Gestión de riesgos y controles en sistemas de información: del aprendizaje a la transformación organizacional
DOI:
https://doi.org/10.1016/S0123-5923(12)70011-6Keywords:
Gestión de riesgos y controles, Aprendizaje, Pensamiento de sistemas blandos, Sistemas de información, Transformación organizacionalAbstract
La gestión de riesgos y controles en sistemas de información (GRCSI) comúnmente se ve como una función técnica encomendada a expertos en tecnologías de la información, ingenieros de software o programadores de sistemas de información. No obstante, esta labor requiere una perspectiva más amplia que aporte al aprendizaje de su sentido y a la apropiación de los procesos de cambio organizacional que ella requiere. Este artículo presenta el resultado de un proceso de investigación, abordado desde la perspectiva del pensamiento de sistemas blandos para apoyar la GRCSI en las organizaciones, mostrando el sistema de actividad humana de la dirección estratégica de tecnologías de información, la transformación organizacional necesaria y la descripción de las actividades y métodos propuestos.
Downloads
References
Adams, J. (2005). Risk management, it's not rocket scien it's more complicated. Journal The Social Affair Unit. Risk Management Magazine-Social Affairs Unit. Disponible en: http://www.socialaffairsunit.org.uk/blog/archives/000318.php
Aguilera, A., & Riascos, S. (2009). Direccionamiento estratégico apoyado en las Tics. Estudios Gerenciales, 25(111), 127-146
Alberts, C. (1999). Operationally Critical Threat, Asset, and Vulnerability Evaluation SM (OCTAVESM) Framework, Version 1.0. Technical Report. SEE, Carnegie Mellon.
Standards Association of Australia. (2004). AS/NZS 4360, Estándar Australiano de Administración de Riesgos (3. ed.). Australia: Standards. Disponible en: www.imfperu.com/facipub/download/contenido/dnl/fp_cont/902/dlfnc/file/standard__adm_risk_as_nzs_4360_1999.pdf
Cater-Steel, A., & Al-Hakim, L. (2009). Information systems research methods, epistemology, and applications. Queensland: IGI Publishing.
Checkland, P. (2000a). Soft systems methodology: a thirty year retrospective. Lancashire: Wiley.
Checkland, P. (2000b). Systems, thinking, systems pactice. includes a 30-year retrospective. Chichester: Wiley.
Checkland, P., & Griffin, R. (1970). Management information systems: a systems view. Journal of Systems Engineering, 1, 29-42.
Checkland, P., & Scholes, J. (1999a). Information, systems, and information systems. Cybernetics and Humans Knowing, 6.
Checkland, P., & Scholes, J. (1999b). Soft system methodology in action. London: Wiley.
Checkland P., & Poulter, J. (2006). Learning for action. a short definitive account of soft systems methodology and its use for practitioners, teachers and students. Chichester: Wiley. Checkland P., & Holwell, S. (1998). Information, systems and information systems: making sense of the field. Chichester: Wiley.
CLUSIF. (2007). MEHARI 2007. Guide de l'analyse des risques. Disponible en: http://www.clusif.asso.fr
Consortium ISM3. (2006). Information security management maturity model. Version 2.0. Madrid. Disponible en: http://www.lean.org/FuseTalk/Forum/Attachments/ISM3_v2.00-HandBook.pdf.
Díaz, M., & Naranjo, M. (2010). Herramienta software open source orientada a apoyar los procesos de evaluación y promoción en la educación básica primaria Escuelacol 2.0. Proyecto de Pregrado. Universidad Industrial de Santander. Disponible en: http://tangara.uis.edu.co/biblioweb/pags/cat/popup/pa_detalle_matbib.jsp?parametros=154165|%20|24|80.
Gómez, L., & Olave, Y. (2007). Una reflexión sistémica sobre los fundamentos conceptuales para sistemas de información. Revista Colombiana de Computación, 8, 71-92.
Guerrero, M. (2010). Gestión de riesgos y controles en SI. Proyecto investigación de Maestría. Universidad Industrial de Santander. Disponible en: http://tangara.uis.edu.co/biblioweb/pags/cat/popup/pa_detalle_matbib.jsp?parametros=155422|%20|14|58.
Guerrero, M., & Gómez, L. (2011). Revisión de estándares relevantes y literatura de gestión de riesgos y controles en sistemas de información. Estudios Gerenciales, 27(121), 195-218. Disponible en: http://www.icesi.edu.co/revistas/index.php/estudios_gerenciales/article/view/1124.
ISACA, 2007. Student Book COBIT 4.1. ISACA, Estados Unidos.
Laudon, K., & Laudon, J. (2008). Sistemas de información gerencial. México: Prentice Hall.
León, N. (2009). Propuesta de un modelo para la evaluación de calidad de productos software utilizados como apoyo a la biomedicina [documento no publicado]. Vicerrectoría de Investigación y Extensión, Universidad Industrial de Santander.
Ministerio de Administraciones Públicas, (2006). MAGERIT 2.0. Catálogo de Elementos. Madrid. Disponible en: http://administracionelectronica.gob.es/?_nfpb=true_pageLabel=PAE_PG_CTT_GenerallangPae=esiniciativa=magerit.
Norma RFC4949. (2007). Internet security glossary version 2. Disponible en: http://www.ietf.org/rfc/rfc4949.
Paulk, M., Weber, C., Curtis, B., & Chrissis, M. (2001). The capability maturity model: guidelines for improving the software process. Pittsburgh: Addison-Wesley.
Piattini, M. (2007). Análisis y diseño de aplicaciones informáticas de gestión. Bogotá: Alfa y Omega.
Ribagorda, A. (1997). Glosario de términos de seguridad de las T.I. Madrid: CODA.
Ross, R. (2008). Managing risk from information systems. recommendations of the National Institute of Standards and Technology. NIST Special Publication 800-39, Gaithersburg.
Silberfich, P.A. (2009). Análisis y gestión de riesgos en TI ISO 27005 - Aplicación Práctica. Quinto Congreso Argentino de Seguridad de la Información.
SOMAP. (2006). Open information security risk management handbook. Versión 1.0. Disponible en: http://www.somap.org/methodology/handbook.html
Stonebumer, G. (2002). Risk management guide for information technology systems. Recommendations of the National Institute of Standards and Technology. NIST. Special Publication 800-30, Estados Unidos. Disponible en: http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf.
TCSEC. (1985). Trusted computer systems evaluation criteria, DoD 5200.28-STD, Department of Defense, United States of America. Disponible en: http://csrc.nist.gov/publications/history/dod85.pdf.
Downloads
Published
Issue
Section
License
Articles are the sole responsibility of their authors, and will not compromise Icesi’s University principles or policies nor those of the Editorial Board of the journal Estudios Gerenciales. Authors authorize and accept the transfer of all rights to the journal, both for its print and electronic publication. After an article is published, it may be reproduced without previous permission of the author or the journal but the author(s), year, title, volume, number and range of pages of the publication must be mentioned. In addition, Estudios Gerenciales must be mentioned as the source (please, refrain from using Revista Estudios Gerenciales).