GOBIERNO Y GESTIÓN DE RIESGOS DE TECNOLOGÍAS DE INfORMACIÓN Y ASPECTOS DIfERENCIADORES CON EL RIESGO ORGANIZACIONAL
Publicado 2016-11-30
Cómo citar
Resumen
Las tecnologías de información y comunicaciones como parte inherente del negocio, son consideradas un factor clave en la productividad y competitividad de una organización, de allí que los riesgos derivados de su operación se convierten en aspectos críticos que requieren ser tratados a través de un adecuado gobierno y gestión. Es por ello que normas internacionales como la ISO 38500:2008 y marcos de referencia como COBIT establecen lineamientos en materia de riesgos como parte del gobierno y gestión de riesgos de tecnologías de información, que son complementados con las diversas metodologías de riesgos de tecnologías de información que han promulgado diferentes organizaciones a nivel internacional y que a partir de diversos trabajos académicos y profesionales han realizado propuestas de similitudes entre sus estructuras, incluso con las metodologías de riesgo organizacional, lo que nos lleva a determinar dos aspectos críticos que las diferencian: los activos objeto de análisis y los factores de impacto a evaluar, los cuales requieren especial atención al momento de desarrollar un proceso de gestión de riesgos. En este sentido se realiza una propuesta que aporte a la comunidad académica y profesional al desarrollo de un proceso de gestión de riesgos en el contexto de las tecnologías de información y en particular a la clasificación de los activos tecnológicos en doce (12) capas y a la evaluación de su impacto en función de la triada Confidencialidad, Integridad y Disponibilidad.
PALABRAS CLAVES: riesgos de TI, gobierno y gestión de riesgos de TI, metodologías de riesgos de TI, activos tecnológicos.
Descargas
Referencias
- ICONTEC, “Norma Técnica Colombiana NTC-ISO / IEC 38500,” Bogotá (Colombia), 2009.
- Ernst & Young, “Cambios en el panorama de los riesgos de TI,” 2012.
- M. S. Saleh and A. Alfantookh, “A new comprehensive framework for enterprise information security risk management,” Appl. Comput. Informatics , vol. 9, no. 2, pp. 107–118, 2011.
- N. Racz, E. Weippl, and A. Seufert, “A process model for integrated IT governance , risk , and compliance management,” in The Ninth Baltic Conference on Databases and Information Systems , 2010, pp. 155–170.
- A. Vanegas and C. J. Pardo, “Hacia un modelo para la gestión de riesgos de TI en MiPyMEs : MOGRIT,” Rev. S&T , vol. 12, no. 30, pp. 35–48, 2014.
- IT Governance Institute, “COBIT 4.1.,” 2007.
- ISACA, COBIT 5. Procesos Catalizadores . Rolling Meadows, Illinois, 2012.
- ISACA, COBIT 5 for Risk . 2013.
- Global Knowledge, “Las 15 certificaciones mejor pagadas en 2015,” 2016. [Online]. Available: http://www.globalknowledge.es/noticias-yeventos/noticias/las-15-certificaciones-mejorpagadas-2015/. [Accessed: 30-Apr-2016].
- ISACA, Manual de Preparaciòn al examen CRISC 2014 . 2013.
- ISACA, The Risk IT Framework . 2009.
- ICONTEC, “Norma Técnica Colombiana. NTC-ISO/ IEC 27005. Tecnología de Información. Técnicas de Seguridad. Gestión del riesgo en la seguridad de la información.,” Bogotá, 2009.
- G. Stoneburner, A. Goguen, and A. Feringa, “Risk Management Guide for Information Technology Systems Recommendations of the National Institute of Standards and Technology,” 2001.
- M. Talabis and J. Martin, Information Security Risk Assessment Toolkit: Practical Assessments through Data Collection and Data Analysis . 2012.
- A. Abril, J. Pulido, and J. A. Bohada, “Anàlisis de riesgos en seguridad de la informaciòn.,” Rev. Ciencia, Innovaciòn y Tecnol. , vol. 1, pp. 39–53, 2013.
- CLUSIF, “Club de la Sécurité de l’Information Français,” 2015. [Online]. Available: https://www. clusif.asso.fr/en/production/mehari/. [Accessed: 27-Apr-2015].
- A. Ramírez and Z. Ortiz, “Gestión de Riesgos tecnológicos basada en ISO 31000 e ISO 27005 y su aporte a la continuidad de negocios,” Ingeniería , vol. 16, no. 2, pp. 56–66, 2011.
- M. Firoiu, “General Considerations on Risk Management and Information System Security Assessment According to ISO/IEC 27005:2011 and ISO 31000:2009 Standards,” Calitatea , vol. 16, no. 149, pp. 93–97, 2015.
- A. Shameli-Sendi, R. Aghababaei-Barzegar, and M. Cheriet, “Taxonomy of Information Security Risk Assessment (ISRA),” Comput. Secur. , vol. 57, pp.