GOBIERNO Y GESTIÓN DE RIESGOS DE TECNOLOGÍAS DE INfORMACIÓN Y ASPECTOS DIfERENCIADORES CON EL RIESGO ORGANIZACIONAL

CARLOS EDUARDO MARULANDA, MARCELO LÓPEZ TRUJILLO

Resumen


Las tecnologías de información y comunicaciones como parte inherente del negocio, son consideradas un factor clave en la productividad y competitividad de una organización, de allí que los riesgos derivados de su operación se convierten en aspectos críticos que requieren ser tratados a través de un adecuado gobierno y gestión. Es por ello que normas internacionales como la ISO 38500:2008 y marcos de referencia como COBIT establecen lineamientos en  materia de riesgos como parte del gobierno y gestión de riesgos de tecnologías de información, que son complementados con las diversas metodologías de riesgos de tecnologías de información que han promulgado diferentes organizaciones a nivel internacional y que a partir de diversos trabajos académicos y profesionales han realizado propuestas de similitudes entre sus estructuras, incluso con las metodologías de riesgo organizacional, lo que nos lleva a determinar dos aspectos críticos que las diferencian: los activos objeto de análisis y los factores de impacto a evaluar, los cuales requieren especial atención al momento de desarrollar un proceso de gestión de riesgos. En este sentido se realiza una propuesta que aporte a la comunidad académica y profesional al desarrollo de un proceso de gestión de riesgos en el contexto de las tecnologías de información y en particular a la clasificación de los activos tecnológicos en doce (12) capas y a la evaluación de su impacto en función de la triada Confidencialidad, Integridad y Disponibilidad.

PALABRAS CLAVES: riesgos de TI, gobierno y gestión de riesgos de TI, metodologías de riesgos de TI, activos tecnológicos.


Texto completo:

PDF

Referencias


ICONTEC, “Norma Técnica Colombiana NTC-ISO / IEC 38500,” Bogotá (Colombia), 2009.

Ernst & Young, “Cambios en el panorama de los riesgos de TI,” 2012.

M. S. Saleh and A. Alfantookh, “A new comprehensive framework for enterprise information security risk management,” Appl. Comput. Informatics , vol. 9, no. 2, pp. 107–118, 2011.

N. Racz, E. Weippl, and A. Seufert, “A process model for integrated IT governance , risk , and compliance management,” in The Ninth Baltic Conference on Databases and Information Systems , 2010, pp. 155–170.

A. Vanegas and C. J. Pardo, “Hacia un modelo para la gestión de riesgos de TI en MiPyMEs : MOGRIT,” Rev. S&T , vol. 12, no. 30, pp. 35–48, 2014.

IT Governance Institute, “COBIT 4.1.,” 2007.

ISACA, COBIT 5. Procesos Catalizadores . Rolling Meadows, Illinois, 2012.

ISACA, COBIT 5 for Risk . 2013.

Global Knowledge, “Las 15 certificaciones mejor pagadas en 2015,” 2016. [Online]. Available: http://www.globalknowledge.es/noticias-yeventos/noticias/las-15-certificaciones-mejorpagadas-2015/. [Accessed: 30-Apr-2016].

ISACA, Manual de Preparaciòn al examen CRISC 2014 . 2013.

ISACA, The Risk IT Framework . 2009.

ICONTEC, “Norma Técnica Colombiana. NTC-ISO/ IEC 27005. Tecnología de Información. Técnicas de Seguridad. Gestión del riesgo en la seguridad de la información.,” Bogotá, 2009.

G. Stoneburner, A. Goguen, and A. Feringa, “Risk Management Guide for Information Technology Systems Recommendations of the National Institute of Standards and Technology,” 2001.

M. Talabis and J. Martin, Information Security Risk Assessment Toolkit: Practical Assessments through Data Collection and Data Analysis . 2012.

A. Abril, J. Pulido, and J. A. Bohada, “Anàlisis de riesgos en seguridad de la informaciòn.,” Rev. Ciencia, Innovaciòn y Tecnol. , vol. 1, pp. 39–53, 2013.

CLUSIF, “Club de la Sécurité de l’Information Français,” 2015. [Online]. Available: https://www. clusif.asso.fr/en/production/mehari/. [Accessed: 27-Apr-2015].

A. Ramírez and Z. Ortiz, “Gestión de Riesgos tecnológicos basada en ISO 31000 e ISO 27005 y su aporte a la continuidad de negocios,” Ingeniería , vol. 16, no. 2, pp. 56–66, 2011.

M. Firoiu, “General Considerations on Risk Management and Information System Security Assessment According to ISO/IEC 27005:2011 and ISO 31000:2009 Standards,” Calitatea , vol. 16, no. 149, pp. 93–97, 2015.

A. Shameli-Sendi, R. Aghababaei-Barzegar, and M. Cheriet, “Taxonomy of Information Security Risk Assessment (ISRA),” Comput. Secur. , vol. 57, pp.




Universidad Industrial de Santander

Cr 27 Cl9 Ciudad Universitaria Telefono: 6422809 - 6701062

Bucaramanga - Colombia

A.A. 678