GOBIERNO Y GESTIÓN DE RIESGOS DE TECNOLOGÍAS DE INfORMACIÓN Y ASPECTOS DIfERENCIADORES CON EL RIESGO ORGANIZACIONAL

  • CARLOS EDUARDO MARULANDA Universidad Nacional de Colombia Sede Manizales UNAL
  • MARCELO LÓPEZ TRUJILLO Universidad de Caldas Unicaldas Universidad Pública

Resumen

Las tecnologías de información y comunicaciones como parte inherente del negocio, son consideradas un factor clave en la productividad y competitividad de una organización, de allí que los riesgos derivados de su operación se convierten en aspectos críticos que requieren ser tratados a través de un adecuado gobierno y gestión. Es por ello que normas internacionales como la ISO 38500:2008 y marcos de referencia como COBIT establecen lineamientos en  materia de riesgos como parte del gobierno y gestión de riesgos de tecnologías de información, que son complementados con las diversas metodologías de riesgos de tecnologías de información que han promulgado diferentes organizaciones a nivel internacional y que a partir de diversos trabajos académicos y profesionales han realizado propuestas de similitudes entre sus estructuras, incluso con las metodologías de riesgo organizacional, lo que nos lleva a determinar dos aspectos críticos que las diferencian: los activos objeto de análisis y los factores de impacto a evaluar, los cuales requieren especial atención al momento de desarrollar un proceso de gestión de riesgos. En este sentido se realiza una propuesta que aporte a la comunidad académica y profesional al desarrollo de un proceso de gestión de riesgos en el contexto de las tecnologías de información y en particular a la clasificación de los activos tecnológicos en doce (12) capas y a la evaluación de su impacto en función de la triada Confidencialidad, Integridad y Disponibilidad.

PALABRAS CLAVES: riesgos de TI, gobierno y gestión de riesgos de TI, metodologías de riesgos de TI, activos tecnológicos.

Descargas

Descargar los datos que aún no están disponibles

Biografía del autor

CARLOS EDUARDO MARULANDA, Universidad Nacional de Colombia Sede Manizales UNAL
PhD(c) en Ingeniería, Industria y Organizaciones. Profesor Asociado Departamento de Administración
MARCELO LÓPEZ TRUJILLO, Universidad de Caldas Unicaldas Universidad Pública
PhD en Ingeniería Informática, Sociedad de la Información y del Conocimiento. Profesor titular Departamento de Sistemas e informátic

Citas

[1] ICONTEC, “Norma Técnica Colombiana NTC-ISO / IEC 38500,” Bogotá (Colombia), 2009.

[2] Ernst & Young, “Cambios en el panorama de los riesgos de TI,” 2012.

[3] M. S. Saleh and A. Alfantookh, “A new comprehensive framework for enterprise information security risk management,” Appl. Comput. Informatics , vol. 9, no. 2, pp. 107–118, 2011.

[4] N. Racz, E. Weippl, and A. Seufert, “A process model for integrated IT governance , risk , and compliance management,” in The Ninth Baltic Conference on Databases and Information Systems , 2010, pp. 155–170.

[5] A. Vanegas and C. J. Pardo, “Hacia un modelo para la gestión de riesgos de TI en MiPyMEs : MOGRIT,” Rev. S&T , vol. 12, no. 30, pp. 35–48, 2014.

[6] IT Governance Institute, “COBIT 4.1.,” 2007.

[7] ISACA, COBIT 5. Procesos Catalizadores . Rolling Meadows, Illinois, 2012.

[8] ISACA, COBIT 5 for Risk . 2013.

[9] Global Knowledge, “Las 15 certificaciones mejor pagadas en 2015,” 2016. [Online]. Available: http://www.globalknowledge.es/noticias-yeventos/noticias/las-15-certificaciones-mejorpagadas-2015/. [Accessed: 30-Apr-2016].

[10] ISACA, Manual de Preparaciòn al examen CRISC 2014 . 2013.

[11] ISACA, The Risk IT Framework . 2009.

[12] ICONTEC, “Norma Técnica Colombiana. NTC-ISO/ IEC 27005. Tecnología de Información. Técnicas de Seguridad. Gestión del riesgo en la seguridad de la información.,” Bogotá, 2009.

[13] G. Stoneburner, A. Goguen, and A. Feringa, “Risk Management Guide for Information Technology Systems Recommendations of the National Institute of Standards and Technology,” 2001.

[14] M. Talabis and J. Martin, Information Security Risk Assessment Toolkit: Practical Assessments through Data Collection and Data Analysis . 2012.

[15] A. Abril, J. Pulido, and J. A. Bohada, “Anàlisis de riesgos en seguridad de la informaciòn.,” Rev. Ciencia, Innovaciòn y Tecnol. , vol. 1, pp. 39–53, 2013.

[16] CLUSIF, “Club de la Sécurité de l’Information Français,” 2015. [Online]. Available: https://www. clusif.asso.fr/en/production/mehari/. [Accessed: 27-Apr-2015].

[17] A. Ramírez and Z. Ortiz, “Gestión de Riesgos tecnológicos basada en ISO 31000 e ISO 27005 y su aporte a la continuidad de negocios,” Ingeniería , vol. 16, no. 2, pp. 56–66, 2011.

[18] M. Firoiu, “General Considerations on Risk Management and Information System Security Assessment According to ISO/IEC 27005:2011 and ISO 31000:2009 Standards,” Calitatea , vol. 16, no. 149, pp. 93–97, 2015.

[19] A. Shameli-Sendi, R. Aghababaei-Barzegar, and M. Cheriet, “Taxonomy of Information Security Risk Assessment (ISRA),” Comput. Secur. , vol. 57, pp.
Publicado
2016-11-30
Cómo citar
MARULANDA, CARLOS EDUARDO; LÓPEZ TRUJILLO, MARCELO. GOBIERNO Y GESTIÓN DE RIESGOS DE TECNOLOGÍAS DE INfORMACIÓN Y ASPECTOS DIfERENCIADORES CON EL RIESGO ORGANIZACIONAL. REVISTA GTI, [S.l.], v. 15, n. 41, p. 65-77, nov. 2016. ISSN 2027-8330. Disponible en: <http://revistas.uis.edu.co/index.php/revistagti/article/view/5911>. Fecha de acceso: 24 sep. 2017
Sección
Artículos de Investigación Científica e Innovación