Facultad de Ingeniería de Sistemas y Electrónica

Tema:

“Análisis de Riesgos Informáticos en las

Cooperativas de Ahorro y Crédito de los

Segmentos 2 y 3 en la ciudad de Ambato

utilizando COBIT 5”

Participantes:

 Concha Flores, Alexander Ricardo (1511218)

 Gaspar Juárez, Jesús Alejandro (U17213470)
 Ravello Aguado, Angelo Raphael (1330537)
 Terrazas Yanovich, Nathan Manuel (1212670)
 Torres Rivas, Pablo Jesus (1531486)

Profesor:

Arias Caycho, Jesus

Lima, diciembre del 2020

 INDICE
INFORMACION DE LA TESIS............................................................................................4
1. ASPECTOS BASICOS DEL PROLEMA DE INVESTIGACION...................................7
1.1. FUNDAMENTACION DEL PROBLEMA DE INVESTIGACION..........................7
1.2. JUSTIFICACION DE LA INVESTIGACION............................................................7
1.2.1. TEORICA..............................................................................................................7
1.2.2. METODOLOGIA..................................................................................................7
1.2.3. PRACTICA............................................................................................................7
1.2.4. ECONOMICA.......................................................................................................7
1.3. IMPORTANCIA O PROPOSITO................................................................................7
1.4. LIMITACIONES..........................................................................................................7
1.5. FORMULACION DEL PROBLEMA.........................................................................8
1.5.1. PROBLEMA GENERAL......................................................................................8
1.5.2. PROBLEMA ESPECIFICOS................................................................................8
1.6. FORMULACION DE LOS OBJETIVOS...................................................................8
1.6.1. OBJETIVO GENERAL.........................................................................................8
1.6.2. OBJETIVOS ESPECIFICOS................................................................................8
2. ASPECTOS OPERACIONALES.......................................................................................8
2.1 Formulación de la hipótesis...........................................................................................8
2.1.1 Hipótesis general....................................................................................................8
2.1.2 Hipótesis especificas..................................................................................................9
2.2 Variables........................................................................................................................9
2.3 Operacionalización de Variables...................................................................................9
2.4 Definición de términos operacionales.........................................................................11
3. MARCO TEORICO..........................................................................................................11
3.1. ANTECEDENTES DEL PROBLEMA.....................................................................11
3.1.1. Antecedentes internacionales...............................................................................11
3.1.2. Antecedentes nacionales......................................................................................11
3.2. BASES TEORICAS...................................................................................................11
Metodología basada en COBIT 5..................................................................................11
3.3. BASES CONCEPTUALES.......................................................................................11
Riesgo............................................................................................................................11
Cooperativa de ahorro y crédito....................................................................................12
Cooperativa de ahorro y crédito del segmento 2 y 3.....................................................12
Gobierno de TI...............................................................................................................13
4. ASPECTOS METODOLÓGICOS...................................................................................16
4.1 Ámbito.........................................................................................................................16
4.2 Población.....................................................................................................................16
4.3 Muestra........................................................................................................................16
4.4 Nivel y tipo de estudio.................................................................................................17
4.4.1 Nivel de estudio....................................................................................................17
4.4.2 Tipo de estudio.....................................................................................................17
4.5 Diseño de la investigación...........................................................................................17
4.6 Técnicas e instrumentos..............................................................................................17
4.6.1 Técnicas................................................................................................................17
4.6.2 Instrumentos.........................................................................................................18
5. IMPLEMENTACION.......................................................................................................18
6. RESULTADOS.................................................................................................................18
7. CONCLUSIONES............................................................................................................18
8. CONCLUSIONES DEL GRUPO SOBRE LA TESIS.....................................................18
INFORMACION DE LA TESIS

TITULO DE LA TESIS

Análisis de Riesgos Informáticos en las Cooperativas de Ahorro y Crédito de los

Segmentos 2 y 3 en la ciudad de Ambato utilizando COBIT 5.

URL:

https://repositorio.uta.edu.ec/jspui/bitstream/123456789/29847/1/Tesis_t1586msi.pdf

AUTOR:

Ing. Christian Giovanny Barrera Barragán

RESUMEN DE LA TESIS

El manejo de riesgos en las instituciones financieras generalmente se centraban en

aspectos netamente financieros, sin embargo aspectos como robo de información,

pérdida de datos, destrucción de infraestructura, manipulación de bases de datos, etc., ha

dado lugar a que se emitan nuevas normativas por parte de las entidades de control que

regulen el ambiente tecnológico, así como a la necesidad y obligatoriedad de las

instituciones financieras de estar mejor preparados para afrontar una serie de eventos

generadores de tensión como los descritos anteriormente, siendo de esta manera las

instituciones financieras las responsables de una adecuada gestión de riesgos entre ellos

el riesgo tecnológico. Entre las expectativas que tienen las áreas ejecutivas de las

empresas actuales sobre el departamento de TI se encuentran las de incrementar el

crecimiento de la institución financiera, reducir los costos, multiplicar las ganancias, y

desarrollar un equipo de trabajo talentoso y capaz.

El alcance de las expectativas mencionadas provoca que las empresas estén bajo

constante presión para lograr beneficios a través del uso efectivo de las TI. En este

sentido, resulta fundamental mantener el riesgo vinculado a TI en un nivel aceptable,

reduciendo costos y cumpliendo con las leyes, regulaciones y políticas pertinentes que

cada vez son mayores. COBIT es un marco de referencia y un juego de herramientas de

soporte que permiten a la gerencia cerrar la brecha con respecto a los requerimientos de

control, temas técnicos y riesgos de negocio, y comunicar ese nivel de control a los

participantes. Uno de los Principios de COBIT es el de satisfacer las necesidades de las

partes interesadas, entre las cuales se encuentran la optimización de recursos y la

disminución de riesgos tecnológicos. Se entiende como partes interesadas a las partes: -

Externas: sociedad en general, clientes, proveedores. - Internas: administración gobierno

de la empresa, responsables de los procesos de negocios, responsables de la TI,

responsables de cumplimiento, etc.

En las Cooperativas de Ahorro y Crédito de la ciudad de Ambato, específicamente las

ubicadas dentro de los segmentos 2 y 3 según la calificación de la Superintendencia de

Economía Popular y Solidaria, se han enfocado en su mayoría en analizar los riesgos

financieros dejando en segundo plano los riesgos tecnológicos (ver tabla 1).

Tabla 1: Catastro de Cooperativas Segmentos 2 y 3 de la ciudad de Ambato Fuente:

SEPS – Investigador Elaborado por: El autor

RAZÓN SOCIAL SEGMENTO TIENE PROCESOS DE TI

DEFINIDOS
COOPERATIVA DE AHORRO Y SEGMENTO 2 NO
CREDITO INDIGENA SAC LTDA
COOPERATIVA DE AHORRO Y SEGMENTO 2 SI
CREDITO AMBATO LTDA
COOPERATIVA DE AHORRO Y SEGMENTO 2 SI
CREDITO KULLKI WASI LTDA
COOPERATIVA DE AHORRO Y SEGMENTO 2 SI
CREDITO CHIBULEO LTDA
COOPERATIVA DE AHORRO Y SEGMENTO 3 NO
 CREDITO EDUCADORES DE
TUNGURAHUA LTDA
COOPERATIVA DE AHORRO Y SEGMENTO 3 NO
CREDITO MAQUITA CUSHUN
LTDA
COOPERATIVA DE AHORRO Y SEGMENTO 3 NO
CREDITO CREDIAMBATO
LTDA
COOPERATIVA DE AHORRO Y SEGMENTO 3 NO
CREDITO CAMPESINA
COOPAC
COOPERATIVA DE AHORRO Y SEGMENTO 3 NO
CREDITO SEMBRANDO UN
NUEVO PAIS
COOPERATIVA DE AHORRO Y SEGMENTO 3 NO
CREDITO CRECER WIÑARI
LTDA

Por lo antes indicado surge la necesidad del presente trabajo de investigación, a través

del cual se propone la implementación del Marco de Referencia COBIT 5 para

identificar, mitigar, minimizar y monitorear los riesgos tecnológicos presentes en las

Cooperativas de Ahorro y Crédito de los Segmentos 2 y 3 de la ciudad de Ambato, a fin

de evitar problemas de pérdidas o fugas de información, pérdidas de servicio, etc.

El CAPÍTULO I, EL PROBLEMA: contiene el tema de investigación, el

planteamiento del problema, su contexto, análisis crítico, prognosis, formulación del

problema, interrogantes, delimitación, justificación y objetivos.

El CAPÍTULO II MARCO TEÓRICO: establece antecedentes de la investigación,

fundamentación filosófica, fundamentación legal, categorías fundamentales, hipótesis y

señalamiento de variables.

El CAPÍTULO III METODOLOGÍA: menciona el enfoque de investigación,

modalidad básica de la investigación, nivel o tipo de investigación, población y muestra,

operacionalización de variables, plan de recolección de información y plan de

procesamiento de la información.

El CAPÍTULO IV, ANÁLISIS E INTERPRETACIÓN DE RESULTADOS: abarca

la tabulación y sus respectivos gráficos estadísticos de la encuesta aplicada al personal

de las instituciones financieras, así como la comprobación de hipótesis.

El CAPÍTULO V CONCLUSIONES Y RECOMENDACIONES: constituye, la

comprobación de cada objetivo específico y sus respectivas soluciones.

El CAPÍTULO VI PROPUESTA: comprende la solución a la problemática de

estudio planteada.

1. ASPECTOS BASICOS DEL PROLEMA DE INVESTIGACION

1.1. FUNDAMENTACION DEL PROBLEMA DE INVESTIGACION

Hoy en día, es imposible concebir una empresa exitosa sin el soporte de las tecnologías

de información (TI) que faciliten las tareas de la compañía. Las crecientes demandas de

datos dentro del proceso de toma de decisiones han aumentado la necesidad de una

estructura integral de gobierno de TI para lograr resultados efectivos. El uso de

metodologías integradas y ágiles para gestionar riesgos y en especial el tecnológico es

importante con el fin de minimizar el impacto que pueda causar algún posible daño de

la seguridad de la información.
1.2. JUSTIFICACION DE LA INVESTIGACION
1.2.1. TEORICA

Esta investigación se realiza con el propósito de aportar al conocimiento existente sobre

el uso de la metodología COBIT 5 , como marco de trabajo para el análisis de riesgos de

evaluación del logro de competencias de indagación científica en la educación

secundaria, cuyos resultados podrán sistematizarse en una propuesta, para ser

incorporado como conocimiento a las ciencias de la educación, ya que se estaría

demostrando que el uso de las rúbricas mejoran el nivel de desempeño de los

estudiantes

1.2.2. METODOLOGIA

Todos los gastos económicos correrán por el autor de la investigación por lo cual es

factible económicamente

1.3. IMPORTANCIA O PROPOSITO

Apoyar a la alta gerencia a saber si con la información administrada es posible

garantizar el logro de objetivos, ser flexible, tener un buen manejo de riesgos y

reconocer apropiadamente sus oportunidades actuando acorde a ellas Asimismo, definir

la alineación de las estrategias de TI con la estrategia de la organización, asegurará la

disminución del apetito de riesgo, proporcionará estructuras organizacionales que

faciliten la implementación de estrategias y metas, así como que fluyan de forma

gradual en la empresa

1.4. LIMITACIONES

Disponibilidad de la información: Debido a que la empresa cuenta con políticas

de información, es probable que no se pueda extraer toda la información requerida

para el proyecto.
 Disposición de los colaboradores de la empresa: La participación de la alta

gerencia es primordial pues ellos dan la dirección y objetivos, y verifican que el

proyecto este alineado a los objetivos del negocio. Por otro lado, dueños de los

procesos también son importantes, debido a que es necesario conocer como es el

proceso que está entrando dentro del alcance.

Regulaciones y marcos: La empresa se encuentra sujeta a regulaciones locales las

cuales pueden ser actualizadas o se puedan crear nuevas regulaciones que

implicarían las cuales se tendrían que tomar en cuenta para el proyecto, así mismo

el marco de COBIT 5 o ISO 27000 puede ser actualizado.

1.5. FORMULACION DEL PROBLEMA

1.5.1. PROBLEMA GENERAL

¿Cuál sería el impacto de los riesgos informáticos en las Cooperativas de Ahorro y

Crédito de los Segmentos 2 y 3 de la ciudad de Ambato implementando la metodología

COBIT 5?

1.5.2. PROBLEMA ESPECIFICOS

¿Cuáles son los niveles de riesgo informático en las Cooperativas de Ahorro y Crédito

de la ciudad de Ambato?

1.6. FORMULACION DE LOS OBJETIVOS

1.6.1. OBJETIVO GENERAL

Realizar un análisis del impacto de los riesgos informáticos en las Cooperativas de

Ahorro y Crédito de los Segmentos 2 y 3 de la ciudad de Ambato implementando la

metodología COBIT 5.

1.6.2. OBJETIVOS ESPECIFICOS

  Identificar los niveles de riesgo informático en las Cooperativas de Ahorro y

Crédito de la ciudad de Ambato.

 Analizar la situación actual de los procesos y beneficios de las TI actualmente

empleadas en las Cooperativas de Ahorro y Crédito de la ciudad de Ambato.

 Definir los procesos más adecuados para disminuir los niveles de riesgos

informáticos utilizando la metodología Cobit 5.

 Aplicar la metodología COBIT 5 para reducir el impacto de los riesgos

informáticos en las Cooperativas de Ahorro y Crédito de los segmentos 2 y 3 de

la ciudad de Ambato

2. ASPECTOS OPERACIONALES

2.1 Formulación de la hipótesis

2.1.1 Hipótesis general

La hipótesis general de este proyecto se basa en que la metodología COBIT 5 buscará

reducir aquellas exposiciones o vulnerabilidades que se pueden presentar en los

sistemas de información del objeto indicado (Cooperativas de Ahorro y Crédito de los

Segmentos 2 y 3 de la ciudad de Ambato).

2.1.2 Hipótesis especificas

H1: Se reducirá las exposiciones o vulnerabilidades al Identificar los niveles de

riesgo informático en las Cooperativas de Ahorro y Crédito de la ciudad de Ambato.

H2: Se reducirá las exposiciones o vulnerabilidades al analizar la situación actual de

los procesos y beneficios de las TI actualmente empleadas en las Cooperativas de

Ahorro y Crédito de la ciudad de Ambato.

 H3: Se reducirá las exposiciones o vulnerabilidades al definir los procesos más

adecuados para disminuir los niveles de riesgos informáticos utilizando la

metodología Cobit 5.

H4: Se reducirá las exposiciones o vulnerabilidades al aplicar la metodología

COBIT 5 para reducir el impacto de los riesgos informáticos en las Cooperativas de

Ahorro y Crédito de los segmentos 2 y 3 de la ciudad de Ambato

2.2 Variables

Tipo Variable Especificación

Independiente Metodología COBIT 5 Concepto y procesos para
la gestión de TI en las
organizaciones
Dependiente Análisis de Riesgos Eventos o sucesos
Informáticos identificados que atentan
contra las bienes o
servicios informáticos

2.3 Operacionalización de Variables

Variable Independiente: Metodología COBIT 5

Descripción Dimensi Indicadores Ítems Técnicas e
ones instrumentos
COBIT 5 une Cinco  Segurid  Manual  Encuesta/Cu
5 principios principio ad es estionario
que sirven de s  Gestión  Procedi
modelo a la de mientos
empresa para Riesgo de
un progreso s funcion
seguro del  Gobier es
marco de no TI  Herrami
gobierno y  Cumpli entas
gestión, miento tecnológ
alineado a 7 legislat icas
principios ivo  Diseño
relacionados:  Proces de
 Segurid o proceso
ad financi s
 Gestión ero  La
de  Toma aplicaci
Riesgo de ón de
 s decisio una
 Gobier nes metodol
no TI ogía
 Cumpli reducirá
miento el nivel
legislat de
ivo riesgos
 Proces en
o organiza
financi ciones
ero financie
 Toma ras.
de
decisio
nes

Variable Dependiente: Análisis de riesgos informáticos

Descripción Dimensiones Indicadores Ítems Técnicas e

instrumentos
Cuando existen  Amenazas  Riesgo de  Nivel Encuesta/Cuestionario
amenazas y  Vulnerabilidade operaciones aceptable de
vulnerabilidades s  Estructuras riesgo actual
existen riesgos. actuales  Actual
Los procesos y  Estructuras Estructuras
tecnología futuras y riesgos TI
tienen puntos  Medición reportados
sensibles que del control  Medidas de
los hacen  Información control
vulnerables en disponible  Plan de
cuanto a contingencia
información. Ya
sea en los
sistemas propios
o la
infraestructura.
Por otro lado
una amenaza
hace referencia
a un evento que
perjudica el
flujo normal de
las actividades,
afectando así
los activos
informáticos.
3. MARCO TEORICO

3.1. ANTECEDENTES DEL PROBLEMA

3.1.1. Antecedentes internacionales

TITULO:
DISEÑO DE UNA GUÍA PARA LA IMPLEMENTACIÓN DE GOBIERNO DE
TI EN LA CÁMARA DE COMERCIO DE OCAÑA
País: COLOMBIA
Año: 2015
Resumen:
Es una organización sin ánimos de lucro y de servicio al Estado en sus distintos niveles,

sirve a la comunidad y a sus afiliados; su objetivo principal es la de inscribir y

administrar el Registro Mercantil, y de impulsar el desarrollo económico y comercial.

Esta tesis realiza una guía de implementación de gobierno de TI en la CAMARA DE

COMERCIO DE OCAÑA bajo la metodología basado en COBIT.

Metodología:
- COBIT 5: es un marco de gestión de TI desarrollado por ISACA para ayudar a las

empresas a desarrollar, organizar e implementar estrategias en torno a la gestión de la

información y la gobernanza.

- ISO/IEC 38500: es un estándar internacional para el Gobierno de TI. Provee un marco

para gobernar las TI al interior de las organizaciones, brindando un conjunto de

principios que son de interés de la alta dirección en los procesos de evaluación,

dirección y seguimiento al uso de las tecnologías de la información

Resultados:
En el Componente TIC, el estado del nivel de madurez se encuentra en la etapa Inicial a

Repetible, para lo cual se proponen los siguientes lineamientos con el fin de escalar en

la Madurez de las Tecnologías de Información y Comunicación:

 Llevar de forma preventiva el proceso de adquirir y mantener infraestructura

tecnológica, alineándose con las aplicaciones críticas del negocio.

 Manejar estratégicamente los estándares, políticas y procedimientos de TI para

la adquisición de recursos TI.

 Integrar el plan de continuidad de los servicios de TI con los planes del negocio

y dar continuamente mantenimiento.

En el Componente Modelo de Negocio, el estado del Nivel de Madurez se encuentra en

la etapa Inicial, para lo cual se proponen los siguientes lineamientos con el fin de escalar

en la Madurez del Mismo.

 Documentar la planeación estratégica de TI, que cada vez se toma en cuenta en

el establecimiento de metas del negocio.

 Poner en funcionamiento las mejores prácticas, la infraestructura organizacional

de TI debe ser flexible y adaptable.

 La tecnología debe usarse para mantener bases de conocimientos de políticas y

de concientización para optimizar la comunicación. Usando herramientas de

automatización de oficina y de entrenamiento basado en computadora.

TITULO
PROPUESTA DE IMPLEMENTACIÓN Y ADOPCIÓN DEL MODELO DE
OBJETIVOS DE CONTROL PARA TECNOLOGÍA DE INFORMACIÓN Y
TECNOLOGÍAS RELACIONADAS (COBIT), EN UNA EMPRESA
ASEGURADORA, POR PARTE DE LA AUDITORÍA INTERNA, PARA LA
EVALUACIÓN DE CONTROLES DE ADQUISICIÓN Y MANTENIMIENTO DE
APLICACIONES INFORMÁTICA
País: GUATEMALA
Año: 2016
UNIVERSIDAD DE SAN CARLOS DE GUATEMALA FACULTAD DE CIENCIAS
ECONÓMICAS
Resumen:
Una empresa aseguradora es una entidad financiera regulada por la Superintendencia de

Bancos, el contrato de seguro por ser un servicio puede comercializarse por canales

electrónicos, es decir mediante los sistemas de información, actualmente la entidad

evaluada realiza transacciones como captura de datos en línea, emisión de pólizas de

seguros en línea, pagos en línea, envío de facturas electrónicas y otros servicios más;

todas estas transacciones quedan registradas en la base de datos de la organización, es

por ello que la evaluación de los sistemas de información por parte de la auditoría
interna ha tomado mayor participación en respuesta a la necesidad de la administración

de conocer el estado actual de la dirección de Tecnologías de Información.

La auditoría de sistemas tradicional hace uso de un experto en área de tecnologías de

información, sin embargo, hoy en día existen modelos de control que pueden ser

adoptados por los Auditores, dichos modelos pueden convertirse en herramientas de

mucho beneficio al ser adoptadas por la organización.

En este caso COBIT es un modelo de control con aceptación a nivel internacional en

materia de control informático y aseguramiento de información, ya que permite evaluar

a la medida los controles de la gestión informática, verificando si los objetivos del área

de TI son congruentes con los objetivos generales del negocio, para garantizar

razonablemente a usuarios internos y externos, el suministro oportuno y confiable de la

información necesaria para la toma de decisiones.

Habiendo dicho esto, el presente trabajo tiene como objetivo aportar a los Contadores

Públicos y Auditores que desarrollan su actividad como Auditores Internos en una

empresa de este tipo, los lineamientos para desarrollar una auditoría de sistemas,

evaluando los actuales controles del departamento de informática con base en el modelo

de los Objetivos de Control de Información y Tecnología Relacionada (COBIT) en su

versión 5.0, con la finalidad de tener un soporte para la opinión del auditor, en base a

criterios internacionales de aceptación general que agreguen valor a las conclusiones y

recomendaciones. El presente trabajo está desarrollado de tal manera que el lector tenga

una secuencia lógica que permita adentrarse de manera adecuada al contenido del

mismo.

Posterior a la aplicación práctica se concluyó que es necesario que la empresa adopte

un modelo de trabajo para la revisión del proceso seleccionado ya que los niveles de
capacidad se encuentran funcionando, pero pueden mejorarse y llegar a un estado

óptimo.

Se recomienda la adopción del modelo COBIT ya que con este podrán controlar y

mejorar los aspectos en los que ahora tienen deficiencias, además de la capacitación en

el uso de este tipo de herramientas.

Hallazgo 1:

Para el proceso de gestionar los programas y proyectos, se determinó que los controles

se encuentran a un 66.12% de confiabilidad de acuerdo a los objetivos de control, la

calificación fue de 3.306 siendo 5 la mejor.

Recomendación:

Capacitación en gestión de proyectos y uso efectivo del tiempo a los administradores

del área de informática.

Hallazgo 2:

Para el proceso de gestionar la definición de requisitos, se determinó que los controles

se encuentran a un 72.24% de confiabilidad de acuerdo a los objetivos de control, la

calificación fue de 3.612 siendo 5 la mejor.

Recomendación:

Definición de plantillas con la suficiente información para cumplir a cabalidad con las

necesidades del negocio.

Hallazgo 3:
Para el proceso de adquirir e implementar infraestructura tecnológica, se determinó que

los controles están a un 73% de confiabilidad, teniendo una calificación de 3.65 siendo

5 la mejor.

Recomendación:

Aplicación de estándares y controles para la evaluación de proveedores y

requerimientos de equipo.

Hallazgo 4:

Para el proceso de administración de cambios, se determinó que los controles están a un

78.37% de confiabilidad, teniendo una calificación de 3.918 siendo 5 la mejor.

Recomendación:

Creación de política y flujo para la gestión de cambios y despliegues a producción.

Conclusiones:

1- La alta dependencia de tecnologías de información que tiene la empresa aseguradora,

hace que la inversión en sus recursos informáticos se vuelva indispensable para poder

soportar todas las transacciones electrónicas que ofrece a sus clientes, por lo que debe

normarse la gestión en la implementación de software.

2- La falta de conocimiento y aplicación de metodologías de control informático

aceptadas internacionalmente, por parte del departamento de Auditoría Interna en una

empresa aseguradora, que permita tener un mejor gobierno de la información que

necesita la administración para la toma de decisiones, incide de forma negativa en el

plan de alcanzar los objetivos estratégicos empresariales, ya que no se tendrá el retorno

de inversión esperado.
3- La aseguradora no cuenta con un marco de trabajo con base a los Objetivos de

Control para Información y Tecnología Relacionada (COBIT 5.0) que le permita

implantar un gobierno de tecnología informática que proporcione las herramientas de

control y monitoreo necesarias para minimizar los riesgos sobre la información.

3.1.2. Antecedentes nacionales

"Desarrollo de un Modelo de Gobierno y Gestión de TI para empresas con los

servicios de TI Tercerizados Caso de estudio: empresa de la industria financiera”.

(Núñez, N.,2015).

Resumen:

Durante los últimos años, la tendencia hacia la tercerización de servicios de TI ha

registrado un crecimiento significativo, pues, inicialmente las grandes y medianas

empresas tan solo consideraban esta posibilidad con el objetivo de disminuir costos

operacionales, mientras que, en la actualidad, buscan los servicios de outsourcing o

tercerización como un apoyo para innovar. Por ello este trabajo de tesis presenta un

Modelo de Gobierno y Gestión de TI que reúne diferentes aspectos relacionados con el

esquema de tercerización de servicios de TI; con este objetivo, se realizó una

investigación acerca de estándares internacionales y marcos de trabajo enfocados al

Gobierno y Gestión de TI, así como metodologías y buenas prácticas que proporcionan

las herramientas necesarias para mejorar, madurar y estandarizar la relación con los

proveedores de servicios de TI, asegurando y validando que éstos generen los resultados

requeridos y los productos con la calidad esperada.

Metodología:
La información es un recurso clave para todas las empresas y desde el momento en que

la información se crea hasta que es destruida, la tecnología tiene un papel importante.

Por lo que COBIT 5 permite a las TI ser gobernadas y gestionadas de un modo holístico

para toda la empresa, abarcando al negocio completo de principio a fin y las áreas

funcionales de responsabilidad de TI. COBIT 5 es genérico y útil para empresas de

todos los tamaños, tanto comerciales, como sin ánimo de lucro o del sector público.

También se usará ITIL, ya que, es una biblioteca de cinco libros de consulta basada en

las mejores prácticas de organizaciones de éxito actuales. ITIL describe el modo de

dirigir TI como un negocio: desde la creación de una estrategia de servicios hasta el

diseño de los servicios de negocio; la planificación, creación, comprobación, validación

y evaluación de cambios en las operaciones y la mejora continua de los servicios de

forma constante.

Resultados:

Se elaboraron los cuadros de mapeo entre las metas corporativas de COBIT 5, las metas

corporativas de la empresa, las metas relacionadas con las TI y los procesos del COBIT

5 entre las metas. De forma que se seleccionaron 5 dominios y 15 procesos del

COBIT5:

 Evaluar, orientar y supervisar

 EDM03 Asegurar la Optimización del Riesgo

 Alinear, Planificar y Organizar

 APO09 Gestionar los acuerdos de servicio

 APO10 Gestionar los Proveedores

 APO12 Gestionar el Riesgo

 APO13 Gestionar la seguridad

  Construir, Adquirir e Implementar

 BAI01 Gestionar los Programas y Proyectos

 BAI02 Gestionar la Definición de Requisitos

 BAI03 Gestionar la Identificación y la construcción de Soluciones

 BAI09 Gestionar los Activos

 Entregar, dar Servicio y Soporte

 DSS01 Gestionar las Operaciones

 DSS02 Gestionar las Peticiones y los incidentes del Servicio

 DSS03 Gestionar los Problemas

 DSS04 Gestionar la Continuidad

 DSS05 Gestionar los Servicios de Seguridad

 Supervisar, Evaluar y Valorar

 MEA03 Supervisar, Evaluar y Valorar la conformidad con los Requerimientos

Externos

Obteniendo como resultado una vez realizados los procesos:

CÓDI NOMBRE NIVEL DE PUNTUACI PUNTUACI

NIVEL DE
GO DEL CAPACID ÓN ÓN
CAPACID
PROCESO
AD ALCANZAD AD DESEADA
OBTENID A DESEADO
O
EDM03 Asegurar la Gestionado L F
Gestionad
optimizació
o
n del riesgo
APO09 Gestionar Ejecutado L F
los
Ejecutado
Acuerdos
de Servicio
APO10 Gestionar Ejecutado L Ejecutado F
los
Proveedore
 s
APO12 Gestionar el Establecido F Predecibl L
Riesgo e
APO13 Gestionar la Gestionado L Gestionad F
Seguridad o
BAI02 Gestionar la Gestionado L F
definición Gestionad
de o
requisitos
BAI03 Identificar Ejecutado L F
y Construir Ejecutado
Soluciones
BAI09 Gestionar Gestionado L Gestionad F
los activos o
DSS01 Gestionar Gestionado L F
Gestionad
Operacione
o
s
DSS02 Gestionar Ejecutado L F
Peticiones e
Ejecutado
Incidentes
de Servicio
DSS03 Gestionar Gestionado L Gestionad F
Problemas o
DSS04 Gestionar la Ejecutado L F
Continuida Ejecutado
d
DSS05 Gestionar Gestionado L F
Servicios Gestionad
de o
Seguridad
Supervisar, L F
MEA03 evaluar y Gestionado
valorar la
conformida
Gestionad
d con los o
requerimien
tos
externos.

Siendo:
F: en gran parte conseguido
L: Totalmente Logrado
Esto logro:
 · Establecer la necesidad de identificar formatos estándar y las cláusulas que al

menos deben contener los Contratos a firmarse con proveedores, especificando

además un esquema de trabajo y facturación, el cual se tomará como base para la

facturación del trabajo realizado, el control y desempeño de los servicios.

· Especificar las funciones que la Gerencia de Tecnología deberá ejecutar para

dirigir, controlar y monitorear los diferentes servicios contratados con los

proveedores.

· Identificar totalmente al personal que es responsable de definir, validar y aprobar

los lineamientos con respecto a las características de los servicios asociados a un

proceso de negocio, en caso de existir modificaciones, la información debe ser

actualizada con la mayor brevedad posible.

· El Proveedor debe asegurar que los servicios que proporciona deben poseer

controles internos con el fin de que la entrega garantice el nivel de calidad

requerido por el Banco.

· Instituir que el Banco tiene la facultad de realizar evaluaciones o auditorias

conforme a mejores prácticas, o bien solicitarlo a un tercero. Estas evaluaciones

y auditorias tendrán como finalidad principal revisar que el Proveedor entrega

los servicios con la calidad adecuada, conforme a lo pactado en los acuerdos.

“Modelo de Gestión de las Tecnologías de Información para Entidades Financieras

de la Ciudad de Riobamba”. (Ebla, C.,2016).

Resumen:

Se realizó un estudio comparativo de los dos modelos de gestión COBIT 5 e ITIL v3,

para identificar sus características principales, y seleccionar los procesos que permitan

crear el modelo de gestión híbrido, que se aplicará en el control de las TIC en las
Cooperativas de Ahorro y Crédito, y de esta manera cumplir con lo requerido por las

entidades de control financiero, referente a la Gestión del Riesgo Operativo de las

Tecnologías de Información.

Metodología:

La estructura del modelo COBIT propone un marco de acción donde se evalúan los

criterios de información, como por ejemplo la seguridad y calidad, se auditan los

recursos que comprenden la tecnología de información, como por ejemplo el recurso

humano, instalaciones, sistemas, entre otros, y finalmente se realiza una evaluación

sobre los procesos involucrados en la organización.

ITIL v3 define cinco fases en el ciclo de vida del servicio: estrategia, diseño, transición,

operación y mejora continua del servicio. El modelo contiene los procesos necesarios

para gestionar los servicios en el marco de esta estructura del ciclo de vida. El objetivo

de cada fase es generar valor para el negocio.

Resultados:

Se hizo un mapeo de los procesos de COBIT5, ITIL V3 y su aplicación en la empresa

dando 5 dominios y 21 procesos
 Evaluar, Supervisar y Estrategia (ESE)
 ESE01.Asegurar el establecimiento y mantenimiento del marco de referencia
 ESE02. Asegurar la optimización del riesgo
 ESE03. Gestión de la Demanda
 Alinear, Planificar y Diseño (APD)
 APD01.Mejora continua de los servicios
 APD02 Gestionar la innovación
 APD03.Gestión Financiera
 APD04.Gestionar los Recursos Humanos
 APD05.Gestionar los acuerdos de servicio
 Construir, Implementar, Transición (CIT)
 CIT01.Gestionar la definición de requisitos
 CIT02.Gestionar la identificación y construcción de soluciones
 CIT03.Gestionar la facilitación del cambio organizativo
 CIT04.Gestión de Cambios
  Servicio, Soporte y Explotación (SSE)
 SSE01.Gestión de Eventos
 SSE02.Gestión de Incidencias
 SSE03.Gestión de Problemas
 SSE04.Gestión de Continuidad de Servicios Informáticos
 SSE05. Gestión de Seguridad de la Información
 SSE06.Gestión de Accesos
 Supervisar, Evaluar y Mejorar (SEM)
 SEM01 Supervisar, evaluar y valorar el rendimiento y la conformidad
 SEM02. Supervisar, evaluar y valorar la conformidad con los requerimientos
externos.
 SEM03.Mejora Continua de los servicios en siete etapas

Obteniendo como resultado:

· Las entidades financieras de la ciudad de Riobamba en su mayoría no llevan una

metodología definida en el manejo de las TIC, esto puede suceder por la falta de

capacitación y aplicación de sus reglamentos.

· Se evidencio que las COAC no invierten en los departamentos de TI, porque en

su mayoría son entidades que recién se están creando, y en las que están ya

posesionadas si invierten, pero les falta aplicar políticas y reglamentos.

· El estudio de los dos modelos de gestión de TI COBIT5 E ITILV3, permitió

identificar sus fortalezas y debilidades al realizar su estudio comparativo en la

aplicación de sus procesos en las entidades financieras, en donde la seguridad de

la información es importante.

“Propuesta de rediseño del sistema de pagos interbancarios aplicando arquitectura

empresarial en el Banco Central del Ecuador”. (Dávila, T.,2017).

Resumen:
El Banco Central del Ecuador con el fin de brindar mejores servicios a la Instituciones

Financieras tanto Privadas como Públicas, y Entidades de la Economía Popular y

Solidaria. Por ello se realiza el presente estudio, que permitirá mejorar sus procesos y
servicios en el Sistema Nacional de Pagos – SPI, y reducirá el tiempo en la liquidación

de las operaciones interbancarias ya que se ejecutarán en tiempo real, logrando así que

exista una mayor circulación de dinero en la economía del País. Para desarrollar esta

propuesta de rediseño del Sistema de Pagos Interbancarios, se aplicará el método de

ADM de TOGAF. El enfoque fundamental de este rediseño del SPI es reconstruir su

funcionalidad actual, sobre nuevas tecnologías y estándares de interoperabilidad.

Metodología:

El método ADM efectúa el análisis arquitectónico con alto nivel de abstracción para

visualizar, detectar y documentar oportunidades y riesgos durante el desarrollo de la

nueva arquitectura; esta ventaja cambia al momento de seleccionar el método de

desarrollo puesto que el marco TOGAF es agnóstico a esas metodologías y permite total

discrecionalidad al arquitecto empresarial y al arquitecto de software en la selección del

método.

TOGAF encamina el desarrollo a partir de cuatro niveles: arquitectura de negocio,

arquitectura de sistemas de información, arquitectura de datos y arquitectura

tecnológica. ADM detalla estos niveles de abstracción en varias fases que determinan la

línea base (AS - IS) y final de un nivel de abstracción (TO - BE) junto con un análisis

de brecha (gap analysis) que permite saber el estado final de la arquitectura.

Resultados:

Fases del ADM para el SPI

Fases ADM Actividades

Preliminar Prepara al BCE y al área de Servicios
Bancarios Nacionales para llevar a cabo el
proyecto de rediseño del SPI, se realizará
las siguientes actividades:
 -Entender el ambiente del negocio.
-Comprender los requerimientos
estratégicos.
-Alcanzar un acuerdo respecto al alcance.
-Establecer Principios.
-Definir una estructura de gobernanza.
-Definir el método a ser adoptado
Gestión de Requerimientos Cada fase del proyecto de rediseño del
Sistema de Pagos Interbancarios tendrá sus
propios requerimientos que serán entradas
para otras fases
A. Visión Arquitectónica Se define los alcances y las limitaciones
del proyecto de rediseño del Sistema de
Pagos Interbancarios, para ello se
identifican a los interesados.
A. Arquitectura de Negocio Se desarrolla bajo los cuatro dominios
B. Arquitectura Sistemas de desde el AS-IS y llegar al TO-BE.
Información Negocio
C. Arquitectura de Tecnología
Sistemas de Información – Aplicaciones

Sistemas de Información – Datos

Tecnología
E. Oportunidades y Soluciones Se realizará la planificación de la
implementación

- Seleccionar las opciones de

implementación más adecuadas.
- Identificar los parámetros
estratégicos de cambio en todos los
niveles, y los proyectos que serán
afectados.
- Evaluar las dependencias entre los
diversos proyectos.
- Realizar análisis de costos y
beneficios para cada uno de los
proyectos.
- Crear una estrategia de
implementación y migración
general.
- Crear un plan detallado de
implementación

F. Planificación de la Migración Definir el plan de implementación y

migración como se va traspasar de la
Arquitectura origen AS- IS o Línea Base a
la Arquitectura de Deseada TO- BE
 G. Gobierno de la Implementación Se realizará una supervisión para la
implementación y asegurar que la
implementación del proyecto de rediseño
del Sistema Nacional de Pagos este de
conformidad con la arquitectura
establecida.
H. Gestión de Cambios de la Arquitectura Se ejecutará controles continuos para
asegurar que la arquitectura responda de
acuerdo a las necesidades que tiene el área
de servicios bancarios nacionales con
respecto al proyecto de rediseño del
Sistema de Pagos Interbancarios.
- Proveer monitoreo continuo.
- Verificar que los cambios en la
arquitectura se ejecuten de una
manera efectiva e inteligente.
- Brindar soporte a la arquitectura
empresarial para proveer
flexibilidad en los cambios que se
presentan debido a cambios
tecnológicos o en los negocios.
Monitorear la capacidad administrativa del
negocio.

Una vez se realice el cuadro de las actividades del ADM, se usará como marco de

gobierno TI el COBIT 5, esto permite informar las decisiones y las opciones de diseño

sean consistentes con la estrategia del BCE.

Aplica Procesos Lineamiento Detalle Acción

Existe un
modelo
estratégico de
toma de
decisiones para
Analiza y que
articula los las TI sean Definir el plan
requerimientos efectivas y
estratégico de
EDM01 para estén alienadas
con TI
 Asegurar el el gobierno de los objetivos
establecimiento TI de del BCE
SI y la empresa y y a su vez con
pone los
mantenimiento
en marcha y requerimientos
del marco de de
mantiene
referencia de negocio y sus
efectivas las
gobierno: partes
estructuras, Definir el
procesos y interesadas.
modelo de
prácticas El sistema de
Gobierno de TI
facilitadores, gobierno de TI
con claridad de del BCE debe
las mejorar.
responsabilidad El rediseño del
es y la SPI está
autoridad para alineado a los
alcanzar la objetivos del
misión, Plan
las metas y Estratégico del
objetivos BCE,
de la empresa. desde el
negocio como
desde TI.
Brinda
beneficios a los
usuarios del
BCE y
externos como
son las
entidades
financieras.

Los servicios
del negocio son Definir el plan
Optimizar la monitoreados. estratégico de
contribución al Los TI
valor del presupuestos de
EDM02 negocio desde
Asegurar la proyectos
los procesos de gestionados.
SI Entrega de
negocio de los Los beneficios
Beneficios.
servicios TI y deben
activos de TI gestionarse de
resultado de la Definir el
las inversiones
inversión hecha modelo de
en TI.
por TI a costes Gobierno de TI
Los servicios
aceptables.
 que brinda el
rediseño del
sistema de
pagos
interbancarios
deben ser
monitoreados
para mitigar
riesgos y
ofrecer un buen
servicio.

Obteniendo
Entradas Salidas
Prácticas de Gobierno
Descripción Descripción
EDM01.01 Directrices del gobierno del
Evaluar el sistema de BCE EDM02
gobierno
- Tendencias en el entorno Modelo de toma de
del negocio decisiones EDM02
Identificar, comprometerse -Regulaciones
continuamente con las -Estatutos del BCE Niveles Autoridad
partes interesadas del BCE, -Modelo de toma de EDM02
documentar la comprensión decisiones
de los requerimientos del
negocio y realizar una
estimación del actual y
futuro diseño del gobierno
de TI del BCE

Prácticas de Gobierno Entradas Salidas

Descripción Descripción

EDM01.02 Comunicación del gobierno

Orientar el sistema de del BCE EDM02
Gobierno

Informar a los líderes y -Directrices del gobierno

obtener su apoyo, su del BCE
Enfoque de sistema
aceptación y su -Modelo de toma de
compromiso. Guiar las decisiones APO07.03
estructuras, procesos y -Niveles Autoridad APO07.04
prácticas para el gobierno
 de TI en línea con los
principios, modelos para la
toma de decisiones y
niveles de autoridad
diseñados para el gobierno

3.2. BASES TEORICAS

TOGAF

TOGAF son las siglas de The Open Group Architecture Framework. Es un marco que

permite a las empresas diseñar, planificar, desarrollar e implementar su infraestructura

con menos errores y sin salirse del presupuesto.

El Open Group desarrolló el marco en 1995, y lo ofrece a las organizaciones para que lo

utilicen internamente de forma gratuita. Las organizaciones no pueden utilizarlo con

fines comerciales. Este consorcio global también proporciona herramientas y cursos

certificados que las empresas pueden utilizar para implementar TOGAF.

Metodología basada en COBIT 5

COBIT 5 acopla 5 principios que guían a la Empresa el desarrollo de forma segura el

marco de Gobierno y Administración enfocado en una sucesión de 7 habilitadores que

tienen relación, que perfeccionan en financiamiento, en información, así como también

en tecnología mediante lo cual la utilización va en beneficio de los interesados Isaca

(2013)

Para Isaca (2013) COBIT 5 es adaptable a todas las dimensiones de organizaciones

incluidas a las pequeñas empresas, entornos de tecnología. Se lo puede utilizar en:

Seguridad de la información, gestión de riesgo, Gobierno y administración de TI en la

empresa, Cumplimiento legislativo y regulador, Procesamiento financiero, Toma de

decisiones sobre el manejo de tendencias actuales.

1) Satisfacer las Necesidades de las partes interesadas:
Las necesidades de los interesados deben traducirse a una estrategia de acción de la
empresa.

2) Cubrir la empresa de Extremo a Extremo:

Las compañías deben cambiar de visión, con el objetivo de considerar el área de TI
como un activo y no un costo. Los directivos deben tomar la responsabilidad de
gobernar y gestionar los activos relacionados con TI dentro de sus propias funciones.

3) Aplicar un marco de Referencia único integrado:

Usar un solo marco de gobierno integrado puede ayudar a las organizaciones a brindar
valor óptimo de sus activos y recursos de TI.
4) Hacer posible un enfoque holístico:
El gobierno de TI empresarial (GEIT) requiere de un enfoque holístico que tome en

cuenta muchos componentes, también conocidos como habilitadores. Los habilitadores

influyen en si algo va a funcionar o no. COBIT 5 incluye siete habilitadores para

mejorar el GEIT, como los principios, las políticas y marcos; los procesos; la cultura; la

información y la gente.

Principios, políticas y marcos de referencia: son el medio para traducir el

comportamiento deseado en guías prácticas para la gestión del día a día en la empresa.

Los procesos: describen un conjunto organizado de prácticas y actividades para

alcanzar objetivos y producir un conjunto de resultados que soporten las metas

generales relacionadas con TI.

Las estructuras organizativas serían las entidades de toma de decisiones clave en una

organización.
Cultura, ética y comportamiento: Tienen que también tenerse en cuenta xq son un

factor de éxito en las actividades de gobierno y gestión

La información: esta incluye toda la información producida y utilizada por la empresa,

siendo necesaria para mantener la organización funcionando y bien gobernada

Los servicios, infraestructuras y aplicaciones Son la infraestructura y herramientas

que proporcionan a la empresa, servicios y tecnologías de procesamiento de la

información.

Las personas, habilidades y competencias Se relacionan con las personas que son

necesarias para poder completar de manera satisfactoria todas las actividades y para la

toma de decisiones.

Dimensiones de los catalizadores

Partes Interesadas—Cada catalizador dispone de partes interesadas, es decir,

participantes que juegan un papel activo y/o tienen un interés en el mismo

Metas—Cada catalizador cuenta con una serie de metas y los catalizadores

proporcionan valor mediante la consecución de dichas metas

Calidad Intrínseca—Medida en la que los catalizadores trabajan de forma precisa,

objetiva y proporcionan unos resultados precisos, objetivos y de confianza.

Calidad Contextual—Medida en la que los catalizadores y sus resultados, en el contexto

en el que operan, se ajustan a un propósito.

Accesibilidad y Seguridad—Medida en la que los catalizadores y sus resultados son

accesibles y están protegidos

Ciclo de vida—Cada catalizador tiene un ciclo de vida, desde su comienzo pasando por

su operación/vida útil hasta su retirada

Buenas prácticas soportan la consecución de las metas de los catalizadores

5) Separar el gobierno de la Gestión:

Los procesos de gobierno aseguran que los objetivos se alcancen mediante la evaluación

de las necesidades de los interesados, el establecimiento de la dirección a través de la

priorización y la toma de decisiones; y el monitoreo del desempeño, el cumplimiento y

el progreso. De acuerdo con los resultados de las actividades de gobierno, la

administración de la empresa y de TI entonces debe planear, crear, realizar y monitorear

las actividades para asegurar el alineamiento con la dirección que estableció.

Procesos Catalizadores

Procesos de Gobierno y Gestión

Según COBIT 5 Uno de los principios es la distinción hecha entre gobierno y gestión.

En línea con este principio, se espera que todas las empresas implementen varios

procesos de gobierno y varios procesos de gestión para proporcionar un gobierno y una

gestión del entorno IT exhaustivos.

Procesos de Gobierno: Los procesos de gobierno tratan de los objetivos de gobierno de

las partes interesadas – entrega de valor, optimización del riesgo y de recursos – e

incluye prácticas y actividades orientadas a evaluar opciones estratégicas,

proporcionando la dirección de TI y supervisando la salida (Evaluar, orientar y

supervisar [EDM] – en línea con los conceptos del estándar ISO/IEC 38500).

Procesos de Gestión: Son las prácticas y actividades de los procesos de gestión cubren

las áreas de responsabilidad de PBRM de TI de la empresa y tienen que proporcionar

cobertura de TI extremo a extremo.

Procesos de COBIT 5

Proceso de gobierno

Los procesos de gobierno tratan los objetivos de gobierno de las partes interesadas,

entregando valor, optimizando el riesgo y los recursos.

Evaluar Orientar y supervisar 5

Dominio EDM: Asegura que los objetivos de la empresa sean logrados, evaluando las

necesidades de los interesados

Proceso de gestión

Apoyada por la definición de gestión estos serían las prácticas y actividades que cubren

las áreas de responsabilidad de PBRM (plan build run monitor) de TI de la empresa

COBIT 5 incluye un modelo de referencia de procesos que define y describe en detalle

varios procesos de gobierno y de gestión. Este modelo subdivide los procesos de

gobierno y de gestión de TI de la empresa en dos principales áreas de actividad –

gobierno y gestión – divididas en dominios de procesos:

 Gobierno: Este dominio contiene cinco procesos de gobierno; dentro de cada

proceso, se han definido las prácticas EDM.

 Gestión: Estos cuatro dominios están en línea con las áreas de responsabilidad

de PBRM
Procesos de Gobierno de TI Empresarial

Dominio EDM: Asegura que los objetivos de la empresa sean logrados, evaluando las

necesidades de los interesados

Procesos:

EDM01. Asegurar el establecimiento y mantenimiento del marco de referencia de

gobierno: Analizar y articular los requerimientos para el gobierno de las TI de la

empresa y pone en marcha y mantiene efectivas las estructuras, procesos y prácticas

facilitadoras, con claridad de las responsabilidades y la autoridad para alcanzar la

misión, las metas y objetivos de la empresa.

EDM02. Asegurar la entrega de beneficios: Optimizar la contribución al valor del

negocio desde los procesos de negocios, los de servicios TI y activos de las TI resultado

de la inversión hecha por TI a unos costos aceptables.

EDM03. Asegurar la optimización del riesgo: Asegurar que el apetito y la tolerancia

al riesgo de la empresa son entendidos, articulados y comunicados y que el riesgo para

el valor de la empresa relacionado con el uso de las TI es identificado y gestionado.

EDM04. Asegurar la optimización de recursos: Asegurar que las adecuadas y

suficientes capacidades relacionadas con las TI (personas, procesos y tecnologías) están

disponibles para soportar eficazmente los objetivos de la empresa a un coste óptimo.

EDM05. Asegurar la transparencia hacia las partes interesadas: Asegurar que la

medición y la elaboración de informes en cuanto a conformidad y desempeño de las TI

de la empresa son transparentes, con aprobación por las partes interesadas de las metas,

las métricas y las acciones correctivas necesarias.

Procesos de Gestión de TI Empresarial

Dominio APO: Este dominio cubre las estrategias y las tácticas, y tiene que ver con

identificar la manera en que TI puede contribuir mejor con los objetivos del negocio. Es

importante mencionar que la realización de la visión estratégica requiere ser planeada,

comunicada y administrada desde diferentes perspectivas; y finalmente, la

implementación de una estructura organizacional y tecnológica apropiada.

Procesos:

APO01. Gestionar el Marco de Gestión de TI: Proporcionar un enfoque de gestión

consistente que permita cumplir los requisitos de gobierno corporativo e incluya

procesos de gestión, estructuras, roles y responsabilidades organizativos, actividades

fiables y reproducibles y habilidades y competencias.

APO02. Gestionar la Estrategia: Alinear los planes estratégicos de TI con los

objetivos del negocio. Comunicar claramente los objetivos y las cuentas asociadas para

que sean comprendidos por todos, con la identificación de las opciones estratégicas de

TI, estructurados e integrados con los planes de negocio.

APO03. Gestionar la Arquitectura Empresarial: Representar a los diferentes

módulos que componen la empresa y sus interrelaciones, así como los principios

rectores de su diseño y evolución en el tiempo, permitiendo una entrega estándar,

sensible y eficiente de los objetivos operativos y estratégicos.

APO04. Gestionar la Innovación: Lograr ventaja competitiva, innovación empresarial

y eficacia y eficiencia operativa mejorada mediante la explotación de los desarrollos

tecnológicos para la explotación de la información.

APO05. Gestionar el Portafolio: Optimizar el rendimiento del portafolio global de

programas en respuesta al rendimiento de programas y servicios y a las cambiantes

prioridades y demandas corporativas.

APO06 Gestionar el Presupuesto y los Costes: Fomentar la colaboración entre TI y

las partes interesadas de la empresa para catalizar el uso eficaz y eficiente de los

recursos relacionados con las TI y brindar transparencia y responsabilidad sobre el coste

y valor de negocio de soluciones y servicios. Permitir a la empresa tomar decisiones

informadas con respecto a la utilización de soluciones y servicios de TI.

APO07. Gestionar los Recursos Humanos: Optimizar las capacidades de recursos

humanos para cumplir los objetivos de la empresa.

AP008. Gestionar las relaciones: Crear mejores resultados, mayor confianza en la

tecnología y conseguir un uso efectivo de los recursos.

AP009. Gestionar los acuerdos de servicio: Asegurar que los servicios TI y los

niveles de servicio cubren las necesidades presentes y futuras de la empresa.

APO10. Gestionar los Proveedores: Minimizar el riesgo de proveedores que no rindan

y asegurar precios competitivos.

APO11. Gestionar la Calidad: Asegurar la entrega consistente de soluciones y

servicios que cumplan con los requisitos de la organización y que satisfagan las

necesidades de las partes interesadas.

APO12 Gestionar el Riesgo: Identificar, evaluar y reducir los riesgos relacionados con

TI de forma continua, dentro de niveles de tolerancia establecidos por la dirección

ejecutiva de la empresa.
APO13. Gestionar la Seguridad: Mantener el impacto y ocurrencia de los incidentes

de la seguridad de la información dentro de los niveles de apetito de riesgo de la

empresa.

Dimensión BAI: La gerencia con este dominio pretende cubrir, que los nuevos

proyectos generen soluciones que satisfagan las necesidades del negocio, que sean

entregados en tiempo y dentro del presupuesto, que los nuevos sistemas una vez

implementados trabajen adecuadamente y que los cambios no afecten las operaciones

actuales del negocio. Con el fin de cumplir una estrategia de TI, las soluciones de TI

necesitan ser identificadas, desarrolladas o adquiridas, como también implementadas e

integradas en los procesos del negocio.

Procesos:

BAI01. Gestión de Programas y Proyectos: Gestionar todos los programas y

proyectos del portafolio de inversiones de forma coordinada y en línea con la estrategia

corporativa. Iniciar, planificar, controlar y ejecutar programas y proyectos y cerrarlos

con una revisión post-implementación.

BAI02. Gestionar la Definición de Requisitos: Identificar soluciones y analizar

requerimientos antes de la adquisición o creación para asegurar que estén en línea con

los requerimientos estratégicos de la organización y que cubren los procesos de

negocios, aplicaciones, información/datos, infraestructura y servicios.

BAI03. Gestionar la Identificación y Construcción de Soluciones: Establecer y

mantener soluciones identificadas en línea con los requerimientos de la empresa que

abarcan el diseño, desarrollo, compras/contratación y asociación con

proveedores/fabricantes. Gestionar la configuración, preparación de pruebas, realización

de pruebas, gestión de requerimientos y mantenimiento de procesos de negocio,

aplicaciones, datos/información, infraestructura y servicios.

BAI04. Gestionar la Disponibilidad y la Capacidad: Mantener la disponibilidad del

servicio, la gestión eficiente de recursos y la optimización del rendimiento de los

sistemas mediante la predicción del rendimiento futuro y de los requerimientos de

capacidad.

BAI05. Gestionar la Facilitación del Cambio Organizativo: Maximizar la

probabilidad de la implementación exitosa en toda la empresa del cambio organizativo

de forma rápida y con riesgo reducido, cubriendo el ciclo de vida completo del cambio y

todas las partes interesadas del negocio y de TI.

BAI06. Gestionar los Cambios: Gestiona todos los cambios de una forma controlada,

incluyendo cambios estándar y de mantenimiento de emergencia en relación con los

procesos de negocio, aplicaciones e infraestructura. Esto incluye normas y

procedimientos de cambio, análisis de impacto, priorización y autorización, cambios de

emergencia, seguimiento, reporte, cierre y documentación.

BAI07. Gestionar la Aceptación del Cambio y la Transición: Aceptar formalmente y

hacer operativas las nuevas soluciones, incluyendo la planificación de la

implementación, la conversión de los datos y los sistemas, las pruebas de aceptación, la

comunicación, la preparación del lanzamiento, el paso a producción de procesos de

negocio o servicios TI nuevos o modificados, el soporte temprano en producción y una

revisión post-implementación.

BAI08. Gestionar el Conocimiento: Proporcionar el conocimiento necesario para dar

soporte a todo el personal en sus actividades laborales, para la toma de decisiones.

BAI09. Gestionar los Activos: Gestionar los activos de TI a través de su ciclo de vida

para asegurar que su uso aporta valor a un coste óptimo, que se mantendrán en

funcionamiento, que están justificados y protegidos físicamente, y que los activos que

son fundamentales para apoyar la capacidad del servicio son fiables y están disponibles.

Administrar las licencias de software para asegurar que se adquiere el número óptimo,

se mantienen y despliegan en relación con el uso necesario para le negocio y que el

software instalado cumple con los acuerdos de licencia.

BAI10. Gestionar la Configuración: Definir y mantener las definiciones y relaciones

entre los principales recursos y capacidades necesarios para la prestación de los

servicios proporcionados por TI, incluyendo la recopilación de información de

configuración, el establecimiento de líneas de referencia, la verificación y auditoría de

la información de configuración y la actualización del repositorio de configuración.

Dominio DSS: Involucra la entrega en sí de los servicios requeridos, incluyendo la

prestación del servicio, la administración de la seguridad y de la continuidad, el soporte

a los usuarios del servicio, la administración de los datos y de las instalaciones

operativas.

Procesos:

DSS01. Gestionar Operaciones: Coordinar y ejecutar las actividades y los

procedimientos operativos requeridos para entregar servicios de TI tanto internos como

externalizados, incluyendo la ejecución de procedimientos operativos estándar

predefinidos y las actividades de monitorización requeridas.

DSS02. Gestionar Peticiones e Incidentes de Servicio: Proveer una respuesta

oportuna y efectiva a las peticiones de usuario y la resolución de todo tipo de incidentes.

Recuperar el servicio normal; registrar y completar las peticiones de usuario; y registrar,

investigar, diagnosticar, escalar y resolver incidentes.

DSS03. Gestionar Problemas: Identificar y clasificar problemas y sus causas raíz y

proporcionar resolución en tiempo para prevenir incidentes recurrentes. Proporcionar

recomendaciones de mejora.

DSS04. Gestionar la Continuidad: Establecer y mantener un plan para permitir al

negocio y a TI responder a incidentes e interrupciones de servicio para la operación

continua de los procesos críticos para el negocio y los servicios TI requeridos y

mantener la disponibilidad de la información a un nivel aceptable para la empresa.

DSS05. Gestionar Servicios de Seguridad: Proteger la información de la empresa para

mantener aceptable el nivel de riesgo de seguridad de la información de acuerdo con la

política de seguridad. Establecer y mantener los roles de seguridad y privilegios de

acceso de la información y realizar la supervisión de la seguridad.

DSS06. Gestionar Controles de Proceso de Negocio: Definir y mantener controles

apropiados de proceso de negocio para asegurar que la información relacionada y

procesada dentro de la organización o de forma externa satisface todos los

requerimientos relevantes para el control de la información.

Dominio MEA: La totalidad de los procesos de TI deben de ser evaluados regularmente

en el tiempo, para conocer su calidad y cumplimiento de los requerimientos de control.

Este dominio incluye la administración del desempeño, el monitoreo del control interno,

el cumplimiento regulatorio y la aplicación del gobierno.

Procesos:
MEA01. Supervisar, Evaluar y Valorar el Rendimiento y la Conformidad:

Recolectar, validar y evaluar métricas y objetivos de negocio, de TI y de procesos.

Supervisar que los procesos se están realizando acorde al rendimiento acordado y

conforme a los objetivos y métricas y se proporcionan informes de forma sistemática y

planificada.

MEA02. Supervisar, Evaluar y Valorar el Sistema de Control Interno: Facilitar a la

Dirección la identificación de deficiencias e ineficiencias en el control y el inicio de

acciones de mejora. Planificar, organizar y mantener normas para la evaluación del

control interno y las actividades de aseguramiento.

MEA03. Supervisar, Evaluar y Valorar la Conformidad con los Requerimientos

Externos: Evaluar el cumplimiento de requisitos regulatorios y contractuales tanto en

los procesos de TI como en los procesos de negocio dependientes de las tecnologías de

la información. Obtener garantías de que se han identificado, se cumple con los

requisitos y se ha integrado el cumplimiento de TI en el cumplimiento de la empresa

general.

Nivel de capacidad de los procesos

Nivel 0 Proceso incompleto—El proceso no está implementado o no alcanza su

propósito. A este nivel, hay muy poca o ninguna evidencia de ningún logro sistemático

del propósito del proceso.

Nivel 1 Proceso ejecutado (un atributo) – El proceso implementado alcanza su

propósito.

Nivel 2 Proceso gestionado (dos atributos) – El proceso ejecutado descrito

anteriormente está ya implementado de forma gestionada (planificado, supervisado y

ajustado) y los resultados de su ejecución están establecidos, controlados y mantenidos

apropiadamente.

Nivel 3 Proceso establecido (dos atributos) – El proceso gestionado descrito

anteriormente está ahora implementado usando un proceso definido que es capaz de

alcanzar sus resultados de proceso.

Nivel 4 Proceso predecible (dos atributos) – El proceso establecido descrito

anteriormente ahora se ejecuta dentro de límites definidos para alcanzar sus resultados

de proceso.

Nivel 5 Proceso optimizado (dos atributos) – El proceso predecible descrito

anteriormente es mejorado de forma continua para cumplir con los metas empresariales

presentes y futuros.

Implementación del ciclo de vida COBIT 5

¿Cuáles son los motivos?

La fase 1 comienza con el reconocimiento y aceptación de la necesidad de una iniciativa

de implementación o mejora. Identifica los puntos débiles actuales y crea el ánimo de

cambio a un nivel de dirección ejecutiva.

¿Dónde estamos ahora?

La fase 2 se concentra en definir el alcance de la iniciativa de implementación o mejora

empleando el mapeo de COBIT de metas empresariales con metas de TI a los procesos

de TI asociados, y considerando cómo los escenarios de riesgos podrían destacar los

procesos clave en los que focalizarse.

¿Dónde queremos ir?

En la fase 3, se establece un objetivo de mejora, seguido de un análisis más detallado

aprovechando las directrices de COBIT para identificar diferencias y posibles

soluciones.

¿Que es preciso hacer?

La fase 4 planifica soluciones prácticas mediante la definición de proyectos apoyados

por casos de negocios justificados. Además, se desarrolla un plan de cambios para la

implementación.

¿Como conseguimos llegar?

En la fase 5 las soluciones propuestas son implementadas en prácticas día a día. Se

pueden definir las mediciones y establecer la supervisión empleando las metas y

métricas de COBIT para asegurar que mantienen la alineación con el negocio y que el

rendimiento puede ser medido.

¿Hemos conseguido llegar?

la fase 6 se focaliza en la operación sostenible de los nuevos o mejorados catalizadores

y de la supervisión de la consecución de los beneficios esperados.

¿Como mantenemos vivo el impulso?

Durante la fase 7, se revisa el éxito global de la iniciativa, se identifican requisitos

adicionales para el gobierno o la gestión de la TI empresarial y se refuerza la necesidad

de mejora continua.

Análisis de Riesgos Informáticos

Vulnerabilidad Amenaza Riesgo

Es una debilidad o fallo en Es toda acción que Es la probabilidad de que
un sistema de información aprovecha una se produzca un incidente
que pone en riesgo la vulnerabilidad para atentar de seguridad,
seguridad de la contra la seguridad de un materializándose una
información pudiendo sistema de información. Es amenaza y causando
permitir que un atacante decir, que podría tener un pérdidas o daños. Se mide
pueda comprometer la potencial efecto negativo asumiendo que existe una
integridad, disponibilidad sobre algún elemento de cierta vulnerabilidad frente
o confidencialidad de la nuestros sistemas. Las a una determinada
misma. amenazas pueden proceder amenaza.
de ataques (fraude, robo,
virus), sucesos físicos
(incendios, inundaciones)
o negligencia y decisiones
institucionales (mal
manejo de contraseñas, no
usar cifrado).

Fuentes de Amenazas

Botnets: conjunto de equipos infectados que

Malware o código malicioso: permite
ejecutan programas de manera automática y
realizar diferentes acciones a un atacante.
autónoma, que permite al creador del botnet
Desde ataques genéricos mediante la
controlar los equipos infectados y
utilización de troyanos, a ataques de
utilizarlos para ataques más sofisticados
precisión dirigidos.
como ataques DDoS.

Servicios en la nube: una empresa que

contrate este tipo de servicios tiene que
tener en cuenta que ha de exigir los mismos
Ingeniería social: Utilizan técnicas de
criterios de seguridad que tiene en sus
persuasión que aprovechan la buena
sistemas a su proveedor de servicios. Se ha
voluntad y falta de precaución de la víctima
de asegurar de contratarlos con empresas
para obtener información sensible o
cuya seguridad este demostrada, y firmar
confidencial.
SLA o ANS (Acuerdos de Nivel de
Servicio) en los que quede definida la
seguridad que necesita la empresa.

Redes sociales: el uso no controlado de este

tipo de redes puede poner en riesgo la
reputación de la empresa.
Amenaza Riesgo negativo; un evento adverso
incierto o condición que, de llegar a ocurrir
resultaría en efectos desfavorables tales
como daños al ambiente, comunidades,
accionistas, reputación, retrasos o pérdidas
económicas.
Control Políticas, procedimientos, prácticas y
estructuras organizacionales diseñadas para
brindar una seguridad razonable de que los
objetivos de negocio se alcanzarán y los
eventos no deseados serán prevenidos o
detectados y corregidos.
Evaluación de riesgos Actividades para determinar el nivel de
exposición de un proceso frente a sus
riesgos, con el propósito de desarrollar
estrategias de mitigación, a través de la
instauración y fortalecimiento de controles.
Gestión de riesgos Cultura, procesos y estructuras que están
dirigidas hacia la administración efectiva
de oportunidades potenciales y efectos
adversos con el ambiente de la
organización.
Riesgo La posibilidad de que, si algo sucede, tenga
un impacto en el cumplimiento de los
objetivos de la organización. El riesgo es
medido en términos de consecuencias y
probabilidad.
Riesgo materializado Es la ocurrencia del evento que fue
identificado en un inicio, es decir, cuando
la probabilidad del riesgo se concreta, se
hace real y hace que el riesgo se cumpla.
Riesgo de tecnología de información El riesgo de TI es la posibilidad de
( TI)
pérdidas económicas derivadas de un
evento relacionado con el acceso o uso de
la tecnología, que afecta el desarrollo de
 los procesos del negocio y la gestión de
riesgos de la entidad, y que puede atentar
contra la confidencialidad, integridad,
disponibilidad, eficiencia, confiabilidad y
oportunidad de la información.
Riesgo Inherente El riesgo originalmente identificado antes
de que alguna acción de control haya sido
implementada.
Riesgo Residual Nivel resultante del riesgo, después de
tomar las medidas con pertinencia y
eficacia combinadas con todos los
controles asociados al riesgo.
Tolerancia al riesgo Tolerancia al riesgo es el nivel aceptable de
variación en el rendimiento en relación con
el logro de los objetivos. Operar dentro de
la tolerancia al riesgo proporciona una
gestión con mayor confianza en que la
entidad alcance sus objetivos.

Pasos del Análisis de Riesgos

Fase 1 Definir el alcance

Fase 2 Identificar los activos

Fase 3 Identificar las amenazas

Identificar
Fase 4 vulnerabilidades

Evaluar
Fase 5 el riesgo

Tratar el
Fase 6 riesgo
3.3. BASES CONCEPTUALES
Riesgo
Según RAE:
Contingencia o proximidad de un daño.
Según ISACA:
Es la combinación de la probabilidad de un evento y su consecuencia.
Según ISO:

Es el efecto de la incertidumbre sobre los objetivos

Nota 1 a la entrada: Un efecto es una desviación respecto a lo previsto. Puede ser

positivo, negativo o ambos, y puede abordar, crear o resultar en oportunidades y

amenazas.

Nota 2 a la entrada: Los objetivos pueden tener diferentes aspectos y categorías, y se

pueden aplicar a diferentes niveles.

Nota 3 a la entrada: Con frecuencia, el riesgo se expresa en términos de fuentes de

riesgo (3.4), eventos (3.5) potenciales, sus consecuencias (3.6) y sus probabilidades

(3.7).

Según PMI:

Evento o condición incierta que, si se produce, tiene un efecto positivo o negativo en

uno o más de los objetivos de un proyecto.

Cooperativa de ahorro y crédito

Según el Consejo Mundial de Cooperativas de Crédito:

La “cooperativa de ahorro y crédito” es una organización cooperativa financiera cuyos

asociados son a la vez propietarios y administradores de la misma sobre una base sin

fines de lucro, de acuerdo con principios democráticos. Su propósito es promover el

ahorro, usar los fondos obtenidos para hacer préstamos y proveer otros servicios
relacionados con los miembros y sus familias. Una cooperativa de ahorro y crédito es

parte de un sistema cooperativo financiero y se adhiere a los principios operativos de

cooperativas de ahorro y crédito establecidos por el WOCCU.

http://www.woccu.org/documents/ESTATUTOS_de_WOCCU_2008

Según al grupo Mancheco, una empresa el cual se basa en asesoría de seguros, publica

en su portal web la siguiente definición:

Las cooperativas de ahorro y crédito son aquellas organizaciones conformadas por

personas naturales o jurídicas que voluntariamente se congregan para realizar

actividades de intermediación financiera y de responsabilidad social con sus socios,

clientes o terceros, bajo los principios de la Ley Orgánica de la Economía Popular y

Solidaria.

https://grupomancheno.com/las-12-cooperativas-de-ahorro-y-credito-mas-prestigiosas-

de-ecuador-segun-datos-seps-2017/

Cooperativa de ahorro y crédito del segmento 2 y 3

Para la Superintendencia de Economía Popular y Solidaria (2015) La Junta de Política

y Regulación Monetaria y Financiera mediante la resolución No. 038-2015-F el 13 de

febrero de 2015 establece la “NORMA PARA LA SEGMENTACIÓN DE LAS

ENTIDADES DEL SECTOR FINANCIERO POPULAR Y SOLIDARIO”, y en su

artículo 1 menciona:

Como menciona la Superintendencia de Economía Popular y Solidaria (2015) En el

“Artículo 1.- Las entidades del sector financiero popular y solidario de acuerdo al tipo y

al saldo de sus activos se ubicarán en los siguientes segmentos:

Segmento Activos (USD)

 1 Mayor a 80'000.000,00

2 Mayor a 20'000.000,00 hasta 80'000.000,00

3 Mayor a 5'000.000,00 hasta 20'000.000,00

4 Mayor a 1'000.000,00 hasta 5'000.000,00

Hasta 1'000.000,00
5
Cajas de Ahorro, bancos comunales y cajas comunales

Artículo 2.- Las entidades de los segmentos 3, 4 y 5 definidas en el artículo anterior se

segmentarán adicionalmente al vínculo con sus territorios. Se entenderá que las

entidades referidas tienen vínculo territorial cuando coloquen al menos el 50% de los

recursos en los territorios donde estos fueron captados." Superintendencia de Economía

Popular y Solidaria (2015)

En el artículo 447 del Código Orgánico Monetario y Financiero se indica que las

cooperativas se ubicarán en los segmentos que la Junta determine. Superintendencia de

Economía Popular y Solidaria (2015)

La Superintendencia de Economía Popular y Solidaria se acoge a lo dispuesto por el

Código Monetario Financiero y precautelando los intereses del Sector de la Economía

Popular y Solidaria. Superintendencia de Economía Popular y Solidaria (2015)

http://www.seps.gob.ec/noticia?nueva-segmentacion-sector-financiero-popular-y-

solidario

Gobierno de TI

El Gobierno de TI consiste en un completo marco de estructuras, procesos y

mecanismos relacionales. Las estructuras implican la existencia de funciones de

responsabilidad, como los ejecutivos y responsables de las cuentas de TI, así como

diversos comités de TI. Los procesos se refieren a la monitorización y a la toma de

decisiones estratégicas de TI. Los mecanismos relacionales incluyen las alianzas y la

participación de la empresa/organización de TI, el diálogo en la estrategia y el

aprendizaje compartido. (Jan van Bon, 2010)

El gobierno de las Tecnologías de la Información (TI) se ha desarrollado enormemente

desde la aparición del estándar ISO/IEC -38500. Sin embargo, las organizaciones suelen

experimentar dificultades a la hora de la implementación del estándar, ya que los

principales interesados pueden llegar a ser excluidos del marco de gobierno, provocando

la ausencia de su necesaria implicación. (Ángel Cobo Ortega)

Se entiende por Gobierno TI, el conjunto de acciones que realiza el área de TI en

coordinación con la alta dirección para movilizar sus recursos de la forma más eficiente

en respuesta a requisitos regulatorios, operativos o del negocio. (TCP, 2014)

Constituye una parte esencial del gobierno de la empresa en su conjunto y aglutina la

estructura organizativa y directiva necesaria para asegurar que TI soporta y facilita el

desarrollo de los objetivos estratégicos definidos.

Garantiza que: • TI está alineada con la estrategia del negocio. • Los servicios y

funciones de TI se proporcionan con el máximo valor posible o de la forma más

eficiente. • Todos los riesgos relacionados con TI son conocidos y administrados y los

recursos de TI están seguros.

4. ASPECTOS METODOLÓGICOS

4.1 Ámbito

Campo: Financiero Cooperativo

Área: Tecnología de la Información

Aspecto: Análisis de procesos de análisis de riesgos tecnológicos.

4.2 Población

La tesis trabaja con una población total que consta del grupo de profesionales

encargados de la administración y manejo de riesgos y del departamento de Sistemas de

las instituciones financieras.

En el momento que se realizó la búsqueda de información en la ciudad de Ambato se

encontraron 10 Cooperativas de ahorro y crédito las cuales estaban en el segmento dos y

tres. Cuando se realizó la investigación al personal administrativo de estas instituciones

financieras, dicho personal tenía acceso o conocimiento acerca de las TI obteniendo un

total de 130 personas.

4.3 Muestra

La muestra se hizo según Vallejo P. (2012) por medio de la siguiente formula:

Donde:

e = Margen de error; para el caso de estudio se trabajará con un margen de error del 3%.

ac = Valor del nivel de confianza (varianza).

N = Población

Dando como resultado una muestra de 116.

4.4 Nivel y tipo de estudio

4.4.1 Nivel de estudio

Investigación Descriptiva

La investigación será descriptiva por que se realizará un análisis para llegar a

determinar la incidencia que tienen la falta de procesos y su incidencia en la detección

de riesgos de TI.

Investigación Explicativa

La investigación es explicativa porque se va a poder sustentar la importancia que tienen

la elaboración de procesos para la disminución de los riesgos de TI utilizando la

metodología COBIT 5.

4.4.2 Tipo de estudio

El presente trabajo de investigación tiene un enfoque cuali- cuantitativo, es cuantitativa

porque se va a utilizar parámetros de medición; también es cualitativa porque se va he

emitir juicios de valor respecto al riesgo operativo en la institución.

4.5 Diseño de la investigación

El diseño de la investigación es transversal, porque se selecciona un periodo corto de

tiempo en una situación de trabajo. Siendo su propósito describir las variables y analizar

su incidencia e interrelación en un momento dado.

4.6 Técnicas e instrumentos

4.6.1 Técnicas

-Encuestas

-Entrevista
 4.6.2 Instrumentos

-Cuestionario de preguntas cerradas

-Inspecciones

5. IMPLEMENTACION

Aspectos generales

Visión

En el año 2020, llegar al segmento 1 con los mejores indicadores financieros

Misión

Promover el desarrollo socioeconómico de la comunidad, brindando productos y

servicios financieros de calidad.

Objetivos estratégicos del negocio

 Lograr un crecimiento sostenido de la cooperativa

 Capitalizar los microempresarios

 Aumentar el impacto social

 Optimizar las operaciones de forma sostenible

 Adoptar la cultura de aprendizaje

OBJETIVO UNID
OBJETIVO
ESTRATÉGI INDICADOR AD DE META
ESPECÍFIC
CO MEDI
O
GENERAL DA
1.- Incrementar la Rentabilidad patrimonial ROA Porcent 1,30%
1.- LOGRAR UN rentabilidad aje
CRECIMIENTO Margen de ingresos financieros Porcent 73%
SOSTENIDO DE aje
LA 2.- Apalancar en Líneas de financiamiento Millones $
COOPERATIVA forma sostenida
4.000.000,00
ROE Porcent 10,10%
aje
3.- Mantener niveles Cartera atrasada
controlados de mora Porcent 5,00%
aje
 1.- Incrementar Cartera total Millones $
el acceso al
crédito y el 7.467.000,00
ahorro
Implementación de canales de
2.- CAPITALIZAR A
distribución Porcent 95%
LOS aje
MICROEMPRESARI
OS 2.- Complementar Número de clientes atendidos
las acciones del en microcréditos Número 6000,00
sistema financiero

3.- Participar en Desarrollar el proceso de

fusiones voluntarias fusión de acuerdo a los Porcent 100%
con otras lineamientos de la SEPS aje
Cooperativas

Implementación del programa

Porcent 100%
de responsabilidad social
3.- AUMENTAR 1.- Generar un aje
EL IMPACTO impacto positivo en Nivel de satisfacción de los
SOCIAL los clientes clientes de los productos y Porcent 95%
servicios aje

Implementación del Código de

Buen Gobierno Corporativo Porcent 95%
1.- Implementar aje
4.- OPTIMIZAR
una cultura de Implementación del Sistema
riesgo y Porcent 95%
LAS de Control Interno
OPERACIONES DE
transparencia aje
FORMA Implementación de Gestión
SOSTENIBLE Integral de Riesgos Porcent 95%
aje
2.- Optimizar el Duración del proceso crediticio
tiempo de Días 4
realización del
proceso crediticio

5.- ADOPTAR LA Modelo de desarrollo del

1.- Contar con
CULTURA DE
personal calificado y
Talento Porcent 100%
APRENDIZAJE Humano (Plan de Carrera aje
motivado
Profesional)

Actividad principal

 Saldos Diarios

 Spread

 Stock de clientes

 Estados financieros

Principales Clientes

Personas naturales y jurídicas.

Principales Productos
  Ahorro a la Vista

 Ahorro Programado

 Ahorro Juvenil

 Ahorro Infantil

 Ahorro Corporativo

 Depósito a Plazo fijo

Principales Servicios

 Tarjetas de Débito

 Remesas Internacionales

 Transferencias Interbancarias

 Educación Financiera

 Bolsa de Empleo

1. Diagnostico Situacional

 FODA

FORTALEZAS OPORTUNIDADES
 Adecuada cobertura geográfica Ayuda de ONG’S.
 Alianzas institucionales Competitividad en el mercado.
 Amabilidad y cortesía con el cliente. Convenios con otras instituciones.
 Buena atención al cliente. Desarrollo tecnológico y lanzamiento de
 Buena relación directivos gerentes nuevos servicios bancarios y de crédito.
colaboradores. La apertura de nuevos mercados.
 Buenos servicios financieros. Tasas de interés bajas, en relación a la
 Intereses bajos. competencia.
 Lealtad y satisfacción de los socios.
 Personal capacitado y comprometido.
 Positiva imagen organizacional
 Recursos propios.
 Responsabilidad social
DEBILIDADES AMENAZAS
 Dependencia de incrementar los socios sin  Cambios de estilos de vida y valores del
publicidad. consumidor que puedan tener una
 Falta de un mix de comunicación. repercusión en los mercados pretendidos y
 Gustos y Preferencias ya que algunas métodos de marketing de la cooperativa.
 personas optan por los bancos.  El Impacto Político, en las decisiones
 Inexistencia de Normas de calidad y mejora económicas, sociales, financieras del país.
de procesos. Llegada de competidores.
 Inexistencia de una cultura de servicio al  Situación volcánica en la provincia
cliente.

 Porter

Amenaza de
los nuevos
entrantes

Poder de
Poder de
negociacion Rivalidad de
competidores negociación
de los
del cliente
proveedores

Amenaza de
productos
substitutos

Rivalidad de Competidores

 Cooperativa de ahorro y crédito Ambato LTDA

 Cooperativa de ahorro y crédito Kullkiwasil LTDA

 Cooperativa de ahorro y crédito Chibuleo LTDA

 Cooperativa de ahorro y crédito Educadores de Tungurahua LTDA

 Cooperativa de ahorro y crédito Maquita Cushun LTDA

 Cooperativa de ahorro y crédito Crediambato LTDA

 Cooperativa de ahorro y crédito Campesina LTDA

 Cooperativa de ahorro y crédito Sembrando LTDA

  Cooperativa de ahorro y crédito Crecer Wiñaril LTDA

La rivalidad de sus competidores es alta ya que sus competidores siempre van a desear

liderar el mercado financiero local y estarán en todo momento en la vanguardia de

ofrecer los mejores productos y servicios.

Amenaza de los nuevos entrantes

Debido al crecimiento económico en Ambato se están presentando nuevos competidores

en el mercado financiero, cubriendo necesidades más específicas o de presupuestos

ajustados a un público que comenzó a ganar valor y dinamismo en los últimos años,

entre ellos se tiene:

 Bancos

 Financiera

 Cajas

 Nuevas cooperativas

Las barreras de ingreso que se deben crear serían:

 Economía de Escala

 Requisitos de capital

 Posicionamiento de marca

 Diferenciación del producto

Amenaza del ingreso de producto Sustituto

Debido al crecimiento de las pequeñas empresas más personas necesitan prestamos

rápidos y con tasas bajas es por ello por lo que las cajas Municipales y rurales tienen

una gran ventaja con sus préstamos fáciles y rápidos a personas naturales y empresas
Poder de negociación de los proveedores

Proveedores de materias de infraestructura y sistema de información:

 Proveedores de equipos

 Servicios de intermediación laboral

 Auditores Externos

 Servicios tercerizados

Proveedores de liquidez:

Vienen a ser los clientes del sector financiero y del rubro quienes a través de su depósito

en cada entidad financiera proveen de liquidez dichas instituciones

Poder de negociación del cliente

Clientes minoristas: Personas naturales y pequeños empresarios

Clientes mayoristas: Medianos empresarios e instituciones

Identificación del problema

Inadecuada administración de la información y tecnología.

2. Aplicación
Análisis GAP General

ACTUAL PROPUESTO
N ITE
o M Casi A Casi A
Siempr Nunc Siempr Nunca
e Siempr Veces a e Siempr Veces
e e
Las herramientas informáticas que utiliza en la
institución, ya sean estas para el manejo de la
3 información financiera y contable, información X X
administrativa, u otra información sirven de
apoyo para la toma de decisiones.
La institución cuenta con un diseño de procesos
4 que recoja las necesidades de las partes X X
interesadas tanto internas como externas
La información que se obtiene de los clientes o
5 socios de la institución financiera es la X X
necesaria para un real conocimiento de los
socios
El personal de la institución conoce y aplica las
6 X X
políticas elaboradas por TI
La administración realiza un tratamiento
7 adecuado para mitigar los riesgos X X
informáticos en la institución
La institución cuenta actualmente con reportes
8 X X
de riesgo de TI

9 X X
Se aplican medidas de control de riesgo dentro
de la institución
 ACTUAL PROPUEST
No. ITE O
M
SI N SI NO
O
1 La Cooperativa cuenta con un manual de funciones para el personal de la misma X X
La información de los procedimientos para el desarrollo de sus funciones es entendible y de
2 X X
su conocimiento
Existe en la institución la planificación, diseño, desarrollo, despliegue, operación, gestión y
12 X X
aplicación de las TI
13 Existe dentro de la institución un Modelo que esté basado en tareas corporativas de TI X X
14 Se encuentra el departamento de TI en el organigrama general de la cooperativa X X
15 La institución tiene un presupuesto destinado al desarrollo y control de TI X X

Riesgo Actual

NIVEL DE RIESGO
ALTO 27,00%
MODERADO 60,00%
ACEPTABLE 13,00%
 Riesgo posterior a la aplicación de las recomendaciones

NIVEL DE RIESGO
ALTO 0,00%
MODERADO 40,00%
ACEPTABLE 60,00%

TOGAF

 Arquitectura de datos
  Arquitectura actual

Entidad Descripción
Cliente Tabla que almacena la información de los clientes y exclientes de las cooperativas
Agencia Contiene la información de las agencias de las cooperativas
Canal Contiene los tipos de atención que usa la cooperativa
Contiene los registros donde se anotan cronológicamente todas las operaciones de la cooperativa, siendo este
Transacción
el periodo actual y cierre de años anteriores
HistorialCrediticio Contiene la calificación e información a nivel de saldos de la cooperativa
Interés Contiene las tasas de interés de la cooperativa
Saldo Contiene los montos de los productos que usan clientes en su moneda seleccionada
Vendedor Contiene la información del trabajador que gestiona la transacción
Línea de crédito Contiene la descripción de la línea de crédito
Moneda Contiene las monedas con las que trabaja la cooperativa
Producto Tabla que almacena la información de los productos y servicios de la cooperativa
Proveedor Contiene la información de los proveedores de la cooperativa
Tipo Cambio Contiene los tipos de cambio de las monedas
Reporte Contiene los códigos de los reportes
Solicitud Contiene las solicitudes de información del área comercial

  Solicitud de actualización Estados Financieros Tablero comercial

Solicitar actualización C R
Descarga de estados financieros R
Migrar a servidor local CRUD
Actualizar Datos U
Aplicar reglas de negocio R R
Actualizar de tablero comercial R UD
Notificar actualización completada U R

 Arquitectura propuesta

Entidad Descripción
Cliente Tabla que almacena la información de los clientes y exclientes de las cooperativas
Agencia Contiene la información de las agencias de las cooperativas
Canal Contiene los tipos de atención que usa la cooperativa
Cuenta Contable Contiene los códigos de operaciones regulados por la SIB
Operación Contiene los registros donde se identifican y anotan cronológicamente todas las operaciones de la cooperativa
Convenio Contiene la información de los partes de la cooperativa
RCC posición Contiene la calificación e información a nivel de saldos de todo el sistema financiero
Interés Contiene las tasas de interés de la cooperativa
Saldo Contiene los montos de los productos que usan clientes en su moneda seleccionada
Funcionario Contiene la información del trabajador que gestiona la transacción con el cliente
Línea Crédito Contiene la descripción de la línea de crédito y la máxima línea de crédito
Moneda Contiene las monedas con las que trabaja la cooperativa
Producto Tabla que almacena la información de los productos de la cooperativa
Tipo Cambio Contiene los tipos de cambio de las monedas
Servicio Tabla que almacena la información de los servicios de la cooperativa
Reporte Contiene los códigos e información básica del reporte
Solicitud Contiene las solicitudes de información del área comercial

  Solicitud de actualización Estados Financieros Tablero comercial

Solicitar actualización C
Procesamiento de datos en la nube CRUD
Aplicar reglas de negocio R R
Actualizar de tablero comercial R UD
Notificar actualización completada U R

 Análisis GAP de Arquitectura de datos

 Arquitectura de procesos
 Arquitectura actual

Arquitectura propuesta
 Análisis GAP de Arquitectura de Negocio

 Arquitectura de sistemas

 Arquitectura actual
  Arquitectura propuesta

 Análisis GAP de Arquitectura de Aplicaciones

 Arquitectura de comunicaciones

 Arquitectura actual

 Arquitectura propuesta
 Análisis GAP de Arquitectura tecnológica
COBIT
Problemáticas de la empresa: A continuación, se muestra las principales problemáticas de las cooperativas que implican la aplicación de
una metodología, en este caso COBIT 5

Mapeo de Preguntas de las Partes Interesadas

Se identificaron las siguientes 6 preguntas de acuerdo a COBIT 5 enfocadas en las problemáticas de la entidad
PREGUNTAS DE LAS PARTES INTERESADAS
¿Como consigo valor del uso de TI? ¿Están los usuarios finales satisfechos con la calidad del servicio de TI
¿Cómo gestiono el rendimiento de TI
¿Cómo puedo explotar mejor las nuevas tecnologías para nuevas oportunidades de negocio
¿Cuáles son los requisitos (de control) de información?
¿Considero todos los riesgos relativos de TI
¿Como controlo el coste de TI? Como utilizo los recursos de TI de la manera más efectiva y eficiente
Mapeo de Metas Corporativas de COBIT 5 y las Preguntas de Gobierno y Gestión
Luego de la elección de las preguntas de las partes interesadas se procede a relacionarlas con las metas corporativas propias de COBIT 5

Metas Corporativas Resultantes:

En base a las metas corporativas de COBIT 5 y las preguntas de los interesados seleccionadas, se tomarán en consideración las siguientes
metas resultantes.

Metas Propias de TI
Mapeo entre Metas Corporativas de COBIT 5 y las metas relacionadas con TI
Se realiza un cruce entre las metas corporativas de COBIT 5 y las metas relacionadas con las TI. Luego se realiza una ponderación entre el
puntaje obtenido de cruce. Se considera P a los procesos primarios y S a los secundarios con una puntación de 2 y 1 punto respectivamente.
Metas Relacionadas con TI de COBIT 5 Resultantes
Se consideran las metas de TI con mayor ponderación

Mapeo entre las Metas Relacionadas con las TI de COBIT 5 y los Procesos
Se realiza el cruce de ponderación entre los procesos de COBIT 5 y las metas relacionadas de TI seleccionadas
Selección de Procesos Catalizadores Prioritarios
Finalmente, se considerarán en la implementación los procesos catalizadores con mayor ponderación
6. RESULTADOS

Matriz de determinación de riesgo

Con los procesos de COBIT seleccionados y con la revisión de la situación actual en la institución, se propone las actividades a realizar
para mitigar el riesgo identificado, así como el área o persona responsable de elaborar la tarea dentro de cada proceso.

Matriz operativa de la propuesta

Domini Proceso Descripción Situación actual Actividad Responsable

o
No se tiene una visión Definir un plan
Pretender la aceptación clara de riesgo estratégico de TI en el
y la tolerancia al riesgo informático por parte de que se identifiquen los
Asegurar la optimización Encargado de la
EDM03 de la institución para la institución, no se han posibles riesgos de TI y
del riesgo gestión de las TI en
que estos sean evaluado todos los su tratamiento.
la institución
entendidos, riesgos a los que los
comunicados y recursos de TI de la Definir un
gestionados. institución están modelo de
expuestos. gobierno de TI
No existe una
planificación detallada Definir un plan
Asegurar que las
para los recursos de TI. estratégico de TI.
Asegurar la capacidades Encargado de la
EDM04 Las aprobaciones de
optimización de relacionadas con las TI gestión de las TI en
inversión se realizan Definir el POA y
recursos están disponibles para la institución
desde la Alta Gerencia presupuesto de TI
lograr los objetivos a un
sin que tenga una
costo óptimo
planificación de dicha
inversión.
No se tiene un plan
estratégico de tecnología Definir un plan
Identificar la misión y la
alineado con el plan estratégico de TI.
visión corporativa de
estratégico de la
TI. Implementar y
Gestionar el marco de institución. Existe la Definir un Encargado de la
APO01 mantener mecanismos
gestión de TI predisposición de modelo de gestión de las TI en
para la gestión de la
establecer políticas, gobierno de TI la institución
información y el uso de
procedimientos y
TI para apoyar los
procesos de Definir políticas
objetivos de gobierno
cumplimiento, sin y
embargo, no se procedimientos
encuentran totalmente de TI
 definidos ni
documentados
No se tiene una
Identificar, evaluar y
evaluación de riesgos ni Definir el
reducir los riesgos
los procesos definidos modelo de Encargado de la
relacionados con TI de
APO12 Gestionar los riesgos para las decisiones de Gobierno de TI gestión de las TI en
forma continua, dentro
negocio. La institución no la institución
de niveles de
toma en cuenta los Implementar la Jefe de Riesgos.
tolerancia establecidos
impactos en el negocio gestión de riesgos
por la alta gerencia de
asociados a las de TI
la institución.
vulnerabilidades de
seguridad. El área de
riesgos no ha establecido
como relevante la
adquisición de soluciones
de TI.
Se tiene establecido una Definir el
política de seguridad de modelo de
la información, sin Gobierno de TI.
embargo, la misma se
Encargado de la
Definir, implementar y encuentra desactualizada Definir políticas y
gestión de las TI en
APO13 Gestionar la seguridad supervisar un sistema y no se ha comunicado a procedimientos de TI.
la institución
para la gestión de la todo el personal de la
seguridad de la institución. Implementar la
Jefe de Riesgos.
información. gestión de riesgos
de TI.

Actualizar y sociabilizar las

políticas actuales.
El proceso y la
Gestionar todos los
metodología de
programas y proyectos
administración de
del portafolio de
proyectos de TI no han
inversiones de forma
sido establecidos y
coordinada y en línea
comunicados. Los
Gestionar programas y con la estrategia Difundir el enfoque de Encargado de la gestión
BAI01 proyectos de TI no se
proyectos corporativa. administración de de las TI en la institución
monitorean, con
proyectos
cronogramas y
mediciones de
presupuesto y
desempeño definidos y
actualizados. La
estrategia general de TI
aún no incluye una
definición consistente de
 los riesgos, calidad y
aseguramiento.
Las operaciones de Definir y Aplicar
Coordinar y ejecutar
soporte de TI son SLA’s y OLA’s.
las actividades y los
informales e intuitivas y
procedimientos
no son documentadas. Definir políticas y
operativos requeridos Encargado de la
procedimientos de TI.
para entregar servicios gestión de las TI en
DSS01 Gestionar las operaciones
de TI tanto internos la institución
Implementar la
como externos,
gestión de riesgos
incluyendo la ejecución Jefe de Riesgos.
de TI.
de procedimientos
operativos estándar
Implementar la gestión de
predefinidos y las
continuidad del negocio
actividades de
monitorización
requeridas.
Gestionar los servicios de Proteger la información Los servicios de terceros Definir el modelo de Encargado de la gestión
DSS05 seguridad de la pueden no cumplir con los Gobierno de TI. de las TI en la institución
institución para mantener requerimientos específicos
aceptable el nivel de de seguridad de la Definir políticas y
riesgo empresa. Existe una procedimientos de TI.
de seguridad de la política de TI definida
información de donde existen aspectos Implementar la gestión de
acuerdo con la política limitados de seguridad de riesgos de TI.
de seguridad. información. La seguridad
de TI es vista
Establecer y mantener primordialmente como
los roles de seguridad responsabilidad y
y privilegios de acceso disciplina de TI, y el
de la información y negocio no ve la seguridad
realizar la supervisión de TI como parte de su
de la seguridad. propia disciplina.
Definir y mantener No se tienen definidos y
controles apropiados de levantados procesos
proceso de negocio tecnológicos para la
para asegurar que la determinación de controles
información relacionada de la información. Estos
procesos deben estar Definir el plan estratégico
y procesada dentro de
mapeados con los de TI.
la organización o de
Gestionar los controles de procesos de negocio de la Encargado de la
forma externa satisface
procesos de la institución institución. Definir políticas y gestión de las TI en
DSS06 todos los procedimientos de TI 7. la institución
requerimientos
relevantes para el
Implementar la gestión de Jefe de Riesgos.
control de la
riesgos de TI.
información. Identificar
 los requisitos de control
de la información y
gestionar y operar los
controles adecuados
para asegurar que la
información y su
procesamiento satisfacen
estos requerimientos.
Recolectar, validar y El jefe de TI reconoce
evaluar métricas y una necesidad de
objetivos de negocio, de recolectar y evaluar Definir y Aplicar SLA’s
TI y de procesos. información sobre los y OLA’s. Encargado de la
Supervisar que los procesos de monitoreo, gestión de las TI en
Monitorear, evaluar y procesos se están sin embargo, no se han Definir políticas y la institución
MEA01 realizando acorde al
valorar el desempeño y realizado procesos de procedimientos de TI.
conformidad rendimiento acordado y auditoría y control. El Gerencia. Auditoría
conforme a los objetivos monitoreo por lo general Planificar procesos de
y métricas y se se realiza de forma auditoría interna/externa.
proporcionan informes de consecuente en algún
forma sistemática y incidente que ha
planificada. ocasionado pérdida o
irregularidades dentro de
la institución.

Análisis de Costos y Beneficios

Análisis de Costos
Costos Directos

Service Custom Region Description Estimated monthly Estimated upfront

type name cost cost
Virtual West US 1 D8 v3 (8 vCPU, 32 GB de RAM) x $610.33 $0.00
Machines 730 Horas; Windows – (solo SO);
Pago por uso; 0 discos de sistema
operativo administrados: S4,
100 unidades de transacción; Tipo
de transferencia interregional, 5 GB
de transferencia de datos de salida
de West US a East Asia
Azure Data Central US Pago por uso: 500 TB Storage, 0 $19,558.40 $0.00
Lake transacciones de lectura, 0
transacciones de escritura
Storage
Gen1
Azure SQL East US 2 Base de datos única, Núcleo $1,943.79 $0.00
Database virtual, Almacenamiento de copia
de seguridad RA-GRS, Uso
general, Aprovisionado, Gen 5,
Redundancia local, 1, instancias 8
vCore x 730 Horas, 4096 GB de
almacenamiento, 0 GB de
almacenamiento de copia de
seguridad
Azure East US 1.002.000 llamadas API estándar, 1 $1.62 $0.00
Monitor máquinas virtuales supervisadas y
1 métricas supervisadas por
máquina virtual, 1 alertas de
registros con una frecuencia de 5
 minutos, 1000 correos
electrónicos, 1000 notificaciones
push, 100.000 webhooks, NaN
SMS en Estados Unidos (+1)
Azure West US Carga de trabajo Proceso multiuso, $504.80 $0.00
Databricks nivel Premium, 1 D3V2 (4 vCPU, 14
GB DE RAM) x 730 Horas, Pago
por uso, 0.75 DBU x 730 Horas
Support Support $0.00 $0.00
Licensing Program Microsoft Online Services Agreement
Total $22,618.93 $0.00

Elaboración del manual de buenas practicas $50

Costos Indirectos

Capacitación al personal $1,000

Auditoria $150

Análisis de Beneficios

1 Mejora en el tiempo de respuesta de los servicios brindados

2 Disminución el riesgo de pérdida de información por falta de memoria

3 Aumentar los beneficios en las acciones comerciales, a través de la mejora en la consulta de estados financieros.

4 Disminuir los riesgos de la data sensible por medio de un manual de buenas prácticas para la trata de esta.

5 Optimizar los recursos utilizados por medio de una arquitectura tecnológica hibrida.

6 Optimizar las operaciones de TI por medio de una correcta documentación

Optimizar el presupuesto de TI por medio de un plan de inversión o desarrollo entre el departamento de TI y la alta
7
gerencia
7. CONCLUSIONES
 Al plantear la propuesta, el personal administrativo de la Cooperativa
Indígena SAC no consideraba el riesgo informático como parte fundamental
en la gestión de riesgos debido a que analizaban únicamente indicadores y
reportes financieros. No se consideraban los riesgos y pérdidas que puede
ocasionar la no adecuada gestión de los recursos de TI. Al determinar los
principales procesos utilizando la metodología COBIT 5 para el tratamiento
de dichos riesgos se pudo proponer distintos planes de acción o actividades
que, al ser comunicados, entendidos, ejecutados y monitoreados por cada
persona dentro de la institución, se obtendría como resultado la disminución
del impacto que pudieran provocar si no se llegase a tratar el riesgo analizado.

 La aplicación de la propuesta basada en la metodología COBIT 5 permitió

determinar los principales procesos de TI para el tratamiento de los riesgos
informáticos en la institución, los cuales son: Asegurar la optimización de
riesgo (EDM03), asegurar la optimización de recursos ( EDM04), gestionar el
marco de gestión de TI (APO01), gestionar los riesgos (APO12), gestionar la
seguridad (APO13), gestionar programas y proyectos (BAI01), gestionar las
operaciones (DSS01), Gestionar los servicios de seguridad (DSS05),
gestionar los controles y procesos de la institución (DSS06), y; monitorear,
evaluar y valorar el desempeño y conformidad (MEA01).

 Se determina de forma teórica y práctica que la aplicación de la metodología

COBIT 5 permitió, en primera instancia establecer los riesgos informáticos
presentes, y posteriormente crear alternativas de solución para minimizar el
impacto de dichos riesgos.

 Al basarse la propuesta en una metodología aceptada internacionalmente y

que abarca varios estándares normativos, permitirá a la institución brindar
mayor confianza a sus clientes manejando de una forma ordenada y
responsable los principios de seguridad de la información: confidencialidad,
 integridad y disponibilidad.

8. CONCLUSIONES DEL GRUPO SOBRE LA TESIS

 Se concluye que este trabajo nos mostró un panorama de cómo funciona el marco de

COBIT5 aplicado en una organización, cuáles son los pasos a seguir, desde conocer

el estado actual en el que se encuentra hasta como esta añade valor a la misma.

 Se concluye que el trabajo de investigación propuesto por el autor da las medidas

para poder mitigar los riesgos que se establecen por medio de los procesos

catalizadores de COBIT5 en la perspectiva actual de la empresa y un manual de

buenas prácticas para reforzar la seguridad informática en esta.

 El objetivo de la implementación de COBIT5 es poder contar con una organización

apoyada en TI que apoye a la seguridad de la información y utilización de ese

conocimiento de TI dentro de la organización, de una forma útil, a través de la

utilización del mismo por todos los integrantes de la organización, para así agilizar

y optimizar sus procesos.

 En conclusión, se busca disminuir los riesgos operativos para agilizar los procesos

de TI y las acciones comerciales.

 REFERENCIAS

Núñez, N. (2015). Desarrollo de un Modelo de Gobierno y Gestión de TI para empresas

con los servicios de TI Tercerizados Caso de estudio: empresa de la industria

financiera. [Trabajo de maestría, Universidad de las Américas]. Repositorio Digital

http://dspace.udla.edu.ec/bitstream/33000/5120/1/UDLA-EC-TMGSTI-2015-29.pdf

Ebla, C. (2016). Modelo de Gestión de las Tecnologías de Información para Entidades

Financieras de la Ciudad de Riobamba. [Proyecto de investigación de Maestría,

Universidad Regional Autónoma de los Andes]. Repositorio Digital

http://45.238.216.28/bitstream/123456789/5331/1/PIUAMIE007-2016.pdf

Dávila, T. (2017) Propuesta de rediseño del sistema de pagos interbancarios aplicando

arquitectura empresarial en el Banco Central del Ecuador [Trabajo de maestría,

Universidad de las Américas]. Repositorio Digital

http://dspace.udla.edu.ec/bitstream/33000/8278/1/UDLA-EC-TMGSTI-2017-20.pdf

Barrera Barragán, C. G. (2019). Análisis de Riesgos Informáticos en las Cooperativas de

Ahorro y Crédito de los Segmentos 2 y 3 en la ciudad de Ambato utilizando COBIT

5 (Master's thesis, Universidad Técnica de Ambato. Facultad de Ingeniería en

Sistemas, Electrónica e Industrial. Maestría en Gerencia de Sistemas de

Información).

https://repositorio.uta.edu.ec/bitstream/123456789/29847/1/Tesis_t1586msi.pdf
Isaca, C. (2012). 5: Un Marco de Negocio para el Gobierno y la Gestión de las TI de la

Empresa. Rolling Meadows. https://articulosit.files.wordpress.com/2013/07/cobit5-

framework-spanish.pdf

Cooperativa de ahorro y crédito indígena. https://coopsac.fin.ec/