Auditoria Informatica Plan de Contingencia
Contenido Capítulo I ...................................................................................................
Views 157 Downloads 0 File size 345KB
Recommend stories
- Author / Uploaded
- Ligia Santiana
- Categories
- ITIL
- Cobit
- Seguridad de la información
- Software
- Valores
Citation preview
Contenido Capítulo I ......................................................................................................................... 1 Tema: Plan De Contingencia ........................................................................................... 1 Introducción ..................................................................................................................... 1 Aspectos Generales de la Seguridad de la Información ............................................... 2 Antes ............................................................................................................................ 2 Durante ........................................................................................................................ 3 Son puntos imprescindibles del plan de contingencia: .................................................. 3 Después ....................................................................................................................... 4 De la gama de seguros existentes, se pueden indicar los siguientes: .......................... 4 Guía General Para Elaborar Un Plan De Contingencias ............................................... 5 Se debe evaluar el nivel de riesgo de la información para hacer: ................................. 5 Ejecución...................................................................................................................... 7 Pruebas. ....................................................................................................................... 7 Documentación. ........................................................................................................... 7 Prueba Específica ........................................................................................................ 8 Prueba de Escritorio ..................................................................................................... 8 Características: ............................................................................................................ 9 Preparaciones Pre Prueba ........................................................................................... 9 Comprobación de Plan de Contingencias ................................................................... 10 Mantenimiento de Plan de Contingencias y Revisiones .............................................. 10
Capítulo II ...................................................................................................................... 10 ITIL Mejores Prácticas ................................................................................................ 10 Al implementar ITIL como mejor practica en las organizaciones se obtienen las siguientes ventajas o beneficios: ........................................................................................... 10 Algo que también es importante en mi punto de vista es el ciclo de vida de ITIL que se compone de la siguiente manera: .......................................................................................... 11 COBIT ........................................................................................................................ 11 Ventajas y Desventajas de COBIT ............................................................................. 13 Ventajas ..................................................................................................................... 13 Desventajas................................................................................................................ 13 Capítulo III ..................................................................................................................... 14 Recomendaciones ...................................................................................................... 14 Conclusión: ................................................................................................................ 14 Bibliografía ................................................................................................................. 15
Capítulo I Tema: Plan De Contingencia Introducción En términos generales desde los inicios de los sistemas de información se comprendió que las contingencias forman parte inherente de los mismos. Las amenazas a la información pueden provenir de muchas fuentes, tanto de origen natural (terremotos, tormentas, etc.), de origen humano (retaliaciones, celos profesionales, competencia, huelga, problemas laborales, entre otros), como de origen técnico (fallas del hardware, del software, con el suministro de energía, etc.). Y es casi siempre una situación no prevista la que regularmente provoca una crisis y las consecuencias de la misma, según su impacto y extensión, pueden ser catastróficas para los intereses de cualquier organización. (Alzate) Los fallos técnicos y humanos han hecho recapacitar a las organizaciones sobre la necesidad de auxiliarse con herramientas que le permitan garantizar una rápida vuelta a la normalidad ante la presencia de cualquier eventualidad, por lo tanto, el hecho de diseñar y preparar un plan de contingencias no implica un reconocimiento de la ineficiencia en la gestión de la empresa, sino todo lo contrario, los mecanismos de seguridad de la información buscan proteger a la información de las diversas amenazas a las que se ve expuesta y supone un importante avance a la hora de superar todas aquellas adversidades que pueden provocar importantes pérdidas, no solo materiales sino aquellas derivadas de la paralización del negocio durante un período más o menos prolongado. Todo esto conlleva a que la función de definir los planes a seguir en cuestión de seguridad se conviertan en una tarea realmente compleja y dispendiosa. (Alzate, 2001) Plan de Contingencia Podríamos definir a un plan de contingencias como una estrategia planificada con una serie de procedimientos que nos faciliten o nos orienten alternativas que nos permita restituir
1
rápidamente los servicios de la organización ante la eventualidad de todo lo que lo pueda paralizar, ya sea de forma parcial o total. (Anderson, 2013) El plan de contingencia es una herramienta que le ayudará a que los procesos críticos de su empresa u organización continúen funcionando a pesar de una posible falla en los sistemas computarizados. Es decir, un plan que le permite a su negocio u organización, seguir operando aunque sea al mínimo. (Alzate, 2001) Consiste en la identificación de aquellos sistemas de información y/o recursos informáticos aplicados que son susceptibles de deterioro, violación o pérdida y que pueden ocasionar graves trastornos para el desenvolvimiento normal de la organización, con el propósito de estructurar y ejecutar aquellos procedimientos y asignar responsabilidades que salvaguarden la información y permitan su recuperación garantizando la confidencialidad, integridad y disponibilidad de ésta en el menor tiempo posible y a unos costos razonables. (Anderson, 2013) El plan de contingencia debe cubrir todos los aspectos que se van a adoptar tras una interrupción, lo que implica suministrar el servicio alternativo y para lograrlo no solo se deben revisar las operaciones cotidianas, sino que también debe incluirse el análisis de los principales distribuidores, clientes, negocios y socios, así como la infraestructura en riesgo. Esto incluye cubrir los siguientes tópicos: hardware, software, documentación, talento humano y soporte logístico; debe ser lo más detallado posible y fácil de comprender. Aspectos Generales de la Seguridad de la Información La Seguridad Física La seguridad física garantiza la integridad de los activos humanos, lógicos y materiales de un sistema de información de datos. Si se entiende la contingencia o proximidad de un daño como la definición de Riesgo de Fallo, local o general, tres serían las medidas a preparar para ser utilizadas en relación a la cronología del fallo. (Alzate, 2001) Antes 2
El nivel adecuado de seguridad física, o grado de seguridad, es un conjunto de acciones utilizadas para evitar el fallo o, en su caso, aminorar las consecuencias que de él se puedan derivar. Es un concepto aplicable a cualquier actividad, no sólo a la informática, en la que las personas hagan uso particular o profesional de entornos físicos. (Anderson, 2013) • Ubicación del Centro de Procesamiento de Datos dentro del edificio. • Sistemas contra Incendios. • Control de accesos. • Selección de personal. • Seguridad de los medios. • Medidas de protección. Durante Se debe de ejecutar un plan de contingencia adecuado. En general, cualquier desastre es cualquier evento que, cuando ocurre, tiene la capacidad de interrumpir el normal proceso de una empresa. La probabilidad de que ocurra un desastre es muy baja, aunque se diera, el impacto podría ser tan grande que resultaría fatal para la organización. Por otra parte, no es corriente que un negocio responda por sí mismo ante un acontecimiento como el que se comenta, se deduce la necesidad de contar con los medios necesarios para afrontarlo. Estos medios quedan definidos en el Plan de Recuperación de Desastres que junto con el Centro Alternativo de Proceso de Datos, constituye el plan de contingencia que coordina las necesidades del negocio y las operaciones de recuperación del mismo. (Alzate, 2001) Son puntos imprescindibles del plan de contingencia: • Realizar un análisis de riesgos de sistemas críticos que determine la tolerancia de los sistemas • Establecer un periodo crítico de recuperación, en la cual los procesos debe de ser reanudados antes de sufrir pérdidas significativas o irrecuperables.
3
• Realizar un Análisis de Aplicaciones Críticas por que se establecerán las prioridades del proceso. Después Los contratos de seguros vienen a compensar, en mayor o menor medida las pérdidas, gastos o responsabilidades que se puedan derivar para el centro de proceso de datos una vez detectado y corregido el fallo. De la gama de seguros existentes, se pueden indicar los siguientes: • Centros de proceso y equipamiento: se contrata la cobertura sobre el daño físico en el CPD (Centro de Procesamiento de Datos) y el equipo contenido en él. • Reconstrucción de medios de software: cubre el daño producido sobre medio software tanto los que son de propiedad del tomador de seguro como aquellos que constituyen su responsabilidad. • Gastos extra: cubre los gastos extra que derivan de la continuidad de las operaciones tras un desastre o daño en el centro de proceso de datos. Es suficiente para compensar los costos de ejecución del plan de contingencia. • Interrupción del negocio: cubre las pérdidas de beneficios netos causadas por las caídas de los medios informáticos o por la suspensión de las operaciones. • Documentos y registros valiosos: Se contrata para obtener una compensación en el valor metálico real por la pérdida o daño físico sobre documentos y registros valiosos no amparados por el seguro de reconstrucción de medio software. • Errores y omisiones: proporciona protección legal ante la responsabilidad en que pudiera incurrir un profesional que cometiera un acto, error u omisión que ocasione una pérdida financiera a un cliente. • Cobertura de fidelidad: cubre las pérdidas derivadas de actos deshonestos o fraudulentos cometidos por empleados.
4
• Transporte de medios: proporciona cobertura ante pérdidas o daños a los medios transportados. • Contratos con proveedores y de mantenimiento: proveedores o fabricantes que aseguren la existencia de repuestos y consumibles, así como garantías de fabricación. Guía General Para Elaborar Un Plan De Contingencias Los conceptos básicos son los siguientes:
Análisis y valoración de riesgos.
Jerarquización de las aplicaciones.
Establecimientos de requerimientos de recuperación.
Ejecución.
Pruebas.
Documentación.
Difusión y mantenimiento.
Análisis y valoración de Riesgos.
El proyecto comienza con el análisis del impacto en la organización. Durante esta etapa se identifican los procesos críticos o esenciales y sus repercusiones en caso de no estar en funcionamiento. El primer componente del plan de contingencia debe ser una descripción del servicio y el riesgo para ese servicio, igualmente se debe determinar el costo que representa para la organización el experimentar un desastre que afecte a la actividad empresarial. Se debe evaluar el nivel de riesgo de la información para hacer:
Un adecuado estudio costo/beneficio entre el costo por pérdida de información y el costo de un sistema de seguridad.
Clasificar la instalación en términos de riesgo (alto, mediano, bajo) e identificar las aplicaciones que representen mayor riesgo.
Cuantificar el impacto en el caso de suspensión del servicio.
5
Determinar la información que pueda representar cuantiosas pérdidas para la organización o bien que pueda ocasionar un gran efecto en la toma de decisiones.
Cuando ocurra una contingencia, es esencial que se conozca al detalle el motivo que la originó y el daño producido mediante la evaluación y análisis del problema donde se revisen las fortalezas, oportunidades, debilidades y amenazas, lo que permitirá recuperar en el menor tiempo posible el proceso perdido. Jerarquización de las Aplicaciones. Es perentorio definir anticipadamente cuales son las aplicaciones primordiales para la organización. Para la determinación de las aplicaciones preponderantes, el plan debe estar asesorado y respaldado por las directivas, de tal forma que permita minimizar las desavenencias entre los distintos departamentos y/o divisiones. El plan debe incluir una lista de los sistemas, aplicaciones y prioridades, igualmente debe identificar aquellos elementos o procedimientos informáticos como el hardware, software básico, de telecomunicaciones y el software de aplicación, que puedan ser críticos ante cualquier eventualidad o desastre y jerarquizarlos por orden de importancia dentro de la organización. También se deben incluir en esta categoría los problemas asociados por la carencia de fuentes de energía, utilización indebida de medios magnéticos de resguardo o back up o cualquier otro daño de origen físico que pudiera provocar la pérdida masiva de información. Establecimientos de requerimientos de recuperación. En esta etapa se procede a determinar lo que se debe hacer para lograr una óptima solución, especificando las funciones con base en el estado actual de la organización. De esta forma es necesario adelantar las siguientes actividades: profundizar y ampliar la definición del problema, analizar áreas problema, documentos utilizados, esquema organizacional y funcional, las comunicaciones y sus flujos, el sistema de control y evaluación, formulación de las medidas de seguridad necesarias dependiendo del nivel de seguridad requerido, justificación del costo de implantar 6
las medidas de seguridad, análisis y evaluación del plan actual, determinar los recursos humanos, técnicos y económicos necesarios para desarrollar el plan, definir un tiempo prudente y viable para lograr que el sistema esté nuevamente en operación. Ejecución. Una vez finalizado el plan, es conveniente elaborar un informe final con los resultados de su ejecución cuyas conclusiones pueden servir para mejorar éste ante futuras nuevas eventualidades. En esta fase hay que tener muy presente que el plan no busca resolver la causa del problema, sino asegurar la continuidad de las tareas críticas de la empresa. En la elaboración del plan de contingencias deben de intervenir los niveles ejecutivos de la organización, personal técnico de los procesos y usuarios, para así garantizar su éxito, ya que los recursos necesarios para la puesta en marcha del plan de contingencia, necesariamente demandan mucho esfuerzo técnico, económico y organizacional. Pruebas. Es necesario definir las pruebas del plan, el personal y los recursos necesarios para su realización. Luego se realizan las pruebas pertinentes para intentar valorar el impacto real de un posible problema dentro de los escenarios establecidos como posibles. En caso de que los resultados obtenidos difieran de los esperados, se analiza si la falla proviene de un problema en el ambiente de ejecución, con lo cual la prueba volverá a realizarse una vez solucionados los problemas, o si se trata de un error introducido en la fase de conversión; en este último caso pasará nuevamente a la fase de conversión para la solución de los problemas detectados. Una correcta documentación ayudará a la hora de realizar las pruebas. La capacitación del equipo de contingencia y su participación en pruebas son fundamentales para poner en evidencia posibles carencias del plan. Documentación. Esta fase puede implicar un esfuerzo significativo para algunas personas, pero ayudará a comprender otros aspectos del sistema y puede ser primordial para la empresa en caso de 7
ocurrir un desastre. Deben incluirse, detalladamente, los procedimientos que muestren las labores de instalación y recuperación necesarias, procurando que sean entendibles y fáciles de seguir. Es importante tener presente que la documentación del plan de contingencia se debe desarrollar desde el mismo momento que nace, pasando por todas sus etapas y no dejando esta labor de lado, para cuando se concluyan las pruebas y su difusión. Difusión y mantenimiento. Cuando se disponga del plan definitivo ya probado, es necesario hacer su difusión y capacitación entre las personas encargadas de llevarlo a cargo. El mantenimiento del plan comienza con una revisión del plan existente y se examina en su totalidad realizando los cambios en la información que pudo haber ocasionado una variación en el sistema y realizando los cambios que sean necesarios. Procedimientos Recomendados para las Pruebas del Plan de Contingencias, Niveles de Prueba Se recomiendan tres niveles de prueba: • Pruebas en pequeñas unidades funcionales o divisiones. • Pruebas en unidades departamentales • Pruebas inter-departamentales o con otras instituciones externas. La premisa es comenzar la prueba en las unidades funcionales más pequeñas, extendiendo el alcance a las unidades departamentales más grandes, para finalmente realizar las pruebas entre unidades inter-departamentales o con otras instituciones externas. Métodos para Realizar Pruebas de Planes de Contingencia Prueba Específica Consiste en probar una sola actividad, entrenando al personal en una función específica, basándose en los procedimientos estándar definidos en el Plan de Contingencias. De esta manera el personal tendrá una tarea bien definida y desarrollará la habilidad para cumplirla. Prueba de Escritorio 8
Implica el desarrollo de un plan de pruebas a través de un conjunto de preguntas típicas (ejercicios). Características:
La discusión se basa en un formato preestablecido.
Está dirigido al equipo de recuperación de contingencias.
Permite probar las habilidades gerenciales del personal que tiene una mayor responsabilidad
Simulación en Tiempo Real
Las pruebas de simulación real, en un departamento, una división, o una unidad funcional de la empresa está dirigida una situación de contingencia por un período de tiempo definido.
Las pruebas se hacen en tiempo real
Es usado para probar partes específicas del plan
Permite probar las habilidades coordinativas y de trabajo en equipo de los grupos asignados para afrontar contingencias.
Preparaciones Pre Prueba
Repasar los planes de contingencia seleccionados para probar.
Verificar si se han asignado las respectivas responsabilidades.
Verificar que el plan este aprobado por la alta dirección de la institución.
Entrenar a todo el personal involucrado, incluyendo orientación completa de los objetivos del plan, roles, responsabilidades y la apreciación global del proceso.
Establecer la fecha y la hora para la ejecución de la prueba.
Desarrollar un documento que indique los objetivos, alcances y metas de la prueba y distribuirlo antes de su ejecución.
9
Asegurar la disponibilidad del ambiente donde se hará la prueba y del personal esencial en los días de ejecución de dichas pruebas.
Comprobación de Plan de Contingencias La prueba final debe ser una prueba integrada que involucre secciones múltiples e instituciones externas. La capacidad funcional del plan de contingencia radica en el hecho, de que tan cerca se encuentren los resultados de la prueba con las metas planteadas. El siguiente diagrama de bloques representa los pasos necesarios, para la ejecución de las pruebas del plan de contingencias. La figura adjunta muestra los pasos necesarios para hacer la comprobación del Plan de Contingencias. Mantenimiento de Plan de Contingencias y Revisiones Las limitaciones y problemas observados durante las pruebas deben analizarse planteando alternativas y soluciones, las cuales serán actualizadas en el Plan de Contingencias. Capítulo II ITIL Mejores Prácticas ITIL tuvo sus inicios en 1990, el cual se considera un marco de trabajo que basa en las mejores prácticas. Por lo que se puede decir que ITIL es de gran importancia hoy en día, ya que es una herramienta de gran ayuda para las organizaciones para que estas puedan cumplir con sus objetivos corporativos. (Pacheco, 2016) ITIL tiene como objetivo principal proporcionar valor al cliente y negocio en forma de servicios de TI, ya que sirve como guía para hacer uso de las TI y así poder realizar el cambio dentro de la organización y a su vez hacer que esta organización cresa. Al implementar ITIL como mejor practica en las organizaciones se obtienen las siguientes ventajas o beneficios:
Mejorar los servicios de TI
Mejorar la satisfacción del cliente a través de un servicio más profesional 10
Mejorar la productividad
Reducir costos
Mejorar el uso de habilidades y experiencias
Mejorar la entrega de servicios de terceras personas
Alinear los proyectos con las necesidades del negocio
Algo que también es importante en mi punto de vista es el ciclo de vida de ITIL que se compone de la siguiente manera:
Estrategia del servicio
Diseño del servicio
Implementación y transición del servicio
Operación del servicio
Monitoreo y mejorar continua del servicio
Cada una de estas partes desempeña una gran función para que ITIL funcione de manera correcta y así pueda dar esa eficacia y eficiencia que garantiza este marco al ser implementado (Pacheco, 2016). Se considera experto en implementación de ITIL a la persona que cuenta con los conocimientos necesarios para poder obtener una certificación en esta rama para esto se necesita cumplir con estos cuatro niveles o escales:
Fundamentos (Fundación Level)
Intermedio (Lifecycle Stream & Capability Stream)
ITIL Diploma
Avanzado (Advanced Service Management Professional Diploma)
COBIT COBIT es un modelo de evaluación y monitores que se enfoca en el control de negocios y la seguridad IT y que abarca controles específicos de IT desde una perspectiva de negocios.
11
Su cuerpo de trabajo contiene aspectos como la reseña histórica, misión, usuarios, Características y Estructura de COBIT. La evaluación de los requerimientos del negocio, los recursos y procesos IT, son puntos bastante importantes para el buen funcionamiento de una compañía y para el aseguramiento de su supervivencia en el mercado. COBIT es precisamente un modelo para auditar la gestión y control de los sistemas de información y tecnología, orientado a todos los sectores de una organización, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso. (JONATHANSIMENTAL, 2016) La adecuada implementación de un modelo COBIT en una organización, provee una herramienta automatizada, para evaluar de manera ágil y consistente el cumplimiento de los objetivos de control y controles detallados, que aseguran que los procesos y recursos de información y tecnología contribuyen al logro de los objetivos del negocio en un mercado cada vez más exigente y complejo. Hoy día las empresas deben de saber que su activo más valioso es su información y la tecnología que la soporta para muchas, afortunadamente ya no son la mayoría, consideran estas como un gasto, y no como un soporte tan importante o más que el núcleo del negocio mismo, ya que este debe ser soportado por los primeros, esto debe ser considerado por el cuerpo ejecutivo aunque no lo entiendan, así como promueven la obtención de una certificación en el núcleo del negocio, deben considerar la implementación de una metodología como COBIT, para garantizar la continuidad en el proceso del negocio. La alta dirección de las organizaciones deben optimizar los recursos disponibles de TI, incluyendo: aplicaciones, información, infraestructura y personal, para alinearlos a los objetivos del negocio para ello se pueden apoyar en COBIT, empleando las buenas prácticas conjuntadas por expertos para asegurar una óptima entrega de servicios por parte de TI y en caso de cualquier contingencia saber cómo proceder y mantener la continuidad en el negocio. COBIT provee de un marco de trabajo que vincula las actividades de TI con los objetivos del negocio, para ello, deben estar organizadas en algún modelo de procesos aceptado, los recursos de TI deben estar bien identificados así como los objetivos del área que proporciona los servicios de TI que 12
deban ser considerados, esto con la finalidad de alinear lo objetivos particulares de TI con los generales de la empresa, y que como tales deben ser cuantificables para medir los logros y metas alcanzadas de los responsables de los procesos del negocio. COBIT provee un modelo de procesos en los cuales TI tiene 34 de acuerdo a las áreas de responsabilidad de planear, construir, ejecutar y monitorear, y estos se apoyan en los conceptos de arquitectura empresarial que ayudan a identificar los recursos esenciales para el éxito de los procesos. COBIT se utiliza para implementar el gobierno de IT y mejorar los controles de IT. Contiene objetivos de control, directivas de aseguramiento, medidas de desempeño y resultados, factores críticos de éxito y modelos de madurez. (Cruz, 2017) Ventajas y Desventajas de COBIT Ventajas Suministra un lenguaje común que les permite a los ejecutivos de negocios comunicar sus metas, objetivos y resultados con Auditores, IT y otros profesionales. Proporciona las mejores prácticas y herramientas para monitorear y gestionar las actividades de IT. (Cruz, 2017) Protege la información, es decir lograr la confidencialidad de la información. Disponibilidad de la información cuando ésta se requiere por el proceso de negocio en todo momento. COBIT proporciona las directrices para tomar las decisiones en la realización de servicios. Este marco de referencia proporciona roles y responsabilidades. Proporciona la optimización de los costos de las TI. Este marco no obliga a adoptar todos los procesos. COBIT integra auditorias, analiza todo su procesos atreves de las auditorias. Desventajas COBIT resulta un modelo ambicioso que requiere de profundidad en el estudio. 13
Se requiere de un esfuerzo de la organización, para adoptar los estándares. No existe en la bibliografía resultado de la experiencia práctica de los países en la implementación de este modelo que lo hagan medible. Se requiere un cambio de cultura en las personas que hacen el servicio (cambiar las formas de pensar de las personas). (Cruz, 2017) Lleva tiempo ver las reducciones de costos y la mejora en la entrega de los servicios. Una implementación exitosa implica compromiso del personal a todos los niveles de la organización. Capítulo III Recomendaciones Identificar los escenarios de riesgo en tu empresa. Determinar las actividades críticas y prioritarias de tu empresa e identifica cuán pronto debes reanudarla. Determinar que necesitas para que tu empresa o negocio continúe operando Selecciona al líder o equipo responsable de llevar a cabo el plan. Establecer las estrategias de protección antes del incidente y las medidas de contingencia y mitigación necesaria después. Hacer simulacros y corrige errores para que funcione bien de ser necesario. Conclusión: Se concluye que un plan de contingencia es una estrategia planificada con una serie de procedimientos que nos faciliten o nos orienten alternativas que nos permita restituir rápidamente los servicios de la organización ante la eventualidad de todo lo que lo pueda paralizar, ya sea de forma parcial o total. Según mi punto de vista nos hace darnos cuenta que somos vulnerables a sufrir riesgos de todo tipo y que una empresa por muy buena que sea tampoco está exenta de sufrir algún incidente. Es así como nos damos cuenta de que es muy 14
importante contar con un plan que nos guie a cerca de los procedimientos que debemos seguir en caso de tener inconvenientes. El planear, verificar, analizar los riesgos para la prevención de catástrofes futuras. De igual forma ITIL define un ciclo de vida para la Gestión de Servicios que nos permite considerar los servicios de una forma global: justificación, diseño, construcción, pruebas, despliegue, mejora y retirada. Bibliografía Alzate, J. A. (13 de 05 de 2001). PLAN DE CONTINGENCIAS INFORMÁTICO. Obtenido de PLAN DE CONTINGENCIAS INFORMÁTICO: http://bdigital.unal.edu.co/57872/1/plandecontingenciasinformatico.pdf Anderson, C. O. (15 de 02 de 2013). Foro de Seguridad. Obtenido de Foro de Seguridad: http://www.forodeseguridad.com/artic/discipl/4132.htm Cruz, M. M. (26 de 03 de 2017). COBIT. Obtenido de COBIT: http://cobitmmatiasc.blogspot.com/2017/03/ventajas-y-desventajas-de-cobit.html JONATHANSIMENTAL. (24 de 04 de 2016). COBIT. Obtenido de COBIT: https://gratis848.wordpress.com/2016/04/24/ensayo-cobit/ Pacheco, J. M. (19 de mayo de 2016). Estrategias De Gestion De Servicios De TI. Obtenido de Estrategias De Gestion De Servicios De TI: http://manuelpachecoegsti.blogspot.com/2016/05/ensayo-importancia-y-utilidad-de-itilv3.html
15