Evaluation of the organizational context in information technology risk management with a COBIT-based approach

Authors

  • Marlene Lucila Guerrero Julio Universidad de Santander UDES
  • Carlos Uc Rios Universidad Internacional Iberoamericana UNINI

DOI:

https://doi.org/10.36825/RITI.07.14.004

Keywords:

COBIT, Organizational Context, Evaluation, Risk Management, Information Technology

Abstract

: Information and Communication Technologies (ICT) have become fundamental tools to support business processes. However, its incorporation has brought new and sophisticated threats and vulnerabilities. Therefore, Information Technology risk management is a determining factor to ensure business continuity. One of the first activities that must be addressed in risk management is the evaluation of the organizational context, which results in an understanding of the company around its strategy to manage risks and the role that employees have in the needs of control. This article defines a set of indicators based on COBIT enablers Processes to determine the level of maturity of the organizational context for risk management. Additionally, a strategy focused on human resources for the threats and vulnerabilities evaluation is proposed. The results of its application made it possible to verify that although be defines risk management politics, more than 70% of employees do not fully implement them, so evaluating the organizational context periodically and with clear indicators is essential. 

References

Palacios, L. (2016). Dirección estratégica. España: Ecoe Ediciones.

Briceño Zamudio, M. C., Martínez Moreno, E. T. (2015). Direccionamiento estratégico. Evolución y estado del arte. México: Ediciones EAE.

Kalkan, A., Çetinkay, Ö., Arman, M. (2014). The Impacts of Intellectual Capital, Innovation and Organizational Strategy on Firm Performance. Procedia - Social and Behavioral Sciences, 150 (15), 700-707.

FlySteensen, E. (2014). Five types of organizational strategy. Scandinavian Journal of Management, 30 (3), 266-281.

García-Peñalvo, F. J. (2018). Gobierno de Tecnologías de la Información. (1era ed.) [versión electrónica] Recuperado de: http://repositorio.grial.eu/handle/grial/1229

Suárez Marrufo, M. C., Salinas Mendoza, B. (2014). Uso de las tecnologías de información y comunicación en la apropiación social del conocimiento como base para el desarrollo de estrategias de gestión en ciencia y tecnología. Revista de Investigación en Tecnologías de la Información, 2 (4), 14-20.

ISO/IEC (2015). Corporate governance of information technology, ISO/IEC 38500.

Muñoz, I., Ulloa, G. (2011). Gobierno de TI – Estado del arte. Revista Sistemas & Telemática, 9 (17), 23-53.

Díaz, H. (2017). Tecnologías de la información y comunicación y crecimiento económico. Revista Economía Informa, 405, 30-45.

Guerrero, M. (2017). Una aproximación a la gestión de riesgos y controles en tecnologías de información desde la perspectiva desde las organizaciones inteligentes. Revista Nousitz, 1 (1), 33-39.

Valencia-Duque, F. J., Orozco-Alzate, M. (2017). Metodología para la implementación de un Sistema de Gestión de Seguridad de la Información basado en la familia de normas ISO/IEC 27000. RISTI - Revista Ibérica de Sistemas e Tecnologias de Informação, 22, 73-88. doi: http://dx.doi.org/10.17013/risti.22.73-88.

Guerrero, M., Gómez, L. (2012). Gestión de riesgos y controles en sistemas de información: del aprendizaje a la transformación organizacional. Revista Estudios gerenciales, 28 (125), 87-95.

Isaca (2012). Risk IT Framework for Management of IT Related Business Risks. Urs Fischer, CISA, CRISC ISACA Guidance and Practices Committee.

Caralli, R., Stevens, J., Young, L., Wilson, W. (2007). Introducing OCTAVE Allegro: Improving the Information Security Risk Assessment Process, Software Engineering Institute. CMU/SEI Report Number: CMU/SEI-2007-TR-012.

Lydon, B. (2016). Industry 4.0: Intelligent and flexible production [versión electrónica] Recuperado de: http://www.isa.org

Zhou, K., Liu, T. (2015). Industry 4.0: Towards Future Industrial Opportunities and Challenges. Presentado en 12th International Conference on Fuzzy Systems and Knowledge Discovery, Changsha, China.

Fojon, E., Sanz, A. (2010). Ciberseguridad en España. Una propuesta para su gestión [versión electrónica]. Recuperado de: http://biblioteca.ribei.org/1879/1/ARI-102-2010.pdf

Hernández Moreno, A. (2017). Ciberseguridad y confianza en el ámbito digital. Información Comercial Española, ICE: Revista de economía, (897), 55-65.

Ernst & Young. (2016). Cambios en el panorama de los riesgos de TI. El porqué y el cómo de la actual Administración de Riesgos de TI. [versión electrónica] Recuperado de: http://www.ey.com/Publication/vwLUAssets/Cambios_en_el_panorama_de_los_riesgos_de_TI/$FILE/Perspectivas_riesgos_TI.pdf

Cisco (2018). Informe de Ciberseguridad anual. Estados Unidos: Cisco.

Carpentier, J. F. (2016). La seguridad informática en la PYME: Situación actual y mejores prácticas. Barcelona: Ediciones ENI.

Guerrero, M., Gómez, L. (2011). Revisión de estándares relevantes y literatura de gestión de riesgos y controles en sistemas de información. Revista Estudios gerenciales, 27 (121), 195-218.

Ramírez, A., Ortiz, Z. (2011). Gestión de riesgos tecnológicos basada en ISO 31000 e ISO 27005 y su aporte a la continuidad de negocios. Revista Ingeniería, 16 (2), 56-66.

4360:2004 (2004). Estándar Australiano. Administración de Riesgos. Tercera edición. Australia: Standards.

Stonebumer, G. (2002). Risk Management Guide for Information Technology Systems. Recommendations of the National Institute of Standards and Technology. NIST. Estados Unidos: Special Publication 800-30.

Ross, R. (2008). Managing Risk from Information Systems. Recommendations of the National Institute of Standards and Technology. Gaithersburg: NIST Special Publication 800-39.

Isaca (2012). COBIT 5.0. Enabling Processes. Estados Unidos: Isaca.

Isaca (2012). COBIT 5.0. Un marco de negocio para el gobierno y la gestión de TI de la empresa. Estados Unidos: Isaca.

Guerrero, M. (2015). Descifrando los procesos de cambio de la cultura organizacional para la gestión de riesgos y controles en sistemas de información. Revista Nousitz, 1 (1), 797-802.

Aguilera, A., Riascos, S. (2009). Direccionamiento estratégico apoyado En las TIC. Revista Estudios Gerenciales, 25 (111), 127-143.

López, D. (2017). Modelo de gestión de los servicios de tecnología de información basado en COBIT, ITIL e ISO/IEC 27000. Revista Tecnológica ESPOL, 30 (1), 51-69.

Hinarejos, A., De la Peña, J. (2017). I+D+i y ciberseguridad análisis de una relación de interdependencia. Revista Cuadernos de estrategia, 185, 247-290.

Ramírez, A., Ortiz, Z. (2011). Gestión de riesgos tecnológicos basada en ISO 31000 e ISO 27005 y su aporte a la continuidad de negocios. Revista Ingeniería, 16 (2), 56-66.

Santiago, E., Sánchez, J. (2017). Riesgos de ciberseguridad en las Empresas. Revista Tecnología y desarrollo, 15, 1- 33.

Downloads

Published

2019-09-25

How to Cite

Guerrero Julio , M. L., & Uc Rios , C. (2019). Evaluation of the organizational context in information technology risk management with a COBIT-based approach. Revista De Investigación En Tecnologías De La Información, 7(14), 38–51. https://doi.org/10.36825/RITI.07.14.004

Issue

Vol. 7 No. 14 (2019): Julio-Diciembre

Section

Artículos

License

Copyright (c) 2019 Revista de Investigación en Tecnologías de la Información

Creative Commons License

This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.

Esta revista proporciona un acceso abierto a su contenido, basado en el principio de que ofrecer al público un acceso libre a las investigaciones ayuda a un mayor intercambio global del conocimiento. 

El texto publicado en la Revista de Investigación en Tecnologías de la Información (RITI) se distribuye bajo la licencia Creative Commons (CC BY-NCCc-by new.svgCc-nc.svg), que permite a terceros utilizar lo publicado citando a los autores del trabajo y a RITI, pero sin hacer uso del material con propósitos comerciales.