Valverde Francisco easalazar@uce.edu.ec, ramossantiago79@yahoo.com, fxaviervalverde@yahoo.com Escuela Politcnica Nacional, Facultad de Sistemas, Maestra en Gestin de las Comunicaciones y TI 11/03/2014
Abstract Las empresas actualmente se encuentran en
proceso de mejora continua a travs de la adaptacin de las tecnologas de la informacin como aliado estratgico para la consecucin de objetivos organizacionales, la generacin y aceptacin de estndares y marcos de referencia es prioridad de la alta gerencia y el gobierno corporativo integrado al gobierno de TI para el logro de metas de negocio, ECOPETROL S. A. ha implementado el marco de referencia de Gobierno de TI denominado COBIT y es referenciado como un caso de xito en la implementacin del mismo, logrando implementar 24 de los 34 procesos propuestos por la metodologa y logrando mejora en los procesos de TI en tan solo tres aos, la empresa ha sido premiada y reconocida por estos logros y la misma ha mejorado su desempeo y optimizado mejor sus recursos pero sobre todo los proyectos nuevos van siempre alineados a los objetivos organizacionales, lo ms importante dentro de esta organizacin es que la alta gerencia se encuentra comprometida e inmiscuida en los procesos de mejora a travs del uso de un marco de referencia de gobierno de TI, los clientes/usuarios han sido capacitados y concientizados de lo importante que es aceptar y asimilar las responsabilidades asignadas por los directivos del negocio quienes han comprendido y asumido lo importante que es para el mismo el uso de procesos y prcticas probadas de gobernanza de tecnologas para conseguir las metas organizacionales, usadas como medio para conseguirlas, entendiendo que lo importante no es el recurso de TI sino los objetivos logrados por el uso apropiado de estos recursos en beneficio de la organizacin, TI se ha convertido en esta organizacin ECOPETROL S. A. en un referente de xito en la adaptacin de COBIT como marco de trabajo de gobernanza y control de procesos que aporten beneficios al negocio y apunten al logro de objetivos de esta empresa Keywords COBIT, Gobierno de TI, Gobierno Corporativo
I.
INTRODUCCIN
Antes de que las mquinas llegasen a formar parte de las vidas de
todas las personas, nadie hubiera credo ni pensado que las mismas nos acompaaran todos los das, a todas horas y estaran disponibles para solucionar nuestros problemas en cualquier momento en que necesitramos de ellas Muchas organizaciones comenzaron adoptar con recelo a estas mquinas que llegaran a convertirse rpidamente en parte esencial de las empresas, al reemplazar procesos de negocio de forma manual a forma automtica, los registros de clientes de productos de transacciones ya no estaran ms arrinconados en cajas con grandes cantidades de papel escrito a mano, a mquina de escribir e inclusive con el uso de las primeras computadoras con impresoras matriciales Los datos ahora estaran almacenados de manera digital en grandes unidades de disco magnticos convertidos en millones y millones de bits combinados para formar las caractersticas de datos que cualquier organizacin estese dispuesto a confiar a estos nuevos compaeros de labores denominados computadoras, servidores y unidades gigantes de almacenamiento
Las organizaciones aceptaron al nuevo compaero de labores y
confiaron en el mismo la seguridad de su informacin de todos los procesos de negocio, pero aun con estos aspectos de importancia la alta directiva no creaba conciencia de la importancia de crear procedimientos de proteger y asegurar la informacin, las Unidades de Tecnologas eran simplemente lugares de soporte tcnico enfocados al arreglo correctivo de equipamiento informtico, si se necesitaba colocar un nuevo equipo en red se contrataba un servicio de cableado estructurado y se segua con los procesos de negocio rutinarios sin dar importancia al equipamiento tecnolgico y subutilizando, expertos en temas de Tecnologas de la Informacin usndolos como simples asistentes de paquetera informtica, soporte a hardware y software, instalaciones continuas de aplicativos y sistemas operativos, perdiendo por completo el verdadero valor de tener profesionales de TI(Tecnologas de la Informacin) En los aos actuales el pensamiento directivo de las organizaciones ha ido entendiendo el verdadero valor y funcionalidad del departamento de TI pero no solo verlo como el soporte a la continuidad de la funcionalidad del equipamiento informtico sino como un aliado estratgico en la consecucin de objetivos organizacionales, esto quiere decir que los objetivos de TI deberan estar alineados a los objetivos de negocio Actualmente ya se usan conceptos ms robustos y metodologas que han logrado estandarizar la forma de gestionar los procesos de TI y todos los componentes necesarios para que el negocio y TI vayan cumpliendo al unsono los objetivos organizacionales y se ha generado el nuevo concepto de Gobierno de TI La presente investigacin tiene como objetivo el entender los conceptos de Gobierno de TI, comprender una de las metodologas ms importantes usadas en este mbito que es COBIT, finalmente se analizara un antes y un despus de un caso de xito en la empresa ECOPETROL S. A. en la implementacin de este marco de referencia y como han logrado adaptar la misma a travs de los pro y contras suscitados durante su adaptacin, finalmente conocer el estado actual de esta organizacin y los resultados observados con el fin de concluir si el uso de modelos y estndares de Gobernanza de TI realmente apoya al negocio en el logro de objetivos organizacionales II. METODOLOGA A. Qu es el GTI (Gobierno de TI)? El GTI consta de liderazgo, estructuras y procesos organizacionales que garantizan que TI en la empresa sostiene y extiende las estrategias y objetivos organizacionales. El GTI es responsabilidad de los ejecutivos y del consejo de directores [1]. Al decir liderazgo es que quien dirija no debe tener solo conocimientos de TI sino de aspectos importantes del negocio, las estructuras y los procesos debern ser validados
por toda la organizacin a travs de la alta direccin y de la
Gerencia de TI B.Por qu es necesario el GTI? Aunque para muchas empresas la informacin y la tecnologa que las soportan representan muy valiosos activos, son con frecuencia poco entendidos. Para ser exitosa una empresa debe entender los beneficios de la tecnologa de la informacin, los riesgos asociados y la dependencia crtica en TI de muchos procesos de negocio. Este entendimiento lo provee el GTI [1]. La informacin se convierte en el principal activo de la organizacin y la misma debe ser protegida, los riesgos que rodean la posible indisponibilidad de la misma deben ser analizados y la alta direccin debe comprender que existe una dependencia entre el negocio y las tecnologas de la informacin por lo tanto deben trabajar alineadas para conseguir las metas propuestas por la organizacin C. Para qu sirve el GTI? Ahora se entienden como elementos clave del gobierno corporativo la alineacin estratgica, la entrega de valor, la administracin de recursos, la administracin de riesgos y la medicin de desempeo, a estas reas est enfocado el GTI [1] GTI debe estar alineado estratgicamente a los objetivos organizacionales, adems le entrega mayor valor a los clientes al mantener una imagen de confianza y disponibilidad inmediata de la informacin necesaria para la mejora de los procesos de negocio, tambin se logra la optimizacin tras una correcta administracin de los recursos, planes de contingencia tras los posibles riesgos para mantener la disponibilidad de la informacin y la creacin de indicadores que permitirn controlar y evaluar los resultados que apunten al logro total de las metas propuestas por la organizacin D. Cmo implementar el GTI? Es necesario el empleo de las mejores buenas prcticas internacionales relacionadas, las cuales definen con COBIT la visin Top Down o Arriba Abajo del GTI y con ITIL V3, ISO 27001 y otros marcos de trabajo afines los correspondientes aportes Bottom Up o Abajo Arriba [1] Al existir normas que estn siendo usadas de manera ms frecuente y tomadas como referencia para ser implementadas en las organizaciones que hacen referencia a las mejores prcticas en temas como gobierno de TI, gestin de servicios de TI, seguridad y gestin de riesgos de TI, es beneficioso irse alineando al resto de empresas a nivel mundial quienes de alguna forma buscan la excelencia en la provisin de sus productos, servicios y procesos, y que los mismos sean vistos objetivamente por todos los clientes, por tanto COBIT, ITIL, ISO en sus diferentes normativas van buscando la mejora continua en estos aspectos La implementacin de estas normas no tienen validez ni fortaleza si no existe en primer lugar un apoyo inmediato y continuo por parte de la organizacin a nivel directivo y el compromiso y difusin responsable de polticas que posibiliten el logro de la adaptacin de estos procesos y sus correspondientes modelos de apoyo a mejorar la calidad de
entrega de los mismos, de esta forma se genera ese equilibrio
definido por la Gobernanza de TI E. Cundo implementar el GTI? La implementacin del GTI es una evolucin, no una revolucin, entonces cuanto antes una organizacin inicie su implementacin formal del GTI ser mejor [1] Es necesario iniciar con una capacitacin a toda la organizacin desde la parte operativa hasta la parte gerencial, asesorarse de expertos en el tema para analizar los procesos prioritarios a ser implementados, la organizacin no va a cambiar a corto tiempo pero sus procesos principales irn alinendose conforme la organizacin as lo requiera F.
Dnde implementar el GTI?
El enfoque GTI aplica a organizaciones grandes, medianas
y pequeas de cualquier ndole [1] Al ser los estndares en muchos casos adaptables a cualquier organizacin, las mismas pueden ser usadas ya sean por las grades organizaciones o por las denominadas PYMES, sin embargo hay que diferenciar los procesos prioritarios o reas de importancia y relevancia para la organizacin que necesite de estos procedimientos, por donde encaminarse es algo que debe ser asesorado por gente de experiencia en la implementacin de las metodologas a tomar en cuenta, tener personal calificado y con conocimiento en las reglas del mtodo es de gran importancia para el xito de la adaptacin de dichos estndares, los beneficios altos, los costos iniciales dependen de los procesos o metodologas a implementar Esta definicin preliminar de conceptos delata la necesidad de entender por qu la implementacin del GTI requiere el empleo integrado de un conjunto de marcos de trabajo, en el cual COBIT ejerce como el camino a seguir de todo lo que es necesario hacer y los dems aportan sus buenas prcticas de manera complementaria en funcin del cmo hacer lo requerido por COBIT [1]. Cada proceso COBIT, segn las metas TI y las metas del negocio con l relacionadas, soporta el cumplimiento de los Criterios de Informacin que le competen en la medida en que lo indica su respectivo Nivel de Madurez, elemento bsico en la gestin del Balanced Score Card o Cuadro de Mando. [1] Las empresas poseen un capital activo muy valioso: informacin y tecnologa. Cada vez en mayor medida, el xito de una empresa depende de la comprensin de ambos componentes. Las buenas prcticas concentradas en el marco de referencia COBIT, permiten que los negocios se alineen con la tecnologa de la informacin para as alcanzar los mejores resultados. [2] El gobierno de TI es responsabilidad de los ejecutivos agrupados en el consejo de directores de la empresa y para ello, es necesario el liderazgo y una buena base de estructuras y procesos organizacionales que garantizan que la TI de la empresa sostiene y extiende las estrategias y objetivos organizacionales. De esta manera, el gobierno de TI facilita que la empresa aproveche al mximo su informacin, maximizando as los beneficios, capitalizando las oportunidades y ganando ventajas competitivas [2]
implementacin y aseguramiento de 28 procesos COBIT, la
mitad de ellos con un nivel de madurez 3 o superior, 49 sistemas de informacin asegurados con controles de lnea base. [3] H. Situacin anterior de ECOPETROL S. A. a la aplicacin del modelo
Fig. 1. Gobierno de TI - COBIT [2]
COBIT es un marco de referencia y un juego de herramientas de soporte que permiten a la gerencia cerrar la brecha con respecto a los requerimientos de control, temas tcnicos y riesgos de negocio, y comunicar ese nivel de control a los participantes. COBIT permite el desarrollo de polticas claras y de buenas prcticas para el control de TI por parte de las empresas. Constantemente se actualiza y armoniza con otros estndares, por lo tanto se ha convertido en el integrador de las mejores prcticas de TI y el marco de referencia general para el gobierno de TI que ayuda a comprender y administrar los riesgos y beneficios asociados con TI. La estructura de procesos y su enfoque de alto nivel orientado al negocio brindan una visin completa de TI y de las decisiones a tomar. [2] G. COBIT en ECOPETROL S. A. La Asociacin Global ISACA, reconocida mundialmente por desarrollar prcticas para las empresas que utilizan sistemas de informacin, public el caso de implementacin que Ecopetrol realiz del modelo COBIT, como reconocimiento al esfuerzo de la empresa en la adopcin de mejores prcticas de referencia y a sus resultados comprobados. Esta organizacin independiente que participa en el desarrollo, adopcin y utilizacin del conocimiento y prcticas globalmente aceptadas sobre gobierno, gestin, seguridad y auditoras de tecnologas de la informacin, permite la presentacin de sus casos de implementacin a las empresas que han utilizado algunas herramientas emitidas por ISACA, para que se sometan ante un comit y de ser aprobados en esta instancia, publicados en los diferentes medios de la comunidad de conocimiento de ISACA en el mundo. El modelo COBIT que contiene 34 procesos de control orientados a integrar la gestin de gobierno, riesgos y cumplimiento en tecnologas de informacin, le permiti a Ecopetrol acoplarlo tambin con su sistema de control interno COSO - y el cumplimiento de regulaciones externas como la Ley Sarbanes-Oxley [3] COBIT contiene herramientas como guas de implementacin de objetivos de control, guas de aseguramiento y auditora, indicadores de gestin para los procesos, guas de referencia de madurez de procesos, integracin con modelos de valor y riesgos. El proyecto en Ecopetrol comenz a desarrollarse desde el 2008, por la Direccin de Tecnologa de la Informacin con el apoyo de otras reas de la empresa, tanto de la operacin como del corporativo. El proyecto ha permitido la
Ecopetrol S.A. es la empresa ms grande y la principal
compaa petrolera en Colombia. Por su tamao, pertenece al grupo de las 40 petroleras ms grandes del mundo y es una de las cuatro principales de Latinoamrica. Ecopetrol tranza sus acciones en las Bolsas de Valores de Colombia, Per, Nueva York y Toronto. Los resultados financieros, de gestin y crecimiento han sido internacionalmente reconocidos en los ltimos cinco aos [4] Alineada con los retos de excelencia operacional, en el ao 2008, la Direccin de Tecnologa de Informacin de la compaa determin adoptar COBIT, como marco para la implementacin del sistema de gestin de tecnologas de informacin, integrando los esfuerzos de iniciativas en curso, relacionadas con el diseo e implementacin de servicios (ITIL), la gestin por procesos, control interno y cumplimiento de regulaciones tales como la Ley SarbanesOxley [4] Ecopetrol SA es la mayor compaa integrada de petrleo de Colombia con cerca de 7.000 empleados directos. Es una de las 40 principales empresas petroleras del mundo y las cuatro compaas petroleras ms grandes de Amrica Latina. Adems de Colombia, que representa el 60 por ciento de la produccin total de Ecopetrol, la compaa tiene presencia en actividades de exploracin y produccin en Brasil, Per y Estados Unidos (Golfo de Mxico). Ecopetrol tambin est incrementando significativamente su participacin en biocombustibles [5] El cdigo de Buen Gobierno de Ecopetrol cuenta con las mejores prcticas corporativas necesarias para preservar la tica empresarial y la administracin y el control de la compaa correcta. Esto permite que la empresa pueda competir a travs del reconocimiento y el respeto de los derechos de los accionistas, los inversores y otras partes interesadas sobre la base de polticas claras de transparencia en la gestin y divulgacin de la informacin acerca de la empresa, que a su vez generar una mayor confianza entre las partes interesadas y el mercado en general. El sistema de control interno de Ecopetrol se enmarca dentro de los estndares internacionales (COSO). [5] Divisin de Tecnologa de Informacin de Ecopetrol depende del Vicepresidente de Servicios y Tecnologa y est a cargo del proceso de gestin de la informacin para la empresa en dos frentes principales: soluciones y aprovisionamiento de tecnologa de la informacin y los servicios de infraestructura de desarrollo e implementacin de TI para apoyar los procesos de negocio [5]
La Divisin de Tecnologa de la Informacin, que tiene
cerca de 150 empleados directos, es responsable de asegurar el gobierno de TI. Tiene una muy fuerte estructura interna, distribuida de una manera que satisfaga las necesidades de los proyectos de desarrollo de negocios, implementacin, operacin y soporte de soluciones, y proporciona los servicios requeridos. Adems, contiene una unidad de gestin y de arquitectura, una rea de seguridad de la informacin en respuesta al ms alto nivel de la Divisin de TI para orientar los procesos relacionados con IT Governance, Risk and Compliance. [5] I.
Situacin posterior de ECOPETROL S. A. a la
aplicacin del modelo
Ecopetrol escogi e implemento 28 procesos de COBIT,
dando prioridad a los objetivos de control [5] [6] [3]
Permite el mapeo de los objetivos de TI con los objetivos
empresariales Es el resultado de una mejor alineacin, basado en un enfoque de negocio. Proporciona una visin de lo que hace que sea comprensible para la gerencia. Indica claramente la propiedad y la responsabilidad basada en la orientacin del proceso. En general se acepta por parte de terceros y reguladores. Proporciona un entendimiento compartido entre todos los interesados , sobre la base de un lenguaje comn. Cumple con los requisitos de COSO y Sarbanes-Oxley para el ambiente de control de TI.
El equipo asignado al proyecto realiz el desarrollo, diseo
y documentacin de los procesos, posteriormente su implementacin y monitoreo con los ajustes solicitados, en junio de 2009 TI implement 14 procesos de alta prioridad y a fnales de diciembre del mismo ao todos los 28 procesos seleccionados. [3] A mediados del 2009 y al empezar el 2010, se llevaron auditorias tanto de tipo interno como de tipo externo, se implementaron medidas de correccin para las debilidades y el mejoramiento en los principales procesos y controles de TI, la auditoria externa reporto que no haba deficiencias significativas o debilidades materiales en los controles de TI que requieran ser informadas por el CIO, el CFO, el CEO o el auditor externo. [3]
En la parte de Infraestructura y Servicios se logr: [6]
Transicin al nuevo prestador de servicios bsicos de soporte informtico, bajo un enfoque de procesos acorde con la prctica internacional ITIL. Montaje de la oficina de Ecopetrol Amrica Inc. en Houston. Disposicin de 25 toneladas de chatarra electrnica. Avances en el desarrollo de la oficina mvil, con la implementacin de herramientas de colaboracin como Office Communicator. Respecto a la Gestin de Informacin [6] [3]:
Solucin de gestin de informacin tcnica para
exploracin (GITEP).
Formulacin del portafolio de iniciativas de gestin de
informacin para apoyar la estrategia exploratoria 20112020.
Inventario de necesidades para mejorar la gestin
integral de los activos de produccin.
Despliegue de la solucin SAP en filiales (Bioenergy,
Reficar, ODL); actualizacin de Ellipse; segregacin de funciones de usuario final con el apoyo de la herramienta SAP GRC Access Control.
Puesta en produccin de las soluciones de informacin
para transportes alternativos y Nominaciones.
Implementacin de soluciones para aprendizaje virtual.
Se logr una participacin de 2.126 funcionarios en programas tcnicos e ingls virtual. Finalmente respecto a la Seguridad de Informacin [6]
III.
RESULTADOS OBTENIDOS
Cubrimiento de ms de 3.900 funcionarios y contratistas
para sensibilizarlos en prcticas de gestin segura de la informacin.
Desarrollo y valoracin de la efectividad de seguridad
informtica de las 38 aplicaciones alcance SOX y su infraestructura asociada.
Definicin de las especificaciones tcnicas de seguridad
para proyectos orientados hacia Cloud Computing
Durante el ao 2010 se confirm el nivel de madurez 3 de
los procesos de gestin de tecnologa de informacin bajo el referente COBIT. [6] Este resultado fue documentado como un caso de xito internacional que fue aprobado por ISACA (Information System Audit and Control Association). Como resultado de lo anterior, se asegur el cumplimiento de los objetivos de control claves para la certificacin SOX. [6] Tambin se adelantaron planes de trabajo con 21 reas de la Empresa con un nivel de cumplimiento de 97,6%, y se ejecutaron inversiones por $51.600 millones con un cumplimiento del indicador de proyectos del 100%. Dentro de los resultados ms destacados del 2010 estn:
Desde el 2009 y al cierre del ao 2011, se han evidenciado
resultados importantes en la gestin de riesgos y controles, indicadores de gestin, de servicio y resultados en las
evaluaciones internas y externas relacionadas con auditorias y
madurez de procesos [4] El proceso de implementacin y sostenibilidad del modelo, el impacto de los resultados en la confiabilidad de la informacin, la confianza en el sistema de control interno de TI, la integracin y articulacin con temas organizacionales asociados, la evaluacin externa permanente, la gestin sobre la cultura, el apoyo en servicios de consultora efectivos y la gestin sobre lecciones aprendidas, son factores de xito comprobados en este caso de xito [4] ECOPETROL implement 28 procesos de COBIT, dando prioridad a los objetivos de control que apoyan el cumplimiento de la ley. La Divisin de TI ha desarrollado un ejercicio interno para determinar el nivel de madurez de estos procesos. Despus de llegar a la conclusin de que estaban en un nivel promedio de cumplimiento de 2, el equipo identific las brechas y establecer planes de accin para alcanzar el nivel 3 para los procesos ms crticos [5] El equipo del proyecto desarroll luego el diseo y la documentacin de los procesos y posteriormente, la aplicacin y el seguimiento de la operacin para la realizacin de los ajustes necesarios. Como resultado de ello, en junio de 2009, la Divisin haba implementado y asegurado 14 procesos de COBIT de alta prioridad. Para diciembre de 2009, en los 28 se haban aplicado [5] Durante el segundo semestre de 2009 y el primer trimestre de 2010, las auditoras internas y externas se han desarrollado y. se implementaron varias medidas para la recuperacin y mejora de los procesos y controles de TI clave. Como resultado de ello, el auditor externo inform que no haba deficiencias significativas o debilidades materiales en los controles de TI que necesitan ser reportado por el CIO, el director financiero, el director general o el auditor [5] En diciembre de 2009, el proyecto COBIT recibi un premio de la compaa por la excelencia para reconocer el rendimiento, la iniciativa y el trabajo en equipo del equipo del proyecto. IV.
CONCLUSIONES
COBIT es un modelo a seguir para no solo llevar un
control de los procesos de TI que pertenecen a la organizacin sino debe ser tomado en cuenta para la gobernabilidad de tecnologa que por ende ser enfocado a la gobernabilidad corporativa Sin determinar el tamao de la organizacin ni en el mercado que esta pueda desempear el marco referencial de Gobierno de TI agrega valor a las empresas, le da al gerente una visin sobre las mejores prcticas en el desempeo de TI orientado netamente al negocio y que sea entendido por toda la organizacin La implementacin de COBIT se debe estructurar como un proyecto, con un plan de trabajo detallado, hitos claramente definidos, la asignacin del trabajo en equipo con dedicacin y confianza en la gestin de proyectos, gestin de riesgos y control de sincronizacin y los entregables del proyecto. La compaa contrat a las consultoras especializadas conocidas que integran los equipos con un amplio conocimiento y experiencia.
La planificacin del proyecto, el desarrollo y los
resultados se comunican con eficacia dentro de la empresa. Se establecieron una comunidad de prctica y la gestin de las lecciones aprendidas. Se definieron las estrategias de sostenibilidad y una mayor optimizacin de los procesos. La Divisin de TI interactu de manera efectiva con los equipos de auditora. Particular atencin se le dio a la separacin de funciones, control de acceso, la planificacin de la continuidad, desarrollo de software y los problemas de seguridad de la informacin. Evaluaciones a nivel de madurez se llevaron a cabo por un tercero competente e independiente. Ms de 20 empleados pasaron el examen de Fundamentos de COBIT y obtuvieron un certificado de COBIT, esto garantiza la difusin y conocimiento de la metodologa implantada V. BIBLIOGRAFA [1] B. B. S. B. N. J. Barrera R. Tania, Metodologa de Implementacin del GTI, ACIS, [En lnea]. Available: http://correo.acis.org.co/fileadmin/Revista_118/Tres.pdf. [ltimo acceso: 03 03 2014]. [2] B. Company, CobiT: Un marco de referencia para la informacin y la tecnologa, BIT Company, 09 04 2012 . [En lnea]. Available: http://www.bitcompany.biz/queescobit/#.UxVUPc7EHBY. [ltimo acceso: 03 03 2014]. [3] C. Muoz P Jhonny, Boletn ISACA Costa Rica, ISACA Capitulo COSTA RICA, 2010. [En lnea]. Available:http://www.isacacr.org/archivos/Acai_Boletin /ISACA-Julio-2010.pdf_es.pdf. [ltimo acceso: 03 03 2014]. [4] E. S. A. Len Lozano Alberto, ITSMF, ITSMF Espaa, 04 11 2012. [En lnea]. Available: http://itsmf.es/index.php ?option=com_content&view=article&id=852. [ltimo acceso: 04 03 2014]. [5] I. ORG, COBIT Case Study: Implementing COBIT for IT Governance, Risk and Compliance at Ecopetrol S.A., ISACA,2014. [En lnea]. Available: http://www.isaca.org/ Knowledge Center/cobit/Pages/COBIT-Case-StudyEcopetrol.aspx.[ltimo acceso: 04 03 2014]. [6] ECOPETROL, Informe de Gestin Empresarial y EstadosFinancieros, ECOPETROL S. A., 2013. [En lnea].Available:http://www.ecopetrol.com.co/especiales/I nforme %20de%20Gesti%C3%B3n%20y%20Finanzas%202011/ tecnologia_01.html. [ltimo acceso: 04 03 2014].