FASE 5 DOCUMENTACIÓN DE ESTRATEGIAS

AUGUSTO GIOVANNI CONDE

CHRISTIAN CAMILO MONTANEZ RAMIREZ
JOHN ALEJANDRO ACOSTA CHACON
MIGUEL IGNACIO URBANO BARRIOS
OSCAR DAVID VELASQUEZ

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
BOGOTÁ
2022
 FASE 5 DOCUMENTACIÓN DE ESTRATEGIAS

AUGUSTO GIOVANNI CONDE

CHRISTIAN CAMILO MONTANEZ RAMIREZ
JOHN ALEJANDRO ACOSTA CHACON
MIGUEL IGNACIO URBANO BARRIOS
OSCAR DAVID VELASQUEZ

CÓDIGO: 219016

TUTOR
Ing. YOLIMA ESTHER MERCADO

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
BOGOTÁ
2022
 CONTENIDO

pág.

INTRODUCCIÓN...............................................................................................................6
1 JUSTIFICACIÓN.........................................................................................................7
2 OBJETIVOS...............................................................................................................8
2.1 OBJETIVO GENERAL................................................................................................................. 8
2.2 OBJETIVO ESPECÍFICO.............................................................................................................. 8

3 DESARROLLO DEL TRABAJO.....................................................................................9

3.1 Definición de proyectos......................................................................................................... 10
3.2 El marco de referencia COBIT 5 define siete categorías de catalizadores.................................13
3.2.1 Catalizador 1 - Principios, Políticas y Frameworks.....................................................................14
3.2.2 Catalizador 2 - Procesos.............................................................................................................15
3.2.3 Catalizador 3 - Estructuras Organizacionales.............................................................................15
3.2.4 Catalizador 4 - Cultura, Ética y Comportamiento.......................................................................15
3.2.5 Catalizador 5 - Información........................................................................................................15
3.2.6 Catalizador 6 - Servicios, Infraestructura y aplicaciones............................................................15
3.2.7 Catalizador 7 - Personas, Habilidades y Competencias..............................................................15
3.3 Definición de las metricas...................................................................................................... 16

4 CONCLUSIONES......................................................................................................18
BIBLIOGRAFÍA...............................................................................................................19

3
 LISTA DE TABLAS

pág.

Tabla 1 Procesos de Gobierno de TI___________________________________________________________9

Tabla 2 Procesos de Gestión de TI_____________________________________________________________9
Tabla 3. Aseguramiento y gestión de Gobierno de TI_____________________________________________10
Tabla 4. Alineamiento de COBIT e ISO 38500.__________________________________________________15
Tabla 5. METRICAS_______________________________________________________________________16

4
 LISTA DE ILUSTRACIONES

pág.

Ilustración 1. Los Siete Catalizadores COBIT versión 5____________________________________________14

5
 INTRODUCCIÓN

El buen funcionamiento de la entidad financiera Banco Americano con grandes

esfuerzos por sobresalir en el campo de la prestación de servicios de venta y
alquiler de vehículos y con el objetivo de ser eficientes para todos sus clientes e
incluso a su interior , debe plantear estrategias que le permitan asegurar el
cumplimiento de las metas y objetivos por ello, usaran estándares y marcos de
gobernanza de TI para evaluar, monitorear e incluso dirigir y así conseguir buenos
estándares de seguridad Se utilizaran para tal fin las normas ISO 38500 y COBIT
5 pues son los más reconocidos y darán gestión a las estrategias del ejercicio en
curso.

6
 1 JUSTIFICACIÓN

Dado que para proponer unas buenas estrategias para cualquier entidad, existen
normas como por ejemplo la ISO 38500 que nos ayuda a tener un buen Gobierno
de TI brindando una serie de lineamientos que promueven la evaluación objetiva y
su gestión para que los procesos sean controlados y el COBIT en su versión
número 5 que nos brinda una ayuda para la obtención de un alto valor de TI que
se puede usar para cualquier entidad de pequeña o grande bien sea del sector
público o privado por ello es funcional para Banco Americano , estas normas
benefician a todo tipo de organizaciones empresas a fin de facilitar su evaluación
objetiva.

7
 2 OBJETIVOS

2.1 OBJETIVO GENERAL

Proponer con esta actividad colaborativa, estrategias de Gobernanza TI en

seguridad informática para el entorno de aprendizaje del caso de estudio 2022
(16-1) Banco Americano empresa dedicada a la prestación de servicios de venta y
alquiler de vehículos.

2.2 OBJETIVO ESPECÍFICO

 Examinar y evaluar los procesos de gobernanza de TI asociados a la

seguridad informática bajo los modelos de gestión y seguridad TI.

 Elaborar indicadores para medir la consecución de los objetivos

estratégicos de TI.

8
 3 DESARROLLO DEL TRABAJO

Teniendo en cuenta la situación que se ha venido trabajando en las fases

anteriores el equipo debe documentar las estrategias que propone para
Gobernanza TI en la entidad financiera, basándose en la norma ISO 38500 y su
alineación con COBIT 5.

ISO/IEC 38500:2015 el objetivo de esta norma es entregar principios y

definiciones guion modelo organizacional a la hora de utilizar, evaluar, dirigir y
monitorear el uso de las tecnologías de la información dentro de las
organizaciones. esta norma entrega principios y definiciones y adicionalmente un
modelo para el buen gobierno de las TI. ya a los más altos niveles de las
organizaciones a entender y cumplir las organizaciones legales regulatorias y
éticas relativas a la utilización de las ti en sus organizaciones.

su propósito es promover el uso eficaz y eficiente y aceptable las TI en toda la

organización asegurando que las partes involucradas siguen los principios y
prácticas propuestas por la norma. da la orientación a los órganos de gobierno en
el uso de la estrella en la organización y el establecimiento de un vocabulario de
gobernanza de TI. 1

Tabla 1 Procesos de Gobierno de TI

Procesos de Gobierno de TI
Evaluar, Orientar Y Supervisar

EDM01 Asegurar el establecimiento y mantenimiento de Marco de Gobierno

EDM02 Asegurar la entrega de beneficios
EDM03 Asegurar la Optimización del Riesgo
Fuente: Elaboración propia.

Tabla 2 Procesos de Gestión de TI

Alinear, Planificar Y Organizar

AP001 Gestionar el Marco de Gestión de TI
AP002 Gestionar la estrategia
AP003 Gestionar la arquitectura empresarial

1
Darío Javier Robayo Jácome y Verónica De Las Mercedes Villarreal Morales, «Convergencia de
COBIT e ISO 38500 en el Gobierno de Tecnologías de la Información», INNOVA Research Journal
5, n.o 2 (7 de mayo de 2020): 1-25, https://doi.org/10.33890/innova.v5.n2.2020.1163.

9
 AP007 Gestionar los recursos humanos
AP008 Gestionar las relaciones
Construcción, Adquisición E Implementación
BAI02 Gestionar la definición de requisitos
BAI06 Gestionar los Cambios
Entregar, Dar Servicio Y Soporte
DSS04 Gestionar la Continuidad
DSS05 Gestionar los Servicios de Seguridad
Supervisión, Evaluación Y Verificación
MEA01 Supervisar, Evaluar y Valorar Rendimiento y Conformidad
Fuente: Elaboración propia.

Se debe identificar las entradas y salidas entradas y salidas de información que

permiten la implementación del modelo lo que permite aplicación de los cambios
en las áreas que sean requeridas se deben definir los procesos que conducen a la
valoración actual que cómo se lleva el gobierno TI usando los parámetros
establecidos por COBIT 5. Estos resultados determinan y mejoran la capacidad de
la organización con el uso del nivel de madurez. 2

3.1 DEFINICIÓN DE PROYECTOS.

una vez que se identifican los procesos de gobierno y gestión de TI identifican las
prácticas recomendadas y se asegura que los procesos estén alineados y
complementados con los principios de la norma ISO 38500.

Tabla 3. Aseguramiento y gestión de Gobierno de TI

Numeral Proceso Practica

EDM01
Asegurar el
EDM01.01 Evaluar el sistema de gobierno.
establecimiento y
1 EDM01.02 Orientar el sistema de gobierno.
mantenimiento del
EDM01.03 Supervisar el sistema de gobierno
marco de referencia
de gobierno
2 EDM02 EDM02.01 Evaluar la optimización del valor.

2
«articles-51982_recurso_3.pdf», accedido 6 de julio de 2022,
https://gobiernodigital.mintic.gov.co/692/articles-51982_recurso_3.pdf.

10
Numeral Proceso Practica
Asegurar la
EDM02.02 Orientar la optimización del valor.
Entrega de
EDM02.03 Supervisar la optimización del valor.
Beneficios
EDM03
EDM03.01 Evaluar la gestión de riesgos.
Asegurar la
3 EDM03.02 Orientar la EDM03.03 Supervisar la
Optimización del
gestión de riesgos.
Riesgo
APO01.01 Definir la estructura organizativa.
APO01.02 Establecer roles y responsabilidades.
APO01.03 Mantener los elementos catalizadores del
sistema de gestión.
APO01.04 Comunicar los objetivos y la dirección de
gestión.
APO01
APO01.05 Optimizar la ubicación de la función de
4 Gestionar el Marco
TI.
de Gestión de TI
APO01.06 Definir la propiedad de la información
(datos) y del sistema.
APO01.07 Gestionar la mejora continua de los
procesos.
APO01.08 Mantener el cumplimiento con las
políticas y procedimientos.
APO02.01 Comprender la dirección de la empresa.
APO02.02 Evaluar el entorno, capacidades y
rendimiento actuales.
APO02.03 Definir el objetivo de las capacidades de
APO02
TI.
5 Gestionar la
APO02.04 Realizar un análisis de diferencias.
estrategia
APO02.05 Definir el plan estratégico y la hoja de
ruta.
APO02.06 Comunicar la estrategia y la dirección de
TI.
APO03.01 Desarrollar la visión de la arquitectura de
empresa.
APO03 APO03.02 Definir la arquitectura de referencia.
Gestionar la APO03.03 Seleccionar las oportunidades y las
6
arquitectura soluciones.
empresarial APO03.04 Definir la implantación de la arquitectura.
APO03.05 Proveer los servicios de arquitectura
empresarial.

11
Numeral Proceso Practica

APO08.01 Entender las expectativas del negocio.

APO08.02 Identificar oportunidades, riesgos y
APO08 limitaciones de TI para mejorar el negocio.
7 Gestionar las APO08.03 Gestionar las relaciones con el negocio.
relaciones APO08.04 Coordinar y comunicar.
APO08.05 Proveer datos de entrada para la mejora
continua de los servicios.

BAI02.01 Definir y mantener los requerimientos

técnicos y funcionales de negocio.
BAI02 BAI02.02 Realizar un estudio de viabilidad y
Gestionar la proponer soluciones alternativas.
8
definición de BAI02.03 Gestionar los riesgos de los
requisitos requerimientos.
BAI02.04 Obtener la aprobación de los
requerimientos y soluciones.

BAI06.01 Evaluar, priorizar y autorizar peticiones de

cambio.
BAI06
BAI06.02 Gestionar cambios de emergencia.
9 Gestionar los
BAI06.03 Hacer seguimiento e informar de cambios
Cambios
de estado.
BAI06.04 Cerrar y documentar los cambios.

DSS04.01 Definir la política de continuidad del

negocio, objetivos y alcance.
DSS04.02 Mantener una estrategia de continuidad.
DSS04.03 Desarrollar e implementar una respuesta a
la continuidad del negocio.
DSS04 DSS04.04 Ejercitar, probar y revisar el plan de
10 Gestionar la continuidad.
Continuidad DSS04.05 Revisar, mantener y mejorar el plan de
continuidad.
DSS04.06 Proporcionar formación en el plan de
continuidad.
DSS04.07 Gestionar acuerdos de respaldo.
DSS04.08 Ejecutar revisiones post-reanudación.
11 DSS05 DSS05.01 Proteger contra software malicioso
Gestionar los (malware).

12
 Numeral Proceso Practica
DSS05.02 Gestionar la seguridad de la red y las
conexiones.
DSS05.03 Gestionar la seguridad de los puestos de
usuario final.
DSS05.04 Gestionar la identidad del usuario y el
Servicios de acceso lógico.
Seguridad DSS05.05 Gestionar el acceso físico a los activos de
TI.
DSS05.06 Gestionar documentos sensibles y
dispositivos de salida.
DSS05.07 Supervisar la infraestructura para detectar
eventos relacionados con la seguridad.
MEA01.01 Establecer un enfoque de la supervisión.
MEA01.02 Establecer los objetivos de cumplimiento
MEA01
y rendimiento.
Supervisar, Evaluar
MEA01.03 Recopilar y procesar los datos de
12 y Valorar
cumplimiento y rendimiento.
Rendimiento y
MEA01.04 Analizar e informar sobre el rendimiento.
Conformidad
MEA01.05 Asegurar la implantación de medidas
correctivas.
Fuente: Elaboración propia.

3.2 EL MARCO DE REFERENCIA COBIT 5 DEFINE SIETE CATEGORÍAS DE

CATALIZADORES.

Estos factores que de forma individual o grupalmente, llegan a influir en el

gobierno de TI y la gestión de TI de una organización. Estos se guían por una
cascada de metas, es decir los objetivos de alto nivel definen los catalizadores que
se deben seguir. 3

3
Jorge Suárez, «Cobit 5», 5, accedido 6 de julio de 2022,
https://www.academia.edu/9782016/Cobit_5.

13
 Ilustración 1. Los Siete Catalizadores COBIT versión 5

Fuente: Elaboración propia.

Catalizador 1 - Principios, Políticas y Frameworks

Catalizador 2 - Procesos
Catalizador 3 - Estructuras Organizacionales
Catalizador 4 - Cultura, Ética y Comportamiento
Catalizador 5 - Información
Catalizador 6 - Servicios, Infraestructura y aplicaciones
Catalizador 7 - Personas, Habilidades y Competencias 4

3.2.1 Catalizador 1 - Principios, Políticas y Frameworks

Son la manera en la que se traduce el comportamiento objetivo en guías y

prácticas para la gestión de los recursos de TI en el día a día.

4
«Mejorando el proceso de seguimiento de Auditoría usando COBIT 5 | ISACA Journal», ISACA, accedido 6
de julio de 2022, https://www.isaca.org/resources/isaca-journal/issues/2016/volume-6/enhancing-the-
audit-follow-up-process-using-cobit-5.

14
3.2.2 Catalizador 2 - Procesos

Corresponden a un grupo de actividades que alcanzan algunos objetivos que

deben producir resultados que puedan soportar las metas generales relacionadas
con los recursos de TI.

3.2.3 Catalizador 3 - Estructuras Organizacionales

Son los entes encargados de tomar las decisiones que son claves dentro de una
organización.

3.2.4 Catalizador 4 - Cultura, Ética y Comportamiento

Son el comportamiento endógeno, los principio y valores de cada uno de los

miembros que hacen parte de una organización y que son un factor de éxito para
las actividades desarrolladas dentro de la organización.

3.2.5 Catalizador 5 - Información

Corresponde a toda la información generada por una organización, así como la

utilizada o resguardada. La información es un pilar fundamental y activo más
crítico e importante dentro de la organización.

3.2.6 Catalizador 6 - Servicios, Infraestructura y aplicaciones

Hace referencia a la infraestructura de soporta la información

3.2.7 Catalizador 7 - Personas, Habilidades y Competencias

Son el recurso necesario e importante para la toma correcta de decisiones y de

acciones y adicionalmente son el recurso con las habilidades para la ejecución de
actividades.

Teniendo en cuenta lo anterior se muestran el alineamiento de COBIT e ISO

38500.

Tabla 4. Alineamiento de COBIT e ISO 38500.

Principios ISO 38500 Proceso Catalizadores COBIT

Responsabilidad EDM01 Asegurar el establecimiento y Estructuras
mantenimiento del marco de referencia de organizativas;
gobierno
APO01.- Gestionar el Marco de Gestión de TI

15
Principios ISO 38500 Proceso Catalizadores COBIT
APO03.- Gestionar la arquitectura empresarial
EDM02.- Asegurar la entrega de beneficios
EDM03.- Asegurar la Optimización del Riesgo

APO02.- Gestionar la estrategia

Estrategia APO08.- Gestionar las relaciones Proceso; Información
BAI02.- Gestionar la definición de requisitos
Estrategia Proceso
BAI06.- Gestionar los Cambios
DSS04.- Gestionar la Continuidad
Proceso; información;
APO02.- Gestionar la estrategia servicios,
Adquisición
EDM03.- Asegurar la Optimización del Riesgo infraestructura y
aplicaciones.
APO03.- Gestionar la arquitectura empresarial Estructura
Organizativas;
Desempeño
APO09.- Gestionar los acuerdos de servicios Procesos; estructuras
DSS05.- Gestionar los Servicios de Seguridad organizativas.
Información;
estructuras
APO02.- Gestionar la estrategia
organizativas;
Cumplimiento MEA01.- Supervisar, Evaluar y Valorar
procesos; servicios,
Rendimiento y Conformidad infraestructura y
aplicaciones.
Personas, habilidades
APO07.- Gestionar los recursos humanos y competencias;
Comportamiento
BAI02.- Gestionar la definición de requisitos cultura, ética y
comportamiento.
Fuente: Elaboración propia.

3.3 DEFINICIÓN DE LAS METRICAS.

16
 Tabla 5. METRICAS
NOMBRE
DEL LA DESCRIPCIÓN
INDICADOR
En este tipo de indicador se debe
tener en cuenta ya que está
Disponibilidad relacionado con los recursos
de disponibles, por lo que se debe
infraestructura realizar un monitoreo constante de
los equipos para evitar fallas
repentinas de alguno de ellos.
Este indicador, relacionado con el
soporte, mide el tiempo que
Tiempo de
dedican los equipos de TI a ayudar
medición de
a los clientes a resolver sus
la atención
problemas, sin afectar el flujo de
trabajo.
Métrica relacionada con el soporte,
Convocatoria
este indicador permite verificar si
de soluciones
el equipo está listo para volver al
de primer
origen de los problemas y brindar
contacto
una solución lo antes posible.
Es un indicador para el dominio de
Número de
apoyo, contribuye a la
soluciones en
comprensión del desempeño del
el término
equipo.
El indicador ayuda a identificar
Número de problemas en el proceso, ya sea
errores en desarrollo o en código de
prueba.
Satisfacción Indicador importante, ayuda a
del cliente orientar la toma de decisiones
Aprobación Este indicador está relacionado
de costos con la singularidad de la entidad.
TIPO DE
MEDIDA
INDICADOR
Disponibilidad de sistemas y
Actuación dispositivos por encima del
99%
El gerente de TI es
responsable de probar el
Actuación desempeño de cada TI y
proponer mejoras o
cambios en los procesos.
El gerente de TI sigue el
indicador y está listo para
verificar la necesidad de
Actuación mejora, para eso capacita a
los equipos y crea
documentación para los
problemas más frecuentes.
Se utiliza para estimar los
Actuación costos de los parámetros de
ROI.
Un alto número de fallas
indicará que la entidad
Actuación necesita mejorar sus
políticas de desarrollo
tecnológico
Es necesario tener un canal
de comunicación con los
Actuación
clientes objetivo, para
analizar el feedback.
Se debe mapear el recurso
Calidad del sector y cruzar los datos
para obtener resultados.
17
CÁLCULO
Recursos Utilizados /
Total de Recursos
Disponibles
Tiempo dedicado a
buscar una solución /
Tiempo promedio para
resolver problemas
específicos
Tiempo utilizado para
rastrear el origen de los
problemas / Tiempo
promedio de referencia
Porcentaje de
problemas resueltos en
un tiempo definido /
Total de problemas
identificados
Porcentaje de
problemas identificados
en el proceso /
Problemas similares
tomados como línea de
base
Clientes atendidos y
satisfechos / Número
total de clientes de la
empresa
Mapeo de los recursos
de cada sector / Cruce
de datos
 NOMBRE
TIPO DE
DEL LA DESCRIPCIÓN MEDIDA CÁLCULO
INDICADOR
INDICADOR

Porcentaje de
Índice Total de
índice de
Mapea las amenazas y fallas del Seguridad Informática
seguridad Factor de importancia para
sistema para determinar el nivel de Calidad Registrados /
informática y comprobar todo el sistema
seguridad del sistema Porcentaje Total de
porcentaje de
Incidentes
incidencias

Fuente: Elaboración propia.

18
 4 CONCLUSIONES

El establecimiento de los indicadores para la medición de los objetivos

estratégicos de TI para el Banco Americano, promueven la eficiencia de toda la
entidad.

Se deben seguir los principios establecidos dentro de la organización a fin de que

se establezca una buena gobernanza de TI para en Banco.

Se deben seguir los parámetros que se establecen desde el COBIT 5, ya que los
procesos de valoración para el Banco Americano si llegan a un buen término de
aplicabilidad se pueden gestionar cambios mejoras.

19
 BIBLIOGRAFÍA

«articles-51982_recurso_3.pdf». Accedido 6 de julio de 2022.

https://gobiernodigital.mintic.gov.co/692/articles-51982_recurso_3.pdf.

Jácome, Darío Javier Robayo, y Verónica De Las Mercedes Villarreal Morales.

«Convergencia de COBIT e ISO 38500 en el Gobierno de Tecnologías de la
Información». INNOVA Research Journal 5, n.o 2 (7 de mayo de 2020): 1-
25. https://doi.org/10.33890/innova.v5.n2.2020.1163.

ISACA. «Mejorando el proceso de seguimiento de Auditoría usando COBIT 5 |

ISACA Journal». Accedido 6 de julio de 2022.
https://www.isaca.org/resources/isaca-journal/issues/2016/volume-6/
enhancing-the-audit-follow-up-process-using-cobit-5.

Suárez, Jorge. «Cobit 5». Accedido 6 de julio de 2022.

https://www.academia.edu/9782016/Cobit_5.

20