GOBIERNO Y GESTIÓN DE RIESGOS DE TECNOLOGÍAS DE INfORMACIÓN Y ASPECTOS DIfERENCIADORES CON EL RIESGO ORGANIZACIONAL

  • CARLOS EDUARDO MARULANDA Universidad Nacional de Colombia Sede Manizales UNAL
  • MARCELO LÓPEZ TRUJILLO Universidad de Caldas Unicaldas Universidad Pública

Resumen

Las tecnologías de información y comunicaciones como parte inherente del negocio, son consideradas un factor clave en la productividad y competitividad de una organización, de allí que los riesgos derivados de su operación se convierten en aspectos críticos que requieren ser tratados a través de un adecuado gobierno y gestión. Es por ello que normas internacionales como la ISO 38500:2008 y marcos de referencia como COBIT establecen lineamientos en  materia de riesgos como parte del gobierno y gestión de riesgos de tecnologías de información, que son complementados con las diversas metodologías de riesgos de tecnologías de información que han promulgado diferentes organizaciones a nivel internacional y que a partir de diversos trabajos académicos y profesionales han realizado propuestas de similitudes entre sus estructuras, incluso con las metodologías de riesgo organizacional, lo que nos lleva a determinar dos aspectos críticos que las diferencian: los activos objeto de análisis y los factores de impacto a evaluar, los cuales requieren especial atención al momento de desarrollar un proceso de gestión de riesgos. En este sentido se realiza una propuesta que aporte a la comunidad académica y profesional al desarrollo de un proceso de gestión de riesgos en el contexto de las tecnologías de información y en particular a la clasificación de los activos tecnológicos en doce (12) capas y a la evaluación de su impacto en función de la triada Confidencialidad, Integridad y Disponibilidad.

PALABRAS CLAVES: riesgos de TI, gobierno y gestión de riesgos de TI, metodologías de riesgos de TI, activos tecnológicos.

Biografía del autor

##submission.authorWithAffiliation##
PhD(c) en Ingeniería, Industria y Organizaciones. Profesor Asociado Departamento de Administración
##submission.authorWithAffiliation##
PhD en Ingeniería Informática, Sociedad de la Información y del Conocimiento. Profesor titular Departamento de Sistemas e informátic

Citas

[1] ICONTEC, “Norma Técnica Colombiana NTC-ISO / IEC 38500,” Bogotá (Colombia), 2009.

[2] Ernst & Young, “Cambios en el panorama de los riesgos de TI,” 2012.

[3] M. S. Saleh and A. Alfantookh, “A new comprehensive framework for enterprise information security risk management,” Appl. Comput. Informatics , vol. 9, no. 2, pp. 107–118, 2011.

[4] N. Racz, E. Weippl, and A. Seufert, “A process model for integrated IT governance , risk , and compliance management,” in The Ninth Baltic Conference on Databases and Information Systems , 2010, pp. 155–170.

[5] A. Vanegas and C. J. Pardo, “Hacia un modelo para la gestión de riesgos de TI en MiPyMEs : MOGRIT,” Rev. S&T , vol. 12, no. 30, pp. 35–48, 2014.

[6] IT Governance Institute, “COBIT 4.1.,” 2007.

[7] ISACA, COBIT 5. Procesos Catalizadores . Rolling Meadows, Illinois, 2012.

[8] ISACA, COBIT 5 for Risk . 2013.

[9] Global Knowledge, “Las 15 certificaciones mejor pagadas en 2015,” 2016. [Online]. Available: http://www.globalknowledge.es/noticias-yeventos/noticias/las-15-certificaciones-mejorpagadas-2015/. [Accessed: 30-Apr-2016].

[10] ISACA, Manual de Preparaciòn al examen CRISC 2014 . 2013.

[11] ISACA, The Risk IT Framework . 2009.

[12] ICONTEC, “Norma Técnica Colombiana. NTC-ISO/ IEC 27005. Tecnología de Información. Técnicas de Seguridad. Gestión del riesgo en la seguridad de la información.,” Bogotá, 2009.

[13] G. Stoneburner, A. Goguen, and A. Feringa, “Risk Management Guide for Information Technology Systems Recommendations of the National Institute of Standards and Technology,” 2001.

[14] M. Talabis and J. Martin, Information Security Risk Assessment Toolkit: Practical Assessments through Data Collection and Data Analysis . 2012.

[15] A. Abril, J. Pulido, and J. A. Bohada, “Anàlisis de riesgos en seguridad de la informaciòn.,” Rev. Ciencia, Innovaciòn y Tecnol. , vol. 1, pp. 39–53, 2013.

[16] CLUSIF, “Club de la Sécurité de l’Information Français,” 2015. [Online]. Available: https://www. clusif.asso.fr/en/production/mehari/. [Accessed: 27-Apr-2015].

[17] A. Ramírez and Z. Ortiz, “Gestión de Riesgos tecnológicos basada en ISO 31000 e ISO 27005 y su aporte a la continuidad de negocios,” Ingeniería , vol. 16, no. 2, pp. 56–66, 2011.

[18] M. Firoiu, “General Considerations on Risk Management and Information System Security Assessment According to ISO/IEC 27005:2011 and ISO 31000:2009 Standards,” Calitatea , vol. 16, no. 149, pp. 93–97, 2015.

[19] A. Shameli-Sendi, R. Aghababaei-Barzegar, and M. Cheriet, “Taxonomy of Information Security Risk Assessment (ISRA),” Comput. Secur. , vol. 57, pp.
Publicado
2016-11-30
##submission.howToCite##
MARULANDA, CARLOS EDUARDO; LÓPEZ TRUJILLO, MARCELO. GOBIERNO Y GESTIÓN DE RIESGOS DE TECNOLOGÍAS DE INfORMACIÓN Y ASPECTOS DIfERENCIADORES CON EL RIESGO ORGANIZACIONAL. REVISTA GTI, [S.l.], v. 15, n. 41, p. 65-77, nov. 2016. ISSN 2027-8330. Disponible en: <http://revistas.uis.edu.co/index.php/revistagti/article/view/5911>. Fecha de acceso: 28 jul. 2017
Sección
Artículos de Investigación Científica e Innovación