Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Copia para uso personal, se prohbe la transmisin de este documento por cualquier medio o formato.
ISSN 0123-5923
EG Estudios
Gerenciales
ESTUDIOS GERENCIALES Journal of Management and Economics for Iberoamerica
Vol.28
125
Octubre-Diciembre 2012
Historia del artculo: La gestin de riesgos y controles en sistemas de informacin (GRCSI) comnmente se ve como una funcin
Recibido el 27 de mayo de 2011 tcnica encomendada a expertos en tecnologas de la informacin, ingenieros de software o programadores
Aceptado el 13 de diciembre de 2012 de sistemas de informacin. No obstante, esta labor requiere una perspectiva ms amplia que aporte al
aprendizaje de su sentido y a la apropiacin de los procesos de cambio organizacional que ella requiere.
Cdigos JEL:
M15 Este artculo presenta el resultado de un proceso de investigacin, abordado desde la perspectiva del pen-
M42 samiento de sistemas blandos para apoyar la GRCSI en las organizaciones, mostrando el sistema de activi-
dad humana de la direccin estratgica de tecnologas de informacin, la transformacin organizacional
Palabras clave: necesaria y la descripcin de las actividades y mtodos propuestos.
Gestin de riesgos y controles 2012 Universidad ICESI. Publicado por Elsevier Espaa. Todos los derechos reservados.
Aprendizaje
Pensamiento de sistemas blandos
Sistemas de informacin
Transformacin organizacional
Risk management and controls in information systems: from the learning
to organizational transformation
ABSTRACT
JEL classification:
M15 Risk management and controls for information systems (RMCIS) is commonly seen as a technical function
M42 used by experts in information technology, software engineers, or information systems programmers. .
However, this task requires a much broader perspective that helps the learner have better comprehension
Keywords: of its meaning and the processes of organizational change that it requires. This article shows the results of
Risk management and controls a research process, approached from the perspective of soft systems thinking, to support RMCIS in
Learning organizations, showing the human activity system of the strategic management of information technology,
Information systems
the organizational changes necessary, and a description of the activities and methods proposed.
Soft system thinking
2012 Universidad ICESI. Publicado por Elsevier Espaa. All rights reserved.
Organizational transformation
Classificao JEL:
A gesto de riscos e controlos em sistemas de informao (GRCSI) habitualmente vista como uma funo
M15
M42 tcnica encomendada a especialistas em tecnologias da informao, engenheiros de software ou
programadores de sistemas de informao. No entanto, este trabalho necessita de uma perspectiva mais
Palavras-chave: larga que d sentido aprendizagem e adequao dos processos mudana organizacional que ela
Gesto de riscos e controlos necessita. Este artigo apresenta o resultado de um processo de investigao, abordado da perspectiva do
Aprendizagem pensamento de sistemas moles para apoiar a GRCSI nas organizaes, mostrando o sistema de actividade
Pensamento de sistemas moles humana da direco estratgica de tecnologias de informao, a transformao organizacional necessria e
Sistemas de informao
a descrio das actividades e mtodos propostos.
Transformao organizacional
2012 Universidad ICESI. Publicado por Elsevier Espaa. Todos los derechos reservados.
0123-5923/$ see front matter 2012 Universidad ICESI. Publicado por Elsevier Espaa. Todos los derechos reservados
Documento descargado de http://www.elsevier.es el 07/03/2017. Copia para uso personal, se prohbe la transmisin de este documento por cualquier medio o formato.
Apropiacin sobre la
nocin y los procesos de Aplicacin del modelo
cambio organizacional de GRCSI a EscuelaCol
1,0 Diseo de los
para la GRCSI
mtodos para el
desarrollo de las
actividades de
GRCSI
Comparacin de las
actividades relacionadas
Definicin de por los estndares de
procesos y GRCSI
responsabilidades de Mundo real
la GFCSI
Pensamiento
Modelos conceptuales de las sistmico acerca
actividades y del mundo real
Definiciones raz de los
sistemas de actividad responsabilidades para la
humana para la GRCSI GRCSI
3.2. Elementos CATWOE 3.3. Descripcin de las actividades propuestas para la GRCSI
Los elementos CATWOE para la transformacin organizacional Teniendo en cuenta la transformacin organizacional construida,
planteada, posibilitarn la seleccin de una perspectiva particular y se plante el sistema de actividades (fig.2) que permita a la direccin
la realizacin de un estructurado y riguroso proceso de desarrollo de de tecnologas de informacin definir los niveles de riesgo de los sis-
los modelos. El punto de partida es una transformacin para la pers- temas de informacin en su contexto organizacional propio y que la
pectiva seleccionada y a partir de all se identifican los otros elemen- organizacin pueda identificar los activos relacionados con los siste-
tos clave del sistema para la GRCSI (tabla1). mas de informacin que, por su propia vulnerabilidad o por factores
En la transformacin organizacional planteada se utilizarn los externos, estn expuestos a amenazas. De igual manera, se busca que
conceptos de amenaza, vulnerabilidad y riesgo, en el sentido plan- los miembros de la organizacin conozcan su funcin y su responsa-
teado por Silberfich (2009), que explica que la amenaza es una con- bilidad dentro de la GRCSI y que aprendan de los incidentes en la
dicin del entorno del sistema de informacin, que ante determinada organizacin para evitar la repeticin de esfuerzos y el desgaste or-
circunstancia podra ser una fuente de desastre informtico y afectar ganizacional.
a los activos de la compaa. Por su parte, la vulnerabilidad es una
situacin generada por la falta de controles que permite concretar 3.3.1. Actividad A1. Establecer el contexto organizacional
una amenaza, y el riesgo es la posibilidad que una amenaza se mate- Establecer el contexto organizacional es la actividad primaria que
rialice y produzca un impacto en la organizacin. la empresa ha de llevar a cabo, dado que esto permite identificar las
Tabla 1
Elementos CATWOE de la transformacin organizacional para la GRCSI
Elemento Descripcin
Transformacin Direccin de tecnologas de informacin con necesidad de definir los niveles de riesgo de los sistemas de informacin en su contexto organizacio-
nal contexto organizacional identificado y establecido
Organizacin con necesidad de identificar los activos expuestos a amenazas y el impacto organizacional ocasionado por la vulnerabilidad de los
sistemas de informacin organizacin con elementos de accin para identificar los activos expuestos a amenazas y con conocimiento de los
niveles de riesgo de los sistemas de informacin
Entes organizacionales con necesidad de conocer su funcin y su responsabilidad dentro de la GRCSI funciones y responsabilidades definidas
Organizacin con necesidades de aprendizaje sobre los casos de riesgo ocurridos en la organizacin organizacin con documentacin de resul-
tados sobre las estrategias de mitigacin implantadas, monitoreo y control
Cosmovisin La GRCSI ayuda a proteger los activos de la organizacin y ayuda a los administradores de tecnologas de la informacin a equilibrar los costos
administrativos y operacionales de las medidas de seguridad utilizadas para proteger los sistemas de informacin que sustentan los procesos de
negocio de las organizaciones, mediante el alineamiento con los estndares de seguridad de sistemas de informacin
Propietarios Administracin
A1. Establecer el
contexto organizacional
A3. Identificar y evaluar las
amenazas y vulnerabilidades
de los activos
A6. Documentacin de
resultados y revisin de
casos
funciones y sus responsabilidades frente a la GRCSI. Como se ha ex- comparaciones que tienden a detectar la integracin de las subacti-
presado anteriormente, cada organizacin tiene una cultura particu- vidades y disear los mtodos para establecer el contexto organiza-
lar, por lo cual la aplicacin de esta actividad requiere repensar la cional para el desarrollo de la GRCSI (fig.3).
organizacin en cuanto a sus necesidades, caractersticas, sistemas Las subactividades A1.1, A1.2 y A1.3 que se presentan a continua-
de informacin que apoyan los procesos de negocio, funciones y res- cin y su alineamiento con los sistemas de informacin y los proce-
ponsabilidades de los actores vinculados con los sistemas de infor- sos de negocio debern ser responsabilidad inicialmente de los ad-
macin y la caracterizacin de la informacin que estos manejan. ministradores de la organizacin y del comit de seguridad
Establecer el contexto organizacional es una actividad incluida encargado especficamente para esta labor.
directamente en los modelos planteados por AS/NZS (2004) (Estn-
dar Australiano para la Administracin de Riesgos), SP800-30 (Gua 3.3.1.1. Subactividad A1.1. Identificar la estrategia de la organizacin en
para la Gestin de Riesgos en Tecnologas de la Informacin), presenta- torno a los sistemas de informacin
da por Stonebumer (2002), y SP800-39 (Gua para la Gestin de Ries- Las organizaciones efectivas deben ser capaces de clarificar las
gos en Sistemas de Informacin), los cuales posibilitaron plantear estrategias asociadas a los sistemas de informacin, las cuales deben
Mtodo
estar enmarcadas dentro de la estrategia organizacional, de manera sistema de informacin. De acuerdo con esto, surgen responsabilida-
que los proyectos y las inversiones relacionadas con sistemas de in- des en trminos de la informacin que manejan. Esta actividad debe
formacin sean especificadas a los distintos actores de la organiza- ser desarrollada por los jefes del departamento de tecnologas de in-
cin y administradas de manera adecuada. Las tareas que la organi- formacin en concordancia con los administradores funcionales y de
zacin podra utilizar para llevar a cabo esta actividad se describen a negocio. Las tareas que la organizacin podra utilizar para llevar a
continuacin: cabo esta actividad se describen a continuacin:
Entrevistar a los jefes del departamento de sistemas o administra- Entrevista a los actores de los sistemas de informacin sobre la con-
dores de tecnologas de informacin. Esta tarea es desarrollada por ducta ante riesgos. Determinar la cultura de riesgo de los actores
los lderes de seguridad de la informacin en la organizacin. Uno relacionados con los sistemas de informacin permite detectar y
de los mtodos que se podra utilizar para esta actividad son las generar estrategias de mitigacin de los riesgos ocasionados por
listas de verificacin con preguntas orientadas a descubrir los inte- dolo o negligencia (desconocimiento, falta de apropiacin) de los
reses y/o necesidades organizacionales en trminos de la estrategia actores. El mtodo propuesto para esta actividad son las listas de
asociada a los sistemas de informacin. verificacin con preguntas orientadas a descubrir la conducta orga-
Revisar la documentacin sobre las polticas organizacionales de nizacional de los actores de sistemas de informacin ante los ries-
adquisicin, implementacin y uso de los sistemas de informacin. gos.
Esta tarea es desarrollada por el grupo de trabajo encargado del
gobierno de tecnologas de informacin y sistemas de informacin 3.3.2. Actividad A2. Identificar los activos crticos
con el fin de esclarecer si la organizacin tiene un nivel de madurez Los activos crticos relacionados con los sistemas de informacin
asociado con la adquisicin, implementacin y uso de los sistemas son: la informacin, los servicios, las aplicaciones informticas, los
de informacin. La definicin de estos niveles de madurez se sus- equipos informticos, los soportes de informacin, el equipamiento
tenta en los estndares COBIT (Control Objectives for Information and auxiliar, las redes de comunicaciones, las instalaciones y las perso-
Related Technologies) (ISACA, 2007) y CMM (Capability Madurability nas. Identificar los activos crticos es una actividad incluida en los
Model) (Paulk, Weber, Curtis y Chissis, 2001). modelos planteados por OCTAVE (marco de evaluacin de amenazas
operacionalmente crticas, activos y vulnerabilidades) en Alberts
3.3.1.2. Subactividad A1.2. Especificar los sistemas de informacin que (1999) y MAGERIT (metodologa de anlisis y gestin de riesgos de
apoyan los procesos de negocio los sistemas de informacin), que permitieron plantear comparacio-
Actualmente muchas organizaciones dan soporte a sus procesos nes que tienden a detectar las integraciones en las subactividades y
de negocio con sistemas de informacin. Por lo tanto, un reconoci- a disear los mtodos relacionados con esta actividad (fig.4).
miento del contexto organizacional implica especificar los sistemas De igual manera, esta actividad busca determinar la informacin
de informacin que apoyan a los procesos de negocio, de manera sensible y crtica, con el fin de identificar la informacin que puede
que se clarifique la dependencia de la ejecucin de los procesos con estar expuesta a determinado nivel de riesgo. Informacin sensible
respecto a la disponibilidad de los sistemas de informacin. Esta ac- es aquella que debe ser especialmente protegida, pues su revelacin,
tividad es desarrollada por el grupo de trabajo encargado del gobier- alteracin, prdida o destruccin puede producir daos importantes
no de tecnologas de informacin. Las tareas que la organizacin a alguien o algo (Ribagorda, 1997; TCSEC, 1985). Por su parte, la in-
podra utilizar para llevar a cabo esta actividad se describen a conti- formacin crtica es aquella de vital importancia para la organiza-
nuacin. cin, cuya prdida o destruccin podra tener efectos adversos para
la seguridad y la disponibilidad de los procesos de negocio (Norma
Determinar la dependencia de los procesos de negocio respecto de RFC4949, 2007).
los sistemas de informacin. Dentro de las organizaciones, no todos Las actividades pertinentes para la identificacin de los activos
los procesos de negocio se apoyan en sistemas de informacin, y en crticos que se describen a continuacin debern ser responsabilidad
otros casos, aunque as sea, la dependencia de la continuidad del inicialmente de la direccin de tecnologas de informacin.
servicio de aquellos no es demasiado alta. Por lo tanto, una organi-
zacin efectiva debe medir qu tanto depende de los sistemas de 3.3.2.1. Subactividad A.2.1. Catalogar los activos relacionados
informacin la disponibilidad de sus procesos de negocio. La jerar- con los sistemas de informacin
quizacin de estos niveles de dependencia se bas en la propuesta Ofrecer informacin a la organizacin sobre los recursos asocia-
de ISM3 (modelo de madurez para la seguridad de la informacin). dos a los sistemas de informacin es de suma importancia para la
Determinar los niveles de servicio de los sistemas de informacin. toma de decisiones acertadas sobre las polticas y las estrategias de
Esta tarea est orientada a establecer los servicios prestados por el control relacionadas con sus vulnerabilidades. Esta actividad debe
sistema de informacin a los diferentes actores, que se podr clasi- ser desarrollada por los jefes de seguridad de sistemas de informa-
ficar en niveles segn su relevancia. Los niveles de servicio se clasi- cin.
ficaron en alto, medio o bajo, de acuerdo con su relacin con Para esta actividad se puede desarrollar un software de cataloga-
los requisitos funcionales del sistema de informacin. cin de activos que permita gestionar y controlar los recursos asocia-
Revisar la documentacin de los sistemas de informacin. La revisin dos a los sistemas de informacin o se puede llevar manualmente un
de los manuales de usuario, administracin, configuracin e instala- consolidado de catalogacin de activos.
cin del sistema de informacin es de vital importancia para estable-
cer los riesgos asociados con los cambios realizados a los programas. 3.3.2.2. Subactividad A.2.2. Determinar la informacin sensible y crtica
De igual manera, la revisin de los diagramas de casos de uso del Clarificar qu la informacin que es sensible y crtica permite a las
sistema implantado y de las especificaciones de los requisitos reali- organizaciones generar estrategias para protegerla contra su divulga-
zadas por la organizacin permitir detectar el grado de cumpli- cin, modificacin o prdida. Esta actividad es responsabilidad de los
miento de los requisitos contractuales del sistema de informacin. jefes del departamento de tecnologas de informacin. Una de las
tareas que la organizacin podra utilizar para llevar a cabo esta acti-
3.3.1.3. Subactividad A1.3. Especificar las funciones de los actores vidad se describe a continuacin:
y sus responsabilidades en la GRCSI
Los actores de los sistemas de informacin cumplen con una fun- Revisar las bases de datos y los informes de los sistemas de infor-
cin de acuerdo con sus necesidades y los servicios prestados por el macin para detectar la informacin sensible y crtica. El contraste
Documento descargado de http://www.elsevier.es el 07/03/2017. Copia para uso personal, se prohbe la transmisin de este documento por cualquier medio o formato.
Mtodo
Determinar la informacin Revisar las bases de datos y los informes de los sistemas de
sensible y crtica informacin para detectar la informacin vulnerable
Figura 4. Mtodos definidos para la actividad A2. GRCSI: gestin de riesgos y controles en sistemas de informacin.
Fuente: tomado de Guerrero (2010), p.99.
entre la base de datos del sistema de informacin y sus niveles de utilizando el catlogo propuesto por el Ministerio de Administracio-
servicio permitir identificar la informacin que es susceptible de nes Pblicas (2006).
resguardo o que hay que proteger. Cabe destacar que cada organi-
zacin debe decidir esto a partir de lo crtica que sea la informacin 3.3.4. Actividad A4. Disear escenarios de riesgos con respecto
y de los activos afectados por esta. Un esquema que se podra utili- a su impacto organizacional
zar para realizar dicho contraste requiere una definicin del nivel Un escenario de riesgo es la descripcin hipottica de un mal fun-
de servicio detectado, las tablas de la base de datos que las soporta cionamiento del sistema de informacin. La evaluacin del impacto
y la informacin sensible y crtica que manejan. potencial de un escenario de riesgo provee a la organizacin las he-
rramientas necesarias para la medicin y la actuacin.
3.3.2.3. Subactividad A2.3. Dimensionar los activos en cuanto Aunque cada sistema de informacin por su naturaleza intrnseca
a los niveles de riesgo y su relacin con la disponibilidad, estar expuesto a escenarios de riesgo especficos, estndares como
la autenticidad, la integridad y la confidencialidad MEHARI (marco armonizado para el anlisis de riesgos) proveen una
Esta actividad corresponde al grupo de trabajo de seguridad de lista de 170 escenarios, clasificados en 12 familias (CLUSIF, 2007), que
tecnologas de informacin y sistemas de informacin e implica re- se puede utilizar como gua. Por otro lado, MAGERIT, presenta algu-
conocer los activos que pueden estar expuestos a determinados nive- nas consideraciones que se deben tener en cuenta al momento de
les de riesgo. De igual manera, en esta actividad se debe tener en definir los escenarios de riesgo: identificar las causas que originan el
cuenta los criterios de seguridad que podran verse afectados. En el escenario, especificar las consecuencias directas e indirectas del he-
trabajo propuesto por Guerrero (2010), se presenta un modelo para cho que el escenario se produzca y medir la probabilidad de que ocu-
relacionar estos tres factores (activos, niveles de riesgo, criterios de rra. Las actividades propuestas para llevar a cabo la actividad A4 se
seguridad). muestran a continuacin y los mtodos planteados se presentan en
la figura5.
3.3.3. Actividad A3. Identificar y evaluar las amenazas
y vulnerabilidades de los activos crticos 3.3.4.1. Subactividad A4.1. Creacin de una base especfica
Identificar y evaluar los hechos o actividades que permitiran con- de escenarios de riesgo
cretar una violacin de seguridad y las condiciones del entorno del Muchos factores pueden originar un escenario de riesgo, y es pre-
sistema de informacin que ante determinada circunstancia podran cisamente esto lo que deriva en la probabilidad de que este se con-
dar lugar a que se produjesen dichas violaciones, que afectaran a al- crete. A partir de la referencia de la base de escenarios MEHARI, se
guno de los activos de la compaa, es uno de los aspectos ms im- identifican los escenarios especficos, teniendo en cuenta los si-
portantes en materia de GRCSI. Esta actividad est incluida en los guientes criterios planteados por MAGERIT:
modelos inmersos en OCTAVE, ISM3 (2006), SP800-30 y MAGERIT,
los cuales permitieron plantear comparaciones tendentes a detectar El tipo de consecuencia.
la integracin de las subactividades y a disear los mtodos a seguir Las causas que pueden dar lugar a la situacin de riesgo.
para identificar los activos crticos. La probabilidad de que se produzca el escenario.
Las actividades a desarrollar para la identificacin y evaluacin de
vulnerabilidades y amenazas debern ser responsabilidad inicial- La probabilidad de ocurrencia se dar de acuerdo con niveles: ni-
mente de la direccin de tecnologas de la informacin. Aunque las vel 4, muy probable; nivel3, es probable; nivel2, es poco probable;
vulnerabilidades y amenazas de los activos relacionados con los sis- nivel1, es muy poco probable, y nivel0, no se considera.
temas de informacin tienen que ver en primera instancia con la Como estrategia de organizacin de la informacin sobre los esce-
propia naturaleza del sistema de informacin, en la investigacin se narios especficos detectados, se propone un esquema que contenga
provee un esquema de relacin entre amenazas, vulnerabilidades y la descripcin del escenario de riesgo, las consecuencias directas o
activos de los sistemas de informacin. Las amenazas se catalogaron indirectas del escenario y la probabilidad de ocurrencia.
Documento descargado de http://www.elsevier.es el 07/03/2017. Copia para uso personal, se prohbe la transmisin de este documento por cualquier medio o formato.
Mtodo
Creacin de una base especfica Utilizar la base de datos de escenarios genricos propuesta
de escenarios de riesgo por MEHARI
Identificar las causas y consecuencias de los escenarios de
riesgo especficos
3.3.4.2. Subactividad A4.2. Derivar el impacto de los escenarios nos no slo de la relacin costo-beneficio, sino tambin de los
de riesgo en la organizacin recursos que se encuentran disponibles para su implantacin.
Las consecuencias directas e indirectas de los escenarios de riesgo
permiten determinar el impacto en los activos de la organizacin. En 3.3.5.3. Subactividad A5.3. Elaborar e implementar un plan para el
este sentido, se denomina impacto a la magnitud del dao deriva- tratamiento del riesgo
do del hecho que un riesgo se materialice. Un esquema que se podra Desarrollar y establecer un plan permite llevar a cabo de manera
utilizar para organizar la informacin de esta actividad debe incluir ordenada las decisiones tomadas y planeadas para el tratamiento del
la descripcin del escenario, su impacto en los activos de la organi- riesgo. Para la correcta elaboracin de un plan de tratamiento de
zacin y el criterio de seguridad afectado (disponibilidad, integridad, riesgos, el estndar AS/NZS propone los siguientes elementos:
autenticidad y/o confidencialidad).
En cuanto a la disponibilidad, se debe responder a la pregunta: Identificar el orden de prioridad del riesgo.
qu importancia tendra que el activo no estuviese disponible cuan- Especificar las posibles opciones de tratamiento.
do se requiera? Con respecto a la autenticidad: qu importancia Seleccionar las opciones factibles.
tendra que quien accede al activo no fuese quien se cree? En el caso Describir los resultados del anlisis de costo-beneficio y determinar
de la integridad: qu importancia tendra que el activo fuese modi- si se acepta o se rechaza la propuesta de tratamiento.
ficado indebidamente? Y por ltimo, para la confidencialidad: qu Especificar la persona responsable de implementar la opcin.
importancia tendra que el activo fuese conocido por personas no Elaborar un calendario de implementacin.
autorizadas? Especificar cmo ser monitoreado el riesgo y las opciones de tra-
tamiento.
3.3.5. Actividad A5. Disear estrategias de tratamiento y proteccin
Una de las actividades ms representativas en la GRCSI es disear 3.3.6. Actividad A6. Documentacin de resultados y revisin de casos
las estrategias de tratamiento y mitigacin de los riesgos encontra- Documentar los resultados es una actividad que permitir a las
dos. Esta actividad implica seleccionar estrategias de mitigacin que organizaciones realimentar sus resultados y aprender sobre las si-
mejoren la seguridad de la empresa mediante la reduccin del ries- tuaciones de riesgo presentadas a partir de la revisin de los casos
go. Actualmente, estndares como ISO 27005 (gua para la evaluacin histricos ms representativos y sus respectivas estrategias de trata-
y los requerimientos de calidad de productos software), OCTAVE, miento. Un esquema que se podra utilizar para la documentacin de
ISM3, AS/NZS 4360:2004, SP800-30, SOMAP (2009) (handbook open casos debera incluir la descripcin del caso presentado, la frecuencia
source para la gestin de riesgos de seguridad de la informacin), de ocurrencia, el (los) mecanismo(s) de mitigacin y los resultados
MAGERIT y la SP800-39 publicada por Ross (2008) proveen informa- obtenidos.
cin sobre el propsito de esta actividad, lo cual permiti la integra-
cin de las actividades que se muestran a continuacin y el diseo de 3.3.7. Actividad A7. Monitoreo y control
los mtodos para llevarlas a cabo (fig.6). Las actividades propuestas El monitoreo y el control ayudan a evaluar si las estrategias de
para realizar la actividad A5 se describen a continuacin. mitigacin de los riesgos implantadas lograron el alcance propuesto.
Un programa continuo de monitoreo bien diseado y bien adminis-
3.3.5.1. Subactividad A5.1. Identificar las estrategias de mitigacin trado puede transformar efectivamente una evaluacin esttica de
candidatas los controles de seguridad y de los procesos de determinacin del
Con base en el levantamiento de los escenarios de riesgo realizado riesgo, en un proceso dinmico que proporciona informacin esen-
en la actividad A4.1, se procede a asociar cada escenario de riesgo con cial del estado de la seguridad, en el momento necesario para que los
los niveles definidos por Guerrero y Gmez (2010). Posteriormente administradores puedan tomar decisiones acertadas. El monitoreo y
se identifica el tipo de estrategia de mitigacin (control) ms adecua- el control proporcionan a las organizaciones herramientas eficaces
da para su tratamiento. para producir cambios en torno a los planes de seguridad, los infor-
mes de evaluacin de la seguridad y los planes de accin.
3.3.5.2. Subactividad A5.2. Seleccionar la alternativa ms adecuada en
costo y recursos disponibles 4. Conclusiones
Una vez que se ha determinado en qu nivel de riesgo se encuen-
tra el sistema de informacin, los lderes de seguridad deben selec- La propuesta desarrollada presenta una integracin de las activi-
cionar la alternativa ms conveniente para la organizacin en trmi- dades relacionadas por los estndares de GRCSI y los mtodos que se
Documento descargado de http://www.elsevier.es el 07/03/2017. Copia para uso personal, se prohbe la transmisin de este documento por cualquier medio o formato.
Mtodo
Identificar las estrategias de Asociar los escenarios con los niveles de riesgo
mitigacin candidatas Identificar los controles pertinentes de acuerdo con el nivel de
riesgo
Seleccionar la alternativa ms
adecuada en trminos de costo Elaborar una matriz de relacin control - costo - recursos
y recursos disponibles
puede utilizar para que los involucrados en la organizacin las lleven versidad Industrial de Santander (UIS) y a la Vicerrectora de investi-
a cabo. La propuesta centra su atencin en el sentido de la GRCSI gacin y extensin, tambin de la UIS, por el apoyo recibido para la
utilizando un esquema basado en niveles de riesgo y se gua por la realizacin de esta investigacin mediante la financiacin del pro-
definicin original diseada para la transformacin organizacional. yecto de investigacin Propuesta de un modelo para la evaluacin
La GRCSI no es una tarea simple, ya que son muchos los activos de calidad de productos software utilizados como apoyo a la biome-
que se debe proteger y son muchas y diversas las amenazas a que dicina, cdigo 5545 (Len, 2009). De igual manera, al acompaa-
pueden estar expuestos. A esto se suma la naturaleza compleja del miento realizado por el proyecto EscuelaCol 2.0 en la ilustracin de
sistema organizacional en la que se circunscribe, lo cual conlleva ne- la aplicacin del modelo de GRCSI diseado (Daz y Naranjo, 2010).
cesidades de proteccin especficas. Por tal motivo, la GRCSI es una
labor que lleva tiempo, requiere esfuerzo, cuesta dinero y no es sufi- Bibliografa
ciente con realizarla una sola vez.
La complejidad de la GRCSI se debe abordar metodolgicamente, Adams, J. (2005). Risk management, its not rocket science: its more complicated.
Journal The Social Affair Unit. Risk Management Magazine-Social Affairs Unit.
de manera que se cubra la mayor parte posible de lo que se desea Disponible en: http://www.socialaffairsunit.org.uk/blog/archives/000318.php
cubrir y se logre explicar a los diferentes entes implicados lo que se Aguilera, A., & Riascos, S. (2009). Direccionamiento estratgico apoyado en las Tics.
necesita y se espera de ellos como partcipes del proceso de GRCSI. Estudios Gerenciales, 25(111), 127-146
Alberts, C. (1999). Operationally Critical Threat, Asset, and Vulnerability Evaluation SM
De esta forma, la GRCSI debe contar con el compromiso y el em- (OCTAVESM) Framework, Version 1.0. Technical Report. SEE, Carnegie Mellon.
peo de la direccin de tecnologas de la informacin, los responsa- Standards Association of Australia. (2004). AS/NZS 4360, Estndar Australiano de
bles de la gerencia y los sectores estratgicos de la organizacin y las Administracin de Riesgos (3.a ed.). Australia: Standards. Disponible en: www.
imfperu.com/facipub/download/contenido/dnl/fp_cont/902/dlfnc/file/standard__
diversas reas de tecnologas de la informacin, ya que a menudo las
adm_risk_as_nzs_4360_1999.pdf
decisiones de proteccin de la informacin se realizan ad-hoc, por la Cater-Steel, A., & Al-Hakim, L. (2009). Information systems research methods,
experiencia previa del departamento de tecnologas de la informa- epistemology, and applications. Queensland: IGI Publishing.
Checkland, P. (2000a). Soft systems methodology: a thirty year retrospective. Lancashire:
cin con las vulnerabilidades y las amenazas que actualmente se co-
Wiley.
nocen, ocasionando que se tienda a no gestionar los riesgos de ma- Checkland, P. (2000b). Systems, thinking, systems pactice. includes a 30-year retrospective.
nera sistemtica o que no los administren las personas adecuadas. Chichester: Wiley.
La propuesta para el desarrollo de la GRCSI permite proponer di- Checkland, P., & Griffin, R. (1970). Management information systems: a systems view.
Journal of Systems Engineering, 1, 29-42.
versos mtodos para la gestin de riesgos y controles en sistemas de Checkland, P., & Scholes, J. (1999a). Information, systems, and information systems.
informacin, que posteriormente podrn generar proyectos orienta- Cybernetics and Humans Knowing, 6.
dos a construir herramientas software que permitan sistematizarlos, Checkland, P., & Scholes, J. (1999b). Soft system methodology in action. London: Wiley.
Checkland P., & Poulter, J. (2006). Learning for action. a short definitive account of soft systems
de manera que su utilizacin sea ms amplia. methodology and its use for practitioners, teachers and students. Chichester: Wiley.
La investigacin presentada en este artculo abre camino al desa- Checkland P., & Holwell, S. (1998). Information, systems and information systems:
rrollo de estudios relacionados con la cultura organizacional hacia making sense of the field. Chichester: Wiley.
CLUSIF. (2007). MEHARI 2007. Guide de lanalyse des risques. Disponible en: http://
los riesgos y controles en sistemas de informacin, que permitan in- www.clusif.asso.fr
dagar sobre los procesos de cambio organizacional necesarios para Consortium ISM3. (2006). Information security management maturity model. Version
una adecuada incorporacin de la GRCSI en las organizaciones. 2.0. Madrid. Disponible en: http://www.lean.org/FuseTalk/Forum/Attachments/
ISM3_v2.00-HandBook.pdf
Daz, M., & Naranjo, M. (2010). Herramienta software open source orientada a apoyar los
Agradecimientos procesos de evaluacin y promocin en la educacin bsica primaria Escuelacol 2.0.
Proyecto de Pregrado. Universidad Industrial de Santander. Disponible en: http://
tangara.uis.edu.co/biblioweb/pags/cat/popup/pa_detalle_matbib.
Los autores expresan sus agradecimientos al grupo de investiga-
jsp?parametros=154165|%20|24|80
cin en sistemas y tecnologas de la informacin, a la Maestra en Gmez, L., & Olave, Y. (2007). Una reflexin sistmica sobre los fundamentos conceptuales
Ingeniera rea Informtica y Ciencias de la Computacin de la Uni- para sistemas de informacin. Revista Colombiana de Computacin, 8, 71-92.
Documento descargado de http://www.elsevier.es el 07/03/2017. Copia para uso personal, se prohbe la transmisin de este documento por cualquier medio o formato.
Guerrero, M. (2010). Gestin de riesgos y controles en SI. Proyecto investigacin de Paulk, M., Weber, C., Curtis, B., & Chrissis, M. (2001). The capability maturity model:
Maestra. Universidad Industrial de Santander. Disponible en: http://tangara.uis. guidelines for improving the software process. Pittsburgh: Addison-Wesley.
edu.co/biblioweb/pags/cat/popup/pa_detalle_matbib.jsp?parametros=155422|%20 Piattini, M. (2007). Anlisis y diseo de aplicaciones informticas de gestin. Bogot: Alfa
|14|58 y Omega.
Guerrero, M., & Gmez, L. (2011). Revisin de estndares relevantes y literatura de Ribagorda, A. (1997). Glosario de trminos de seguridad de las T.I. Madrid: CODA.
gestin de riesgos y controles en sistemas de informacin. Estudios Gerenciales, Ross, R. (2008). Managing risk from information systems. recommendations of the
27(121), 195-218. Disponible en: http://www.icesi.edu.co/revistas/index.php/ National Institute of Standards and Technology. NIST Special Publication 800-39,
estudios_gerenciales/article/view/1124 Gaithersburg.
ISACA, 2007. Student Book COBIT 4.1. ISACA, Estados Unidos. Silberfich, P.A. (2009). Anlisis y gestin de riesgos en TI ISO 27005 Aplicacin Prctica.
Laudon, K., & Laudon, J. (2008). Sistemas de informacin gerencial. Mxico: Prentice Quinto Congreso Argentino de Seguridad de la Informacin.
Hall. SOMAP. (2006). Open information security risk management handbook. Versin 1.0.
Len, N. (2009). Propuesta de un modelo para la evaluacin de calidad de productos Disponible en: http://www.somap.org/methodology/handbook.html
software utilizados como apoyo a la biomedicina [documento no publicado]. Stonebumer, G. (2002). Risk management guide for information technology systems.
Vicerrectora de Investigacin y Extensin, Universidad Industrial de Santander. Recommendations of the National Institute of Standards and Technology. NIST. Special
Ministerio de Administraciones Pblicas, (2006). MAGERIT 2.0. Catlogo de Elementos. Publication 800-30, Estados Unidos. Disponible en: http://csrc.nist.gov/
Madrid. Disponible en: http://administracionelectronica.gob.es/?_nfpb=true&_ publications/nistpubs/800-30/sp800-30.pdf
pageLabel=PAE_PG_CTT_General&langPae=es&iniciativa=magerit TCSEC. (1985). Trusted computer systems evaluation criteria, DoD 5200.28-STD,
Norma RFC4949. (2007). Internet security glossary version 2. Disponible en: http:// Department of Defense, United States of America. Disponible en: http://csrc.nist.gov/
www.ietf.org/rfc/rfc4949 publications/history/dod85.pdf