Evaluación del contexto organizacional en la gestión del riesgo de tecnología de información con un enfoque basado en COBIT
DOI:
https://doi.org/10.36825/RITI.07.14.004Palabras clave:
COBIT, Contexto Organizacional, Evaluación, Gestión de Riesgos, Tecnología de InformaciónResumen
Las Tecnologías de la Información y Comunicación (TIC) se han convertido en herramientas fundamentales para apoyar los procesos de negocio. No obstante, su incorporación ha traído nuevas y sofisticadas amenazas y vulnerabilidades. Por ello, la gestión de riesgos en Tecnologías de Información es un factor determinante para garantizar la continuidad del negocio. Una de las primeras actividades que se deben abordar en la gestión de riesgos, es la evaluación del contexto organizacional, que arroja como resultado una comprensión de la empresa en torno a su estrategia para gestionar riesgos y al papel que tienen los empleados en las necesidades de control. En este artículo se definen un conjunto de indicadores basados en los procesos catalizadores de COBIT para determinar el nivel de madurez del contexto organizacional para la gestión de riesgos. Adicionalmente se propone una estrategia enfocada al recurso humano para la evaluación de las amenazas y vulnerabilidades. Los resultados de su aplicación permitieron constatar que a pesar de que se definen políticas en torno a la gestión de riesgos más del 70% de los empleados no las implementa a cabalidad, por lo cual, evaluar el contexto organizacional periódicamente y con indicadores claros es fundamental.
Citas
Palacios, L. (2016). Dirección estratégica. España: Ecoe Ediciones.
Briceño Zamudio, M. C., Martínez Moreno, E. T. (2015). Direccionamiento estratégico. Evolución y estado del arte. México: Ediciones EAE.
Kalkan, A., Çetinkay, Ö., Arman, M. (2014). The Impacts of Intellectual Capital, Innovation and Organizational Strategy on Firm Performance. Procedia - Social and Behavioral Sciences, 150 (15), 700-707.
FlySteensen, E. (2014). Five types of organizational strategy. Scandinavian Journal of Management, 30 (3), 266-281.
García-Peñalvo, F. J. (2018). Gobierno de Tecnologías de la Información. (1era ed.) [versión electrónica] Recuperado de: http://repositorio.grial.eu/handle/grial/1229
Suárez Marrufo, M. C., Salinas Mendoza, B. (2014). Uso de las tecnologías de información y comunicación en la apropiación social del conocimiento como base para el desarrollo de estrategias de gestión en ciencia y tecnología. Revista de Investigación en Tecnologías de la Información, 2 (4), 14-20.
ISO/IEC (2015). Corporate governance of information technology, ISO/IEC 38500.
Muñoz, I., Ulloa, G. (2011). Gobierno de TI – Estado del arte. Revista Sistemas & Telemática, 9 (17), 23-53.
Díaz, H. (2017). Tecnologías de la información y comunicación y crecimiento económico. Revista Economía Informa, 405, 30-45.
Guerrero, M. (2017). Una aproximación a la gestión de riesgos y controles en tecnologías de información desde la perspectiva desde las organizaciones inteligentes. Revista Nousitz, 1 (1), 33-39.
Valencia-Duque, F. J., Orozco-Alzate, M. (2017). Metodología para la implementación de un Sistema de Gestión de Seguridad de la Información basado en la familia de normas ISO/IEC 27000. RISTI - Revista Ibérica de Sistemas e Tecnologias de Informação, 22, 73-88. doi: http://dx.doi.org/10.17013/risti.22.73-88.
Guerrero, M., Gómez, L. (2012). Gestión de riesgos y controles en sistemas de información: del aprendizaje a la transformación organizacional. Revista Estudios gerenciales, 28 (125), 87-95.
Isaca (2012). Risk IT Framework for Management of IT Related Business Risks. Urs Fischer, CISA, CRISC ISACA Guidance and Practices Committee.
Caralli, R., Stevens, J., Young, L., Wilson, W. (2007). Introducing OCTAVE Allegro: Improving the Information Security Risk Assessment Process, Software Engineering Institute. CMU/SEI Report Number: CMU/SEI-2007-TR-012.
Lydon, B. (2016). Industry 4.0: Intelligent and flexible production [versión electrónica] Recuperado de: http://www.isa.org
Zhou, K., Liu, T. (2015). Industry 4.0: Towards Future Industrial Opportunities and Challenges. Presentado en 12th International Conference on Fuzzy Systems and Knowledge Discovery, Changsha, China.
Fojon, E., Sanz, A. (2010). Ciberseguridad en España. Una propuesta para su gestión [versión electrónica]. Recuperado de: http://biblioteca.ribei.org/1879/1/ARI-102-2010.pdf
Hernández Moreno, A. (2017). Ciberseguridad y confianza en el ámbito digital. Información Comercial Española, ICE: Revista de economía, (897), 55-65.
Ernst & Young. (2016). Cambios en el panorama de los riesgos de TI. El porqué y el cómo de la actual Administración de Riesgos de TI. [versión electrónica] Recuperado de: http://www.ey.com/Publication/vwLUAssets/Cambios_en_el_panorama_de_los_riesgos_de_TI/$FILE/Perspectivas_riesgos_TI.pdf
Cisco (2018). Informe de Ciberseguridad anual. Estados Unidos: Cisco.
Carpentier, J. F. (2016). La seguridad informática en la PYME: Situación actual y mejores prácticas. Barcelona: Ediciones ENI.
Guerrero, M., Gómez, L. (2011). Revisión de estándares relevantes y literatura de gestión de riesgos y controles en sistemas de información. Revista Estudios gerenciales, 27 (121), 195-218.
Ramírez, A., Ortiz, Z. (2011). Gestión de riesgos tecnológicos basada en ISO 31000 e ISO 27005 y su aporte a la continuidad de negocios. Revista Ingeniería, 16 (2), 56-66.
4360:2004 (2004). Estándar Australiano. Administración de Riesgos. Tercera edición. Australia: Standards.
Stonebumer, G. (2002). Risk Management Guide for Information Technology Systems. Recommendations of the National Institute of Standards and Technology. NIST. Estados Unidos: Special Publication 800-30.
Ross, R. (2008). Managing Risk from Information Systems. Recommendations of the National Institute of Standards and Technology. Gaithersburg: NIST Special Publication 800-39.
Isaca (2012). COBIT 5.0. Enabling Processes. Estados Unidos: Isaca.
Isaca (2012). COBIT 5.0. Un marco de negocio para el gobierno y la gestión de TI de la empresa. Estados Unidos: Isaca.
Guerrero, M. (2015). Descifrando los procesos de cambio de la cultura organizacional para la gestión de riesgos y controles en sistemas de información. Revista Nousitz, 1 (1), 797-802.
Aguilera, A., Riascos, S. (2009). Direccionamiento estratégico apoyado En las TIC. Revista Estudios Gerenciales, 25 (111), 127-143.
López, D. (2017). Modelo de gestión de los servicios de tecnología de información basado en COBIT, ITIL e ISO/IEC 27000. Revista Tecnológica ESPOL, 30 (1), 51-69.
Hinarejos, A., De la Peña, J. (2017). I+D+i y ciberseguridad análisis de una relación de interdependencia. Revista Cuadernos de estrategia, 185, 247-290.
Ramírez, A., Ortiz, Z. (2011). Gestión de riesgos tecnológicos basada en ISO 31000 e ISO 27005 y su aporte a la continuidad de negocios. Revista Ingeniería, 16 (2), 56-66.
Santiago, E., Sánchez, J. (2017). Riesgos de ciberseguridad en las Empresas. Revista Tecnología y desarrollo, 15, 1- 33.
Publicado
Cómo citar
Número
Sección
Licencia
Derechos de autor 2019 Revista de Investigación en Tecnologías de la Información
Esta obra está bajo una licencia internacional Creative Commons Atribución-NoComercial-SinDerivadas 4.0.
Esta revista proporciona un acceso abierto a su contenido, basado en el principio de que ofrecer al público un acceso libre a las investigaciones ayuda a un mayor intercambio global del conocimiento.
El texto publicado en la Revista de Investigación en Tecnologías de la Información (RITI) se distribuye bajo la licencia Creative Commons (CC BY-NC
), que permite a terceros utilizar lo publicado citando a los autores del trabajo y a RITI, pero sin hacer uso del material con propósitos comerciales.
