EVALUACIÓN FINAL

SISTEMAS DE CONTROL Y GOBIERNO DE TI

EVALUACIÓN FINAL

INSTRUCCIONES:
● El alumno debe leer el compromiso ético de la evaluación.
● El alumno debe redactar su apellido, nombre y DNI, en el párrafo del compromiso ético caso
contrario la evaluación no será corregida.
● El alumno deberá leer detenidamente cada una de las indicaciones de la evaluación con la
finalidad de cumplir con todos los puntos solicitados.

COMPROMISO ÉTICO:
YO, Israel Bautista con DNI 73809524 me responsabilizo por el contenido de esta evaluación.
Afirmo ser el autor de las respuestas a las preguntas realizadas. Asimismo, aseguro no haber
tomado parcial o totalmente ningún texto académico de alumnos de esta institución u otras ni
documentos generales de la web u otras fuentes sin haber colocado la cita correspondiente.
 
Sé que esta actividad podrá ser analizada con los filtros de SafeAssign, los cuales compararán los
textos con Global Reference Database, archivos de documentos institucionales, internet y ProQuest
ABI/Inform Journal Database. Soy consciente de que se aplicará el reglamento vigente de estudios y
las sanciones que correspondan de encontrarse irregularidades en cuanto al contenido enviado en
la evaluación. 

1) CASO: “EMPRESA DINNAMICAL” (5 Puntos)

La empresa Dinnamical ha reportado que ha sufrido múltiples problemas de ataques

malintencionados e infecciones de malware en su red interna desde el año 2019 hasta la
actualidad. Desde inicios de la pandemia estos problemas se han intensificado por lo que el
departamento de TI a tratado de dar solución a todas las incidencias pero no siempre han tenido
éxito en retomar el control y la seguridad de la red interna, todo ello ha generado malestar en la
gerencia quedando insatisfecha porque en gran medida se ha perdido no solo tiempo de
producción, sino también se ha perdido información muy importante que es utilizada por las
diversas áreas internas de la empresa, todo ello en suma atenta contra la continuidad y
disponibilidad del negocio.

1 de 8
EVALUACIÓN FINAL

Una de las muchas dolencias que ha sufrido y se espera no sufrir nuevamente es el de infecciones
por ransomware. Queda claro que internamente el departamento de TI agota esfuerzos y voluntad
en mantener asegurada la red interna, pero en la práctica no siempre tienen éxito, por lo que es
recurrente que la red interna sufra de ataques, infecciones, malos manejos del internet, entre otras
amenazas.

La gerencia general y los directivos de la empresa tienen la voluntad de apoyar y hacer frente a
estos problemas que pueden ocurrir en cualquier momento, por lo que constantemente se
preguntan muy preocupados si la información y la red interna de la empresa donde se gestiona la
misma (la información) se encuentran asegurados.

El departamento de TI se ha comprometido en implementar medidas para mejorar la situación

actual y satisfacer las necesidades actuales de la empresa, por lo que propuesto implementar el
marco de gobierno y gestión de TI de COBIT 5 con una perspectiva hacia la solución de la
problemática actual (seguridad de la información, seguridad informática y ciberseguridad).

Para la solución de esta problemática debe hacer uso de la herramienta “La cascada de metas de
COBIT 5”

A REALIZAR:

a) Analizar el caso e indicar cuál o cuáles son las metas corporativas que considerará para el
tratamiento de esta problemática. (5 puntos)

b) Analizar el caso e indicar cuál o cuáles son las metas relacionadas con las TI que
considerará para el tratamiento de esta problemática. (5 puntos)

c) Analizar el caso e indicar cuál o cuáles son los procesos de COBIT 5 que considerará para el
tratamiento de esta problemática. (5 puntos)

d) En base al proceso o procesos identificados para abordar esta problemática describir que
subprocesos y actividades pondría en práctica (explicar con sus propias palabras) . (5
puntos)

NOTA: Se adjunta en la carpeta de blackboard: “EF2086 – EVALUACIÓN FINAL” todos los

documentos que va necesitar para resolver el caso propuesto.

2 de 8
 EVALUACIÓN FINAL

a)
Seguridad de
Dimensión
Metas Corporativas la Seguridad Ciberseguridad
del CMI
Información Informática
1. Valor para las partes interesadas de las Inversiones de
Negocio      
2. Cartera de productos y servicios competitivos      
Financiera
3. Riesgos de negocio gestionados (salvaguarda de activos)      
4. Cumplimiento de leyes y regulaciones externas      
5. Transparencia financiera      
6. Cultura de servicio orientada al cliente      
7. Continuidad y disponibilidad del servicio de negocio      
Cliente 8. Respuestas ágiles a un entorno de negocio cambiante      
9. Toma estratégica de Decisiones basada en Información      
10. Optimización de costes de entrega del servicio      
11. Optimización de la funcionalidad de los procesos de
negocio      
12. Optimización de los costes de los procesos de negocio      
Interna
13. Programas gestionados de cambio en el negocio      
14. Productividad operacional y de los empleados      
15. Cumplimiento con las políticas internas      
Aprendizaje 16. Personas preparadas y motivadas      
y
Crecimiento 17.Cultura de innovación de producto y negocio      

1. Valor para las partes interesadas de las Inversiones de Negocio

3. Riesgos de negocio gestionados (salvaguarda de activos)
6. Cultura de servicio orientada al cliente
7. Continuidad y disponibilidad del servicio de negocio
9. Toma estratégica de Decisiones basada en Información
11. Optimización de la funcionalidad de los procesos de negocio
13. Programas gestionados de cambio en el negocio

3 de 8
EVALUACIÓN FINAL

b)

1. Alineamiento de TI y estrategia de negocio

7. Entrega de servicios de TI de acuerdo a los requisitos del negocio
8. Uso adecuado de aplicaciones, información y soluciones tecnológicas
16. Personal del negocio y de las TI competente y motivado

c)

4 de 8
EVALUACIÓN FINAL

EDM01 Asegurar el Establecimiento y

Mantenimiento del Marco de Gobierno
EDM02 Asegurar la Entrega de Beneficios
APO01 Gestionar el Marco de Gestión de TI
APO02 Gestionar la Estrategia
APO07 Gestionar los Recursos Humanos

d)
EDM01
EDM01.01 Evaluar el sistema de gobierno
2. Determinar la relevancia de TI y su papel con respecto al negocio.
5. Determinar las implicaciones del entorno de control conjunto de la empresa con respecto a TI.

5 de 8
EVALUACIÓN FINAL

6. Articular los principios que guiarán el diseño de la toma de decisiones sobre el gobierno de TI
8. Determinar los niveles apropiados para la delegación de autoridad, incluyendo reglas de
umbrales, para las decisiones de TI.
EDM01.02 Orientar el sistema de gobierno.
3. Asignar responsabilidad, autoridad y la responsabilidad de que se apliquen los principios de
diseños de gobierno, los modelos de toma de decisión y de delegación acordados.
4. Garantizar que los mecanismos de notificación y de comunicación proporcionan información
adecuada a aquellos con la responsabilidad de la supervisión y toma de decisiones.

EDM02
EDM02.02 Orientar la optimización del valor
3. Orientar a la dirección para considerar usos potenciales de TI innovadoras que posibiliten que
la empresa responda a nuevas oportunidades y desafíos, lleve a cabo nuevos negocios, incremente
la competitividad o mejore sus procesos.
5. Definir y comunicar a nivel de empresa los objetivos de entrega de valor y las medidas de
resultados para permitir un control eficaz
7. Recomendar la consideración de innovaciones potenciales, cambios organizativos o mejoras
operativas que desde las iniciativas TI pudieran impulsar un incremento de valor para la empresa.
EDM02.03 Supervisar la optimización de valor
2. Recoger los datos pertinentes, oportunos, completos, fiables y precisos para informar sobre los
avances en la entrega de valor respecto a los objetivos. Obtener una sucinta, de alto nivel,
completa vista de la cartera, programa y desempeño TI (capacidades técnicas y operativas) que
soporten la toma de decisiones y aseguren que los resultados esperados se están logrando.
5. Tras la revisión de los informes, asegúrese de que las medidas correctivas apropiadas son
iniciadas y controladas.

APO01
APO01.02 Establecer roles y responsabilidades.
3. Contribuir al proceso de continuidad del servicio de TI manteniendo actualizada la
información de contacto y las descripciones de roles de la empresa.
7. Estructurar los roles y las responsabilidades para reducir las posibilidades de que un solo rol
pueda comprometer un proceso crítico.
APO01.05 Optimizar la ubicación de la función de TI
3. Definir la ubicación de las funciones de TI y obtener aprobación.
APO01.06 Definir la propiedad de la información (datos) y del sistema.
1. Proveer políticas y directrices para asegurar la adecuación y consistencia de la clasificación de
la información (datos) en toda la empresa
3. Crear y mantener un inventario de la información (sistemas y datos) que incluya un listado de
los propietarios, custodios y clasificaciones. Incluir los sistemas subcontratados y aquellos cuya
propiedad debe permanecer dentro de la empresa.
4. Definir e implementar procedimientos para asegurar la integridad y consistencia de toda la
información almacenada en formato electrónico, tales como bases de datos, almacenes de datos
(data warehouses) y archivos de datos.
APO01.07 Gestionar la mejora continua de los procesos
1. Identificar los procesos críticos de negocio basándose en el rendimiento, cumplimiento y los
riesgos relacionados. Evaluar la capacidad del proceso e identificar objetivos de mejora. Analizar
las diferencias en la capacidad y control del proceso. Identificar las opciones de mejora y
rediseño de procesos. Priorizar iniciativas para la mejora de procesos basadas en el potencial
coste-beneficio.
2. Considerar las maneras de mejorar la eficiencia y eficacia (p. ej., mediante formación,
documentación, estandarización y automatización de procesos

APO02
APO02.03 Definir el objetivo de las capacidades de TI.

6 de 8
EVALUACIÓN FINAL

3. Definir los objetivos/metas de TI a alto nivel y cómo contribuirán a los objetivos de negocio
empresariales
4. Definir el proceso de negocio requerido y deseado, las capacidades y los servicios de TI;
describir los cambios a alto nivel en la arquitectura empresarial (negocio, información, datos,
aplicaciones y dominios tecnológicos), el negocio, los procesos y procedimientos de TI, la
estructura organizativa de TI, proveedores de servicios tecnológicos, gobierno de TI y las
habilidades y competencias.
6. Demostrar trazabilidad de la estrategia del negocio y sus necesidades.
APO02.05 Definir el plan estratégico y la hoja de ruta
1. Definir las iniciativas necesarias para cerrar las diferencias y migrar del entorno actual al
deseado, incluyendo el presupuesto de inversión/operativo, fuentes de financiación y estrategia de
provisión.
5. Crear una hoja de ruta indicando la planificación y las interdependencias de las iniciativas.
6. Traducir los objetivos en medidas de resultado representadas por métricas (qué) y objetivos
(cuánto) que puedan ser relacionados con los beneficios empresariales.
7. Obtener formalmente soporte de las partes interesadas y obtener aprobación del plan.

APO07
APO07.02 Identificar personal clave de TI.
1. Minimizar la dependencia en una sola persona en la realización de una función crítica de
trabajo mediante la captura de conocimiento (documentación), el intercambio de conocimientos,
la planificación de la sucesión, el respaldo (backup) del personal, el entrenamiento cruzado e
iniciativas de rotación de puestos.
APO07.05 Planificar y realizar un seguimiento del uso de recursos humanos de TI y del negocio
1. Crear y mantener un inventario de recursos humanos de negocio y TI.
3. Identificar las carencias y proporcionar datos de entrada a planes de aprovisionamiento, así
como a los procesos de contratación de la empresa y de TI. Crear y revisar el plan de personal,
haciendo seguimiento del uso real.
4. Mantener información adecuada sobre el tiempo dedicado a diferentes tareas, trabajos,
servicios o proyectos.
APO07.06 Gestionar el personal contratado.
1. Implementar políticas y procedimientos que describan cuándo, cómo y qué tipo de trabajo
puede ser realizado o incrementado por consultores y/o contratistas, de acuerdo con la política de
contratación de TI de la organización y el marco de control de TI.
2. Obtener un acuerdo formal por parte de los contratistas en el inicio del contrato en cuanto a
que están obligados a cumplir con el marco de control de TI de la empresa, tal como políticas de
control de seguridad, control de acceso físico y lógico, uso de las instalaciones, requisitos de
confidencialidad de la información y los acuerdos de confidencialidad.
4. Proporcionar a los contratistas una definición clara de sus funciones y responsabilidades como
parte de sus contratos, incluidos requisitos explícitos para documentar su trabajo en base a
normas y formatos previamente acordados
8. Llevar a cabo revisiones periódicas para asegurarse de que las funciones de los contratistas y
sus derechos de acceso son adecuadas y en línea con los acuerdos.

7 de 8
EVALUACIÓN FINAL

8 de 8