2. APLICACIÓN DE ESTRATEGIAS PARA EL CONTROL INTERNO
INFORMÁTICO EN XXX BASADAS EN EL DOMINIO DE ENTREGA DE
SERVICIOS Y SOPORTE DEL MARCO OBJETIVOS DE CONTROL PARA LA
INFORMACIÓN Y LAS TECNOLOGÍAS (COBIT)
Metodología del Marco Objetivos de Control para la Información y las
Tecnologías Relacionadas o Marco COBIT (Control Objectives for
Information and Related Technology, por sus siglas en ingles)
3. Metodologías del Marco Objetivos de Control para la Información y las
Tecnologías Relacionadas o Marco COBIT (Control Objectives for Information and
Related Technology, por sus siglas en ingles)
A partir de lo pautado en la teoría macro asumida, se formulan los objetivos, de
acuerdo a las fases que se deben desarrollar según lo estipulado en la teoría
macro seleccionada por el investigador
• Diagnóstico del grado de madurez del control interno en el área de Tecnología de la
Información de la empresa XXX, utilizando el Modelo de Madurez del Marco COBIT.
• Establecer el Marco de Objetivos de Control para la Información y las Tecnologías
(COBIT) para el control interno del área de informática de la empresa XXXX .
4. El COBIT es un marco de referencia aceptado internacionalmente
como una buena práctica de control de la información, desarrollado
Los modelos de madurez para el control de Referencial de TI consisten
por la Information Systems Audit Marco los procesos de dominios
Marco de Objetivos de Control:and Control Association (ISACA) y el y
en desarrollar un método de puntaje deestructura manejableporlógica,
procesos, presenta actividadescon un equipo de que una organización
IT Governance Institute (ITGI) en una modo conformado y más
pueda calificarse a sí misma, por ejemplo, entre riesgos de y otros
para 100 expertos alrededor del mundo (miembros deinexistente hasta
de ayudar a salvar las brechas existentes desde ISACA negocio,
optimizada (de 0controlAlgunosimplementar elEl COBIT de TI del Modelo
necesidadesyde utilizado aspectos técnicos. sido derivados y mejorar
industrias) es a 5). y para modelos han gobierno es precisamente
de Madurez que elTI. Se trata de un marco compatible los sistemas de
un modelo para Softwarela gestión yInstitute definióypara la madurez
los controles de auditar Engineering control de que incorpora
de la capacidad tecnología,deorientado a todos modelos relacionados
de desarrollo de software.
informaciónfundamentales
aspectos y otros estándares y los sectores de una
organización, esISO 27002 y BS7799). TI, usuarios y por supuesto, los
(COSO, CMM, decir, administradores
auditores involucrados en el proceso.
7. Cuadro X. Valor numérico de nivel de cumplimiento
DS4 Garantizar la Continuidad del Servicio
Nivel Cumplimiento Contribución Valor
0 0,50 0,00 0,00
1 0,50 1,00 0,50
2 0,50 1,00 0,50
3 0,50 1,00 0,50
4 0,48 1,00 0,48
5 0,50 1,00 0,50
Nivel de Madurez = 2,46
8. Cuadro X. Resultados del Nivel de Madurez del proceso DS1 Definir y administrar los
niveles de servicio
Nivel de Madurez
Cuestionario 1 2,64
Cuestionario 2 2,30
Cuestionario 3 2,79
Cuestionario 4 2,29
Cuestionario 5 1,70
Promedio 2,34
9. 5,00
4,50
4,00
3,50
3,00
Nivel de Madurez
2,50
Promedio
2,00
1,50
1,00
0,50
0,00
1
3
4
5
2
rio
rio
rio
rio
rio
na
na
na
na
na
io
io
io
io
io
st
st
st
st
st
ue
ue
ue
ue
ue
C
C
C
C
C
Gráfico X. Resultados del Nivel de Madurez del proceso DS1 Definir y administrar los niveles de servicio
12. DS3 Administrar el desempeño y la capacidad
Para optimizar el desempeño de los recursos y las capacidades de TI en respuesta a las necesidades
del negocio, se deben hacer mejoras continuas de desempeño y capacidad de TI a través del
monitoreo y la medición, tomándose en cuenta lo siguiente:
•DS3.2 Revisión de capacidad de los recursos de Tecnología de la Información y
Comunicación
•DS3.1 Planificación de la capacidad de los recursos de Tecnología de la Información y
Comunicación
DS8 Administrar la mesa de servicio y los incidentes
A fin de responder de manera oportuna y efectiva a las consultas y problemas de los usuarios de TI,
se requeriría de una mesa de servicio con registro y escalamiento de incidentes, análisis de
tendencia, análisis causa-raiz y resolución. Ello enfocándose en los objetivos siguientes :
•DS8.1Administración de incidentes
•DS8.1Análisis de incidentes
•DS8.4Cierre de incidentes