Gestión de riesgos y controles en sistemas de información: del aprendizaje a la transformación organizacional

Autores/as

  • Marlene Lucila Guerrero Julio Decana, Facultad de Ingeniería, Universidad Cooperativa de Colombia, Bucaramanga, Colombia
  • Luis Carlos Gómez Flórez Profesor Titular, Universidad Industrial de Santander, Colombia

DOI:

https://doi.org/10.1016/S0123-5923(12)70011-6

Palabras clave:

Gestión de riesgos y controles, Aprendizaje, Pensamiento de sistemas blandos, Sistemas de información, Transformación organizacional

Resumen

La gestión de riesgos y controles en sistemas de información (GRCSI) comúnmente se ve como una función técnica encomendada a expertos en tecnologías de la información, ingenieros de software o programadores de sistemas de información. No obstante, esta labor requiere una perspectiva más amplia que aporte al aprendizaje de su sentido y a la apropiación de los procesos de cambio organizacional que ella requiere. Este artículo presenta el resultado de un proceso de investigación, abordado desde la perspectiva del pensamiento de sistemas blandos para apoyar la GRCSI en las organizaciones, mostrando el sistema de actividad humana de la dirección estratégica de tecnologías de información, la transformación organizacional necesaria y la descripción de las actividades y métodos propuestos.

 

Descargas

Los datos de descarga aún no están disponibles.

Biografía del autor/a

  • Marlene Lucila Guerrero Julio, Decana, Facultad de Ingeniería, Universidad Cooperativa de Colombia, Bucaramanga, Colombia
  • Luis Carlos Gómez Flórez, Profesor Titular, Universidad Industrial de Santander, Colombia

Referencias

Adams, J. (2005). Risk management, it's not rocket scien it's more complicated. Journal The Social Affair Unit. Risk Management Magazine-Social Affairs Unit. Disponible en: http://www.socialaffairsunit.org.uk/blog/archives/000318.php

Aguilera, A., & Riascos, S. (2009). Direccionamiento estratégico apoyado en las Tics. Estudios Gerenciales, 25(111), 127-146

Alberts, C. (1999). Operationally Critical Threat, Asset, and Vulnerability Evaluation SM (OCTAVESM) Framework, Version 1.0. Technical Report. SEE, Carnegie Mellon.

Standards Association of Australia. (2004). AS/NZS 4360, Estándar Australiano de Administración de Riesgos (3. ed.). Australia: Standards. Disponible en: www.imfperu.com/facipub/download/contenido/dnl/fp_cont/902/dlfnc/file/standard__adm_risk_as_nzs_4360_1999.pdf

Cater-Steel, A., & Al-Hakim, L. (2009). Information systems research methods, epistemology, and applications. Queensland: IGI Publishing.

Checkland, P. (2000a). Soft systems methodology: a thirty year retrospective. Lancashire: Wiley.

Checkland, P. (2000b). Systems, thinking, systems pactice. includes a 30-year retrospective. Chichester: Wiley.

Checkland, P., & Griffin, R. (1970). Management information systems: a systems view. Journal of Systems Engineering, 1, 29-42.

Checkland, P., & Scholes, J. (1999a). Information, systems, and information systems. Cybernetics and Humans Knowing, 6.

Checkland, P., & Scholes, J. (1999b). Soft system methodology in action. London: Wiley.

Checkland P., & Poulter, J. (2006). Learning for action. a short definitive account of soft systems methodology and its use for practitioners, teachers and students. Chichester: Wiley. Checkland P., & Holwell, S. (1998). Information, systems and information systems: making sense of the field. Chichester: Wiley.

CLUSIF. (2007). MEHARI 2007. Guide de l'analyse des risques. Disponible en: http://www.clusif.asso.fr

Consortium ISM3. (2006). Information security management maturity model. Version 2.0. Madrid. Disponible en: http://www.lean.org/FuseTalk/Forum/Attachments/ISM3_v2.00-HandBook.pdf.

Díaz, M., & Naranjo, M. (2010). Herramienta software open source orientada a apoyar los procesos de evaluación y promoción en la educación básica primaria Escuelacol 2.0. Proyecto de Pregrado. Universidad Industrial de Santander. Disponible en: http://tangara.uis.edu.co/biblioweb/pags/cat/popup/pa_detalle_matbib.jsp?parametros=154165|%20|24|80.

Gómez, L., & Olave, Y. (2007). Una reflexión sistémica sobre los fundamentos conceptuales para sistemas de información. Revista Colombiana de Computación, 8, 71-92.

Guerrero, M. (2010). Gestión de riesgos y controles en SI. Proyecto investigación de Maestría. Universidad Industrial de Santander. Disponible en: http://tangara.uis.edu.co/biblioweb/pags/cat/popup/pa_detalle_matbib.jsp?parametros=155422|%20|14|58.

Guerrero, M., & Gómez, L. (2011). Revisión de estándares relevantes y literatura de gestión de riesgos y controles en sistemas de información. Estudios Gerenciales, 27(121), 195-218. Disponible en: http://www.icesi.edu.co/revistas/index.php/estudios_gerenciales/article/view/1124.

ISACA, 2007. Student Book COBIT 4.1. ISACA, Estados Unidos.

Laudon, K., & Laudon, J. (2008). Sistemas de información gerencial. México: Prentice Hall.

León, N. (2009). Propuesta de un modelo para la evaluación de calidad de productos software utilizados como apoyo a la biomedicina [documento no publicado]. Vicerrectoría de Investigación y Extensión, Universidad Industrial de Santander.

Ministerio de Administraciones Públicas, (2006). MAGERIT 2.0. Catálogo de Elementos. Madrid. Disponible en: http://administracionelectronica.gob.es/?_nfpb=true_pageLabel=PAE_PG_CTT_GenerallangPae=esiniciativa=magerit.

Norma RFC4949. (2007). Internet security glossary version 2. Disponible en: http://www.ietf.org/rfc/rfc4949.

Paulk, M., Weber, C., Curtis, B., & Chrissis, M. (2001). The capability maturity model: guidelines for improving the software process. Pittsburgh: Addison-Wesley.

Piattini, M. (2007). Análisis y diseño de aplicaciones informáticas de gestión. Bogotá: Alfa y Omega.

Ribagorda, A. (1997). Glosario de términos de seguridad de las T.I. Madrid: CODA.

Ross, R. (2008). Managing risk from information systems. recommendations of the National Institute of Standards and Technology. NIST Special Publication 800-39, Gaithersburg.

Silberfich, P.A. (2009). Análisis y gestión de riesgos en TI ISO 27005 - Aplicación Práctica. Quinto Congreso Argentino de Seguridad de la Información.

SOMAP. (2006). Open information security risk management handbook. Versión 1.0. Disponible en: http://www.somap.org/methodology/handbook.html

Stonebumer, G. (2002). Risk management guide for information technology systems. Recommendations of the National Institute of Standards and Technology. NIST. Special Publication 800-30, Estados Unidos. Disponible en: http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf.

TCSEC. (1985). Trusted computer systems evaluation criteria, DoD 5200.28-STD, Department of Defense, United States of America. Disponible en: http://csrc.nist.gov/publications/history/dod85.pdf.

Descargas

Publicado

2012-11-21

Número

Sección

Artículo de investigación

Cómo citar

Gestión de riesgos y controles en sistemas de información: del aprendizaje a la transformación organizacional. (2012). Estudios Gerenciales, 28(125), 87-95. https://doi.org/10.1016/S0123-5923(12)70011-6