Grupo N 9 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA AUDITORA DE SISTEMAS
Trabajo Colaborativo 1 Aporte Individual
Presentado por: ANDRS GUILLERMO AVELLANEDA B - Cd.: 79.803.814 CESAR EDUARDO NIO PINZN - Cd.: 79778519 JORGE IVAN PINEDA SUAREZ - Cd.: 80194695 OSCAR JOS RAMREZ CARDONA - Cd.: 79810115
Tutora
CARMEN ADRIANA AGUIRRE
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD INGENIERIA DE SISTEMAS Septiembre de 2014
Trabajo Colaborativo 1 90168 Auditora de Sistemas Grupo N 9 Introduccin
La auditora de sistemas es la revisin y evaluacin de procesos implementados en la empresa con respecto a sus equipos de cmputo, como se estn utilizando, su eficiencia, estas auditoras son necesarias tambin para lograr una utilizacin ms eficiente y segura de la informacin. Todo esto hace que la auditoria de sistemas sea de gran importancia para el buen uso, desempeo y optimizacin de los sistemas de informacin en el contexto laboral.
El presente trabajo incluye un anlisis de los mltiples factores que hacen de la auditora una herramienta de control indispensable para las empresas. Se presenta la descripcin detallada del sistema de informacin y auditoria que se encuentra en la empresa CNR Colombian Natural Resources.
Trabajo Colaborativo 1 90168 Auditora de Sistemas Grupo N 9 Objetivos
El objetivo primordial del ejercicio prctico desarrollado es entender la importancia de los controles que ejerce la auditoria para evitar perjuicios financieros, malas decisiones administrativas y hacer que de forma asertiva y eficiente se realicen las operaciones internas.
Entender de manera clara las normas Cobit su aplicacin en los procesos de auditora, los niveles que posee y el tipo de organizaciones a las cuales va dirigido sus controles.
Trabajo Colaborativo 1 90168 Auditora de Sistemas Grupo N 9 Desarrollo de la actividad
1. En el foro de la actividad respectiva, cada integrante del grupo debe participar segn la rbrica TIGRE, sobre la importancia de realizar un proceso de auditora en una empresa. El producto 1 debe ser el consolidado de 5 conclusiones producto de la discusin acadmica en torno al tema plantado.
La informtica en ningn momento es ajena la gestin integral de una organizacin. A finales del siglo XX, los sistemas de TI (Tecnologas de la Informacin) se constituyeron como herramientas poderosas para cualquier organizacin, debido a que son un apoyo transversal a todas las reas de una compaa y parte importante en la toma de decisiones, generando un alto grado de dependencia, as como una elevada inversin en las mismas. Debido a la importancia que tienen para el desempeo de una organizacin, existe la auditora de sistemas.
Muy frecuentemente hemos empleado el trmino de auditora de forma incorrecta, pues ha sido tomado como sinnimo de deteccin de errores y fallas. Este concepto es mucho ms que eso, pues tiene como fin evaluar para proveer herramientas para mejorar la eficacia y eficiencia de una organizacin, al examinar su gestin.
Al igual que cualquier rea de la empresa, los sistemas de TI deben estar sometidos a controles de calidad y auditora ya que los equipos y los centros de cmputo son blancos deseados para el espionaje, la delincuencia y el terrorismo. Al perder de vista la naturaleza y calidad de los datos de entrada a los sistemas de TI se genera informacin errnea, con la posibilidad provocar un efecto domino que puede llegar a afectar otras aplicaciones. De igual modo, un sistema de TI mal diseado puede convertirse en una herramienta daina y hasta peligrosa para la gestin y la coordinacin de la organizacin.
Una auditora de sistemas es un proceso que usando tcnicas y procedimientos aplicados internamente por personal independiente a la operacin, evala la funcin de tecnologa de informacin y los aportes del rea de TI al cumplimiento de los objetivos corporativos; emite una opinin al respecto y efecta recomendaciones para mejorar el nivel de apoyo al cumplimiento de dichos objetivos
Los principales beneficios son:
o Mejora la imagen pblica. o Genera confianza en los usuarios sobre la seguridad y control de los servicios de TI. o Optimiza las relaciones internas y del clima de trabajo. o Disminuye los costos de la mala calidad (reprocesos, rechazos, reclamos, entre otros). Trabajo Colaborativo 1 90168 Auditora de Sistemas Grupo N 9 o Genera un balance de los riesgos en TI. o Realiza un control de la inversin en un entorno de TI, a menudo impredecible.
La auditora es la disciplina que suministra herramientas a los auditores para La verificacin de controles en el procesamiento de la informacin, desarrollo de sistemas e instalacin con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia.
Es recomendable realizar una Auditoria por ao a fin de mantener un control regular sobre la empresa. Aunque a simple vista parezca un proceso confuso, la Auditoria es una tcnica fundamental para el desarrollo y crecimiento de cualquier empresa, dado que le otorgar interesantes posibilidades de cambio, perfeccionamiento y desarrollo ordenado para las empresas y organizaciones.
La metodologa empleada en la auditora de sistemas es en su esencia igual a una auditora tradicional: Primero, se planea para obtener y entender los procesos de negocio. Segundo, se analiza y evala el control interno establecido, con esto se determina la efectividad y eficiencia del mismo; posteriormente, se aplican pruebas de cumplimiento para verificar la efectividad de los procedimientos de control y las pruebas sustantivas o de los productos de los procesos de trabajo.
Despus se informan los resultados a la alta gerencia, con el fin de hacer las sugerencias correspondientes a las oportunidades de mejora encontradas y finalmente, se lleva a cabo el seguimiento para evaluar el cumplimiento y el impacto de las recomendaciones hechas.
2. El grupo debe identificar una empresa. Dentro del informe de este punto 2, deben presentar la descripcin general de la empresa, misin, visin y describir de forma muy detallada el sistema de informacin, indicando los procesos que se administran.
CNR Colombian Natural Resources
Misin C.I. Colombian Natural Resources I S.A.S (CNR) tiene como misin la planeacin minera, explotacin a cielo abierto, comercializacin, transporte y suministro de carbn de la mina denominada La Francia de una manera eficiente en costos, confiable y asegurando la satisfaccin del cliente, proveedores, contratistas, empleados y accionistas, con altos estndares de seguridad y ambiente y en armona con las comunidades aledaas.
Visin Ser reconocidos en el sector minero nacional e internacional, como el productor y exportador de carbn ms eficiente y confiable, desarrollando estrategias de crecimiento, con los Trabajo Colaborativo 1 90168 Auditora de Sistemas Grupo N 9 estndares ms altos de seguridad, salud, ambiente y desarrollo sostenible que nos permiten ofrecer productos de excelente calidad, demostrando que somos una empresa que sigue parmetros ticos, defensora de los derechos humanos, que contribuye al bienestar y desarrollo de las comunidades aledaas, que promueve la participacin, el desarrollo y la excelencia de sus empleados, enfocada a obtener la mejor rentabilidad para sus accionistas.
Sistema De Informacin Utilizado Colombian Natural Resources, cuenta con Cuatro (4) sedes. La sede principal del rea de Tecnologa de Informacin se encuentra en la ciudad de Barranquilla, Calle 77B No. 59 - 31 Piso 11 - oficina 1106. Otra sede es la Mina La Francia, ubicada a tres (3) horas de Valledupar, en el municipio de El Paso, corregimiento de La Loma de Calenturas, sede Mina el Hatillo y la sede Sociedad Portuaria Rio Crdoba (SPRC).
En la sede de Barranquilla se cuenta con un centro de cmputo, con condiciones fsicas y ambientales requeridas para alojar los servidores, UPS, planta telefnica y equipo de comunicaciones.
A todas las sedes llegan o se estn implementando sistemas de comunicaciones los cuales permitirn la transferencia de cualquier tipo de informacin.
El diagrama de la red de datos es la siguiente:
Trabajo Colaborativo 1 90168 Auditora de Sistemas Grupo N 9 Acceso a Internet Existen dos (2) conexiones de internet. La conexin principal de 10Mbps contratada con COLUMBUS NETWORK y una conexin Alterna de 4Mbps contratada con Media Commerce.
Como se puede ver en el diagrama de red, la conexin principal de internet pasa a la red local por un Firewall el cual nos da proteccin ante ataques de Internet.
A travs de este Firewall podemos dar acceso a Internet a los usuarios de la Mina y los de Barranquilla. El Internet se utiliza en la red local con cable UTP y con la conexin inalmbrica disponible en las sedes, para uso exclusivo de empleados de la compaa.
En la sede de Barranquilla, se ha habilitado una conexin de internet Wireless abierta para visitantes, esta conexin es totalmente aislada a la red corporativa y solo da acceso a navegacin de internet a travs del proveedor ADSL.
La informacin contenida en cada equipo asignado a los usuarios es de propiedad de CNR y esta debe ser tratada con mucha responsabilidad. Los equipos asignados a cada usuario pueden ser monitoreados y pueden ser rastreados por rea de TI para buscar vulnerabilidades.
Cada usuario es responsable por los equipos asignados e informacin dada para el cumplimiento de su labor, se espera que cada usuario haga buen uso y custodie estas herramientas. Dado lo anterior cada usuario deber asegurarse de realizar backups peridicos de la informacin contenida en el equipo asignado, garantizando la recuperacin de la informacin en caso de prdida o robo, el rea de TI ayudar en estos respaldos cuando sea requerido.
Internet es una herramienta til, pero tambin es un foco de virus y programas que generan riesgo a la plataforma de seguridad, por esta razn se debe utilizar con mucha precaucin, no est permitido lo siguiente:
Descargar software sin la autorizacin del rea de IT. Descargar herramientas que vulneren la seguridad de red. Probar software. Enviar y/o almacenar informacin de la compaa a travs de cuentas personales de correo como Hotmail, gmail, yahoo etc.
Almacenamiento de datos Los datos almacenados en los servidores estn ms protegidos que la informacin contenida en los computadores personales, sin embargo los recursos del servidor son mucho ms Trabajo Colaborativo 1 90168 Auditora de Sistemas Grupo N 9 costosos y escasos que los de un computador de escritorio, por esta razn cada usuario final debe clasificar su informacin y guardar la ms crtica e importante para la organizacin en el servidor, y la informacin que no es tan relevante en cada computador. Para lo anterior el rea de TI en conjunto con Jefe de rea, analizarn anualmente las necesidades de almacenamiento de informacin crtica.
La informacin almacenada en los equipos asignados, podr ser salvaguardada por el rea de TI ante retiro del empleado, previa autorizacin del Jefe Inmediato.
Cada usuario debe tomar las precauciones necesarias para proteger la informacin de la compaa contra prdida por acceso no autorizado o daos causados por virus, por esta razn mantendr un comportamiento responsable al conectar cualquier dispositivo a red de CNR o redes externas medios extrables como USB, discos porttiles y cualquier medio de almacenamiento externo.
Modificacin al Hardware y Software Los usuarios deben reportar al rea de TI cualquier dao, actualizacin o actividad que se requiera hacer sobre los equipos de cmputo, sistemas de informacin o software.
Los usuarios no deben:
Hacer modificaciones al hardware de los equipos informticos ya sea para mejorar o para pruebas. Instalar versiones de software si no se cuenta con la licencia o con la autorizacin del departamento de TI. Descargar programas de internet porque puede contener Virus, troyanos, gusanos o cualquier tipo de software malicioso, que puedan vulnerar la seguridad de CNR Almacenar msica , videos que no cumplan las obligaciones de derechos de autor y legalidad de estos productos Instalar unidades externas USB sin antes verificar con un antivirus.
Todas las adquisiciones de Hardware y Software debern ser procesadas a travs del rea de Tecnologa de la Informacin quien administrar las licencias y equipos. Si es detectada la instalacin de programas sin licencia en los equipos conectados a la red de CNR, el rea de TI proceder a la desinstalacin inmediata, en caso de equipos de contratistas el acceso a la red ser suspendido hasta que se demuestre la legalidad de los programas. Falta reiterada a este lineamiento ser reportado al rea de Gestin Humana, para que establezca las medidas disciplinarias.
Trabajo Colaborativo 1 90168 Auditora de Sistemas Grupo N 9 Medidas de control Con el nimo de proteger los recursos de TI y para asegurar la disponibilidad, integridad y confidencialidad de la informacin, el departamento de TI tiene la autoridad para:
Monitorear cualquier recurso conectado a la red de CNR, para lo cual el rea de TI establecer mecanismos y procedimientos para garantizar la seguridad de la informacin crtica. Eliminar cualquier programa o utilidad que pueda vulnerar la seguridad Informtica. Habilitar, inhabilitar, y/o revocar privilegios de usuarios a cualquier sistema y/o sistema de Informacin, en caso que se vea afectada la seguridad. Establecer cualquier medida que sea necesaria para garantizar a la compaa una plataforma de TI segura, confiable y disponible. Bloquear el uso de dispositivos USB
DIRECTRICES USO DE CORREO ELECTRNICO Los sistemas de Cmputo son propiedad de CNR as como toda la informacin enviada recibida en cada sistema, incluyendo correo electrnico y todas las comunicaciones electrnicas. CNR proporciona a todos los usuarios este medio de comunicacin electrnica, el cual debe usarse con responsabilidad teniendo en cuenta que toda informacin a travs de este medio se considera como documentos formales de la compaa, por lo tanto estas comunicaciones deben ser respetuosas y con lenguaje apropiado.
A travs del correo corporativo no deben envirasen mensajes como cadenas ya que esto puede daar el desempeo del servidor y la plataforma de red, como tampoco se deben enviar mensajes con contenido inmoral, acosador, sexual o cualquier otro tipo de mensajes que puedan llegar a herir susceptibilidades o que se pueda entender como ofensivo o que sea fcilmente malinterpretado. Se entiende que los usuarios no son responsables de la recepcin de cualquier mensaje, sin embargo no deberan abrir o enviar comunicaciones no solicitadas o de fuentes desconocidas.
Para evitar congestiones en la plataforma de TI, se deben evitar el envo de correos de forma masiva, los correos se deben enviar exactamente a las personas involucradas, tratando de evitar el envo a destinatarios con copia oculta a menos que sea estrictamente necesario. Se debe tener precaucin al enviar mensajes a mltiples destinatarios con sus direcciones ocultas a fin de asegurar que no viola la privacidad de alguno de ellos.
El uso inapropiado del correo de CNR y/o otros sistemas relacionados con el negocio, puede ser sujeto a acciones disciplinarias incluyendo terminacin del contrato y/o acciones legales.
Trabajo Colaborativo 1 90168 Auditora de Sistemas Grupo N 9 Directrices sobre correo electrnico y cuentas de acceso En caso de requerirse la configuracin de cuentas de usuarios contratistas (practicantes, usuarios temporales, etc.). Estas deben quedar en formato que identifique al usuario como tal y cumplir adems lo siguiente:
El formato de una cuenta de correo electrnico de un usuario contratista es: Primera letra nombre apellido[contratista]@CNR-COL.com Las cuentas de correo electrnico de usuarios contratistas, practicantes, usuarios temporales, etc. deben expirar automticamente tras el perodo de tiempo de haber cumplido la actividad contratada. Las cuentas de contratistas deben establecerse y mantenerse en los grupos de Invitados dentro del Directorio activo.
Disclaimer La siguiente informacin debe agregarse a cualquier comunicacin electrnica:
AVISO LEGAL: La informacin contenida en este mensaje es privada, confidencial y para uso exclusivo de su destinatario nicamente. Si usted no es el destinatario de este mensaje, por favor notifique al remitente y elimine el mensaje inmediatamente de su sistema. La distribucin o copia de este mensaje est estrictamente prohibida. Este mensaje es slo para propsitos de informacin y no debe ser considerada como una declaracin oficial de COLOMBIAN NATURAL RESOURCES. La transmisin de correos electrnicos no garantiza que el mismo sea seguro. Por consiguiente, no manifestamos ni garantizamos que esta informacin sea completa o precisa. Toda informacin est sujeta a alterarse sin previo aviso. Este correo electrnico ha sido procesado por nuestro sistema de Antivirus corporativo.
DISCLAIMER: The information within this message is private, confidential and for the exclusive use by the intended recipient only. If you are not the intended recipient of this message, please notify the sender and delete the message immediately from your system. Distribution or copying of this message is strictly prohibited. This message is for information purposes only and should not be regarded as an official statement from COLOMBIAN NATURAL RESOURCES. E-mail transmission cannot be guaranteed to be secure. Therefore, we do not represent or guarantee that this information is complete or accurate. All information is subject to changes without previous notice. This email has been scanned by our Antivirus system.
DIRECTRICES CONTRASEAS SEGURAS Las contraseas electrnicas son una parte importante de la seguridad de todo sistema informtico. Es responsabilidad del usuario mantener en secreto su contrasea. El uso indebido de las contraseas, compartirlas y/o el uso no autorizado de la contrasea de otro Trabajo Colaborativo 1 90168 Auditora de Sistemas Grupo N 9 trabajador puede conllevar medidas disciplinarias a ser evaluadas por el departamento de Gestin humana de CNR
Los usuarios debern establecer contraseas electrnicas con los siguientes requisitos mnimos:
Las contraseas deben contener al menos seis caracteres Contener caracteres de dos de los tres grupos siguientes: o Letras (maysculas y minsculas) A, B, C (y a, b, c...). o Nmeros 0, 1, 2, 3, 4, 5, 6, 7, 8, 9. o Smbolos (todos los caracteres que no se definan como letras o nmeros) ` ~! @ # $ % ^ & * ( ) _ + - = { } | [ ] \ : " ; ' < > ? , . / Ser significativamente diferentes de contraseas anteriores.
Los usuarios sern responsables por las actividades o acciones realizadas a travs de sus cuentas, incluso si su contrasea fue compartida.
3. EL grupo debe consultar sobre las normas las normas COBIT. (versin 5.0). Una vez revisadas las normas, es importante que se explique y comprenda el cubo COBIT. El grupo debe entregar un forme donde se destaque la importancia de la aplicacin de estas normas dentro de un proceso de auditora. Se deben presentar al menos 5 conclusiones.
Para que las organizaciones se aseguren de construir proyectos de TI que cubran adecuadamente las necesidades del cliente, en forma eficiente, oportuna, y ajustadas al presupuesto contemplado, existe una asociacin internacional denominada Information Systems Audit and Control Association (ISACA), cuya misin es mejorar el reconocimiento de la profesin de auditora y control de las TI mediante la elaboracin de estndares y prcticas, as como capacitacin y certificacin de sus miembros a travs de la fundacin (Information Systems Audit and Control Association).
Del mismo modo, existe un estndar internacional conocido como Control Objetives for Information and Related Technology (COBIT), que sirve como gua para la buena prctica de la auditora de las TI, emitido por la ISACA. ste contempla los procesos tpicos de la funcin de TI, agrupados en cuatro dominios:
COBIT se divide en tres niveles:
Dominios: Agrupacin natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional. ste contempla los procesos tpicos de la funcin de TI, agrupados en cuatro dominios: Trabajo Colaborativo 1 90168 Auditora de Sistemas Grupo N 9
Planificacin y organizacin: Identificar la forma en que las TI pueden contribuir de la mejor manera al logro de los objetivos institucionales, y al establecimiento de una organizacin e infraestructura tecnolgica apropiada.
Adquisicin e implementacin: Para llevar a cabo la estrategia de TI es necesario identificar, desarrollar o adquirir soluciones de TI adecuadas, implementarlas e integrarlas dentro del proceso del negocio. Adems, cubre los cambios y el mantenimiento realizados a sistemas existentes.
Distribucin y soporte: Comprende la entrega de servicios requeridos, desde operaciones tradicionales en seguridad y continuidad, hasta capacitaciones, sin olvidar los procesos de soporte necesarios.
Monitoreo: Todos proceso necesita ser evaluado regularmente a travs del tiempo, para verificar su calidad y suficiencia en cuanto a los requerimientos de control.
Procesos: Conjuntos o series de actividades unidas con delimitacin o cortes de control.
Actividades: Acciones requeridas para lograr un resultado medible.
COBIT, presenta un modelo de madurez basado en el modelo de Evolucin de Capacidades de Software (CMM) desarrollado por el Instituto de Ingeniera de Software (SEI), que establece mtricas para evaluar y calificar el nivel de madurez de los controles de TI, los cuales deben ser alineados con el nivel correspondiente de los procesos de TI.
CUBO COBIT
Requerimientos De Negocio:
Efectividad: trata con informacin que es relevante y pertinente al proceso de negocio, adema de ser entregada de una manera oportuna, correcta, consistente y utilizable.
Eficiencia: se relaciona con la previsin de informacin a travs del ptimo (ms productivo y econmico) uso de recursos.
Confidencialidad: se relaciona con la proteccin de informacin sensible a divulgacin No autorizada.
Trabajo Colaborativo 1 90168 Auditora de Sistemas Grupo N 9 Integridad: se relaciona con la exactitud de la informacin as como tambin con su validez en conformidad con valores y expectativas del negocio.
Disponibilidad: se relaciona con informacin disponible al ser requerida por el proceso de negocio ahora y en el futuro. Se relaciona con el resguardo de recursos necesarios y capacidades asociadas.
Cumplimiento: trata con el cumplimiento de aquellas leyes, regulaciones y arreglos contractuales a los cuales est sujeto el proceso de negocio; es decir, criterios de negocios impuestos externamente.
Contabilidad de informacin: se relaciona con la provisin de informacin apropiada a la operar la entidad y para que la gerencia ejerza sus responsabilidades de informar cumplimiento.
RECURSOS TI:
Aplicaciones: incluye tanto sistemas de usuario automatizados como procedimientos manuales que procesan informacin.
Informacin: son los datos en todas sus formas, de entrada, procesados y generados por los sistemas de informacin, en cualquier forma en que sean utilizados por el negocio.
Infraestructura: es la tecnologa y las instalaciones (hardware, sistemas operativos, sistemas de administracin de base de datos, redes, multimedia, etc., as como el sitio donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones. Personas: Son el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios de informacin. Estas pueden ser internas, por outsourcing o contratadas, de acuerdo a como se requieran.
Trabajo Colaborativo 1 90168 Auditora de Sistemas Grupo N 9 Ilustracin de las normas COBIT de acuerdo a sus parmetros establecidos.
Trabajo Colaborativo 1 90168 Auditora de Sistemas Grupo N 9 Conclusiones
Podemos afirmar que el xito de un organismo depende de los controles de evaluacin de la eficacia y eficiencia de sus sistemas de TI. Hoy en da, las organizaciones estructuran su informacin en sistemas de TI, por lo tanto, es de suma importancia que funcionen de forma correcta e ininterrumpida para la productividad y supervivencia futura de una organizacin.
La aplicacin de las diferentes normas y aspectos relacionados con la auditoria a las empresas se establece como norma fundamental para el saludable desarrollo de sus procesos permitiendo con ellos el seguimiento de los mismos y de ser necesario su mejoramiento.
Estas prcticas garantizan de manera general la posibilidad de subsistencia en el futuro de la empresa, desde los aspectos organizacionales hasta los financieros pasando por supuesto por la auditoria de sistemas.
Es importante resaltar que las auditorias por norma general se visualizan ms en los aspectos financieros y contables de las empresas, pero en la actualidad el manejo de la informacin como recurso prioritario junto con la adquisicin de tecnologas abre un nuevo espacio de trabajo para los auditores no solo en lo fundamental para el entrega de la informacin sino en la concientizacin de la relevancia de los proceso asociados a estos dos aspectos del desarrollo de la empresa.
Por medio de este ejercicio prctico logramos mayor profundizacin en los conceptos vistos en la Unidad 1; los cuales tiene que ver con los conceptos bsicos de la auditora, sus procedimientos y el programa de la auditoria en general.
Trabajo Colaborativo 1 90168 Auditora de Sistemas Grupo N 9 Bibliografa
Aguirre Cabrera, Adriana (2006): Mdulo Auditora de Sistemas
Auditoria y tipos de auditoria [En lnea]. Disponible en https://www.youtube.com/ watch?v=ohYfs2m84II (visitada el 02.09.2014)
Conozca la versin COBIT 5. Recuperada el 06 de septiembre de 2014 de: http://www. pinkelephant.com/uploadedFiles/Content/es-x/Products/PinkPublication/FAQ-COBIT- V8.pdf
El rol de CobIT 5 en la estrategia de seguridad informtica. Recuperada el 06 de septiembre de 2014 de: http://searchdatacenter.techtarget.com/es/reporte/El-rol-de-CobIT-5-en-la- estrategia-de-seguridad-informatica
Francavilla Carlos. COBIT 5. Recuperada el 06 de septiembre de 2014 de: http://mba. americaeconomia.com/sites/mba.americaeconomia.com/files/cobit5-introduccion.pdf
Information Systems Audit and Control Association (ISACA) (2012): COBIT 5. Estados Unidos
Objetivos de Control para Informacin y Tecnologas Relacionadas. Recuperada el 06 de septiembre de 2014 de: http://es.wikipedia.org/wiki/Objetivos_de_control_para_la_ informaci%C3%B3n_y_tecnolog%C3%ADas_relacionadas