COBIT 4.

1
COBIT es un marco de buenas prácticas creado por por la Information System Audit
and Control Fundation (ISACF) que fue publicado inicialmente en el año de [Link]
proporciona un conjunto de directrices, principios y herramientas para la gobernanza y
gestión de las tecnologías de la información dentro de una organización. El objetivo de
COBIT es ayudar a las organizaciones a maximizar el valor de sus TI, a la vez que
gestionan riesgos y garantizan el cumplimiento de normativas y requisitos.
Investigar, desarrollar, publicar y promover un conjunto internacional, autorizado y
actual de objetivos de control en tecnologías de información generalmente aceptados
por el uso cotidiano de gerentes de organizaciones y auditores
Entonces, el propósito de COBIT es proporcionar una guía estándar que tenga una
aceptación internacional sobre los objetivos de control que deben existir en un
ambiente de tecnología de información
Los Principales Componentes de COBIT
COBIT tiene varios componentes clave que permiten a las organizaciones aplicar
buenas prácticas en la gobernanza y gestión de TI:
Principios de Gobernanza: COBIT propone principios fundamentales para la
gobernanza de TI, como la alineación con las metas de negocio, la entrega de valor, la
gestión de riesgos, el uso de recursos eficientes y la creación de capacidades
sostenibles.
Metas y Objetivos: COBIT define 40 objetivos de control (en COBIT 5) o de
gobernanza, los cuales están relacionados con las necesidades de las organizaciones
en cuanto a la gobernanza de TI. Estos objetivos se dividen en cinco dominios:
Evaluar, dirigir y monitorizar: Asegurar que los TI están alineados con los objetivos del
negocio y se controlan adecuadamente.
- Planificar, construir y entregar: Crear y entregar soluciones de TI que generen
valor.
- Adquirir y utilizar: Maximizar el uso de los recursos tecnológicos y humanos.
- Monitorear y evaluar: Evaluar el rendimiento de los sistemas y servicios de TI.
- Asegurar la gestión de los riesgos de TI: Mitigar los riesgos tecnológicos en
todos los niveles.
- Componentes del Sistema de Gobernanza: COBIT también especifica 7
componentes que constituyen un sistema efectivo de gobernanza. Estos
componentes son:
Ilustración 1: Elaborado por C. Yáñez de la Melena and S. E. Ibsen Muñoz (2011)

Procesos de TI: COBIT define 37 procesos clave de TI que abarcan todo el ciclo de
vida de los sistemas y servicios tecnológicos, desde la planificación y diseño hasta la
entrega, monitoreo y evaluación del rendimiento.
Medición del Desempeño: COBIT introduce un modelo de madurez para medir cuán
efectivas son las prácticas de TI dentro de la organización. Los procesos se miden en
una escala que va desde "inicial" hasta "optimizado", permitiendo a las organizaciones
identificar áreas de mejora.
Seguridad de la Información: COBIT incluye principios y directrices para garantizar la
seguridad de los activos de TI, desde la protección contra accesos no autorizados
hasta la gestión de la continuidad del negocio en caso de desastres.
Gestión de la Calidad de TI: COBIT también se enfoca en asegurar que los servicios
de TI sean de alta calidad, lo que incluye la disponibilidad, confiabilidad y rendimiento
de los sistemas tecnológicos.

PROCESOS COBIT REQUISITOS DE NEGOCIO

PLANEACIÓN Y ORGANIZACIÓN (PO)
Obtener un balance óptimo de oportunidades
PO1. Definir un plan estratégico de en tecnología de información y
sistemas requerimientos de negocio de TI, así como
asegurar su logro futuro.
PO2. Definir la arquitectura de Organizar adecuadamente los sistemas de
información información.
Obtener beneficio de la tecnología existente
PO3. Determinar la dirección tecnológica
y de la tecnología emergente.
PO4. Definir la organización y sus Proporcionar servicios de tecnología de
relaciones información.
Asegurar la obtención de fondos y controlar
PO5. Administrar las inversiones en TI
el empleo de los recursos financieros.
Asegurar la concientización de los usuarios y
PO6. Comunicar la dirección de la
su entendimiento de las aspiraciones de la
gerencia
dirección.
 Maximizar las contribuciones del personal a
PO7. Administrar los recursos humanos
los procesos de TI.
PO8. Asegurar el apego a disposiciones Observar el cumplimiento de obligaciones
externas legales, regulatorias y contractuales.
Asegurar el cumplimiento de los objetivos de
PO9. Evaluar riesgos TI y la respuesta a amenazas a la prestación
de servicios de TI.
Establecer prioridades y cumplir
PO10. Administrar proyectos
compromisos en tiempo y en costo.
Satisfacer los requerimientos de los clientes
PO11. Administrar calidad
de TI.
ADQUISICIÓN E IMPLEMENTACIÓN (AI)
AI1. Identificar soluciones de Asegurar el mejor enfoque para satisfacer los
automatización requerimientos del usuario.
Proveer funciones automatizadas que
AI2. Adquirir y mantener software de
efectivamente soporten los procesos de
aplicación
negocio.
Proveer la plataforma adecuada para
AI3. Adquirir y mantener la arquitectura
proporcionar soporte a las aplicaciones de
tecnológica
negocio.
Asegurar el uso apropiado de las
AI4. Desarrollar y mantener
aplicaciones y de las soluciones de
procedimientos
tecnología existentes.
AI5. Instalar y acreditar sistemas de Verificar y confirmar que la solución
información corresponda al propósito pretendido.
Minimizar la probabilidad de interrupciones,
AI6. Administrar cambios
alteraciones no autorizadas y errores.
PRESTACIÓN DE SERVICIO Y SOPORTE (DS)
Establecer un entendimiento común del nivel
DS1. Definir niveles de servicio
de servicio requerido.
Asegurar que los roles y responsabilidades
de terceros están definidas claramente, son
DS2. Administrar servicio de terceros
respetadas y continúan satisfaciendo los
requerimientos.

Asegurar que la capacidad adecuada se

encuentra disponible y se hace el mejor y
DS3. Administrar desempeño y capacidad
óptimo uso de la misma para satisfacer los
requerimientos de desempeño.

Contar con servicios disponibles de acuerdo

con los requerimientos y mantener la
DS4. Asegurar continuidad de servicio
prestación de los mismos en caso de una
interrupción.
Salvaguardar información contra uso no
DS5. Garantizar la seguridad de sistemas autorizado, divulgación o modificación, daño
o pérdida.
Asegurar una concientización correcta de los
DS6. Identificar y asignar costos
costos atribuibles a servicios de TI.
 Asegurar que los usuarios estén haciendo
uso efectivo de la tecnología y estén
DS7. Educar y capacitar usuarios
conscientes de los riesgos y
responsabilidades involucradas.
Asegurar que cualquier problema
DS8. Apoyar y orientar a clientes experimentado por los usuarios es manejado
apropiadamente.
Dar razón de todos los componentes.
Prevenir alteraciones no autorizadas,
DS9. Administrar la configuración confirmar existencia física y proveer las
bases para una sólida administración de
cambios.
Asegurar que problemas e incidentes son
DS10. Administrar problemas e incidentes resueltos y que las causas son investigadas
para prevenir cualquier ocurrencia futura.
Asegurar que la información se mantiene
DS11. Administrar la información completa, exacta y válida durante su entrada,
actualización y almacenamiento.
Proporcionar una ubicación física
conveniente que proteja al equipo y a las
DS12. Administrar las instalaciones
personas contra riesgos naturales y riesgos
producidos por el hombre.
Asegurar que las funciones importantes de TI
DS13. Administrar la operación son desarrolladas regularmente y en una
forma ordenada.
MONITOREO (M)
Asegurar el cumplimiento de los objetivos de
M1. Monitorear el proceso desempeño establecidos para los procesos
de TI.
M2. Evaluar lo adecuado del control Asegurar el logro de los objetivos de control
interno interno establecidos para los procesos de TI.
Incrementar los niveles de confianza y
M3. Obtener aseguramiento
beneficiarse con recomendaciones sobre
independiente
mejores prácticas.
Incrementar la confianza y confiabilidad entre
M4. Obtener auditoría independiente
la organización, clientes y proveedores.
Tablas 1: Elaborado Yáñez de la Melena and S. E. Ibsen Muñoz (2011)
 ISO/IEC 27002:2022
Es una norma internacional que proporciona directrices para la implementación y
gestión de controles de seguridad de la información en las organizaciones, con el
objetivo de proteger los activos de información, gestionar los riesgos asociados con la
seguridad de la información, y cumplir con las normativas y regulaciones aplicables.
Objetivos
- Proteger los activos de información: Garantiza la confidencialidad, integridad y
disponibilidad de la información.
- Gestionar los riesgos de seguridad de la información: Implementar controles
para mitigar riesgos relacionados con la seguridad.
- Cumplir con normativas y regulaciones: Ayuda a cumplir con requisitos legales,
regulatorios y contractuales.
Estructura
La norma se organiza en cuatro secciones principales:
- Introducción: Contexto y propósito de la norma, abordando el enfoque de
gestión de la seguridad de la información.
- Controles de Seguridad de la Información: Agrupados en 14 categorías,
abordan áreas clave como política de seguridad, control de acceso,
criptografía, gestión de incidentes, etc.
- Implementación de los Controles: Guía sobre cómo seleccionar, implementar y
gestionar los controles de acuerdo con las necesidades organizacionales.
- Guía de Mejores Prácticas y Adaptación: Adaptación de controles a diferentes
contextos y tipos de organizaciones.
Tabla 1. Controles de seguridad físicos basado en la norma internacional
ISO 27002:2022
Control de seguridad físico Aplicación del control de seguridad físico
Control 7.1 - Perímetro de
Ya se encuentra disponible el control.
seguridad física
Control 7.2 - Entrada física Ya se encuentra disponible el control.
Control 7.3 - Aseguramiento
de las oficinas, salas e Ya se encuentra disponible el control.
instalaciones
Identificar y analizar amenazas y peligros
que enfrentan las instalaciones, activos y
Control 7.4 - Vigilancia de la procesos, para implementar planes y
seguridad física sistemas diseñados para prevenir, inhibir o
limitar las consecuencias de actividades
potencialmente dañinas.
Control 7.5 - Protección
contra las amenazas físicas y Ya se encuentra disponible el control.
medioambientales
Establecer un documento donde se detallen
Control 7.6 - Trabajo en las áreas seguras, personas autorizadas,
zonas seguras acceso de visitantes y actividades
prohibidas.
 Los funcionarios deben asegurarse de que
sus escritorios estén libres de documentos al
Control 7.7 - Escritorio y abandonar el lugar de trabajo y deben
pantalla despejados proteger los soportes de datos según su
categoría de clase. También deben cerrar
con llave sus módulos de trabajo.
Control 7.8 - Ubicación y
Ya se encuentra disponible el control.
protección de los equipos
Control 7.9 - Seguridad de los
activos fuera de las Ya se encuentra disponible el control.
instalaciones
Descripción de procedimientos de manejo de
medios, recomendación de procedimientos
Control 7.10 - Medios de
formales para la entrega segura de medios y
almacenamiento
protección contra accesos no autorizados
durante el transporte.
Control 7.11 - Servicios
Ya se encuentra disponible el control.
públicos de apoyo
Control 7.12 - Seguridad del
Ya se encuentra disponible el control.
cableado
Control 7.13 - Mantenimiento
Ya se encuentra disponible el control.
de los equipos
El área técnica utiliza mecanismos para
reutilizar o eliminar de forma segura
Control 7.14 - Eliminación
dispositivos de memoria que contienen
segura o reutilización de los
información financiera, con procedimientos
equipos
documentados y autorización del
responsable de los activos.
Tabla 2: Elaborado por H. A. Vásquez Vergara (2024) [2]
 Tabla 2. Controles de seguridad tecnológicos basado en la norma
internacional ISO 27002:2022
Control de
seguridad Aplicación del control de seguridad tecnológico
tecnológico
Control 8.1 -
Garantizar que los equipos de usuarios desatendidos
Dispositivos de
cuenten con soportes de datos cifrados y software de
punto final del
protección para prevenir el acceso no autorizado.
usuario
Control 8.2 -
Derechos de acceso Ya se encuentra disponible el control.
privilegiados
Control 8.3 -
Restricción del
Ya se encuentra disponible el control.
acceso a la
información
Control 8.4 - Acceso
Ya se encuentra disponible el control.
al código fuente
Control 8.5 - Recomendaciones para asegurar la selección, uso y
Autenticación protección de claves o contraseñas para autenticar a los
segura usuarios de manera segura.
Revisiones periódicas para verificar previsiones de
Control 8.6 - Gestión demanda y crecimiento de los recursos de alojamiento,
de la capacidad garantizando el rendimiento y capacidad de las plataformas
tecnológicas.
Control 8.7 -
Seguimiento de eventos relacionados con la detección,
Protección contra el
corrección y recuperación de código malicioso.
malware
Control 8.8 - Gestión
de las Registro de vulnerabilidades técnicas que puedan afectar
vulnerabilidades los sistemas de información.
técnicas
Ayudar a los equipos de TI a desarrollar programas firmes
Control 8.9 - Gestión
utilizando herramientas de administración y monitoreo
de la configuración
automático de actualizaciones de la configuración.
Control 8.10 - Crear procedimientos para eliminar o destruir de forma
Eliminación de segura los datos de sistemas informáticos o dispositivos de
información almacenamiento.
Crear procesos para cambiar elementos de datos
Control 8.11 -
individuales en un almacén de datos, asegurando que la
Enmascaramiento
estructura siga siendo la misma pero protegiendo la
de datos
información confidencial.
Control 8.12 - Crear un programa para definir políticas, prácticas y
Prevención de la métodos para proteger la información confidencial contra
fuga de datos robo, pérdida o uso indebido.
Control 8.13 -
Información de Ya se encuentra disponible el control.
respaldo
Control 8.14 -
Redundancia de las
instalaciones de Ya se encuentra disponible el control.
tratamiento de la
información
 Recomendaciones para mejorar el control del
Control 8.15 - procedimiento de mejoramiento de los sistemas
Registro informáticos y revisar módulos del sistema antes de su
implementación.
Control 8.16 - Propuesta de monitoreo y registro de tareas y operaciones
Actividades de dentro de un determinado marco de tiempo.
Control 8.17 -
Sincronización de Ya se encuentra disponible el control.
relojes
Control 8.18 - Uso
de programas de Establecer controles estrictos sobre programas que puedan
utilidad eludir las comprobaciones del sistema.
privilegiados
Control 8.19 -
Instalación de Desarrollar un procedimiento documentado para instalar
software en software en el sistema operativo.
sistemas operativos
Proponer sistemas de control para garantizar la
Control 8.20 -
disponibilidad de las redes de datos y servicios
Seguridad de las
dependientes, minimizando los riesgos de seguridad de la
redes
información transmitida a través de redes de comunicación.
Control 8.21 - Al contratar con terceros, definir los componentes de
Seguridad de los aseguramiento y las clases de servicio de red solicitadas e
servicios de red incorporarlas en el acuerdo de servicios de red.
Control 8.22 - Segmentar la red de datos por dominio, grupo de servicios,
Segregación de grupo de operarios, ubicación geográfica u otras
redes clasificaciones adecuadas a la institución financiera.
Contar con técnicas utilizadas para controlar el contenido al
Control 8.23 - Filtro
que los usuarios de la red pueden acceder a través de
web
Internet.

Implementar políticas para proteger claves de ingreso a

Control 8.24 - Uso programas, datos, servicios, transmisión de información
de la criptografía sensible y seguridad de la información, cubriendo todo el
ciclo de vida de las claves.

Control 8.25 - Ciclo

de vida de Ya se encuentra disponible el control.
desarrollo seguro
Control 8.26 -
Requisitos de Desarrollar políticas o protocolos para proteger las
seguridad de las transacciones de servicios de aplicaciones.
aplicaciones
Control 8.27 -
Arquitectura de
Realizar controles de gestión para garantizar la seguridad
sistemas seguros y
del sistema.
principios de
ingeniería
Control 8.28 - Crear un programa que cumpla con las mejores prácticas
Codificación segura de seguridad de código y proteja contra vulnerabilidades de
 seguridad, secretos perdidos en la nube, credenciales
integradas, claves compartidas, secretos comerciales y
datos personales.
Control 8.29 -
Pruebas de Realizar exámenes de seguridad durante el desarrollo de
seguridad en el programas informáticos, incluyendo diagramas que mapeen
desarrollo y la los requisitos del sistema.
aceptación
Control 8.30 -
Desarrollo Ya se encuentra disponible el control.
externalizado
Control 8.31 -
Separación de los
entornos de Ya se encuentra disponible el control.
desarrollo, prueba y
producción
Desarrollar documentos de control para todos los cambios
Control 8.32 -
en la infraestructura de TI y seguir los procedimientos de
Gestión del cambio
gestión de cambios en la institución financiera.

Control 8.33 -
Contar con una directiva de codificación segura basada en
Información de la
un estándar de calidad de software.
prueba

Control 8.34 -
Protección de los
sistemas de Ya se encuentra disponible el control.
información en las
pruebas de auditoría
Tablas 3: Elaborado por H. A. Vásquez Vergara (2024) [2]
Metodología para la Auditoría Integral de la Gestión de Tecnología de la
Información (MAIGTI)
La Metodología para la Auditoría Integral de la Gestión de Tecnología de la
Información (MAIGTI) es un marco estructurado que permite realizar auditorías
detalladas sobre la gestión de las tecnologías de información (TI) dentro de las
organizaciones. Su propósito es llenar el vacío en las prácticas de auditoría de TI
mediante la integración de diversos estándares internacionales relevantes, ofreciendo
un enfoque sistemático, comprensible y eficiente. MAIGTI asegura que la gestión de TI
genere valor para la organización y se alinee con las mejores prácticas globales,
contribuyendo a la mejora continua de los procesos. [3]
Objetivo
La metodología proporciona una integración de diferentes estándares internacionales
como COBIT, ISO/IEC 12207, ISO/IEC 17799, ISO/IEC 20000 y PMBOK. Su enfoque
global permite a las organizaciones identificar, analizar y mejorar sus procesos de TI,
contribuyendo al valor organizacional.
Elementos Clave de la Metodología
- Enfoque Basado en Procesos: Se organiza en un modelo de procesos,
siguiendo la norma ISO 19011:2002, lo que facilita la estructuración y
simplificación de la auditoría.
- Estandarización e Integración de Normas Internacionales: MAIGTI integra
marcos de trabajo y estándares internacionales, mejorando la efectividad de la
auditoría y reduciendo la dispersión de la aplicación de estándares aislados.
Componentes Clave de la Metodología
- Objetivo y Alcance: Definir los objetivos y el alcance de cada auditoría,
asegurando que se enfoque en áreas clave de la gestión de TI.
Entradas y Salidas:
- Entradas: Documentación clave como informes, manuales, contratos y planes
de TI.
- Salidas: Papeles de trabajo y el informe final, que incluyen hallazgos,
recomendaciones y conclusiones.
Proceso de Auditoría MAIGTI
- Solicitar Información: El equipo auditor solicita la documentación relevante de
las áreas de TI.
- Recibir y Organizar Información: La documentación es revisada, organizada y
clasificada para su análisis.
- Ejecutar la Auditoría: Se realizan entrevistas, revisiones de documentos y
auditorías de procesos según los procedimientos establecidos.
- Generar el Informe de Auditoría: Se elabora un informe con los hallazgos,
causas, efectos, riesgos y recomendaciones.
- Revisión y Comunicación del Informe: Se revisa el informe preliminar con las
partes interesadas y se realizan correcciones si es necesario.
- Informe Final: El informe final se distribuye a las partes interesadas y
responsables.
Relación con Estándares Internacionales [3]
MAIGTI integra varios estándares internacionales relevantes para la gestión de TI:
COBIT: Proporciona un marco basado en el ciclo de Deming (Planificar, Hacer,
Verificar, Actuar) que cubre áreas clave como planificación, organización, entrega de
servicios y monitoreo.
ISO/IEC 12207: Define el ciclo de vida del software, ayudando en la auditoría de
procesos de desarrollo y gestión de software.
ISO/IEC 17799: Establece buenas prácticas para la gestión de la seguridad de la
información.
ISO/IEC 20000: Aporta buenas prácticas en la gestión de servicios TI, desde la
planificación hasta la entrega.
PMBOK: Ofrece buenas prácticas en la gestión de proyectos, incluyendo la integración
de proyectos TI, gestión de recursos y control de costos y tiempos.
Fases del Proceso MAIGTI
Solicitar la Información: El equipo de auditoría solicita la documentación relevante de
TI.
Recibir y Organizar la Información: La documentación se organiza y clasifica para su
revisión.
Ejecutar la Auditoría: Se evalúan documentos, se realizan entrevistas y se revisan
procesos de TI.
Comunicar y Discutir los Hallazgos: El informe preliminar se comunica a las partes
responsables para discutir las posibles correcciones.
Informe Final: Después de realizar ajustes, se elabora y distribuye el informe final.
Referencias:
[1] C. Yáñez de la Melena and S. E. Ibsen Muñoz, "Enfoque metodológico de la
auditoría a las tecnologías de información y comunicaciones," *XIV Concurso Anual de
Investigación*, Contraloría General de la República de Chile, 2011.
[2] H. A. Vásquez Vergara, “Guía de buenas prácticas de seguridad informática
basado en la norma internacional ISO 27002:2022 para una entidad financiera,
Chepén - La Libertad”, Trabajo de Suficiencia Profesional para obtener el Título
Profesional de Ingeniero de Sistemas, Universidad Nacional de Trujillo, Facultad de
Ingeniería, Escuela Profesional de Ingeniería de Sistemas, Guadalupe, Perú, 2024.
[3] E. A. Alfaro Paredes, “Metodología para la auditoría integral de la gestión de la
tecnología de información”, Tesis para optar por el Título de Ingeniero Informático,
Pontificia Universidad Católica del Perú, Facultad de Ciencias e Ingeniería, Lima, Perú,
2008.