principios deben establecer orientar, evaluar y supervisar el resultado del negocio en
la gestión. Cobit tiene el 37 procesos repartidos en cinco dominios: El primer dominio
corresponde a la parte del gobierno se llama así porque se encarga de evaluar
dirigir y monitorear, después del esta el segundo que es la gestión con el dominio de
apoyo para alinear planear y organizar, en tercer lugar sigue el dominio va a
construir adquirir e implementar, el cuarto dominio está enfocado en la entrega y

soporte del servicio es donde se le da apoyo a los usuarios en el día a día y por
último está el dominio encargado de monitorear evaluar y valorar los resultados.
Principios de cobit 5
1. Satisfacer las necesidades de las partes interesadas
Para cumplir con este principio se necesita satisfacer las necesidades de los
colaboradores o “stakeholders” este término hace referencia al público de interés
para una empresa que permite su completo funcionamiento estos pueden ser
internos como externos ,por ejemplo un externo se preguntarán de nosotros hasta
qué punto lo que la transacción que yo realizó con ellos para para él es seguro y que
tan confiable es mi operación en la empresa , hasta qué punto la empresa cumple
con las normativas o regulaciones y si capaz de mantener un sistema de control
interno efectivo . Mientras que si hablamos de un público internos pues ellos se
preguntaran y ¿cómo puedo sacar el mejor valor TI? y ¿cómo puedo sacar la mejor
performance del TI? Y todo lo relacionado con optimación de recursos y el desarrollo
de nuevas estrategias.
Hay que entender que la empresa existe para generar valor de esto se
entiende pues si todas las acciones que realiza o realizamos dentro de la empresa
son para este fin, por lo tanto, esta es el más importante de los objetivos de gobierno
y para genera valor pues para cobit la plantea de tres requerimientos:
El primero obtener beneficios consiguiendo lo máximo que se puede
aprovechar, los siguientes son optimizar los riesgos, aclarando que no hablamos de
eliminar los riesgos porque esto es muy difícil solo hay que optimizarlos y asumir
aquellos que no se han priorizado previamente y aceptar el riesgo residual y por

ultimo La creación de valor que se realiza a través de la optimización de recursos
siempre pensando en sacarle el máximo provecho a los mismos.
Las empresas cuentan con un público de interés y el gobierno. El significado
de gobierno es que puedes negociar, implica también decidir cuando hay algún
conflicto dentro de este público de interés pues hay qué y llegar a un consenso y por
cada decisión ver qué beneficios obtenemos qué riesgos existen, quienes asumirán
esos riesgos y qué recursos se van a necesitar.
Un ejemplo de esto puede darse en plan estratégico en la escuela superior
politécnica de Chimborazo Joffre jimar Vargas García
en su trabajo “propuesta tecnológica basada en cobit 5 aplicada a la gestión de la TI
en la EIS” analiza Plan estratégico para la seguridad de la información de la EIS en
los procesos de gestión habla sobre la falta de un plan de mejoramiento continuo de
la calidad de los servicios de internet, equipos sin fallas de funcionamiento, software
y hardware a la vanguardia que permitan un mejor desarrollo de aprendizaje a los
estudiantes del EIS.
En su análisis explica que rara vez se usan medios multimedia y el e-virtual
en los laboratorios, en este caso no se estaría cumpliendo la necesidad del publico

de interés pues no se logra optimizar los recursos y sacar su mayor provecho. De
esto nace la siguiente pregunta.
¿Cómo traducir necesidades en metas corporativas?
En la práctica para que las necesidades planteadas por el público de interés
se traduzcan en metas de la empresa o en objetivos alcanzables todas estas
necesidades que se deben de interpretar a una meta entendible y medible, para eso
nos servimos de un elemento dispuesto por el Cobit 5 que propone que es la
cascada de metas que viene a ser el mecanismo que ayuda a traducir las
necesidades de los stakeholders en metas corporativas, luego en metas de TI y
luego en metas de catalizadores. Cabe recalcar que el uso de la Cascada de Metas
en la Práctica las empresas deben de personalizar y de manera individual su
cascada, partiendo de lo establecido genéricamente por COBIT 5 y refinarla
teniendo en cuenta su situación específica.
2.- Cubrir toda la organización
El segundo principio para cobit es cubrir la empresa de forma completa
de esta manera cobit dirige el gobierno y la gestión tratando de dar la mayor
cobertura posible, para ello los componentes claves los catalizadores o Enabler de
gobierno se identifican como componentes sin los cuales no voy a poder habilitar el
gobierno de TI en la empresa ,van a permitir que todo el esfuerzo que yo hago a
nivel de procesos funcione y si no tengo no va funcionar, otro componente clave es
el alcance de gobierno como cubrir la empresa en toda su totalidad si yo hablo de
gobierno primero tengo que definir el alcance puede ser alcance podemos dar una
vista de una empresa vamos a tomar esta unidad organizacional entonces primero
es necesario imprescindible definir el alcance del sistema de gobierno,
inmediatamente acordar hay que definir los roles que iban a intervenir en el gobierno
empresarial ,¿ quiénes están involucrados?¿ cómo se relacionan? ¿qué hacen? y
entonces en un esfuerzo de implementación de gobernante definir los roles entonces
se convierte en algo muy cercano a una receta de como implementar cobit 5.
Cobit 5 define una diferencia entre las actividades de gobierno y las
actividades de gestión , lo que nos dice es quien son los dueños de la organización
y que hacen los dueños en la organización de los interesados , pues delegan en el
órgano de gobierno la posibilidad de establecer una dirección aquí y esta es
dirección beneficia al grupo de gestión o gerencia que instruye y alinea las
operaciones y la ejecución de la empresa de vuelta pues la parte operativa de la
empresa notifica reporta la gestión y el gobierno supervisa gestión y finalmente los
propietarios o dueños y los directivos son responsables de establecer la dirección
del órgano de gobierno entonces ese es un esquema que nos ayuda a identificar la
interacción entre los roles actividades y las relaciones para cubrir la empresa.
3.Aplicar un marco de referencia integrado
El tercer principio de Cobit 5 que es aplicar un marco de referencia único
integral con un marco de referencia se puede hacer una analogía de que es un techo
que me da una cobertura bajo ciertos límites bajo ciertos alcances. Este marco
integra todo el conocimiento previo de ISACA y las versiones anteriores de cobit en
donde se había organizado de una forma estructurada y repartida pues ahora se
encuentra integrado en un solo componente que es el marco de referencia de Cobit
5. Este principio de comité con un marco de referencia en el que se alinea con otros
framework y mantiene una arquitectura simple para los materiales orientación con
los que tiene productos compatibles, también es completo para cobertura la empresa
por cuanto proporciona una base para integrar otros marcos. Otra de las
características de este principio es que y empuja a hablar en el idioma del usuario
usando un lenguaje que no sea técnico que me sirva como una fuente consistente e
integrada de guía para que cualquier usuario pueda leerlo por ejemplo si es que
estamos hablando de acercar el TI al negocio pues yo no puedo hablar en el
lenguaje técnico en mi negocio y que mi usuario no entienda, tenemos que ver el
lenguaje del usuario recalcando que Cobit 5 no es está pensado en la visión del
negocio sino del negocio con mira a las TI .
4.- Facilitar una Aproximación Holística
El cuarto principio es habilitar un enfoque holístico explicando el termino
enfoque sistémico que ayuda a manejar la complejidad pues ciertamente y vamos a
gestionar y gobernar la TI y dentro de toda la empresa pues hay una complejidad
innata pero ¿cómo manejo esta complejidad? se basa en definir un conjunto de
Enabler o catalizadores o habilitadores que son factores que de forma individual o
colectiva influyen me permiten que algo funcione sin los habilitadores algo no va a
funcionar entonces se han identificado siete los cuales permiten implementar el
gobierno y la gestión de TI en la empresa estos catalizadores son guiados por la
cascada de metas cada uno tiene sus características y en cada aspecto pues uno
profundiza uno más que el otro no son escritos en siete categorías.
El primero de ellos son los procesos, segundos principios políticas y marcos
de referencia, tercer nivel que mencionamos son las estructuras organizativas,
cuarto viene a ser la cultura ética del comportamiento, quinto la información, sexto
las personas habilidades competencias el séptimo servicios infraestructuras y

aplicaciones. Cada uno tiene una dimensión que serían la manera de como yo debo
afrontar cada aspecto de esto de éstos catalizadores una dimensión son los
stakeholders vienen a ser e un grupo de interés que pueden ser internos externos
que tengan sus propios intereses a veces entra en conflicto pero tiene juega un rol
activo dentro de la organización o dentro de un proceso propio, otra dimensión
vienen a ser las buenas prácticas y ciertamente permiten conseguir las metas que
se han definido para el catalizador son sugerencias de cómo implementar mejor este
catalizador definiendo entradas y salidas.
Otra dimensión viene a ser el enfoque del ciclo de vida este hace énfasis en
cada catalizador o Enabler tiene un ciclo de vida desde que opera hasta que se
retira o se eliminan, el último que se desarrolla es la meta, cada catalizador tiene
un conjunto de metas que me ayudan a medir en qué medida se ha implementado el
catalizador las vistas se pueden dividir en unas tres categorías primero las metas de
tipo de calidad contextual es en qué medida el catalizador y sus resultados van a
ser adecuados para sus propios fines. Por ejemplo los resultados deben ser
relevantes completos pero siempre de acuerdo al contexto , otra es la calidad
intrínseca también que se va dando de manera propia por ejemplo que se basa en
reglas internas y externas sean precisas correctas y objetivas que sean confiables o
sea es la creación de la meta por sí misma, no le importa el contexto por sí misma la
meta debe ser confiable debe ser precisa o debe provenir de una fuente reputacional
válida es decir de alguna una fuente que ya pues de la cual podamos tener una
confianza y la tercera dimensión o categoría de estas metas vienen a ser una
accesibilidad y la seguridad esto se enfoca en qué nivel el catalizador y sus
resultados son accesibles y seguros primero que esté disponible solamente para las
personas que se han definido y también que sea fácil de tener para los roles a los
cuales se les se le da el acceso no sea accesible .

5. Diferenciar Gobernanza y Gestión
El principio quinto y último es distinguir entre gobierno y gestión, normalmente
se piensa que es lo mismo, pero abarcan diferentes tipos de actividades y requiere
que cada una tenga su propia estructura organizativa distinta.
¿Qué hace el gobierno? este asegura que las necesidades y condiciones y
opciones de las partes interesadas sean evaluadas, me ayuda a establecer la
dirección, mira el rendimiento. El gobierno está conformado por un consejo de
administración o el consejo directivo de la empresa bajo el liderazgo del presidente
del directorio si ese es el nivel al que deben ir al gobierno no es para nada operativo
ni de gestión, entonces como tal el gobierno se basa en tres elementos y evaluar y
monitorear. ¿cómo se dirige? pues a través de la toma de decisiones ¿cómo se
evalúa? pues evaluando condiciones necesidades y las propias opciones y cómo se
montaría vigilando que se siga el rumbo que se ha definido originalmente.
Mientras tanto la gestión bajo un esquema conocido del plan de (do, check,
act) esta seguridad tan típica la gestión lo que hace es planificar, construir, ejecutar y
monitorear. Para cobit 5 aplicación del plan do check act lo realiza de la siguiente
manera:
 Planificar: plan APO
 Construir: BIA
 Ejecutar: DSS
 Supervisar: MEA
Esto elementos el gobierno y la gestión son el marco a través del cual la
empresa debe decir que debe interactuar entre ambos elementos para lograr un
sistema de gobierno efectivo y eficiente considerando los siete catalizadores por
ejemplo si hablamos el catalizador de procesos vemos que Cobit 5 distingue los

procesos de gobierno y los procesos de gestión con prácticas y actividades para
cada uno de ellos por ejemplo en el catalizador de información pues en las entradas
y salidas distintas para los procesos de gobierno y gestión y así pasa lo mismo con
los demás catalizadores.
Aplicación en las empresas
Una vez analizado los principios de cobit 5 se puede ver su aplicación en
empresas, en este caso en la auditoria informática realizada en la universidad
técnica de Ambato, Carlos Andrés Ruiz en su proyecto auditoria informática
aplicando la metodología cobit 5.0 al proceso de recaudación del módulo de
tesorería del sistema cabildo en el departamento financiero del gobierno autónomo
descentralizado municipalidad de Ambato en el año 2020, realiza una auditoria al
proceso de tesorería del sistema cabildo, en la misma que aplica una matriz que
compara cada proceso auditado en el sistema con los principios con el fin de poder
separarlas según sus características, como resultado del análisis de los datos se
detalla en el siguiente cuadro:

Tabla 1
Todas las pruebas generadas encajan al principio
Principio 1. Satisfacer las 1 debido a que cumplen con las necesidades de
Necesidades de las Partes las partes externas e internas, la parte externa
Interesadas tiene que ver con sociedad en general, clientes,
auditores externos, con la parte interna se refiere a
la organización administrativa, las personas
responsables de los procesos de negocios,
auditores internos.
Principio 2: Cubrir la Todas las pruebas generadas encajan al
Empresa Extremo-a-Extremo principio 2 debido a que en este principio será
controlado y manipulado por los roles de negocio,
también serán utilizados y manejados por las
distintos Actividades, roles y relaciones de las
Tecnologías de la Información.
Principio 3: Aplicar un Marco Todas las pruebas generadas no cumplen con el
de Referencia único principio 3 debido a que en el Departamento de
integrado Tecnologías de Información nunca se han

generado pruebas las cuales ayuden a seguir un
proceso adecuado, este principio podría cumplirse
siempre y cuando existan pruebas anteriores las
cuales se rijan a un estándar o a una norma.
Principio 4: Hacer Posible un 1. Principios, políticas y marcos de
Enfoque Holístico referencia necesarios para poder cumplir y
registrar las operaciones necesarias para el
manejo del sistema Cabildo.
2. Procesos pasos adecuados para
gestionar las Actividades de la TI relacionadas con
el sistema Cabildo.
3. Estructuras organizativas definición de
las responsabilidades de los roles asociadas en
las Tecnologías de la Información las cuales
estarán relacionadas con el sistema Cabildo.
4. Cultura, ética y comportamiento de los
colaboradores y de la empresa, los cuales
aportaran las pautas necesarias para el
cumplimiento de las leyes, políticas y
procedimientos internos los cuales ayudaran a la
protección de información y de activos
pertenecientes a los activos de Tecnologías de
Información.
5. Información sustentable para el manejo
de las partes interesadas las cuales ayudaran a
demostrar la normativa ante personas externas,

incluyendo situaciones judiciales.
6. Servicios, infraestructura y aplicaciones
pertenecientes a la empresa las cuales
proporcionan tecnologías para el proceso de
información y servicios relacionados con el
sistema Cabildo.
7. Personas, habilidades y competencias las
cuales llevan a cabo la toma de acciones y de
decisiones correctivas pertenecientes a
Tecnologías de la Información.
Las pruebas generadas van a cumplir con
Principio 5: Separar el los principios de Gobierno ya que se Evaluará,
Gobierno de la Gestión Orientara y Supervisara las pruebas realizadas,
por el contrario, no cumplirán con los principios de
Gestión ya que no existe una parte encargada de
Planificar ni de Construir estas políticas.

Fuente: Elaboración propia a partir de tesis universidad técnica de Ambato
Con la interpretación de las pruebas planteadas al Sistema Cabildo se pudo
aplicar con eficiencia los principios Cobit 5 y dividirlos dependiendo su categoría, en
esto se puede analizar una clara adaptación del marco referencia del cobit 5 pues
como se lo aclara no siempre se ocuparán todos los procesos en la auditoria sino
deben evaluarse de acuerdo con las necesidades individuales de una empresa.
Mediante pruebas ejecutadas separadas por los principios de cobit se pudo observar
el desempeño del sistema cabildo lo que significa el desempeño del departamento
de TI
En conclusión, estos cinco principios como resumen permiten a la empresa
construir un gobierno efectivo un marco de gestión basado en un enfoque sistémico
holístico con siete catalizadores que me ayudan a optimizar la inversión que hace la
organización Mediante la ejecución de pruebas a las diferentes áreas como son
Base de Datos, Redes y Comunicaciones, Seguridad Física y Seguridad Lógica y
con ayuda de los principios Cobit se logre evidenciar las falencias existentes.
Actividad 2
Seleccione una institución en la que puedan realizar lo siguiente:

 Mantener una entrevista con el director de Tecnología (se debe
identificar el nombre de la empresa, Ruc, el nombre y contacto del
director de tecnología)
 Establecer en la entrevista si se ha implementado COBIT 5
 Si es así, se indique como se han aplicado los 7 catalizadores en la
organización,
 Realice el mapeo de metas y el mapeo de procesos de la
organización o Indique 1 proceso de Gobierno y 2 Procesos de
Gestión de TI de COBIT 5 que se han implementado.
 Realice el análisis de los procesos APO12 y DSS05
AUTOMOTORES Y ANEXOS
RESEÑA HISTORICA
Automotores y Anexos S.A. (Ayasa) se fundó en marzo de 1963, como
representante de Nissan para Quito, pues para entonces ya existían distribuidores
de la marca en Guayaquil y en Cuenca.
En sus inicios, la empresa introdujo al país las camionetas Datsun 1 000 y 1
200, así como la Nissan Junior y el todoterreno Patrol. La calidad y durabilidad de
estos vehículos hizo que ambas marcas se ganaran la preferencia de un
considerable número de usuarios, reafirmando con ello el prestigio que los
fabricantes japoneses empezaban a ganarse en el mercado local.
Gerenciada por Esteban Cordero Borrero durante los años sesenta y setenta,
Ayasa experimentó un crecimiento que le llevó a adquirir la representación
de Nissan en el Puerto Principal y posteriormente a abrir sucursales en Ambato y
en Manta. Pero esa gran expansión se vio truncada en 1982, con el cierre de las
importaciones de vehículos, que le obligó a contraer sus operaciones y a buscar
otras líneas de negocio para subsistir.
Con la reapertura de las importaciones y la llegada a la dirección de la
empresa de Nicolás Espinosa, en 1992, Ayasa inició un proceso de consolidación.
En 1999, la empresa consiguió la representación de la marca francesa Renault, que
poco tiempo antes había firmado una alianza estratégica con Nissan.
En 1975, gracias al fortalecimiento y solidez, se abrió una sucursal en Ambato
y otra en Manta. En la década de los ochenta, con la prohibición de la importación de
automóviles el negocio se mantuvo gracias al buen servicio al cliente y a los
proveedores, a través de la Post Venta
Con el respaldo de las otras líneas de negocios, repuestos y servicios, AYASA siguió
creciendo, hasta que en 1994 adquirió Intercambio Automotriz S. A., la
representante de Nissan en Cuenca. AYASA creció al igual que Nissan en el
Ecuador. En sus inicios fue reconocida gracias a los modelos Datsun, que era el
nombre comercial para los autos que se hacían en la fábrica Japonesa Nissan. El
crecimiento de la empresa se logró gracias a la ampliación del negocio hacia los
repuestos, servicios y respaldo total hacia los clientes que eran dueños de los autos
Datsun.
En un inicio se empezó a importar y comercializar las camionetas Nissan Junior,
llegando a venderse 40 unidades durante ese año.
En 1978, AYASA obtiene el mayor volumen de ventas entre todas las empresas
automotrices en el Ecuador.
En 2011, Nissan alcanzó 10.080 unidades vendidas (7,2% del mercado). El
crecimiento fue del 7% respecto a las ventas del 2010.
En el 2012, AYASA recibe el “Nissan Global Award”, un reconocimiento al alto
desempeño local de la marca y su contribución con la estrategia global de Nissan.
Automotores y Anexos S.A. representante exclusivo de la marca Nissan en Ecuador,
realizó un almuerzo de prensa para presentar su trayectoria en el país y la
proyección que tiene para el año 2013. Al evento asistieron periodistas,
representantes de los principales medios de comunicación y directivos de la marca
en el país.
El evento tuvo como objetivo resaltar la trayectoria de Automotores y Anexos
S.A. y destacar el compromiso que Nissan tiene con el país. En este sentido, se
dieron a conocer grandes hitos y momentos que la empresa ha atravesado durante
estos casi 50 años de vida, en los que se puede destacar lo siguiente: en 1963,
nació Automotores y Anexos como un negocio familiar; la empresa inició su gestión
con la representación de la marca Nissan para la ciudad de Quito.
En la actualidad, Ayasa se erige como una de las compañías más sólidas y
respetadas del sector automotor ecuatoriano

Su oficina principal está ubicada en Quito, en la Av. Orellana E2-30 y 10 de
agosto. La principal actividad de la empresa está relacionada con la venta de
automóviles y repuestos de las marcas Nissan y Renault, así como la gestión de
talleres para reparación de automóviles. Algunos de los modelos de automóviles que
comercializa la empresa son Nissan Kicks, Qashqai, Versa y X-Trail. Automotores y
Anexos SA ofrece servicios de postventa, servicio técnico, centros de servicio de
pintura, repuestos originales y boutique. La empresa cuenta con agencias de
distribución en varios lugares del país en Quito, Riobamba, Guayaquil, Loja, entre
otros.
MISION
Somos una corporación automotriz ecuatoriana en constante crecimiento, que
trabaja con pasión para ofrecer soluciones de movilidad inteligente, innovadores y de
calidad.
VISION
Transformar la relación comercial con nuestros clientes en una perpetuidad.
VALORES CORPORATIVOS
LEALTAD
Honrar nuestros valores y nuestro código de conducta con los que nos hemos
comprometido para el desempeño de nuestras actividades en la empresa, con los
clientes y con la sociedad.
HONESTIDAD
Actuar con veracidad y claridad de acuerdo con lo que sentimos y pensamos.
RESPETO
Se ejerce mostrando reconocimiento por el valor y derechos que tienen
nuestros clientes, la empresa, la sociedad, el medio ambiente y nosotros mismos.
PASIÓN
Vivir con entusiasmo en todo lo que hacemos buscando la excelencia en cada
detalle, manteniendo el equilibrio entre el trabajo, la familia y la vida persona
DESCRIPCIÓN GENERAL DEL NEGOCIO
Automotores y Anexos mantiene una estructura comercial dividida
básicamente en tres áreas. Esta división le permite manejar de una manera más
específica cada una de sus líneas comerciales con la especialización que se
requiere al mismo tiempo que la dependencia de cada una de estas, les permite
formar una línea de producción completa en donde el cliente podrá satisfacer todas
sus necesidades dentro de un mismo punto de venta. Estas líneas comerciales son:
 Venta de vehículos nuevos.
Automotores y Anexos mantiene una extensa red de comercialización a lo
largo del Ecuador a través de la cual trata de mantener el mayor mercado
cautivo posible. Estos puntos de venta se encuentran en la ciudad de Quito,
Guayaquil, Manta, Cuenca y Ambato los mismos que se encargan de la venta
directa de vehículos Nissan. En el último año esta red vio la necesidad de
extenderse y llegar a otros puntos geográficos en donde la presencia de la
marca era casi nula, por lo que se decidió comenzar con el manejo de
subdistribuidores que se encargarían de la comercialización de vehículos Nissan
bajo todos los parámetros comerciales y de calidad exigidos por la marca a nivel
mundial. Esta red de subdistribuidores está conformada por Equinorte en Ibarra,
Lojacar en Loja, Oro auto en Machala y Aude sur en el sur de Quito. Cada punto
de venta cuenta con un show roo de ventas apropiado para los clientes, en
donde se encuentran exhibidos los principales modelos de vehículos disponibles
en el mercado. Dichos clientes podrán acceder a cualquier tipo de información a
través de los asesores comerciales quienes manejan todo tipo de información
como: características de los vehículos, precios, disponibilidad, tipos de créditos,
etc. Es importante mencionar que estos asesores comerciales pasan por un
estricto proceso de capacitación y pruebas de tal forma que el cliente pueda
satisfacer sus necesidades básicas de información de la mejor manera posible.
Automotores y Anexos maneja una extensa variedad de productos. Todos sus
vehículos son importados directamente desde Japón o México con el debido
respaldo de las fábricas. Dentro de esta línea de productos se maneja diversos
modelos de vehículos dirigidos a diferentes segmentos de mercado. Dentro de
estos modelos tenemos:
 Sentra 1.6.
 Almera
 Tiida
 Sentra 2.0
 Camioneta Pick up
 Camioneta Frontier
 Camioneta Navara
 Xtrail
 Murano
 Qashqai
 Pathfinder
 Patrol.
 Ventas de repuestos: (repuestos, aditivos y accesorios)
Las oficinas centrales del departamento de Repuestos se encuentran
ubicadas en Quito en la Av. De los Granados E-11 y 6 de diciembre. En estas
instalaciones se realiza la comercialización directa de repuestos Nissan y
Renault al público (por mostrador) y el aprovisionamiento al Servicio Técnico, a
más de la administración central de pedidos de repuestos a las fábricas, la
administración de garantías y el manejo administrativo de las líneas de
Accesorios, Lubricantes Aditivos Cyclo y neumáticos de alta calidad PIRELLI. El
personal que se encuentra en estas oficinas brinda el soporte necesario para la
gestión del departamento de Repuestos en cada una de nuestras sucursales a
nivel nacional
 Servicio Postventa
Las oficinas centrales de Servicio se encuentran ubicadas en la Av. De los
Granados E-11 y Av. 6 de diciembre. En estas instalaciones se realiza el
mantenimiento y reparación de los vehículos de los clientes atendiendo el
cuarenta por ciento de los vehículos de toda la red de Servicio a nivel Nacional.
Este es uno de los Centros de Postventa más grandes de Latino América.
Adicionalmente cuentan con 7 centros de Servicio Técnico alrededor del país,
manejando algunas líneas de Servicios.
ESTRUCTURA ORGANIZATIVA
Presidente Corporativo: Hernando Chiriboga Dávalos

Director General: Gil Malo Alvarez
Ruc: 1790014797001
Gerente de TI e Innovación Digital: Ivan Esparza
Teléfono: 0993753599 3972800 ext. 2808
Organigrama Departamento TI
Gerencia TI
Coordinador de
Sistemas
Administrador
Administador de Administrador
de plataformas y
Base de Datos Office
redes
OBJETIVO TI
Brindar y asegurar soporte tecnológico a los procesos y necesidades del
negocio para maximizar los objetivos de la organización, utilizando las mejores
prácticas y normas de Tecnologías de la Información y Comunicaciones

Establecer en la entrevista si se ha implementado COBIT 5 o Si es así
Como se ha implementado COBIT 5 en Automotores y Anexos
Cobit se ha adaptado a los modelos de negocio y como tecnología debe
estar cerca hacia los generadores de negocio para que en función de estos se
pueda obtener resultados alineados a las estrategias, el grupo Ayasa utilizamos con
el fin de establecer y clarificar cuales son los procesos en los cuales Cobit puede
aportar a la consecución de los resultados esperados en el año 2017 se realizó un
diagnostico alineado a Cobit para entender cuáles son las brechas entre la definición
de estrategias y objetivos corporativos y la tecnología del grupo se aplicó un modelo
de cascada se genera se reuniones para primero entender el sentir y la visión de
los lideres corporativos mediante reuniones a manera de entrevistas con enfoques
cerrados con preguntas especificas cual es el sentir de la inversión de tecnología,
cual es el sentir de los estancamientos de tecnología, cual es el sentir de los
proyectos que tecnología puede aportar para la consecución de los objetivos, ese
primer diagnóstico se realizó con 20 líderes de la organización incluido personas del
directorio porque necesitas entender el sentir de los steak holders (partes
interesadas, clientes del servicio, dueños de la organización, Gerente, Directores de
la línea importantes de la organización) en función de esto podemos aterrizar con
preguntas cerradas específicamente donde te encuentras o donde encuentran los
principales preocupaciones o donde se encuentran los principales puntos de mejora
con esto se estableció el grupo un plan de implementación de 3 a 5 años, se
definieron algunos procesos Cobit específicamente los alineados los más importante
como tienen algunos procesos nunca puedes implementar al 100% porque las
compañías tienen enfoques diferentes negocios distintos, toma de decisiones

diferentes no todas las tomas de decisiones son diferentes, lo primero que debemos
hacer es alinear el denominado Gobierno Corporativo a un Gobierno de Tecnología
entonces básicamente con esto se hicieron cambios en el grupo relacionados con
procesos que tenían que haberse definido de mejor manera, a un tratamiento distinto
con proveedores e incluso a un recambio de proveedores fue importante el cambio
porque no cumplían con las expectativas del grupo, no se tenía ningún tipo de
acuerdo de nivel de servicio, no tenía un mecanismos formalizado de atención
interna a todos los clientes internos usuarios de negocios con Cobit se delimitaron
una serie de procesos para tratar de delimitar responsabilidades y formalizaciones
en función de eso se hizo el plan de implementación de algunas actividades y
procesos del grupo, no solo hemos aplicado Cobit en el grupo hemos aplicado otros
marco de referencia ISO-27002 permite obtener lineamientos de seguridad desde el
enfoque de la seguridad de la información, nosotros también trabajamos con ITIL
porque el área de tecnología es una área de servicios tecnológicos para todas las
empresas del grupo, entonces tenemos catalogados las áreas de servicios que el
área de tecnología tiene con procedimientos que nacen desde una petición de un
servicio hasta el desarrollo potencial de un servicio nuevo.

Indique como se han aplicado los 7 catalizadores en la organización
En el grupo Ayasa realizamos el diagnostico Cobit, los procesos, los modelos
de priorización, priorización de las expectativas de tecnología, aplicamos una
priorizador de cascada un análisis de riesgo de alto nivel para definir en donde están
los principales problemas que nosotros tenemos hicimos la priorización de los
procesos asociados que pueden solucionar los problemas se establece un marco y
portafolios de proyectos y los catalizadores específicamente estuvieron relacionados
a los recursos que teníamos que formalizar siempre, hablamos del establecimiento
de políticas de los principales aspectos de la tecnología al grupo, definimos políticas
de atención, seguridad, internas relacionas de segregación de funciones porque en
tecnología es super importante, una vez que se definió se pasó a establecer
estructura de tecnologías diferentes el catalizador de Cobit que empujo las políticas
fue una reorganización del área de tecnología, fue mutando en una fase de 3 años
con respecto áreas nuevas, personas nuevas para poder acoplarse a las nuevas
estrategias, a la par se trabajó con los procesos de tecnología que se tenía que
topar, una vez con la definición de la política, con la reestructuración del área de
tecnología y el establecimientos de cuales son nuestros procesos empezamos
prácticamente un cambio cultural primero en tecnología y de ahí trabajando
específicamente con la compañía en el sentido, del impacto que tiene con el cliente
interno si nos hemos preocupado mucho en el establecimiento de mecanismos
formales de solicitud, de análisis, de creación de un servicio de entrega de un
servicio y la puesta en marcha y sobre eso de los procesos establecimos un
catalizador importante relacionado a las habilidades de las personas y
competencias, el momento que se restructuro el área de tecnología las nuevas

personas que venían a formar parte del área TI, venían con conocimientos
adicionales y diferentes pero como evidentemente la brechas entre lo que el negocio
necesitaba y lo que tecnología en su momento podía entregar a manera rápida era
muy grande se buscaron socios de negocios de la tecnología como IBM, Kruguer, BI
Solution con empresas muy importantes en el mercado ecuatoriano tecnológico e
incluso regional porque era necesario fortalecer rápidamente estas brechas con
proyectos de una manera mucho más estructurados y mucho más orientados, era
una forma de mezclar lo que tú tienes esa era la forma implementación de Cobit se
aceleró, una implementación de un proceso Cobit 100 % no te dice como debes
hacer las cosas, entonces viene mucho de la experiencia que tienes para poder
entender una buena práctica, entonces Cobit es un marco de referencia que tiene
buenas prácticas pero no te dice específicamente haga esto, cambie esto, estructure
cree esta política, tome este procedimiento y aplique en su organización, Cobit lo
que te dice para lo que tu tengas beneficios esperados en tu organización no te
desapegues de los tomadores de decisiones y estos dependen de cada
organización, unas vez que tienes establecido eso tu ya puedes identificar en donde
de todos los procesos que tiene Cobit tú tienes que enfocarte porque son los que
están orientados a tu organización como la nuestra que importa y vende vehículos,
renting, almacenera pero no producimos nuestro modelo de negocio es distinto a un
negocio de producción o bancario por ejemplo este año estamos introduciendo
Escrumm a la organización que son metodologías ágiles van de la mano con los
procesos de Cobit alineados con el desarrollo de software, Cobit no dice en ninguna
parte nos dice que utilicen Escrumm, sin embargo nosotros en tecnología
entendemos que es un buena práctica actual y vigente el desarrollo de servicios con
una perspectiva diferente, entonces se enriquece el Cobit con el marco de referencia
Escrumm para dar un mejor enforque a la construcción de cosas

POLITICAS QUE APLICA AUTOMOTORES Y ANEXOS APLICANDO COBIT 5
La presente política aplica a todas las actividades relacionadas con el
gobierno corporativo de TI y los servicios tecnológicos que se desarrollan en AYASA
desde la fase del Diseño, pasando por la Ejecución e Implementación,
Administración y culminando con el Soporte de los servicios de Tecnología de
información, todo ello basado en las mejores prácticas, leyes, reglamentos e
instructivos que rigen al proceso, y que procuran la optimización y la mejora
continua.
Esta política aplica a todas las sucursales, hardware, software y equipos de
computación, comunicaciones y telecomunicaciones.
Incluye las siguientes áreas de acción:
 Evaluar, orientar y supervisar
 Alinear, planificar y organizar
 Construir, adquirir e implementar
 Entregar y dar servicio y soporte
POLITICAS
 Cualquier requerimiento tecnológico de la organización debe ser
canalizado a través de este proceso “Gobierno y Gestión de Tecnologías de
Información”.
 Cada vez que se establezca un nuevo servicio crítico de
Tecnologías de Información, éste deberá contar con un Acuerdo de Nivel de
Servicio (SLA) formalizado con el usuario.
 El proceso de Gobierno y Gestión de Tecnologías de
Información proveerá los servicios tecnológicos de acuerdo con las
necesidades del negocio.
 El proceso de Gobierno y Gestión de Tecnologías de
Información deberá velar por el aseguramiento, disponibilidad,
confidencialidad, e integridad de la información digital de la organización.
 Las actividades del proceso garantizarán y asegurarán el
soporte tecnológico necesario para la operación efectiva del negocio.
 El proceso deberá asegurar la operatividad de los sistemas de
contingencia tecnológica para garantizar la continuidad del negocio.
Subprocesos relacionados
Subproceso Evaluar, orientar y supervisar
Generalidades
Objetivos Particulares
 Asegurar que se evalúen las necesidades, condiciones y
opciones de las partes interesadas para determinar que se alcanzan las
metas corporativas equilibradas y acordadas.
Alcance
Basado en los objetivos estratégicos de la compañía hasta la validación de la
planificación del proceso de Gobierno y Gestión de Tecnologías de Información y
Telecomunicación.
Lineamientos Generales
Adicional a los lineamientos de la política base, se determinan los siguientes:
 La planificación del proceso de Gobierno y Gestión de
Tecnologías de Información y Telecomunicación define toda ejecución de las
actividades relacionas a Tecnología Informática y Telecomunicaciones.
Proceso Relacionado
Planificación de Gobierno y Gestión de Tecnologías de Información y
Telecomunicación
Subproceso Alinear, planificar y organizar
Generalidades
Mejorar la efectividad de los procesos del negocio, diseñando soluciones
tecnológicas alineadas a los requerimientos y necesidades del negocio.
Alcance
Desde la recepción del requerimiento hasta la definición de especificaciones
técnicas y funcionales.
 Adicional a los lineamientos de la política base, se determinan
los siguientes:
 Todo requerimiento de un nuevo servicio tecnológico o una
modificación a uno existente deberá ingresar por este subproceso
 El presente subproceso deberá regirse al procedimiento de
diseño de servicios de TIC.
 El presente subproceso se encargará de la estandarización de
los productos o servicios tecnológicos en el caso de ser factible, considerando
reducción y optimización de costos y recursos.
 El presente subproceso deberá utilizar el instructivo de
estándares de Hardware y Software de las TIC.
 Durante la definición de la arquitectura se priorizará el
aprovechamiento de capacidad y uso de la arquitectura actual sobre la
adquisición de nueva infraestructura.

 En el presente subproceso, cuando coincidan dos o más
iniciativas que demanden el uso de los mismos recursos sean estos
tecnológicos o humanos, el dueño del proceso Gobierno y Gestión de
Tecnologías de Información priorizará el uso de los recursos en función de las
diseño de servicios de TIC.
 El presente subproceso se encargará de la estandarización de
los productos o servicios tecnológicos en el caso de ser factible, considerando
reducción y optimización de costos y recursos.
 El presente subproceso deberá utilizar el instructivo de
estándares de Hardware y Software de las TIC.
 Durante la definición de la arquitectura se priorizará el
aprovechamiento de capacidad y uso de la arquitectura actual sobre la
adquisición de nueva infraestructura.
 En el presente subproceso, cuando coincidan dos o más
iniciativas que demanden el uso de los mismos recursos sean estos
tecnológicos o humanos, el dueño del proceso Gobierno y Gestión de
Tecnologías de Información priorizará el uso de los recursos en función de las
Subproceso Construir, adquirir e implementar
Generalidades
Construir y poner en el ambiente de producción la solución efectiva a través
de un proceso controlado de cambios minimizando el impacto a la organización.
Alcance
Parte de las especificaciones proporcionadas por el subproceso de diseño
hasta la puesta en producción de la solución.
 Adicional a los lineamientos generales de la política base, se
determinan los siguientes:
ejecución e implementación de servicios TIC.
 Todas las especificaciones técnicas y funcionales, así como la
arquitectura donde se va a ejecutar el servicio deberán ser detalladas para
que el subproceso cumpla su objetivo de forma eficiente.
 Se deberá contar con el Catálogo de Servicios actualizado.
 Todo cambio de ubicación o asignación de un equipo
tecnológico deberá ser registrado en la Base de Datos de Configuración
(CMDB)
Subproceso Entregar y dar servicio y soporte
Generalidades
 Administrar los servicios tecnológicos implementados,
monitoreando y controlando de forma oportuna las actividades planificadas
por cada una de las TIC.
 Atender y resolver los requerimientos e incidentes de usuario
dentro de los acuerdos de niveles de servicio, minimizando sus
interrupciones.
Alcance
Desde el servicio operando y funcionando, pasando por el mantenimiento de
los servicios hasta el soporte de requerimientos.
 Adicional a los lineamientos detallados en la política base, se
determinan los siguientes:
Administración de servicios TIC.
 Todo servicio TIC en producción deberá cumplir el plan de
Operación.
 Todos los componentes críticos de los servicios de TIC que
tengan capacidad de ser monitoreados deberán ser incluidos en la plataforma
de gestión y monitoreo.
 Todo requerimiento o incidente tecnológico que afecte a los
usuarios deberá ser canalizado, registrado a través de la Mesa de Servicio o
Mesa de Ayuda (Service Desk / Help Desk) y será notificado al usuario.
 El tiempo de atención a los requerimientos o incidencias de
usuario estará en función del Acuerdo de Nivel de Servicios.
Encuesta
I. Cumplimiento de procedimientos, normas y controles
dictados. Merece resaltarse la vigilancia sobre el control de
cambios y versiones de software.

N PREGUNTA RESPUESTAS
SI NO
° S
¿Existen procedimientos de x
1
control del software contratado bajo
licencia?
¿Existe procedimientos para la
2 x
instalación de software y para el
establecimiento de la dirección del riesgo
de virus informáticos?
¿Existen normativas de desarrollo x
3
y adquisición de software de
aplicaciones?
4 ¿Existe manuales de x
mantenimiento de hardware?
5 ¿Existe manuales de mantenimiento x
de software?
TOTAL
PORCENTUAL 100% 0%
II. Controles sobre la producción diaria

N PREGUNTAS RESPUESTAS
SI NO
°
¿Existen políticas referentes a la x
1
organización y utilización de los discos duros
de los equipos?
2 ¿Existe un plan de contingencia de la x
Cooperativa Luz del Valle?
3 ¿Existen de mantenimiento preventivo a x
los equipos de hardware?

¿Se ha revisado los contratos de
4 x
mantenimiento y el tiempo medio de servicio
acordados con el proveedor?

5 ¿Existen políticas de seguridad para el x
acceso a los servidores?

¿Existe Controles de tratamientos de
6 x
datos para asegurar que no se den de alta, se
modifiquen o se borren datos no autorizados?

¿Existen controles para evitar la x
7 introducción de un sistema operativo a

través de puertos de salida que pudiera
vulnerar el sistema de seguridad establecido?

¿Existen políticas que sirve de base para x
8 la planificación, control y evaluación por la
Dirección de las actividades del Departamento
de TI?
¿Se bloquean páginas web que no x
9
corresponden al perfil de usuario?
TOTAL 8 1
PORCENTUAL 88.89% 11.11%
III. Controles sobre la calidad y eficiencia del desarrollo y
mantenimiento de software y del servicio de informática

RESPUEST
N PREGUNTAS
AS
°
S N
I O
1 ¿Existe prevención a las caídas del sistema x
informático?
2 ¿Existe mantenimiento del sistema informático? x
3 ¿Existen controles de satisfacción al sistema x
informático?
TOTAL 3 0
PORCENTUAL 100% 0%
IV. Controles en las redes de comunicaciones

RESPUESTAS
N PREGUNTAS
SI N
°
O
¿Existe planes adecuados de X
1
implantación y pruebas de aceptación para la
red?
2 ¿Existe un grupo especializado en el X
control de red?
¿Existen controles de seguridad lógica X
3
como control de acceso a la red y
establecimiento de perfiles de usuario?

¿Existen procedimientos de cifrado de X
4
información sensible que se transmite a través
de la red?
5 ¿Existe monitoreo para medir la X
eficiencia de la red?
¿Existen políticas que contemplen la X
6
selección, adquisición e instalación de redes
de área local?
¿Existen políticas que obliguen a la
7 X
desconexión de los equipos de las líneas de
comunicación cuando no se está haciendo uso
de ellas?
¿Existe la implantación de la red local
8 X
productos de seguridad, así como
herramientas?
9 ¿Existe un inventario de todos los X
activos de la red?
1 ¿Existe controles para evitar modificar la x
0 configuración de una red?

¿Existen controles de acceso a redes,
1 x
mediante palabra clave, a través de
1
computadores personales?
1 ¿Existen procedimientos de respaldo del x
2 hardware y del software de la red?

¿Existe procedimientos de cifrado de
1 x
información sensible que se transmite a través
3
de la red?
TOTAL 11 2
PORCENTUAL 84.61% 15.39%
V. Controles sobre el software base

PREGUNTAS RESPUESTAS
N
SI NO
°
1 ¿Existe licencias de software base para x
todos los equipos de hardware?

2 ¿Existe controles de caducidad a las x
licencias del software base?

TOTAL 2 0
PORCENTUAL 100% 0%
VII. La seguridad informática

RESPUEST
N PREGUNTAS
AS
°
SI N
O
1 ¿Existe un grupo de seguridad de la x
información?
2 ¿Existe controles de acceso a los x
servidores?
3 ¿Existe cámaras de seguridad en el área x
que se encuentran los servidores?

TOTAL 3 0
PORCENTUAL 100% 0%
XI. Control dual de la seguridad Informática
RESPUESTAS
N PREGUNT
SI N
° AS
O
1 ¿Existe control dual en el acceso a x
los servidores?
¿Existe control dual para la x
2
modificación de información debido a
errores cometidos por el perfil del
usuario?
3 ¿Existe control dual para la x
asignación de perfiles de usuario?

TOTAL 3 0
PORCENTUAL 100 0
% %
VIII. Usuarios, responsables y perfiles de uso de archivo,
bases de datos.
RESPUESTAS
N PREGUNTA SI NO
° S
¿Existen funciones y
1 x
responsabilidades dentro del
Departamento de TI con una clara
separación de estas?
x
¿Existe Controles físicos para
2
asegurar que el acceso a las instalaciones
del Departamento de Informática queda
restringida a las personas autorizadas?

¿Existe Control de acceso x
3 restringido a los computadores mediante
la asignación de
con palabra c l a v e
intransferible?
4 ¿Existen normas que regulen el x
acceso a los recursos informáticos?

¿Existe responsabilidades sobre la x
5
planificación, organización dotación y
control de los activos de datos, es decir,
existe un administrador de datos?

TOTAL 5 0
PORCENTUAL 100% 0%
IV. Normas de seguridad

RESPUESTAS
N PREGUNTAS
SI N
°
O
¿Existe normas de seguridad que garantice
1 x
la confidencialidad, integridad de la información?
¿Existen normas que prohíban la
2 x
utilización de puertos de entrada/salida en los
equipos de hardware?
3 ¿Existen normas que regulen el acceso a x
los recursos informáticos?

TOTAL 3 0
PORCENTUAL 100% 0%
X. Control de Información clasificada

RESPUESTA
N PREGUNTA
S
SI NO
° S
¿Existe una política de clasificación
1 x
de la información para saber dentro de la
organización qué personas están
autorizadas y a qué información?

¿Existe control d e acceso f í s i c o
2 x
a los datos y a p l i c a c i o n e s c o m o
almacenamiento de información o
aplicación?
TOTAL 2 0
PORCENTUAL 100% 0%
XII. Licencias y relaciones contractuales con
terceros
N PREGUNTAS RESPUES
° TAS
S N
I O
¿Existe seguimiento a los acuerdos x
1
previstos en los contratos con los proveedores
de los equipos de hardware y software?
¿Existe seguimiento a los acuerdos
2 x
previstos en los contratos con los proveedores
de los equipos de software?

3 ¿Existe seguimiento a las licencias de x
software y su caducidad?
TOTAL 3 0
PORCENTUAL 100% 0%
XIII. Asesorar y transmitir cultura sobre el riesgo
informático.
RESPUES
N PREGUNTAS
TAS
°
S N
I O
1 ¿Existe capacitaciones al personal sobre los x
riesgos informáticos?
¿Existe sanciones al personal por vulnerar x
2
las seguridades de los riesgos informáticos?
TOTAL 1 1
PORCENTUAL 50% 50%
XIII. Asesorar y transmitir cultura sobre el riesgo
informático.
RESPU
PREG
ESTAS
UNTAS
S N
I O
¿Existe capacitaciones al personal sobre los riesgos x
informáticos?
¿Existe sanciones al personal por vulnerar las
x
seguridades de los riesgos informáticos?
TOTAL 1 0
PORCENTUAL 100% %
PROAC-APO 12
RESPUEST
N° PREGUNTAS
AS
S N
I O
1 La proporción de riesgo de seguridad X
en las redes de datos y comunicación es baja

2 la porción de riesgos encontrados en X
los equipos de seguridad firewall, ips,

servidores de antivirus, filtros de páginas
web es baja
3 Cuál es la proporción de funcionarios X
que reciben capacitación del uso adecuado de
los equipos informáticos

4 La proporción de dispositivos terminales X
(laptops, celulares, tablets sin autorización
conectados a la red es baja

5 Cuales es la proporción de funcionarios X
que están identificados de manera única
tienen su cuenta de dominio y tienen permisos
de acuerdo con su función o cargos
institucionales
6 Realizan pruebas eventuales de los X
dispositivos de seguridad para analizar su
correcto funcionamiento
7 La cantidad de incidentes relacionados x
con permisos no autorizados a la información
es baja
8 Existe algún proceso para análisis y x
evaluación de TIC
9 Realizan procesos de control en TI x
10 Existe alguna matriz de riesgo donde x
están identificados los riesgos sensitivos de
TIC
TOTAL 10
PORCENTUAL 100% 0%
Resumen de los resultados de la encuesta
Porcentaje de aceptación
6% SI
NO
94%
Fig. 01 Resultados de la encuesta AYASA S.A.

Chart Title
120
100
80
60
40
20
0
Serie 1 Serie 2
Figura de los resúmenes de control
MATRIZ DE RIESGOS
Uno de los procesos de gestión que utiliza la empresa Automotores y Anexos
S.A. (Ayasa) es la matriz de riesgos; desde la perspectiva de seguridad de
información hay diferentes temas desde el contexto de seguridad por ejemplo para
acceso de red la empresa cuenta con cinco servicios de seguridad que controlan
la red interna y externa de la empresa y garantizan la autentificación de las
personas que navegan dentro de la empresa lo cual está respaldado bajo
políticas de navegación, también existen muros de protección para los servidores
públicos lo que genera una doble pared, las máquinas que se conectan a las redes
utilizan canales específicos hacia el lugar que se desean conectar es imposible
que todo la gente tenga acceso hay constante segregación , hay actualizaciones
de virus constantemente, a partir de la pandemia todo se generó de mara distinta
ya que exista un 60% de máquinas fuera de la oficina lo cual también está
respaldado bajo políticas de seguridad adicional se realizan revisiones externos,
controles específicos , jakeos éticos y anualmente con IBM realizan un chequeo
de salud de los componentes críticos de seguridad, y finalmente tenemos un
servicio de Segurity Operation Center que es un software que monitorea 24/7 la
organización para saber que no se ha ensuciado la información con virus de
correos no deseados, etc.
Matriz de Riesgos
Empresa Auditada: Automotores y Anexos S.A. (Ayasa) Auditado: Departamento de TI
N° OBJETIVO RIESGO RESPUESTA CALIFICACIÓN DEL RIESGO
SI NO PROBABILIDAD IMPACTO RIESGO SEMAFORO

1 CUMPLIMI ¿Existen X 1 1 1
ENTO DE procedimientos
LA de control del
NORMATIV software
A contratado bajo
licencia?
2 ¿Existen X 1 1 1
normativas de
desarrollo y
adquisición de
software de
aplicaciones?
3 ¿Existe X 1 1 1
manuales de
mantenimiento
de software?
4 CONTROL ¿Existen X 1 1 1
ES SOBRE políticas
LA referentes a la
PRODUCCI organización y
ON DIARIA utilización de
los discos
duros de los
equipos?
5 CONTROL ¿Existe X 1 1 1
ES SOBRE prevención a
LA las caídas del
CALIDAD sistema
Y informático?
6 ¿Existen X 1 1 1
controles de
satisfacción al
sistema
informático?
7 CONTROL ¿Existe planes X 1 1 1
ES EN LAS adecuados de
REDES DE implantación y

COMUNIC pruebas de
ACIONES aceptación
para la red?
8 ¿Existe un X 1 1 1
grupo
especializado
en el control de
red?
9 ¿Existen X 1 1 1
controles de
seguridad
lógica como
control de
acceso a la red
y
establecimiento
de perfiles de
usuario?
10 ¿Existen X 1 1 1
procedimientos
de cifrado de
información

sensible que se
transmite a
través de la
red?
11 ¿Existe X 1 1 1
monitoreo para
medir la
eficiencia de la
red?
políticas que
contemplen la
selección,

adquisición e
instalación de
redes
de área local?
políticas que
obliguen a la
desconexión de
los equipos de

las líneas de
comunicación
cuando no se
está haciendo
uso de ellas?
14 ¿Existe la X 3 2 3
implantación de
la red local
productos de
seguridad, así
como
herramientas y
utilidades de
seguridad?
N° OBJETIVO RIESGO RESPUE CALIFICACIÓN DEL RIESGO
STA
SI NO PROBABI IMPAC RIESGO SEMAFORO
LIDAD TO
ES licencias
SOBRE EL de
SOFTWAR software
E DE BASE base para

todos los
equipos
de
hardware
?
16 ¿Existe X 1 1 1
controles
de
caducidad
a las
licencias
del
software
base?
LA
SEGURIDA
D
INFORMAT ¿Existe
ICA - un grupo
RESPONS de
17 ABILIDA seguridad X 1 1 1
DES A de la
CONTROL informació
INTERNO n?
O
CONTROL
DUAL
18 USUARIOS ¿Existe X 1 1 1
RESPONS responsab
ABLES Y ilidades
PERFILES sobre la
DE USO planificaci
DE ón,
ARCHIVO, organizaci
BASE DE ón
DATOS dotación y
control de
los activos
de datos,
es decir,
existe un
administra
dor de
datos?
DUAL DE control
LA dual para
SEGURIDA la
D modificaci
INFORMAT ón de
ICA informació
n debido a
errores
cometidos
por el
perfil del
usuario?
20 ¿Existe X 1 1 1
control
dual para
la

asignació
n de
perfiles de
usuario?
21 LICENCIAS ¿Existe X 1 1 1
Y seguimien
RELACION to a los
ES acuerdos
CONTRAC previstos
TUALES en los
CON contratos
TERCERO con
S los
proveedor
es de los
equipos
de
hardware
?
22 ¿Existe X 3 3 3
seguimien
to a las
licencias
de
software y
su
caducidad
?
ASESORA
¿Existe
RY
capacitaci
TRANSMIT
ones al
IR
personal
23 CULTURA X 1 1 1
sobre los
SOBRE EL
riesgos
RIESGO
informátic
INFORMAT
os?
ICO
Para la respectiva evaluación se aplicará las siguientes medidas de probabilidad e
impacto en cada una de las preguntas con resultado negativo, las cuales
obtendrán una calificación según la probabilidad e impacto que poseen.

Tabla 7 Medidas de Probabilidad
NIVEL VALORES DESCRIPCION DEL

RIESGO
Entre 81% y 100% Valor 5 Casi certeza Se espera que ocurran la mayoría
de las circunstancias
Entre 61% y 100% valor 4 Probable Probablemente ocurrirá en la
mayoría de las
circunstancias
Entre 41% y 60% Valor 3 Posible Podría ocurrir en algún momento
Entre 21% y 40% Valor 2 Improbable Pudo ocurrir en algún momento
Entre 0% y 20% Valor 1 Nulo Puede ocurrir solo en

circunstancias excepcionales
En: (Coopers & Lybrand, 2012)
Tabla 8 Medidas de Impacto

NIVEL DENOMINACIÓN DESCRIPCION DEL
RIESGO
1 Insignificante Requiere tratamiento mínimo, baja pérdida
financiera
2 Menor Requiere tratamiento menor, pérdida
financiera media
3 Moderado Requiere tratamiento, pérdida financiera alta
4 Mayor Requiere tratamiento intenso, pérdida
financiera mayor
5 Catastrófico Requiere tratamiento mayor, pérdida
financiera
En: (Coopers & Lybrand, 2012)
Las Medidas de Probabilidad e Impactos se calificarán del 1 al 5 según sus niveles y
su
color, el cual permitirán determinar el riesgo.
MAPEO ENTRE LOS OBJETIVOS RELACIONADOS CON LAS TI DE COBIT 5 Y LOS PROCESOS
LOS OBJETIVOS RELACIONADOS CON

LAS TI DE COBIT 5
Disponibilidad de información útil relevante para la toma de decisiones

Capacitación y 2soporte de procesos de negocio integrando aplicaciones
y la estrategia de negocio
3, P = PRINCIPAL
1, S = SECUNDARIO
Alineamiento de TI
1
PROCESOS DE COBIT 5 FINANCI INTERNA

ERO
ED Asegur
M01 ar el
Establecimiento y
Mantenimiento del
Marco de
Gobierno
ED Asegur P S 4
M02 ar la Entrega de
Beneficios
1
ED Asegur P 3
7
M03 ar la Optimización
Alinear, Planificar y Organizar Evaluar, Orientar y Supervisar
Alinear, Planificar y Organizar Evaluar, Orientar y Supervisar
del Riesgo
ED Asegur P S 4
M04 ar la Optimización
de los Recursos
ED Asegur P P 6
M05 ar la Transparencia
hacia las partes
interesadas
AP Gestio 3
O01 nar el Marco de 8
Gestión de TI
AP Gestio P 3
O02 nar la Estrategia
AP Gestio P 3
O03 nar la Arquitectura
Empresarial
AP Gestio P 3
O04 nar la Innovación
AP Gestio
O05 nar el portafolio
AP Gestio S 1
O06 nar el Presupuesto
y los Costes
AP Gestio 5 P 3
O07 nar los Recursos
Humanos
AP Gestio P 3
O08 nar las Relaciones
AP Gestio S P 4
O09 nar los Acuerdos
de Servicio
AP Gestio S P S 5
O10 nar los
Proveedores
AP Gestio
O11 nar la Calidad
AP Gestio
O12 nar el Riesgo
AP Gestio P P S 7
O13 nar la Seguridad
BAI Gestio P P 6
01 nar los programas
y proyectos
BAI Gestio S P 4
02 nar la definición
de requisitos
BAI Gestio S P 4
03 nar la
Identificación y la
construcción de
soluciones
BAI Gestio P 3
04 nar la
disponibilidad y la
capacidad
BAI Gestio P P 6
05 nar la Introducción 3
de cambios 3
organizativos
BAI Gestio P S 4
06 nar los Cambios
BAI Gestio P P 6
07 nar la aceptación
del cambio de la
Construir, Adquirir e Implementar

transición
BAI Gestio
08 nar el
conocimiento
BAI Gestio
09 nar los Activos
BAI Gestio
10 nar la
configuración
DS Gestio P 3
S01 nar las
Operaciones
DS Gestio P P P 9
S02 nar las peticiones y
los Incidentes del
Servicio
DS Gestio S 1
S03 nar los Problemas 3
4
Supervisión, Entregar, dar servicio y soporte
Supervisión, evaluación y Entregar, dar servicio y soporte
DS Gestio P P 6
S04 nar la Continuidad
DS Gestio P P P 9
S05 nar los Servicios
de Seguridad
DS Gestio P P 6
S06 nar los Controles
de los Procesos del
Negocio
ME Superv 0
A01 isar, evaluar y
valorar el
rendimiento y
conformidad
ME Superv
A02 isar, evaluar y
valorar el Sistema 5
de Control Interno
ME Superv
A03 isar, evaluar y
valorar la
conformidad con
evaluación y verificación
verificación
los requerimientos
externos
FUENTE: ELABORACION PROPIA
Con los resultados obtenidos en el Mapeo entre los Objetivos
Relacionados con las TI de COBIT 5 y los procesos procederemos a
seleccionar los Procesos a Auditar según la más alta ponderación. Con los
siguientes procesos, evaluaremos cada uno de ellos según las métricas que
poseen formados indicadores, en el cual procederemos a una calificación
cuantitativa.
MAPEO DE OBJETIVOS TI COBIT 5.0 CON LOS OBJETIVOS TI
Optimización de Recursos
Realización de
Optimización de riesgos
Beneficios
3, P = PRINCIPAL
1, S = SECUNDARIO
DISME
OBJETIVOS DE TI COBIT 5.0 RELACIONADOS OBJETIVOS DE GOBIERNO

CON LOS OBJETIVOS DE TI
NSIÓN
Ʃ
1,
2,
3,
1, Alineamiento de TI y la estrategia del P P P

negocio
9
2, Cumplimiento y soporte de la TI al - P S
cumplimiento del negocio de las leyes y
regulaciones externas
FINANCIERA
4
3, Compromiso de la dirección ejecutiva - P P

para tomar decisiones relacionadas con TI
6
4, Riesgos de negocio relacionados con - - -

las TI gestionados
29
0
5, Realización de beneficios del P P

FINANCIERA
portafolio de Inversiones y Servicios relacionados

con las TI
6
6, Transparencia de los costes, beneficios - P S

y riesgos de la TI
4
LIE NTE
7, Entrega de servicios de TI de acuerdo P S

CLIE
con los requisitos del negocio

0
4
8, Uso adecuado de aplicaciones, - P P

NTE
información y soluciones tecnológicas

6
9, Agilidad de las TI P P S
INTERNA
NTERNA
5
7
10, Seguridad de la información, P P S

infraestructuras de procesamiento y aplicaciones
7
I
11, Optimización de activos, recursos y - P S
capacidades de las TI
4
Capacitación y soporte de procesos de P P
12, negocio integrando aplicaciones y tecnología en
procesos de negocio
6
13, Entrega de Programas que P P S
proporcionen beneficios a tiempo, dentro del
presupuesto y satisfaciendo los requisitos y 8
normas de calidad
7
14, Disponibilidad de información útil y P - S
relevante para la toma de decisiones
4
15, Cumplimiento de TI con las políticas P
internas.
AJE Y
PRE
APRE
16, Personal del negocio y de las TI P - S

competente y motivado.
4
NDIZ
17, Conocimiento, experiencia e P - S

iniciativas para la innovación de negocio.
A
FUENTE: ELABORACION PROPIA
PROCESO GOBERNANTE DE TECNOLOGÍA
1. ADMINISTRACION DE CONTINUIDAD DSS04
Siempre se tiene un análisis de riesgos en el campo donde se va a realizar, en
la empresa los servicios críticos esto quiero decir que los equipos sean
antiguos sean proyectos ya atrasados, se presenten desastres naturales, la
empresa busca por medio de este proceso la idea de migrar una data center
por ejemplo siempre se prevenía tanto en Guayaquil como Quito, ahora tienen
un datacenters en una nube en Dalas, Estados Unidos lo cual se ha ido
mutando y mejorando.
La gestión de la continuidad de negocio proporciona a la organización un
marco que permite identificar las posibles amenazas y fortalecer su capacidad
para afrontarlas, protegiendo los intereses de las partes interesadas (clientes,
personas, socios, proveedores y entorno social), la reputación, la marca, y los
procesos y actividades que proporcionan 5un valor añadido.

La continuidad del negocio es el reto actual de las organizaciones, puesto que
cada vez deben afrontar mayores exigencias en entornos dinámicos. Las
empresas están expuestas a diferentes situaciones como fallas, desastres
naturales, ataques, crisis económicas, entre otras, por lo que resulta necesario
contar con un enfoque proactivo para proteger el negocio de dichos efectos
Lineación de acuerdos de servicio
La empresa cuando requiere un servicio crítico con los proveedores en el caso
de la empresa, se realiza una revaluación y se estableció una lineación de
acuerdos de servicio en caso de que ellos no cumplan tienen penalidades lo
cual garantiza una correcta provisión de sus servicios, todo va enfocado al
gobierno TI a continuación presento un detalle de cómo se elabora una
lineación de acuerdos de servicio dentro de la empresa, todo dependerá del
ámbito de riesgo que se desea cubrir.
5
ANÁLISIS DE PROCESOS AUDITADOS
APO 12: GESTIONAR EL RIESGO
DESCRIPCIÓN DEL PROCESO

Identificar, evaluar y reducir los riesgos relacionados con TI de forma continua,
dentro de niveles de tolerancia estable
Declaración del propósito del proceso
Integrar la gestión de riesgos empresariales relacionados con TI con la gestión de
riesgo empresarial (ERM) y equilibra con TI
El proceso apoya la consecución de un conjunto de principales componentes

META TI MÈTRICAS
MÉTRICA FÓRMULA APLICACIÓN
02 cumplimiento y Cobertura de la Número de 20/24
soporte de las TI al evaluación del evaluaciones de
cumplimiento del cumplimiento cumplimento
negocio de las efectuadas /
leyes y Número
regulaciones evaluaciones de
externas. cumplimiento
planificadas
04 riesgos de Frecuencia de Actualizaciones de 3/4
negocio actualización de Sistema de
relacionados con perfil del riesgo seguridad
las TI gestionados efectuadas en el
año/ Número total
de actualizaciones
planificadas por TI
10 seguridad de la Frecuencia de 6 Evaluaciones de 10/12
información, evaluación de seguridad
infraestructura de seguridad frente a ejecutadas/
procesamiento y los últimos Evaluaciones de
aplicaciones estándares y guías seguridad
planificadas
Objetivos y métricas del proceso
META TI MÈTRICAS
3. Riesgos de Relación de Número de 2/8
negocio incidentes incidentes no
gestionados significativos que no identificados en el
(salvaguarda de fueron identificados año / Número de
activos) en las evaluaciones total de incidentes
de riesgo respecto reportados
al número total de
incidentes.
7. Continuidad y Coste de negocio Pérdidas 11902/85240
disponibilidad del de los incidentes económicas por
servicio de negocio incidentes que
impiden servicio al
cliente/ Estimación
de ingresos totales
diarios
11. Optimización de Frecuencia de las Evaluaciones de 4/12
la funcionalidad de evaluaciones de Capacidad
los procesos de madurez de la efectuadas/
negocio capacidad de los Evaluaciones de
procesos de Capacidad
negocio planificadas
RESULTADO DE LA CAPACIDAD DE 77 CAPACIDAD DE
PROCESO % PROCESO
CONCLUSIONES:
Según informes de la Gerencia de TI se conoce que se han realizado 20
evaluaciones de capacidad a sus procesos de un total de 24 planificadas para
el año lo cual representa un 77% de lo planificada, y muestra un nivel de
riesgo inferior, lo cual se considera aceptable dentro de la empresa.
6
DSS05: Gestión / Entrega, Servicio y Soporte (DSS) Gestionar Servicios de
Seguridad

Proteger la información de la empresa para mantener aceptable
el nivel de riesgo de seguridad de la información de acuerdo con
la política de seguridad. Establecer y mantener los roles de
seguridad y privilegios de acceso de la información y realizar la
supervisión de la seguridad.
Minimizar el impacto en el negocio de las vulnerabilidades e
incidentes operativos de seguridad en la información.
El proceso apoya a gestionar servicios de seguridad

META TI MÈTRICAS
DSS05.01 Proteger Cobertura de la Número de 11/12
contra software evaluación del evaluaciones de
malicioso (malware) cumplimiento cumplimento
efectuadas / Número
evaluaciones de
cumplimiento
planificadas
DSS05.02 Frecuencia de Actualizaciones de 4/5
Gestionar la actualización de Sistema de
seguridad de la red perfil del riesgo seguridad
y las conexiones efectuadas en el
año/ Número total
de actualizaciones
planificadas por TI
DSS05.03 Frecuencia de Evaluaciones de 6/7
Gestionar la evaluación de seguridad
seguridad de los seguridad frente a ejecutadas/
puestos de usuario los últimos 6 Evaluaciones de
final estándares y guías seguridad
planificadas
META TI MÈTRICAS
DSS05.04 Relación de Número de 22/30
Gestionar la incidentes incidentes no
identidad del significativos que no identificados en el
usuario y el acceso fueron identificados año / Número de
lógico en las evaluaciones total de incidentes
al número total de
incidentes.
DSS05.05 Coste de negocio Pérdidas 2587/6985
Gestionar el acceso de los incidentes económicas por
físico a los activos incidentes que
de TI impiden servicio al
de ingresos totales
diarios
DSS05.06 Frecuencia de las Evaluaciones de 9/12
Gestionar evaluaciones de Capacidad
documentos madurez de la efectuadas/
sensibles y capacidad de los Evaluaciones de
dispositivos de procesos de Capacidad
salida negocio planificadas

PROCESO % PROCESO
CONCLUSIONES:
Se han realizado solamente 11 evaluaciones de cumplimiento de TI de las 12
evaluaciones de cumplimiento planificadas en el año, dentro de los cuales la
empresa muestra un nivel de seguridad extremo con un porcentaje mínimo de
riesgo.
6
APO 01: APO01 Gestionar el Marco de Gestión de TI

Aclarar y mantener el gobierno de la misión y la visión corporativa de TI.
Implementar y mantener mecanismos y autoridades para la gestión de la
información y el uso de TI en la empresa para apoyar los objetivos de gobierno en
consonancia con las políticas y los principios rectores.
Proporcionar un enfoque de gestión consistente que permita cumplir los requisitos
de gobierno corporativo e incluya procesos de gestión, estructuras, roles y
responsabilidades organizativos, actividades fiables y reproducibles y habilidades y
competencias.
El proceso apoya a la obtención de un conjunto de objetivos relacionados con
las TI:
META TI MÈTRICAS
01 alineamiento Cobertura de la Número de 15/24
de TI y evaluación del evaluaciones de
estrategia de cumplimiento cumplimento
negocio efectuadas /
Número
evaluaciones de
cumplimiento
planificadas
02 cumplimiento y Frecuencia de Actualizaciones de 4/4
soporte de TI al actualización de Sistema de
cumplimiento del perfil del riesgo seguridad
negocio de las efectuadas en el
leyes y año/ Número total
regulaciones de actualizaciones
externas planificadas por TI
09 agilidad de las TI Frecuencia de Evaluaciones de 11/12
evaluación de 6 seguridad
seguridad frente a ejecutadas/
los últimos Evaluaciones de
estándares y guías seguridad
planificadas
META TI MÈTRICAS
11 optimización Relación de Número de 3/8
de activos, incidentes incidentes no
recursos y significativos que no identificados en el
capacidades de las fueron identificados año / Número de
TI en las evaluaciones total de incidentes
al número total de
incidentes.
15 cumplimiento Coste de negocio Pérdidas 2587/75240
de las políticas de los incidentes económicas por
internas por parte incidentes que
de las TI impiden servicio al
de ingresos totales
diarios
17 conocimiento, Frecuencia de las Evaluaciones de 9/12
experiencia e evaluaciones de Capacidad
iniciativas para la madurez de la efectuadas/
innovación de capacidad de los Evaluaciones de
negocio procesos de Capacidad
PROCESO % PROCESO
CONCLUSIONES:
Según informes de la Gerencia de TI se conoce que se han realizado 9
evaluaciones de capacidad lo que permite visualizar que van coordinadas
dentro del marco de la empresa en cuanto a misión, visión y objetivos
estratégicos, cumpliendo as
6
ADSS04 Gestionar la Continuidad

Establecer y mantener un plan para permitir al negocio y a TI responder a incidentes
e interrupciones de servicio para la operación continua de los procesos críticos para
el negocio y los servicios TI requeridos y mantener la disponibilidad de la
información a un nivel aceptable para la empresa.
Continuar las operaciones críticas para el negocio y mantener la disponibilidad de la
información a un nivel aceptable para la empresa ante el evento de una interrupción
significativa.
El proceso apoya a la obtención de un conjunto de objetivos relacionados con
las TI:
META TI MÈTRICAS
04 riesgos de Cobertura de la Número de 18/20
negocio evaluación del evaluaciones de
relacionados con cumplimiento cumplimento
las TI efectuadas /
gestionados Número
evaluaciones de
cumplimiento
planificadas
07 entrega de Frecuencia de Actualizaciones de 2/4
servicios TI de actualización de Sistema de
acuerdo a los perfil del riesgo seguridad
requisitos del efectuadas en el
negocio año/ Número total
de actualizaciones
planificadas por TI
14 disponibilidad de Frecuencia de Evaluaciones de 9/12
información útil y evaluación de seguridad
relevante para la seguridad frente a 6 ejecutadas/
toma de decisiones los últimos Evaluaciones de
estándares y guías seguridad
planificadas
META TI MÈTRICAS
1. La información Relación de Número de 4/8
crítica para el incidentes incidentes no
negocio está significativos que no identificados en el
disponible para el fueron identificados año / Número de
negocio en línea en las evaluaciones total de incidentes
con los niveles de de riesgo respecto reportados
servicio mínimos al número total de
requeridos TI incidentes.
2. Los servicios Coste de negocio Pérdidas 8574/9874
críticos tienen de los incidentes económicas por
suficiente incidentes que
resiliencia. impiden servicio al
de ingresos totales
diarios
3. Las pruebas de Frecuencia de las Evaluaciones de 10/13
continuidad del evaluaciones de Capacidad
servicio han madurez de la efectuadas/
verificado la capacidad de los Evaluaciones de
efectividad del plan. procesos de Capacidad
PROCESO % PROCESO
CONCLUSIONES:
Según informes de la Gerencia de TI se conoce que se han realizado los
procesos exactos para poder cumplir con el requerimiento de mejora continua
en la empresa no solo gestionando bases de control también verificando el
respectivo cumplimiento de dichas funciones evitando el riesgo de generar un
nivel de incertidumbre alto, por medio de datacenters no solo dentro del país
sino por medio de nubes fuera del país.
6
Actividad 3
Busque artículos científicos sobre aplicación de COBIT 2019 en las
organizaciones, y describa la forma de evaluar los procesos, realice la
comparación con COBIT 5
PROCESOS COBIT 5 vs OBJETIVOS COBIT 2019
COBIT 5 COBIT 2019
1.-La Tabla 3 resume los 37 procesos El Marco de referencia COBIT® 
Cobit que tratan los objetivos de la 2019: Objetivos de gobierno y
organización, optimización de riesgos gestión describe de forma
y de los recursos y que han sido exhaustiva los 40 objetivos
considerados para evaluación debido principales del gobierno y la gestión,
a que agrupan la perspectiva en que los procesos incluidos en ellos y
la tecnología de la información, otros componentes relacionados.
gobernanza, gestión de riesgos y Esta guía también hace referencia a
cumplimiento son fundamentales en el otros estándares y marcos.
entorno empresarial actual, ya que la En la sección 4.2, figura 4.2 se
mayoría de los procesos muestra el modelo core de COBIT,
empresariales se basan en la incluyendo los 40 objetivos de
tecnología de la información gobierno y gestión.
(Ramalingam, Arun, & Anbazhagan, [ CITATION ISA18 \l 3082 ]
2018). (Maquera Quispe et al., 2019)
2.-Modelo de referencia de procesos: Modelo del núcleo de COBIT

Área de gobierno: 5 procesos Área de gobierno: 5 objetivos
6
Área de Gestión: 32 Procesos Área de gestión: 35 objetivos
APO: 13 procesos APO: 14 Objetivos
BAI: 10 procesos BAI: 11 Objetivos
DSS: 06 procesos DSS: 06 Objetivos
MEA: 03 procesos MEA: 04 Objetivos
(Maquera Quispe et al., 2019) [ CITATION ISA18 \l 3082 ]
DOMINIOS COBIT 5 VS COBIT 2019

Los objetivos de gobierno y gestión de
3.-De acuerdo con el documento COBIT se agrupan en cinco dominios.
How to integrate ISO 27001, COBIT Los dominios se nombran mediante
and NIST, de 27001 Academy, el verbos que expresan el propósito
framework de COBIT está dividido clave y las áreas de actividad del
en cuatro dominios: objetivo que tienen:
• Planear y organizar. Los objetivos de gobierno se agrupan
• Adquirir e implementar. en el dominio Evaluar, Dirigir y
• Distribuir y dar soporte. Monitorizar (EDM). En este dominio,
• Monitorear y evaluar. el organismo de gobierno evalúa las
(Lara Guijarro & Corella Guerra, opciones estratégicas, direcciona a la
2018) alta gerencia con respecto a las
opciones estratégicas elegidas y
monitoriza la consecución de la
estrategia.
Los objetivos de gestión se agrupan
en cuatro dominios:
Alinear, Planificar y Organizar
(APO) aborda la organización general,
estrategia y actividades de apoyo
para las I&T.
(BAI) se encarga de la definición,
adquisición e implementación de
6
soluciones de I&T y su integración en
los procesos de negocio.
Entregar, Dar Servicio y Soporte
(DSS) aborda la ejecución operativa y
el soporte de los servicios de I&T,
incluida la seguridad.
Monitorizar, Evaluar y Valorar
(MEA) aborda la monitorización y la
conformidad de I&T con los objetivos
de desempeño interno, los objetivos
de control interno y los requerimientos
externos. [ CITATION ISA18 \l 3082 ]
PRINCIPIOS COBIT 5 VS COBIT 2019

4. -Cinco Principios de Seis principios para un sistema de
COBIT 5 gobierno
Los seis principios para un sistema de
1. Satisfacer las necesidades gobierno son (figura 3.1):
del accionista. 1. Cada empresa necesita un sistema
2. Considerar la empresa de de gobierno para satisfacer las necesidades
punta a punta. de las partes interesadas y generar valor del
3. Aplicar un único modelo de uso de la I&T. El valor refleja un equilibrio
referencia integrado. entre el beneficio, el riesgo y los recursos, y
4. Posibilitar un enfoque las empresas necesitan una estrategia y un
holístico. sistema de gobierno práctico para
5. Separar gobierno de la materializar este valor.
gestión. 2. Un sistema de gobierno para la I&T
de la empresa se crea a partir de una serie
(Santacruz Espinoza et al., de componentes que pueden ser de distinto
2017) tipo y que funcionan conjuntamente de
forma holística.
3. Un sistema de gobierno debería ser
dinámico. Esto significa que cada vez que
se cambian uno o más factores del diseño
(p. ej. un cambio de estrategia o
tecnología), debe considerarse el impacto
de estos cambios en el sistema GETI. Una
visión dinámica
7 de la GETI llevará a un
sistema de GETI preparado para el futuro.
4. Un sistema de gobierno debería
distinguir claramente entre actividades de
gobierno y gestión, y estructuras.
5. Un sistema de gobierno debería
personalizarse de acuerdo con las
necesidades de la empresa, utilizando una
serie de factores de diseño como
parámetros para personalizar y priorizar los
componentes del sistema de gobierno.
6.Un sistema de gobierno debería cubrir la
empresa de principio a fin, centrándose no
solo en la función de TI, sino en todo el
procesamiento de tecnología e información
que la empresa pone en funcionamiento
para lograr sus objetivos,
independientemente de dónde se realice el
procesamiento en la empresa.61
[ CITATION ISA18 \l 3082 ]
CASCADA DE METAS COBIT 5 VS COBIT 2019
5.-Cascada de metas Cascada de metas.

Para ISACA (2014), los objetivos
estratégicos se decantan hasta llegar Las necesidades de las partes
a los objetivos operacionales; las interesadas tienen que transformase
metas en cascada deben estar en una estrategia factible para la
alineadas y se logrará los resultados empresa. La cascada de metas
en la medida que los recursos se den (figura 4.16) soporta las metas
en cantidad y calidad oportunamente empresariales, que es uno de los
y se siga un marco de trabajo factores de diseño clave para un
adecuado, (figura 4). Desde esta sistema de gobierno. Apoya la
perspectiva la propuesta se basa en priorización de los objetivos de la
el principio 4 del COBIT 5 “Habilitar un dirección basada en la priorización
enfoque holístico” y sus 7 de las metas empresariales.
habilitadores, relacionándolo a la GC
y al CI; se entiende que la GTI, así La cascada de metas soporta
como la gestión de TI. además la conversión de las metas
(De la Cruz Vélez de Villa, 2017) empresariales en prioridades para
metas de alineamiento. La cascada
de metas se ha actualizado de forma
exhaustiva en COBIT® 2019: las
metas empresariales se han
consolidado, reducido, actualizado y
aclarado.
7Las metas de alineamiento subrayan
el alineamiento de todos los
esfuerzos de TI con los objetivos del
negocio.1913 Este término
actualizado también pretende evitar
la equivocación frecuente de que
estas metas indican exclusivamente
metas internas del departamento de
TI dentro de una empresa Al igual
que las metas empresariales, las
metas de alineamiento se han
consolidado, reducido, actualizado y
aclarado cuando ha sido necesario. [
CITATION ISA18 \l 3082 ]
6.-PROCESOS
 Motivos de las partes PROCESOS
interesadas, entorno, evolución  Impulsores y necesidades de
de la tecnología. las partes interesadas
 Influencia a necesidades de las  Recae en metas
partes interesadas, realización empresariales
de beneficios, optimización de  Recae en metas de
riesgos y recursos. alineamiento
 En cascada a metas  Recae en Objetivos de
Corporativas gobierno y gestión (ISACA, 2018)
 En cascada a metas
relacionadas con las TI
En cascada a metas de los
catalizadores (Carvajal et al., 2019)
Cobit 19. Está basado en el cobit 5
porque ha sido construida en base a
7.-ACTUALIZACIONES COBIT 5 VS fundamentos sólidos que
COBIT 2019 caracterizan al cobit 5 , pero debido
a la evolución de los sistemas
Cobit 5. Se basa en un marco legal informáticos ofreciendo en la
de trabajo permitiendo que el actualidad recursos de
gobierno y la gestión de departamento implementación , guías prácticas y
TI sean más comprensibles y también profundizadas sobre algo que es de
7
evaluar en qué estado se encuentran gran ayuda para las empresas es
la información del departamento TI en que brinda oportunidades de
cada organización. (León-Acurio formación completa.(Maquera
et al., 2018) Quispe et al., 2019)
CATALIZADORES COBIT 5 VS COMPONENTES 2019
8.-Habilitadores (Catalizadores) de Componentes del sistema de

COBIT 5 gobierno
1. Principios, políticas y modelos de
referencia. Con el objetivo de cumplir con los
2. Procesos. objetivos de gobierno y gestión,
3. Estructuras organizacionales. cada empresa debe establecer,
4. Cultura, ética y comportamiento. personalizar y sostener un sistema
5. Información. de gobierno creado a partir de una
6. Servicios, infraestructura y serie de componentes. Estos
aplicaciones. componentes son factores que, de
7. Gente, habilidades y competencias. forma individual y colectiva,
contribuyen al buen funcionamiento
(Santacruz Espinoza et al., 2017) del sistema de gobierno de la
empresa en cuanto a I&T.
Los componentes interactúan entre
sí, lo que da lugar a un sistema
holístico de gobierno de I&T.
Los componentes pueden ser de
diversos tipos. Los más comunes
son procesos. Sin embargo, los
componentes de un sistema de
gobierno incluyen también
estructuras organizativas; políticas
7 y procedimientos; elementos de
información; cultura y
comportamiento; habilidades y
competencias; y servicios,
infraestructura y aplicaciones
(figura 4.3). [ CITATION ISA18 \l 3082 ]
9.-Principios para un marco de Principios para un Marco de

gobierno Gobierno
1. Principios, políticas y Marcos de 1. Basado en el modelo
Trabajo conceptual
2. Procesos 2. Abierto y Flexible
3. Estructuras Organizacionales 3. Alineado con las principales
4. Cultura, Ética, y comportamiento normativas
5. Información (Maquera Quispe et al., 2019)
6. Servicios, infraestructura y
aplicaciones
7. Personas, habilidades y
competencias (Riscanevo, 2018)
BIBLIOGRAFIA ACTIVIDAD 3
Carvajal, C. R. C., Castillo, H. A., & Alfonso, O. (2019). Nivel de capacidad en las
empresas de acuerdo con COBIT. 7(1), 6.
De la Cruz Vélez de Villa, P. E. (2017). Capital Intelectual, Gestión del Conocimiento
en la Interacción Gobierno y Gestión de la Tecnologías de la Información desde
Perspectiva COBIT 5. HAMUT’AY, 4(2), 30. https://doi.org/10.21503/hamu.v4i2.1470
ISACA (Ed.). (2018). Marco de referencia cobit 2019.
Lara Guijarro, E. G., & Corella Guerra, F. A. (2018). Comparación de modelos
tradicionales de seguridad de la información para centros de educación. Tierra Infinita,
4(1), 20. https://doi.org/10.32645/26028131.742
León-Acurio, J. V., Mora-Aristega, J. E., Huilcapi-Masacon, M. R., Tamayo-Herrera,
A. del P., & Armijos-Maya, C. A. (2018). COBIT como modelo para auditorías y
control de los sistemas de información. Polo del Conocimiento, 3(4), 17.
https://doi.org/10.23857/pc.v3i4.439
Maquera Quispe, H. G., Delgado Rospigliosi, M. G. del C., & Tasa Catanzaro, M. E.
(2019). Marco de trabajo de Cobit para en el adecuado uso de tecnologías de
información en organizaciones públicas y privadas. Ciencia & Desarrollo, 25, 41-52.
https://doi.org/10.33326/26176033.2019.25.863
Santacruz Espinoza, J. J., Vega Abad, C. R., Pinos Castillo, L. F., & Cárdenas
Villavicencio, O. E. (2017). Sistema cobit en 7los procesos de auditorías de los de
sistemas informáticos. Journal of Science and Research: Revista Ciencia e
Investigación, 2(8), 65. https://doi.org/10.26910/issn.2528-8083vol2iss8.2017pp65-68
BIBLIOGRAFIA ACTIVIDAD 1
(Universidad et al., 2013)Ju, J., Wei, S. J., Savira, F., Suharsono, Y., Aragão,
R., Linsi, L., Editor, B., Reeger, U., Sievers, W., Michalopoulou, C., Mimis,
A., Editor, B., Ersbøll, E., Groenendijk, K., Waldrauch, H., Waldrauch, H.,
Bader, E., Lebhart, G., Neustädter, C., … Saillard, Y. (2020). No 主観的健
康感を中心とした在宅高齢者における健康関連指標に関する共分散構造分
析 Title. Journal of Chemical Information and Modeling, 43(1), 7728.
https://online210.psych.wisc.edu/wp-content/uploads/PSY-
210_Unit_Materials/PSY-210_Unit01_Materials/Frost_Blog_2020.pdf
%0Ahttps://www.economist.com/special-report/2020/02/06/china-is-
making-substantial-investment-in-ports-and-pipelines-worldwide%0Ahttp://
Mora, J., León, J., Huilcapi, M., & Escobar, D. (2017). El modelo COBIT 5 para
auditoría y el control de los sistemas de información. Universidad Técnica
de Babahoyo, 1–16.
Universidad, P., Del, C., Evaluación, M. D. E., Gobierno, D. E. L.,
Cumplimiento, R. Y., Tecnología, D. E. L. A., Cóndor, I. J., & Pazmiño, I. A.
(2013). Metodología de evaluación del gobierno, riesgos y cumplimiento de
la tecnología de información en instituciones del sistema financiero
ecuatoriano.
Vivar Gualsaquí, C. J. (2013). Desarrollo del Marco de referencia Cobit 5.0
para la Gestión del Área de TI de la empresa Blue Card. 118.
7
ANEXOS TERCERA ACTIVIDAD VIRTUAL
7
7
7
BITACORA DE BUSQUEDA ARTÍCULOS CIENTÍFICOS SOBRE APLICACIÓN DE COBIT 2019
Motor de BusquedaFecha de Busqueda Ecuacion Numero de Resultados Resultados Relevantes Link archivos relevantes
https://www.redib.org/Search/Results?type=AllFields&lookfor=Sistema+cobit+en+los+procesos+de+auditorias+de
REDIB COBIT Y LA AUDITORIA 5
28/06/2021 Sistema cobit en los procesos de audiotorìas de los sistemas informaticos +los+sistemas+informaticos&limit=20
https://www.redib.org/Record/oai_articulo2285859-cobit-como-modelo-para-auditor%C3%ADas-y-control-de-los-
REDIB COBIT 5 3
29/06/2021 Cobit 5 como modelo para auditorias y control de los sistemas de informaciòn sistemas-de-informaci%C3%B3n
REDIB 30/06/2021 COBIT Y LAS EMPRESAS 2 Nivel de capacidad en las empresas de acuerdo con cobit 5 https://www.redib.org/Record/oai_articulo2429852-nivel-de-capacidad-en-las-empresas-de-acuerdo-con-cobit
https://www.redib.org/Record/oai_articulo1456496-prototipo-para-la-gesti%C3%B3n-de-cambios-con-base-en-el-
REDIB GESTION COBIT 1
30/06/2021 Prototipo para la gestiòn de cambios con base en el marco de trabajo cobit 5 marco-de-trabajo-cobit-v5
google academico 13/07/2021 evaluaciòn de la gobernanza con cobit 19 1 Evaluation of Governance and Management of Information Technology Services Using Cobit 2019 and ITIL 4 https://jurnal.iaii.or.id/index.php/RESTI/article/view/2265/290
google academico 13/07/2021 cobit 2019 1 modelo de gobierno y gestion de TI , basado en cobit 2019 e ITIL 4 https://fipcaec.com/index.php/fipcaec/article/view/168/261
13/07/2021 modelo de referencia cobit 1

google academico modelos de gobernanza TIC presencia y visibilidad de la normativa internacional en el modelo de referncia cobit https://redc.revistas.csic.es/index.php/redc/article/view/1297/2019
google academico 14/07/2021 cobit y auditoria informatica 1 aplicación del sistema cobit en los procesos de auditoria informatica https://cienciadigital.org/revistacienciadigital2/index.php/VisionarioDigital/article/view/584
google academico 14/07/2021 auditoria con enfoque cobit 5 1 evaluaciòn del control interno de seguridad de la informacion con enfoque cobit 5 https://incyt.upse.edu.ec/ciencia/revistas/index.php/rctu/article/view/204/pdf
Influência das práticas do DevOps nos processos de gestão de TI conforme o modelo COBIT 5 https://dialnet.unirioja.es/servlet/articulo?codigo=6232104
Dialnet.unirioja.es Cobit 5 19
05/07/2021 Nivel de madurez de la alineación, pla nificación y organiz ación de TIC en la ULADECH Católic a usando Cobit 5 https://dialnet.unirioja.es/servlet/articulo?codigo=6223031
Dialnet.unirioja.es 05/07/2021 Cobit 2019 0
Eric.ed.gov 05/07/2021 Cobit 5 Cobit 2019 1 NO RELEVANTES
CATALIZADOR DE COBIT 5: Procesos https://www.academia.edu/22826424/CATALIZADOR_DE_COBIT_5_Procesos
Formas de evaluar los procesos cobit 5 25
google academico 15/07/2021 Seguridad de la Información COBIT 5 https://www.academia.edu/39617995/Seguridad_de_la_Informaci%C3%B3n_COBIT_5
https://www.academia.edu/33471057/Evaluaci%C3%B3n_del_nivel_de_capacidad_de_los_procesos_de_TI_mediant
Formas de evalor los procesos cobit 2019 8 NO RELEVANTES
google academico 15/07/2021 e_el_marco_de_referencia_COBIT_PAM?sm=b
https://repositorio.unprg.edu.pe/handle/20.500.12893/5065
Modelo de Evaluación de Procesos de TI basado en COBIT 5 PAM, CMMI Y EFQM: Un estudio de casos. https://repositorio.unprg.edu.pe/handle/20.500.12893/6070
Formas de evaluar los procesos cobit 5 25 Propuesta de un modelo de auditoría informática basado en el modelo Cobit para evaluar la gestión de los sistemas y http://ojs.unemi.edu.ec/index.php/cienciaunemi/article/view/629
tecnologías de información de la Universidad Pedro Ruíz Gallo http://repositorio.espe.edu.ec/handle/21000/11578
google academico 20/07/2021 http://repositorio.espe.edu.ec/handle/21000/12560
Adjunto la invitación, estimada magister, para evidenciar el trabajo en Zotero
7
8
8

Primer Trabajo Grupal A. Informatica GP 8

Cargado por

Copyright:

Formatos disponibles

Primer Trabajo Grupal A. Informatica GP 8

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Primer Trabajo Grupal A. Informatica GP 8

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD CENTRAL DEL ECUADOR

FACULTAD DE CIENCIAS ADMINISTRATIVAS

Integrantes: FLAVIO ANDRES FLORES QUISPHE CI. 1725491730

MARIA ISABEL MELENDEZ MORALES CI. 1727016345

XIOMARA JACQUELINE MORA VALLES CI. 1720227030

KARINA FERNANADA QUILLUPANGUI NARVÁEZ CI.1719390286

NATHALI PATRICIA ARAUJO CALDERÒN CI.1719442731

Trabajo Grupal: 1ro X 2do

Carrera: Ingeniería X Licenciatura

Profesor: Dra. Patricia Jimbo Santana

Asignatura: AUDITORIA DE SISTEMAS INFORMÁTICOS II

Fecha de entrega: 25 de julio del 2021

mencionen casos prácticos de la aplicación de los cinco principios de

Principios de COBIT 5 y su aplicación en empresas.

organizaciones que propusieron su aplicación y ejecución de todos sus procesos, a

través del uso adecuado de las tecnologías de la información y comunicación como

revisión de sus principios como marco de referencia enfocándose en los elementos

surgir en el proceso de implementación del cobit 5.

Una breve explicación de lo que es cobit 5 es un marco de gobierno y de

gestión de tecnologías de información. Es un documento que nos sirve de guía para

tener un buen gobierno y gestión de tecnologías de la información que distingue las

principios deben establecer orientar, evaluar y supervisar el resultado del negocio en

la gestión. Cobit tiene el 37 procesos repartidos en cinco dominios: El primer dominio

corresponde a la parte del gobierno se llama así porque se encarga de evaluar

apoyo para alinear planear y organizar, en tercer lugar sigue el dominio va a

construir adquirir e implementar, el cuarto dominio está enfocado en la entrega y

último está el dominio encargado de monitorear evaluar y valorar los resultados.

1. Satisfacer las necesidades de las partes interesadas

colaboradores o “stakeholders” este término hace referencia al público de interés

internos como externos ,por ejemplo un externo se preguntarán de nosotros hasta

tan confiable es mi operación en la empresa , hasta qué punto la empresa cumple

con las normativas o regulaciones y si capaz de mantener un sistema de control

interno efectivo . Mientras que si hablamos de un público internos pues ellos se

performance del TI? Y todo lo relacionado con optimación de recursos y el desarrollo

y para genera valor pues para cobit la plantea de tres requerimientos:

El primero obtener beneficios consiguiendo lo máximo que se puede

aquellos que no se han priorizado previamente y aceptar el riesgo residual y por

siempre pensando en sacarle el máximo provecho a los mismos.

Las empresas cuentan con un público de interés y el gobierno. El significado

esos riesgos y qué recursos se van a necesitar.

Un ejemplo de esto puede darse en plan estratégico en la escuela superior

politécnica de Chimborazo Joffre jimar Vargas García

en su trabajo “propuesta tecnológica basada en cobit 5 aplicada a la gestión de la TI

en la EIS” analiza Plan estratégico para la seguridad de la información de la EIS en

los procesos de gestión habla sobre la falta de un plan de mejoramiento continuo de

la calidad de los servicios de internet, equipos sin fallas de funcionamiento, software

y hardware a la vanguardia que permitan un mejor desarrollo de aprendizaje a los

estudiantes del EIS.

En su análisis explica que rara vez se usan medios multimedia y el e-virtual

en los laboratorios, en este caso no se estaría cumpliendo la necesidad del publico

esto nace la siguiente pregunta.

¿Cómo traducir necesidades en metas corporativas?

En la práctica para que las necesidades planteadas por el público de interés

se traduzcan en metas de la empresa o en objetivos alcanzables todas estas

nos servimos de un elemento dispuesto por el Cobit 5 que propone que es la

necesidades de los stakeholders en metas corporativas, luego en metas de TI y

luego en metas de catalizadores. Cabe recalcar que el uso de la Cascada de Metas

en la Práctica las empresas deben de personalizar y de manera individual su

cascada, partiendo de lo establecido genéricamente por COBIT 5 y refinarla